隨著我國國民經(jīng)濟和社會信息化進程的全面加快,信息系統(tǒng)的基礎(chǔ)性、全局性作用日益顯現(xiàn),保障信息安全已成為當(dāng)前信息化發(fā)展中迫切需要解決的重大問題。
為了加強和規(guī)范計算機信息系統(tǒng)安全,目前國內(nèi)各行各業(yè)都在按照公安部、國家保密局等部門的要求開展信息系統(tǒng)安全等級保護工作,尤其是各商業(yè)銀行已將開展信息安全等級保護工作納入重點實施進程。
安全形勢日趨嚴(yán)峻
隨著我國信息化建設(shè)的快速發(fā)展,近幾年,不法分子針對我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的攻擊持續(xù)上升。從以下案例可見信息安全形勢很嚴(yán)峻。
震網(wǎng)病毒是世界上首個以直接破壞工業(yè)基礎(chǔ)設(shè)施為目標(biāo)的蠕蟲病毒,被稱為網(wǎng)絡(luò)“超級武器”。自2010年7月開始爆發(fā),截至2010年9月底,我國有近500萬網(wǎng)民以及多個企業(yè)遭此病毒攻擊。
2011年,國家某部委信息中心數(shù)據(jù)備份系統(tǒng)服務(wù)外包,磁盤陣列中使用的一塊磁盤被外企取走。公安部組織專家進行安全事件后果分析,不排除重要信息被泄露的可能。2012年1月,Putty后門程序?qū)⒎?wù)器的IP地址、root密碼、連接端口等信息發(fā)送到自己指定的服務(wù)器上,并對服務(wù)器承載的重要數(shù)據(jù)進行拷貝、添加、刪除等操作,導(dǎo)致上萬條服務(wù)器賬戶信息遭到泄露。2012年7月,廣東一群80后“黑客”團伙,瘋狂入侵180多個政府人事網(wǎng)站,盜賣300多萬條涉及個人隱私的資料。
我國工業(yè)控制市場過度開放,國外產(chǎn)品占據(jù)大部分市場,如PLC(可編程邏輯控制器)國內(nèi)產(chǎn)品的市場占有率不到1%,衛(wèi)星導(dǎo)航芯片95%依賴進口。而國外工業(yè)控制芯片和工業(yè)控制系統(tǒng)產(chǎn)品,在設(shè)計和配置上都可能存在漏洞,這些漏洞往往為不法分子用病毒進行網(wǎng)絡(luò)攻擊所利用。
近年來,雖然我國高度重視信息安全保障工作,并取得了較大進展,但是仍存在諸多不足:“重發(fā)展,輕安全”的現(xiàn)象仍然存在;信息安全管理制度體系不完善,信息安全責(zé)任制落實不到位;缺少應(yīng)有的崗位設(shè)置,人員和資金投入不足;信息技術(shù)產(chǎn)品與國外還存在一定差距。面對復(fù)雜的信息安全形勢,實施信息安全等級保護勢在必行。
等級劃分舉足輕重
信息系統(tǒng)的安全保護等級是根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。系統(tǒng)定級是進行等級保護規(guī)劃和建設(shè)的前提,是等級保護建設(shè)的起點,目前國家確定分為以下五級:
第一級為自主保護級,適用于一般的信息系統(tǒng),其受到破壞后,會對公民、法人和其他組織的權(quán)益有一定影響,但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益。
第二級為指導(dǎo)保護級,適用于一定程度上涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的一般信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成一定損害。
第三級為監(jiān)督保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成較大損害。
第四級為強制保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成嚴(yán)重損害。
第五級為專控保護級,適用于涉及國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴(yán)重損害。
對不同安全保護級別的信息系統(tǒng),國家通過制定統(tǒng)一的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),開展有針對性的保護工作,實行不同強度的監(jiān)管政策。在依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對各級系統(tǒng)進行自主保護的同時,信息安全監(jiān)管職能部門重點對第三級系統(tǒng)進行監(jiān)督、檢查,對第四級系統(tǒng)進行強制監(jiān)督、檢查,而第五級系統(tǒng)應(yīng)由國家指定專門部門、專門機構(gòu)進行專門監(jiān)督。
實施信息安全等級保護不僅有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展,為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù),而且有利于優(yōu)化信息安全資源的配置,重點保障關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全。
按步實施謹(jǐn)防風(fēng)險
信息系統(tǒng)安全等級保護的核心,是對信息系統(tǒng)分等級、按標(biāo)準(zhǔn)進行建設(shè)、管理和監(jiān)督。要突出重點、分級負責(zé)、分類指導(dǎo)、分步實施,按照誰主管誰負責(zé)、誰運營誰負責(zé)、誰使用誰負責(zé)的要求,有效落實等級保護責(zé)任和措施。
要合理定級,嚴(yán)格備案。信息系統(tǒng)的運營、使用單位必須按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),結(jié)合自身實際情況,科學(xué)、合理確定其信息系統(tǒng)的等級保護級別。對重要信息系統(tǒng),其運營、使用單位及其主管部門應(yīng)通過專家委員會的安全評審。安全保護等級在二級以上的信息系統(tǒng),以及跨地域的信息系統(tǒng)應(yīng)按要求向?qū)俚毓矙C關(guān)備案。同時要加強整改,落實措施。對已有的信息系統(tǒng),其運營、使用單位要根據(jù)已經(jīng)確定的信息安全保護等級,按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),采用相應(yīng)等級的信息安全產(chǎn)品,落實安全技術(shù)措施,完成系統(tǒng)整改。對新建、改建、擴建的信息系統(tǒng),應(yīng)當(dāng)按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行信息系統(tǒng)的規(guī)劃設(shè)計、建設(shè)施工。
要自查自糾,落實要求。信息系統(tǒng)的運營、使用單位及其主管部門要按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對已經(jīng)完成安全等級保護建設(shè)的信息系統(tǒng),定期進行安全狀況檢測評估,及時消除安全隱患和漏洞,發(fā)現(xiàn)問題及時整改,不斷加強信息安全等級保護能力。
要監(jiān)督檢查,完善保護。公安機關(guān)要按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求,重點對三級及以上安全等級的信息系統(tǒng)進行監(jiān)督檢查。發(fā)現(xiàn)安全保護不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,要通知相關(guān)部門限期整改,確保信息安全等級保護的完善實施。
在實施過程中,信息系統(tǒng)的運營、使用單位要謹(jǐn)防測評風(fēng)險。對于金融系統(tǒng)來說,首先要按照人民銀行發(fā)布的有關(guān)標(biāo)準(zhǔn)要求,嚴(yán)格選擇符合資質(zhì)的測評機構(gòu)和測評人員,同時要加強等級測評的資源管理和過程管理,做好測評設(shè)備和過程的安全隔離和封閉,確保測評過程在安全可控的前提下規(guī)范化實施。對等級測評中發(fā)現(xiàn)的問題,要及時采取防范措施加以防控或緩釋,并進一步制定和落實相應(yīng)的整改方案,使信息系統(tǒng)的安全等級保護得以有效落實。
