隨著我國國民經濟和社會信息化進程的全面加快,信息系統的基礎性、全局性作用日益顯現,保障信息安全已成為當前信息化發展中迫切需要解決的重大問題。
為了加強和規范計算機信息系統安全,目前國內各行各業都在按照公安部、國家保密局等部門的要求開展信息系統安全等級保護工作,尤其是各商業銀行已將開展信息安全等級保護工作納入重點實施進程。
安全形勢日趨嚴峻
隨著我國信息化建設的快速發展,近幾年,不法分子針對我國基礎信息網絡和重要信息系統的攻擊持續上升。從以下案例可見信息安全形勢很嚴峻。
震網病毒是世界上首個以直接破壞工業基礎設施為目標的蠕蟲病毒,被稱為網絡“超級武器”。自2010年7月開始爆發,截至2010年9月底,我國有近500萬網民以及多個企業遭此病毒攻擊。
2011年,國家某部委信息中心數據備份系統服務外包,磁盤陣列中使用的一塊磁盤被外企取走。公安部組織專家進行安全事件后果分析,不排除重要信息被泄露的可能。2012年1月,Putty后門程序將服務器的IP地址、root密碼、連接端口等信息發送到自己指定的服務器上,并對服務器承載的重要數據進行拷貝、添加、刪除等操作,導致上萬條服務器賬戶信息遭到泄露。2012年7月,廣東一群80后“黑客”團伙,瘋狂入侵180多個政府人事網站,盜賣300多萬條涉及個人隱私的資料。
我國工業控制市場過度開放,國外產品占據大部分市場,如PLC(可編程邏輯控制器)國內產品的市場占有率不到1%,衛星導航芯片95%依賴進口。而國外工業控制芯片和工業控制系統產品,在設計和配置上都可能存在漏洞,這些漏洞往往為不法分子用病毒進行網絡攻擊所利用。
近年來,雖然我國高度重視信息安全保障工作,并取得了較大進展,但是仍存在諸多不足:“重發展,輕安全”的現象仍然存在;信息安全管理制度體系不完善,信息安全責任制落實不到位;缺少應有的崗位設置,人員和資金投入不足;信息技術產品與國外還存在一定差距。面對復雜的信息安全形勢,實施信息安全等級保護勢在必行。
等級劃分舉足輕重
信息系統的安全保護等級是根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。系統定級是進行等級保護規劃和建設的前提,是等級保護建設的起點,目前國家確定分為以下五級:
第一級為自主保護級,適用于一般的信息系統,其受到破壞后,會對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益。
第二級為指導保護級,適用于一定程度上涉及國家安全、社會秩序、經濟建設和公共利益的一般信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成一定損害。
第三級為監督保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。
第四級為強制保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。
第五級為專控保護級,適用于涉及國家安全、社會秩序、經濟建設和公共利益的重要信息系統的核心子系統,其受到破壞后,會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。
對不同安全保護級別的信息系統,國家通過制定統一的管理規范和技術標準,開展有針對性的保護工作,實行不同強度的監管政策。在依照國家管理規范和技術標準對各級系統進行自主保護的同時,信息安全監管職能部門重點對第三級系統進行監督、檢查,對第四級系統進行強制監督、檢查,而第五級系統應由國家指定專門部門、專門機構進行專門監督。
實施信息安全等級保護不僅有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設協調發展,為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,而且有利于優化信息安全資源的配置,重點保障關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。
按步實施謹防風險
信息系統安全等級保護的核心,是對信息系統分等級、按標準進行建設、管理和監督。要突出重點、分級負責、分類指導、分步實施,按照誰主管誰負責、誰運營誰負責、誰使用誰負責的要求,有效落實等級保護責任和措施。
要合理定級,嚴格備案。信息系統的運營、使用單位必須按照等級保護的管理規范和技術標準,結合自身實際情況,科學、合理確定其信息系統的等級保護級別。對重要信息系統,其運營、使用單位及其主管部門應通過專家委員會的安全評審。安全保護等級在二級以上的信息系統,以及跨地域的信息系統應按要求向屬地公安機關備案。同時要加強整改,落實措施。對已有的信息系統,其運營、使用單位要根據已經確定的信息安全保護等級,按照等級保護的管理規范和技術標準,采用相應等級的信息安全產品,落實安全技術措施,完成系統整改。對新建、改建、擴建的信息系統,應當按照等級保護的管理規范和技術標準進行信息系統的規劃設計、建設施工。
要自查自糾,落實要求。信息系統的運營、使用單位及其主管部門要按照等級保護的管理規范和技術標準,對已經完成安全等級保護建設的信息系統,定期進行安全狀況檢測評估,及時消除安全隱患和漏洞,發現問題及時整改,不斷加強信息安全等級保護能力。
要監督檢查,完善保護。公安機關要按照等級保護的管理規范和技術標準的要求,重點對三級及以上安全等級的信息系統進行監督檢查。發現安全保護不符合管理規范和技術標準的,要通知相關部門限期整改,確保信息安全等級保護的完善實施。
在實施過程中,信息系統的運營、使用單位要謹防測評風險。對于金融系統來說,首先要按照人民銀行發布的有關標準要求,嚴格選擇符合資質的測評機構和測評人員,同時要加強等級測評的資源管理和過程管理,做好測評設備和過程的安全隔離和封閉,確保測評過程在安全可控的前提下規范化實施。對等級測評中發現的問題,要及時采取防范措施加以防控或緩釋,并進一步制定和落實相應的整改方案,使信息系統的安全等級保護得以有效落實。
