作者:公安部信息安全等级保护评估中心
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
信息安全等级保护政策培训教程试读:
前言
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
近几年,为组织各单位、各部门开展信息安全等级保护工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全等级保护政策体系,为指导各单位、各部门开展等级保护工作提供了政策保障。同时,在国内有关部门、专家、企业的共同努力下,公安部和标准化工作部门组织制订了信息安全等级保护工作的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
今后一段时期,公安机关、行业主管部门和信息系统运营使用单位将组织开展等级保护培训工作。我们结合近些年的工作实践,在公安部网络安全保卫局的指导下,编写了这本教程,对开展信息安全等级保护工作的主要内容、方法、流程、政策和标准等内容进行解读,对信息系统定级备案、安全建设整改、等级测评、安全检查等工作进行详细解释说明,供读者参考、借鉴。由于水平所限,书中难免有不足之处,敬请读者指正。
本书由公安部信息安全等级保护评估中心组织编写,在编写过程中得到国家网络与信息安全信息通报中心赵林副主任的大力支持和指导,在此表示由衷的感谢。参加编写的有周左鹰、郭启全、朱建平、毕马宁、景乾元、刘伟、范春玲、张秀东、祝国邦、马力、任卫红、李升、刘静等。
读者可以登录中国信息安全等级保护网www.djbh.net,了解最新情况。
作 者
2010年5月第1章 信息安全等级保护制度的主要内容
本章主要介绍国家信息安全等级保护制度的有关法律、政策,信息安全等级保护工作的主要环节、流程和职责分工等,使读者对国家信息安全等级保护制度以及该制度如何实施有一个概括性的了解。1.1 信息安全保障工作概述1.1.1 加强信息安全工作的必要性和紧迫性
随着科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,信息化带动了工业化的发展,初步实现了互联互通、资源共享、跨越式发展的信息化发展目标。基础信息网络与重要信息系统的基础性、全局性作用日益增强,已成为国家和社会发展新的重要战略资源。与此同时,随着社会信息化的依赖程度越来越高,网络和信息系统的安全问题愈加重要。保障基础网络和重要信息系统安全,更好地维护国家安全、保障社会稳定和经济命脉,是信息化发展中必须要解决的重大问题。
但是,从总体上看,我国的信息安全保障工作尚处于初级阶段,基础薄弱,水平不高,存在许多亟待解决的问题。应当看到,我国信息安全面临的形势非常严峻,互联网上影响国家安全和社会稳定的问题日益突出,网上斗争越来越尖锐复杂。作为非传统安全范畴的信息安全问题,已经成为当前最难控制、最难把握的问题之一,国家必须高度重视信息安全,维护网络空间的国家安全和国家利益。1.1.2 信息安全基本属性
信息安全是整体的、发展的、非传统的安全。信息安全涉及多个领域,是一个系统工程,需要全社会的共同努力和承担责任及义务;信息安全不是绝对的,它是动态的、相对的;信息安全不是一个国家能完全控制的问题,具有全球化特点,应从全球信息化角度考虑和布局;信息安全不是一个孤立的问题,应在系统建设过程中充分考虑;信息安全属于非传统安全问题,不能用传统的办法来解决非传统的安全问题,要有新的思路和手段。需要综合运用政策、法律、管理、技术等各种手段。1.1.3 我国信息安全保障工作的确立
党中央、国务院高度重视信息安全保障工作。2003年7月,国家信息化领导小组第三次会议专门研究信息安全问题,审议通过《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),首次明确了今后一段时期我国信息安全保障工作的总体要求、主要原则和重点任务,对加强信息安全保障工作做出了重要部署,要求建立国家信息安全保障体系。27号文件将等级保护制度作为我国信息安全领域的一项基本制度予以明确,同时还提出了需要加强的信息保护和网络信任体系建设、信息安全监控体系建设、信息安全应急处理、信息安全技术研究开发、产业发展、法制和标准化建设、人才培养等一系列工作。2005年5月,国家信息化领导小组发布了《国家信息安全战略报告》(国信[2005]2号),确定了今后一段时期国家信息安全的战略布局和长远规划。近期,国家还将出台新时期加强信息安全保障工作的意见,以进一步指导各地区、各部门开展信息安全工作。1.1.4 信息安全保障工作的主要内容
我国信息安全保障工作要求坚持“积极防御、综合防范”的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。信息安全保障体系的主要内容包括:信息安全等级保护制度;加强以密码技术为基础的信息保护和网络信任体系建设;建设和完善信息安全监控体系;重视信息安全应急处理工作;加强信息安全技术研究开发,推进信息安全产业发展;加强信息安全法制建设和标准化建设;加快信息安全人才培养,增强全民信息安全意识;保证信息安全资金到位;加强对信息安全工作的领导,建立健全信息安全责任制。1.1.5 保障信息安全的主要措施
保障信息安全的主要措施包括:一是建立完善的信息安全等级保护制度,加快信息安全工作的制度化;二是建立健全信息安全法律法规体系,推进信息安全法制建设;三是建立完善的信息安全标准体系,加强信息安全标准化工作;四是建立信息技术和信息安全技术体系,实现国家信息化发展的自主可控;五是完善信息安全监管体系,实现全方位的有效监管;六是完善信息安全监控体系,净化网络环境、维护网络秩序;七是建立健全信息网络违法犯罪防范打击体系,提高对信息网络违法犯罪的防范、控制、侦查、打击的能力;八是建立完善的信息安全通报和应急处置体系,为社会提供信息安全保障和服务;九是建立全社会的网络信任体系,保护国家利益、社会公共利益以及公民、法人和其他组织的合法权益;十是建立信息安全学科体系,加快信息安全人才的培养。1.1.6 北京奥运会网络安全保卫成功经验给信息安全工作带来的启示
信息网络安全是北京“平安奥运”的重要组成部分,是北京奥运会成功举办的关键环节。由于赛前公安部组织协调有关部门和各方社会力量,综合采取了安全防护、监测预警、防范控制、应急准备等各项保障措施,从而确保了奥运会举办期间的信息网络安全。所有涉奥信息网络经受了大流量访问、网络入侵攻击等各种考验,没有发生一起网络中断、系统瘫痪的重大网络安全事件,确保了奥运会的顺利进行。为了确保涉奥信息网络完全,采取了如下主要措施。
1.建立跨部门的指挥协调机制
2007年9月,经奥运安保工作协调小组批准,公安部牵头,会同14家单位专门组建了“信息网络安全指挥部”,建立了跨部门的指挥协调机制,统一指挥,加强协调,确立了指挥部工作会议制度、联络员工作会议制度、情况会商研判制度等协调联系机制,确保了奥运信息网络安保工作的顺利进行。经验证明,建立多部门的协调配合机制是应对重大活动时期信息网络安全的有效保障。
2.严格落实安全责任制
按照“谁主管谁负责、谁运营谁负责”的原则,根据《奥运信息网络安全保卫工作实施方案》以及赛时《奥运会信息网络安保勤务等级管理办法》和《奥运会信息网络安保工作指挥运行机制》要求,将奥运会4个核心网络和31个为奥运提供保障服务的网络信息系统作为重点保障对象,明确了公安部、奥组委、工信部、广电总、国务院新闻办、铁道部、人民银行、海关总署、民航总局、电监会、北京市公安局等部门对涉奥重要信息系统的安全责任,并组织督导检查,确保各项防范措施责任到人、落实到位。经验证明,落实信息安全责任制是保护重要信息系统安全的有效办法。
3.开展以信息安全等级保护为核心的安全防范工作
以奥运官方网站、竞赛网、票务系统、奥组委内外办公网等奥运会核心网络以及31个为奥运提供保障服务的重要信息系统为重点,严格落实国家信息安全等级保护制度,组织开展了信息系统定级、备案、安全测评和渗透性攻击测试、风险评估,及时发现漏洞、安全隐患和问题,督促有关部门进行整改,提高了涉奥信息网络的安全防护能力。经验证明,落实等级保护制度,开展风险评估等工作是提高重要信息系统安全防范能力、抵御攻击能力的有效措施。
4.开展实时监测,及时预警
为提高对网络安全突发事件的发现和预警能力,公安部协调有关部门在赛前建立了多层多级的网络安全监测体系,对重要信息系统实行24小时实时监测,能够保证第一时间发现、预警网络异常、网络攻击和各类安全事件。经验证明,开展实时监测是保障重要信息系统运行安全的有效方法。
5.制定应急处置预案,加强演练
为确保突发网络安全事件时的应急处置及恢复,有关部门都制定了专门的应急预案,并按照预案进行演练,磨合了应急指挥协调机制和工作流程,储备了应急资源和防护手段,做好了各项应急恢复准备,从而确保了一旦突发网络安全事件,能够在第一时间反应、果断妥善处置。经验证明,制定预案并加强演练是提高处置重要信息系统突发安全事件有效方法。1.2 信息安全等级保护的基本含义1.2.1 信息安全等级保护的法律和政策依据
1.法律依据
1994年《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)第九条明确规定:“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部在等级保护工作中在等级保护工作中的牵头地位。
2.政策依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障工作的基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。1.2.2 什么是信息安全等级保护
1.基本概念
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
2.信息安全等级保护工作的内涵
简单来说,信息安全等级保护就是分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上信息系统到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据信息系统安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;备案单位选择符合国家规定条件的测评机构开展等级测评;公安机关对第二级信息系统进行指导,对第三、四级信息系统定期开展监督、检查。
根据《信息安全等级保护管理办法》的规定,等级保护工作主要分为五个环节,定级、备案、建设整改、等级测评和监督检查。其中定级是信息安全等级保护的首要环节,通过定级,可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等,确定信息安全保护的重点。而安全建设整改是落实信息安全等级保护工作的关键,通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力,从而提高我国基础网络和重要信息系统整体防护能力。等级测评工作的主体是第三方测评机构,通过开展等级测评,可以检验和评价信息系统安全建设整改工作的成效,判断安全保护能力是否达到相关标准要求。监督检查工作的主体是公安机关等信息安全职能部门,通过开展监督、检查和指导,维护重要信息系统安全和国家安全。
3.信息安全等级保护是基本制度、基本国策
信息安全等级保护是党中央国务院决定在信息安全领域实施的基本国策,由公安部牵头经过近十年的探索和实践,信息安全等级保护的政策、标准体系已经基本形成,已在全国范围内全面开展实施。
信息安全等级保护制度是国家信息安全保障工作的基本制度,是落实网络信任体系、安全监控体系、应急处理、风险评估、灾难备份、技术开发和产业发展等信息安全保障工作的基础。开展信息安全等级保护工作是实现国家对重要信息系统重点保护的重大措施。信息安全等级保护制度的核心内容是,国家制定统一的政策,各单位、各部门依法开展等级保护工作,有关职能部门对信息安全等级保护工作实施监督管理。
4.信息安全等级保护是基本方法
信息安全等级保护也是国家信息安全保障工作的基本方法。等级保护制度提出了一整套安全要求,贯穿系统设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的五个动作“定级、备案、建设、测评、检查”,各单位各部门开展信息安全工作,先对所属信息系统(包括信息网络)开展调查摸底、梳理信息系统,再对信息系统定级,定级后二级以上系统到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关按照系统级别实施不同强度的监管,对进入重要信息系统的测评机构以及信息安全产品分等级进行管理,对信息安全事件分等级响应和处置。经过一系列工作的开展,将信息安全保障工作落到了实处。1.2.3 公安机关组织开展等级保护工作的法律、政策依据(1)《中华人民共和国警察法》。《中华人民共和国警察法》第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。组织开展信息安全等级保护工作是公安机关在信息网络领域开展的面向全社会的管理监察工作,是公安机关在社会信息化条件的一项新的职责。实施信息安全等级保护是公安机关依法保障重要信息系统安全的重要手段。(2)《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)。本条例第六条规定:“公安部主管全国计算机信息系统安全保护工作”,第九条规定:“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。(3)2008年国务院三定方案明确规定公安机关在信息安全等级保护工作中的职能:监督、检查、指导信息安全等级保护工作。(4)2004年7月3日国家网络与信息安全协调小组第三次会议审议通过了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),进一步明确公安机关负责全国信息安全等级保护工作的监督、检查和指导工作,并指出“要建立专门的等级保护监督检查机构和技术支撑体系,组织研制、开发科学、实用的检查、评估工具,充实力量,加强建设,切实承担信息安全等级保护监督、检查和指导的职责。”(5)2007年公安部、国家保密局、国家密码管理局等四部门联合出台的《信息安全等级保护管理办法》(公通字[2006]43号)详细阐述了公安机关的具体工作任务。公安部牵头,会同国家保密局、国家密码管理局等部门共同组织全国各单位、各部门实施信息安全等级保护工作。同时,公安机关还承担信息安全等级保护监督、检查、指导的任务。这是党中央、国务院交给公安机关的新任务,在信息化时代公安机关巩固党的执政地位、维护国家长治久安、保障人民安居乐业的新职责。1.2.4 贯彻落实信息安全等级保护制度的原则
国家信息安全等级保护坚持自主定级、自主保护的原则,对信息系统分等级进行保护,按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则。(1)明确责任,共同保护。通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。(2)依照标准,自行保护。国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。(3)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。(4)指导监督,重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。1.2.5 信息系统安全保护等级的划分与监管
1.五个安全保护等级划分
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级共分五级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.五级保护与监管
信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
3.信息安全产品管理和信息安全事件实行分等级响应、处置的制度
国家对信息安全产品的使用实行分等级管理。
信息安全事件实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。1.3 实行信息安全等级保护制度的必要性和紧迫性1.3.1 为什么要强制实行信息安全等级保护制度
建立和落实信息安全等级保护制度是形势所迫、国情所需。随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,基础信息网络和重要信息系统业已成为国家关键基础设施,其安全性直接关系到国家安全、国家利益、社会稳定和人民群众的切身利益。但是,我国基础信息网络和重要信息系统安全面临的形势十分严峻。
1.强制实施等级保护制度是信息安全形势所迫
一是来自境内外敌对势力的入侵、攻击、破坏越来越严重。境内外各种势力、组织和别有用心的人利用各种手段利用信息网络或针对信息网络实施各种破坏活动。境外敌对势力和情报机构通过木马入侵、远程控制我重要信息系统计算机的案件,大量窃取国家秘密的事件不断发生。基础信息网络和重要信息系统日益成为境外敌对势力和间谍情报机构攻击窃密的重点目标。
二是针对基础信息网络和重要信息系统的违法犯罪持续上升。不法分子利用一些安全漏洞,使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、黑客攻击等违法犯罪活动,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。网络攻击仍是当前网络安全的主要威胁。网站成为主要攻击目标,利用网站“挂马”现象日趋严重。据监测,2008年大陆地区共有58.5万多个IP地址对应的主机被来自境外的木马秘密控制,利用木马和“僵尸网络”实施分布式拒绝服务攻击的威胁加剧,防范难度越来越大。安全漏洞数量居高不下。据统计,2008年共发现4103个系统安全漏洞,其中高危漏洞占近一半。2008年新发现的系统安全漏洞中有一半以上没有安全补丁,及时修补安全漏洞是导致安全事件发生的最主要原因。针对“零日”漏洞出现的攻击不断增加,利用国产应用软件漏洞进行网络攻击成为新的发展趋势。病毒传播感染情况严重。2008年新增病毒46万余种,较2007年上升5.6%,感染计算机3.62亿台次,较2007年上升86.4%,新增病毒中木马类病毒占60%。病毒制作、传播、销售的组织化、产业化、互联网化特征日趋明显,大量木马、后门病毒通过“网站挂马”、伪造和欺骗等手段传播蔓延,消耗系统资源,危害网络系统的安全运行。
2.强制实施等级保护制度是国情所需
一是基础信息网络和重要信息系统安全隐患严重。由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,短时期无法实现自主可控,给我国的信息安全带来了深层的安全隐患。信息安全建设与信息化建设不同步,建设不规范、不全面。据备案数据统计,我国基础信息网络和重要信息系统的多数核心软、硬件设备(服务器、存储设备、操作系统等)和高端服务仍严重依赖于国外,国外产品的采用率高达80%以上,相当一部分信息系统由国外公司提供技术服务。大量重要信息系统存在不同程度的安全漏洞和隐患。采购中忽视了维护我方信息安全利益的具体要求和对信息安全风险控制措施,相应的安全管理和控制措施又明显不足,存在外部威胁源入侵控制的隐患。现有的信息安全产品管理理念和模式不适应形势的发展,以信息技术产品安全性、可控性管理为主要内容的产品管理模式亟待建立。
二是我国的信息安全保障工作基础还很薄弱。我国信息安全建设与信息化建设不同步,信息安全工作缺乏国家层面的制度化规定和有效监管,信息系统安全建设、监管缺乏标准规范,许多部门安全管理制度和技术防范措施不落实等。因入侵攻击、设备故障、人为破坏以及保障系统等因素导致的网络安全事件时有发生。一些重要信息系统多次发生因设备问题导致系统出现运行故障的事件。安全防范技术措施落实不到位。突出表现在移动存储介质管理与使用不善,造成木马病毒传播、数据丢失和失密泄密;内网系统安全补丁更新不及时;内外网安全隔离措施不完备,网络访问控制不严密;未关闭不必要的端口和服务,为网络入侵提供了可乘之机;安全保密意识薄弱、保密措施落实不到位、安全管理存在漏洞,被境外间谍情报机构入侵窃密的情况时有发生。风险抵御能力不强,主要是网络基础设施建设中安全系统建设相对滞后,重建设轻维护现象依然存在;随着数据集中、系统整合的逐步推进,数据存储、传输、应用等方面的安全风险相应增大;运行维护经费保障与人员力量严重不足;应急设施不完备,应急演练不充分,有效应对重大自然灾害和大规模、有预谋、有组织网络攻击的能力有待提高。
可以预见,我国基础信息网络和重要信息系统如果发生信息网络安全故障,将严重影响其保障服务的顺利进行;如果遭遇网络入侵,将导致有关国家秘密文件或敏感信息被窃取、重要数据被篡改、系统不能正常运行;如果受到网站攻击,将致使政府门户网站和重点新闻网站访问被中断、页面被篡改,甚至系统瘫痪,对我国国家安全、社会秩序、公共利益等造成严重影响。因此,实施信息安全等级保护,将信息系统根据其重要程度进行分级,突出保护的重点,已成为各级领导、各部门以及全社会的共识。国内外形势和国情现状决定了我国必须尽快建立一个适合国情的信息安全制度,突出重点,保护重点,统筹监管,保障信息安全,维护国家安全。
面对信息安全面临的复杂、严峻的形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁国家安全、社会稳定、经济发展。胡锦涛总书记等中央领导同志对信息安全工作始终给予高度重视,先后多次做出重要指示。胡锦涛总书记明确指出,当前,国际上围绕信息获取、利用、控制的斗争日趋激烈,维护国家在网络空间的安全和利益成为信息时代的重大战略课题。要求我们必须敏锐地把握当今世界信息化发展的趋势,积极推进国民经济和社会信息化,确保我国在日趋激烈的国际竞争中掌握主动权。1.3.2 实施信息安全等级保护制度能解决什么问题
通过开展信息安全等级保护工作,可以充分体现“明确重点、突出重点、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平,有效解决我国信息安全面临的威胁和存在的主要问题。
信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有利于在信息化建设过程中同步建设信息安全设施,将信息安全保障与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。几年来的实践证明,等级保护工作是各单位、各部门开展信息安全保障工作的抓手,也是信息安全保障工作的灵魂。1.3.3 国外实施等级保护的经验和做法
信息安全分级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法。国外多是以分级为手段,以保护国家关键基础设施为目的,从落实监管部门、制定政策和标准、实施安全建设等方面提高对涉及国家安全的关键基础设施实施整体安全防护。
1.明确专门部门负责监管
2004年1月,美国成立了“全国信息保障委员会”、“全国信息保障同盟”和“关键基础设施信息保障办公室”等10多个全国性信息安全机构。911事件后,美国将信息安全监管的职责交给了新成立的国土安全部。布什总统将克林顿成立的“总统关键基础设施保护委员会”这一部委之间的协调机构改为行政实体“总统关键基础设施保护办公室”,接受总统办公厅直接领导。美国联邦政府其他部门在维护信息安全的职责是:商务部发布有关计算机安全的标准和指导方针;国防部属下的国家安全局主要负责保密信息系统(被有关法规称为“国家安全系统”)的信息安全工作;计算机应急处理小组协调中心负责提供24小时可靠、可信的紧急情况联络,促进专家之间的交流以便解决信息安全问题等。
奥巴马执政以来,美国高度重视网络安全问题,将网络空间视为继陆、海、空、太空后的“第五战略空间”,制订出台了包括强化联邦政府对网络安全的统一领导,整合各方资源力量,成立作战部队,加强技术研发和网络战资源储备等一系列重要举措,全面提升国家关键信息基础设施的安全防范能力。2009年奥巴马政府在国家安全参谋部内设立“网络安全办公室”作为国家网络安全事务的最高协调指
试读结束[说明:试读内容隐藏了图片]