信息安全等级保护的今天和明天

信息安全等级保护的今天和明天

1概述

自1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定我国“计算机信息系统实行安全等级保护”以来,经过了十几年的发展,目前等级保护的组织架构、标准体系、技术体系建设已日趋成熟,随着2007年43号文的实施、等级保护大会的召开以及2008年《公安机关信息安全等级保护监督检查工作规范(试行)》的发布,标志着信息安全等级保护工作即将进入到一个新的发展阶段。

本文从等级保护政策标准现状、等级保护发展状况、等级保护发展趋势等内容简单介绍等级保护的今天和明天,为各行业信息系统主管单位和负责人增进对等级保护了解、指导等级保护建设提供借鉴。

2等级保护政策标准现状

对信息系统实行等级保护是国家法定制度和基本国策,是国家意志在信息安全中的体现。因此这项工作的发展是以各个时期国家发布的政策标准作为标志的。

2.1政策现状

目前在等级保护方面国家发布的主要政策有:

147号令中规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。第一次提出信息系统要实行等级保护,并确定了等级保护的职责单位。

2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的出台明确提出了 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。

此后,2004年9月公安部、国家保密局、国家密码管理局、国务院信息办联合印发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),指出“信息安全等级保护是保障和促进信息化建设健康发展的一项基本制度”;2007年6月四部委联合出台了《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务;2007年7月,四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。

43号文与861号文的出台,标志着信息安全等级保护工作在全国范围内进入到开展与实施阶段。

2008年公安部又颁布了《公安机关信息安全等级保护检查工作规范(试行)》,规范了公安机关对等级保护工作的检查。

2.2标准现状

为保障全面实施信息安全等级保护制度,经公安部会同有关部门组织专家制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等国家标准和技术指导文件,初步形成了信息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。

3等级保护发展状况

目前等级保护工作发展状况主要集中在以下几个方面:

3.1定级工作完成

2007年7月20日“全国重要信息系统安全等级保护定级工作电视电话会议”召开之后,电信、广电、民航、铁路、税务、海关、银行、电力、证券、保险等国家重要信息系统的运营使用单位及其主管部门认真组织积极落实等级保护工作,目前基本完成了全国重要信息系统的定级工作任务。

重要信息系统定级工作的顺利完成,使国家对重要信息系统的分布有了比较明确的认识,有利于在等级保护建设和管理中提供系统性、针对性、可行性的指导和服务,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。

3.2行业等级保护

随着等级保护工作的不断深入和开展,围绕着国家颁布的文件和标准,各重点行业也加强了对等级保护工作的研究力度,颁布了一些行业文件和标准。

比较典型的有,原信息产业部2008年1月29日,下发了《电信网和互联网安全防护管理指南》等32项通信行业标准,其中等级保护作为其中重要一部分内容。整个体系分为三层,第一层为整个安全防护体系的总体指导性规范,明确了对电信网和互联网安全防护的定义、目标、原则,并说明了安全防护体系中的角色划分以及体系组成。第二层从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。第三层对电信网和互联网安全防护范畴中的固定通信网、移动通信网、互联网和增值业务网安全防护工作的实施进行了具体规范,其中增值业务网包括消息网、智能网等业务平台以及业务管理平台。

在电力行业,为贯彻落实国家关于开展信息系统安全保护等级定级工作的要求,国家电网公司发布部门文件“关于印发《国家电网公司信息系统安全保护等级定级指南(试行)》等的通知(信息技术〔2007〕60号)”、国家电力监管委员会发布“关于印发《电力行业信息系统等级保护定级工作指导意见》的通知(电监信息[2007]44号)”,用于指导电力行业定级工作的开展。

3.3测评机构建立

在等级保护服务实施中测评机构的测评报告和测评结果对等级保护实施结果具有极大影响。对于三级以上的重要信息系统来说,按照43号文要求,测评和检查每年都将进行,因此如果等级保护在全国开展起来,等级保护以及相关的测评和检查将是每年安全服务的一

个重要主题,而且测评和检查结果将是判定围绕等级保护所实施的安全建设是否合规的一个重要依据。

如果等级保护建设工作在全国范围内开展起来的话,现有的测评机构数量是难以满足等级保护测评要求的。因此目前各地也在积极进行测评机构的建设工作,以满足本地区等级保护的测评需求。

3.4后续工作开展

在定级备案工作完成后,各单位将开展后续的系统安全建设、等级测评、监督检查。 目前,各个行业完成定级工作后,正在积极准备进行安全建设和整改,也就是按照相关的管理规范和技术标准,以自身安全需求为出发点,进行等级保护的规划和设计,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作,完成等级保护工作的基线安全建设。

定级后的建设整改可以有两个流程:一个是定级后进行等级建设,然后引入第三方测评,根据整改建议进行整改;另一个流程是定级完成后直接引入第三方测评,再进行等级整改。 4 等级保护未来发展趋势

根据等级保护工作开展情况来看,等级保护发展将有如下的趋势:

4.1等级保护行业化

由于每个行业在国家政治、经济、军事、外交等活动中的职能不同,所以信息系统在行业内所发挥的作用对行业职能影响不同,信息和信息系统被破坏后对等级保护客体的影响也有所不同。对本行业职能的认识,行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野,从而可以保证做出更准确的判断。

因此为了使等级保护工作更能体现行业安全特点,更有针对性和实效性,同时为了在纵向上实现对等级保护的控制,一些重点行业主管部门可能在今后会在国家文件政策指导下进行符合本行业安全需求的等级保护行业标准、行业等级保护实施方法等文件的制定,用以指导本行业的等级保护工作。

所以,等级保护的检查也将会以联合工作组的方式进行。

4.2与传统安全服务的结合

4.2.1等级保护与风险评估

等级保护与风险评估之间互为依托、互为补充,存在着紧密的联系。等级保护是国家一

项信息安全政策,而风险评估则是贯彻这项制度的方法和手段。

等级保护确定了信息系统安全保护的等级,要求风险评估过程应充分考虑安全等级保护的要求,风险评估的结果可作为等级保护安全建设的参考。

风险评估为等级保护工作的开展提供基础数据,是等级保护定级、建设的实际出发点。通过安全风险评估,可以发现信息系统可能存在的安全风险,判断信息系统的安全状况与安全等级保护要求之间的差距,从而不断完善等级保护措施。

另外,等级保护中、高级别的信息系统不一定就有高级别的安全风险。

4.2.2等级保护与系统安全建设

当引入等级保护的概念后,系统安全防护设计思路会有所不同:

4.2.2.1由于确定了单位内部代表不同业务类型的若干个信息系统的安全保护等级,在设计思路上应突出对等级较高的信息系统的重点保护。

4.2.2.2安全设计应体现并保证不同保护等级的信息系统满足相应等级的保护要求。满足等级保护要求不意味着各信息系统独立实施保护,而应本着优化资源配置的原则,合理布局,构建纵深防御体系。

4.2.2.3划分了不同等级的系统,就存在如何解决等级系统之间的互连问题,因此必须在总体安全设计中规定相应的安全策略。

4.2.2.4不同等级的系统需要满足不同的安全管理要求,但所有的信息系统又都可能在同一个组织机构的管理控制下,如何实现等级保护的管理体系也需要在总体安全设计中给予规定。

4.3等级保护的长期性

无论是采用那种等级保护建设流程,都应该认识到等级保护工作的长期性。等级保护的建设和整改应伴随着系统生命周期的一个不断循序渐进的过程。希望通过一期两期的安全活动或安全项目达到等级保护目标的想法是不可能的,也是不现实的。

应该说在等级保护整个过程中,定级阶段是相对简单的,难点是定级后如何进行建设和整改。这也是等级保护工作能够真正落到实效的关键阶段。也是目前各种矛盾相对集中的一个阶段。因此等级保护是一个长期的过程,必然会经历从摸索到成熟、从被动到主动的阶段的逐步演进。

为用户提供更多符合标准技术要求的功能和技术,积极配合我国各级企事业单位完成信息安全等级保护技术达标工作,为推进我国信息安全等级保护制度的实施做出自己的贡献。


© 2024 实用范文网 | 联系我们: webmaster# 6400.net.cn