新闻中心 当前位置:首页 > 新闻中心 > 落实等级保护 加固信息安全
落实等级保护 加固信息安全

随着我国国民经济和社会信息化进程的全面加快,信息系统的基础性、全局性作用日益显现,保障信息安全已成为当前信息化发展中迫切需要解决的重大问题。

为了加强和规范计算机信息系统安全,目前国内各行各业都在按照公安部、国家保密局等部门的要求开展信息系统安全等级保护工作,尤其是各商业银行已将开展信息安全等级保护工作纳入重点实施进程。

安全形势日趋严峻

随着我国信息化建设的快速发展,近几年,不法分子针对我国基础信息网络和重要信息系统的攻击持续上升。从以下案例可见信息安全形势很严峻。

震网病毒是世界上首个以直接破坏工业基础设施为目标的蠕虫病毒,被称为网络“超级武器”。自20107月开始爆发,截至20109月底,我国有近500万网民以及多个企业遭此病毒攻击。

2011年,国家某部委信息中心数据备份系统服务外包,磁盘阵列中使用的一块磁盘被外企取走。公安部组织专家进行安全事件后果分析,不排除重要信息被泄露的可能。20121月,Putty后门程序将服务器的IP地址、root密码、连接端口等信息发送到自己指定的服务器上,并对服务器承载的重要数据进行拷贝、添加、删除等操作,导致上万条服务器账户信息遭到泄露。20127月,广东一群80后“黑客”团伙,疯狂入侵180多个政府人事网站,盗卖300多万条涉及个人隐私的资料。

我国工业控制市场过度开放,国外产品占据大部分市场,如PLC(可编程逻辑控制器)国内产品的市场占有率不到1%,卫星导航芯片95%依赖进口。而国外工业控制芯片和工业控制系统产品,在设计和配置上都可能存在漏洞,这些漏洞往往为不法分子用病毒进行网络攻击所利用。

近年来,虽然我国高度重视信息安全保障工作,并取得了较大进展,但是仍存在诸多不足:“重发展,轻安全”的现象仍然存在;信息安全管理制度体系不完善,信息安全责任制落实不到位;缺少应有的岗位设置,人员和资金投入不足;信息技术产品与国外还存在一定差距。面对复杂的信息安全形势,实施信息安全等级保护势在必行。

等级划分举足轻重

信息系统的安全保护等级是根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。系统定级是进行等级保护规划和建设的前提,是等级保护建设的起点,目前国家确定分为以下五级:

第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。

第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

对不同安全保护级别的信息系统,国家通过制定统一的管理规范和技术标准,开展有针对性的保护工作,实行不同强度的监管政策。在依照国家管理规范和技术标准对各级系统进行自主保护的同时,信息安全监管职能部门重点对第三级系统进行监督、检查,对第四级系统进行强制监督、检查,而第五级系统应由国家指定专门部门、专门机构进行专门监督。

实施信息安全等级保护不仅有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,而且有利于优化信息安全资源的配置,重点保障关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。

按步实施谨防风险

信息系统安全等级保护的核心,是对信息系统分等级、按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求,有效落实等级保护责任和措施。

要合理定级,严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术标准,结合自身实际情况,科学、合理确定其信息系统的等级保护级别。对重要信息系统,其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统,以及跨地域的信息系统应按要求向属地公安机关备案。同时要加强整改,落实措施。对已有的信息系统,其运营、使用单位要根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采用相应等级的信息安全产品,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统,应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

要自查自纠,落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统,定期进行安全状况检测评估,及时消除安全隐患和漏洞,发现问题及时整改,不断加强信息安全等级保护能力。

要监督检查,完善保护。公安机关要按照等级保护的管理规范和技术标准的要求,重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的,要通知相关部门限期整改,确保信息安全等级保护的完善实施。

在实施过程中,信息系统的运营、使用单位要谨防测评风险。对于金融系统来说,首先要按照人民银行发布的有关标准要求,严格选择符合资质的测评机构和测评人员,同时要加强等级测评的资源管理和过程管理,做好测评设备和过程的安全隔离和封闭,确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题,要及时采取防范措施加以防控或缓释,并进一步制定和落实相应的整改方案,使信息系统的安全等级保护得以有效落实。

上一篇:IBM的预算领先之道 下一篇:IT运维管理瓶颈:各部门统一协调是关键