隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快,信息系統(tǒng)的基礎(chǔ)性、全局性作用日益顯現(xiàn),保障信息安全已成為當(dāng)前信息化發(fā)展中迫切需要解決的重大問(wèn)題。
為了加強(qiáng)和規(guī)范計(jì)算機(jī)信息系統(tǒng)安全,目前國(guó)內(nèi)各行各業(yè)都在按照公安部、國(guó)家保密局等部門(mén)的要求開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作,尤其是各商業(yè)銀行已將開(kāi)展信息安全等級(jí)保護(hù)工作納入重點(diǎn)實(shí)施進(jìn)程。
安全形勢(shì)日趨嚴(yán)峻
隨著我國(guó)信息化建設(shè)的快速發(fā)展,近幾年,不法分子針對(duì)我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的攻擊持續(xù)上升。從以下案例可見(jiàn)信息安全形勢(shì)很?chē)?yán)峻。
震網(wǎng)病毒是世界上首個(gè)以直接破壞工業(yè)基礎(chǔ)設(shè)施為目標(biāo)的蠕蟲(chóng)病毒,被稱(chēng)為網(wǎng)絡(luò)“超級(jí)武器”。自2010年7月開(kāi)始爆發(fā),截至2010年9月底,我國(guó)有近500萬(wàn)網(wǎng)民以及多個(gè)企業(yè)遭此病毒攻擊。
2011年,國(guó)家某部委信息中心數(shù)據(jù)備份系統(tǒng)服務(wù)外包,磁盤(pán)陣列中使用的一塊磁盤(pán)被外企取走。公安部組織專(zhuān)家進(jìn)行安全事件后果分析,不排除重要信息被泄露的可能。2012年1月,Putty后門(mén)程序?qū)⒎?wù)器的IP地址、root密碼、連接端口等信息發(fā)送到自己指定的服務(wù)器上,并對(duì)服務(wù)器承載的重要數(shù)據(jù)進(jìn)行拷貝、添加、刪除等操作,導(dǎo)致上萬(wàn)條服務(wù)器賬戶信息遭到泄露。2012年7月,廣東一群80后“黑客”團(tuán)伙,瘋狂入侵180多個(gè)政府人事網(wǎng)站,盜賣(mài)300多萬(wàn)條涉及個(gè)人隱私的資料。
我國(guó)工業(yè)控制市場(chǎng)過(guò)度開(kāi)放,國(guó)外產(chǎn)品占據(jù)大部分市場(chǎng),如PLC(可編程邏輯控制器)國(guó)內(nèi)產(chǎn)品的市場(chǎng)占有率不到1%,衛(wèi)星導(dǎo)航芯片95%依賴進(jìn)口。而國(guó)外工業(yè)控制芯片和工業(yè)控制系統(tǒng)產(chǎn)品,在設(shè)計(jì)和配置上都可能存在漏洞,這些漏洞往往為不法分子用病毒進(jìn)行網(wǎng)絡(luò)攻擊所利用。
近年來(lái),雖然我國(guó)高度重視信息安全保障工作,并取得了較大進(jìn)展,但是仍存在諸多不足:“重發(fā)展,輕安全”的現(xiàn)象仍然存在;信息安全管理制度體系不完善,信息安全責(zé)任制落實(shí)不到位;缺少應(yīng)有的崗位設(shè)置,人員和資金投入不足;信息技術(shù)產(chǎn)品與國(guó)外還存在一定差距。面對(duì)復(fù)雜的信息安全形勢(shì),實(shí)施信息安全等級(jí)保護(hù)勢(shì)在必行。
等級(jí)劃分舉足輕重
信息系統(tǒng)的安全保護(hù)等級(jí)是根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。系統(tǒng)定級(jí)是進(jìn)行等級(jí)保護(hù)規(guī)劃和建設(shè)的前提,是等級(jí)保護(hù)建設(shè)的起點(diǎn),目前國(guó)家確定分為以下五級(jí):
第一級(jí)為自主保護(hù)級(jí),適用于一般的信息系統(tǒng),其受到破壞后,會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響,但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。
第二級(jí)為指導(dǎo)保護(hù)級(jí),適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。
第三級(jí)為監(jiān)督保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。
第四級(jí)為強(qiáng)制保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。
第五級(jí)為專(zhuān)控保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。
對(duì)不同安全保護(hù)級(jí)別的信息系統(tǒng),國(guó)家通過(guò)制定統(tǒng)一的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),開(kāi)展有針對(duì)性的保護(hù)工作,實(shí)行不同強(qiáng)度的監(jiān)管政策。在依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)各級(jí)系統(tǒng)進(jìn)行自主保護(hù)的同時(shí),信息安全監(jiān)管職能部門(mén)重點(diǎn)對(duì)第三級(jí)系統(tǒng)進(jìn)行監(jiān)督、檢查,對(duì)第四級(jí)系統(tǒng)進(jìn)行強(qiáng)制監(jiān)督、檢查,而第五級(jí)系統(tǒng)應(yīng)由國(guó)家指定專(zhuān)門(mén)部門(mén)、專(zhuān)門(mén)機(jī)構(gòu)進(jìn)行專(zhuān)門(mén)監(jiān)督。
實(shí)施信息安全等級(jí)保護(hù)不僅有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展,為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù),而且有利于優(yōu)化信息安全資源的配置,重點(diǎn)保障關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全。
按步實(shí)施謹(jǐn)防風(fēng)險(xiǎn)
信息系統(tǒng)安全等級(jí)保護(hù)的核心,是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。要突出重點(diǎn)、分級(jí)負(fù)責(zé)、分類(lèi)指導(dǎo)、分步實(shí)施,按照誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)的要求,有效落實(shí)等級(jí)保護(hù)責(zé)任和措施。
要合理定級(jí),嚴(yán)格備案。信息系統(tǒng)的運(yùn)營(yíng)、使用單位必須按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),結(jié)合自身實(shí)際情況,科學(xué)、合理確定其信息系統(tǒng)的等級(jí)保護(hù)級(jí)別。對(duì)重要信息系統(tǒng),其運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)通過(guò)專(zhuān)家委員會(huì)的安全評(píng)審。安全保護(hù)等級(jí)在二級(jí)以上的信息系統(tǒng),以及跨地域的信息系統(tǒng)應(yīng)按要求向?qū)俚毓矙C(jī)關(guān)備案。同時(shí)要加強(qiáng)整改,落實(shí)措施。對(duì)已有的信息系統(tǒng),其運(yùn)營(yíng)、使用單位要根據(jù)已經(jīng)確定的信息安全保護(hù)等級(jí),按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),采用相應(yīng)等級(jí)的信息安全產(chǎn)品,落實(shí)安全技術(shù)措施,完成系統(tǒng)整改。對(duì)新建、改建、擴(kuò)建的信息系統(tǒng),應(yīng)當(dāng)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工。
要自查自糾,落實(shí)要求。信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門(mén)要按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的信息系統(tǒng),定期進(jìn)行安全狀況檢測(cè)評(píng)估,及時(shí)消除安全隱患和漏洞,發(fā)現(xiàn)問(wèn)題及時(shí)整改,不斷加強(qiáng)信息安全等級(jí)保護(hù)能力。
要監(jiān)督檢查,完善保護(hù)。公安機(jī)關(guān)要按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求,重點(diǎn)對(duì)三級(jí)及以上安全等級(jí)的信息系統(tǒng)進(jìn)行監(jiān)督檢查。發(fā)現(xiàn)安全保護(hù)不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,要通知相關(guān)部門(mén)限期整改,確保信息安全等級(jí)保護(hù)的完善實(shí)施。
在實(shí)施過(guò)程中,信息系統(tǒng)的運(yùn)營(yíng)、使用單位要謹(jǐn)防測(cè)評(píng)風(fēng)險(xiǎn)。對(duì)于金融系統(tǒng)來(lái)說(shuō),首先要按照人民銀行發(fā)布的有關(guān)標(biāo)準(zhǔn)要求,嚴(yán)格選擇符合資質(zhì)的測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員,同時(shí)要加強(qiáng)等級(jí)測(cè)評(píng)的資源管理和過(guò)程管理,做好測(cè)評(píng)設(shè)備和過(guò)程的安全隔離和封閉,確保測(cè)評(píng)過(guò)程在安全可控的前提下規(guī)范化實(shí)施。對(duì)等級(jí)測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題,要及時(shí)采取防范措施加以防控或緩釋?zhuān)⑦M(jìn)一步制定和落實(shí)相應(yīng)的整改方案,使信息系統(tǒng)的安全等級(jí)保護(hù)得以有效落實(shí)。
