安全等级保护 不能虚有其表
2013-02-20
从维护国家安全、社会秩序和公共利益的战略高度来看,做好信息系统安全等级保护越来越重要,其制度的落实和实施不能虚有其表。
分级保护意义重大
当前信息系统安全保护等级的划分共分为5 级,分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。
实施信息安全等级保护意义重大,不仅有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展,而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了信息安全建设成本。同时,信息安全等级保护对信息安全资源的配置进行了优化,重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是,信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任,进一步加强了信息安全管理。
安全保障尚存问题
近几年,针对我国基础信息网络和重要信息系统的违法犯罪持续上升,同时敌对势力的入侵、攻击和破坏也时有发生。这类违法犯罪事件主要包括:
1.病毒侵袭
信息化应用在社会生产中的作用日益凸显,与之相对应的,针对于此的攻击也越来越多,并越来越具有破坏性。举例来说,2010年7月,震网病毒开始在中国、印度、俄罗斯等多个国家爆发,其也是世界上首个以直接破坏工业基础设施为目标的蠕虫病毒,被称为网络“超级武器”。据统计,当时全球约4.5 万个网络被该病毒感染。
2.系统漏洞
我国工控市场过度开放,国外产品占据大部分市场,如PLC(可编程逻辑控制器)国内产品的市场占有率不到1%,卫星导航芯片95%依赖进口。在现有的自动化系统中,国外产品在核心自动化控制部分仍占很大比例。而国外工业控制芯片和工业控制系统产品,在设计和配置上都可能存在漏洞,这些漏洞有可能为敌对势力所利用,一旦得逞,所造成的后果难以估量。
3.黑客攻击
在利益链条的驱动下,近年来,黑客入侵、后门植入等攻击事件频繁发生。2012年1月,Putty 等服务器远程管理工具的汉化中文版被曝出存在后门,其可以将服务器的IP 地址、root 密码、连接端口等信息发送给攻击者,攻击者可通过后门对服务器承载的重要数据进行拷贝、添加、删除等操作。
4.外包隐患
2011年,某单位信息中心数据备份系统服务外包,磁盘阵列中使用的一块磁盘丢失。安全专家进行安全事件后果分析,认为不排除重要信息被泄露的可能。
近几年来,我国高度重视信息系统的风险防范,通过多种措施的制定和实施,信息安全保障工作取得了很大进展,但是从总体上看还存在一些问题。首先,信息安全工作不被重视,重要信息系统未落实关键安全保护技术措施; 其次,信息安全管理制度体系不完善,信息安全责任制落实不到位,重要信息系统保护不得力;第三、缺少应有的岗位设置,人员和资金投入不足;最后,我国信息技术产品与国外还存在一定差距,安全专业化服务力量薄弱。
谨防测评风险
随着我国国民经济和社会信息化进程的全面加快,信息系统的基础性、全局性作用日益显现,保障信息安全已成为当前信息化发展中迫切需要解决的重大问题,信息系统安全等级保护的落实和实施势在必行。
信息系统安全等级保护的核心,是对信息系统分等级和按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求,有效落实等级保护责任和措施。
1.科学定级,严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术标准,确定其信息系统的安全保护等级。对重要信息系统,其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统,以及跨地域的信息系统应按要求向管辖公安机关备案。
2.建设整改,落实措施。对已有的信息系统,其运营、使用单位要根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统,应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。
3.自查自纠,落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统,定期进行安全状况检测评估,及时消除安全隐患和漏洞,发现问题及时整改,不断加强信息安全等级保护能力。
4.监督检查,完善保护。公安机关要按照等级保护的管理规范和技术标准的要求,重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的,要通知相关部门限期整改,确保信息安全等级保护的完善实施。
在实施过程中,信息系统的运营、使用单位要谨防测评风险。尤其是金融系统要加强风险管控,严防测评过程中突发事故和泄密事件的发生。各级金融企业、单位要按照中国人民银行发布的有关标准要求,严格选择符合资质的测评机构和测评人员,同时要加强等级测评的资源管理和过程管理,做好测评设备和过程的隔离和封闭,确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题,要及时采取防范措施加以防控或缓释,并进一步制定和落实相应的整改方案,使信息系统的安全等级保护得以有效落实。