□宋博石菡闫晓敏刘子涵

（1河南省水利信息中心；2国网河南省电力公司电力科学研究院计量中心）

河南水利应用系统安全等级保护工作浅析

□宋博1石菡2闫晓敏1刘子涵1

（1河南省水利信息中心；2国网河南省电力公司电力科学研究院计量中心）

信息化技术的不断应用使得水利应用系统不断庞大，防汛抗旱、水资源管理、电子政务，电子邮件系统等已经广泛应用在水利系统的方方面面。信息系统也面临着各种各样的攻击和挑战，蠕虫病毒、拒接服务、爬虫扫描、后门漏洞等，不仅影响了业务系统的正常运行，也使个人隐私和敏感信息暴露无疑。应用系统的等级保护工作既是网络安全法的基本要求，也是应用系统安全稳定运行的重要保障，做好水利应用系统的安全防护、定级测评工作就成为最基本的安全需求。

水利应用系统；定级测评；等级保护；安全

0 前言

河南省水利应用系统近年来快速发展，依托国家水利部建设了防汛抗旱、水资源管理、移民安置等重要业务系统，2010年开始建设河南水利电子政务系统，目前已完成河南水利门户网站群、支撑环境系统、内部综合办公系统、行政审批系统建设。全省目前共有主要应用系统20个，现有2个二级及以上业务完成安全等级保护定级和测评备案工作，包含河南省水资源管理系统定级备案为三级，水利门户网站定级备案为二级。按照最新颁布的网络安全法和关键信息基础设施的相关要求，河南省水利应用系统安全等级保护工作还比较落后，尽快加强和完善等级保护工作就显得尤为重要。

1 等级保护工作基本要求

2007年8月公安部等四部局办，联合下发了《信息安全等级保护管理办法》。

管理办法对信息系统的安全加固、整改完善提供了具体依据，也是信息系统进行安全测评及国家信息安全监管部门进行监督、检查、指导的依据。做好等级保护工作，既是国家的基本要求，也是行业自身安全运行迫切需要。

2 《网络安全法》明确要求

近年来信息化安全事件频发，网络安全已经提升为国家安全的高度。《中华人民共和国网络安全法》自2017年6月1日起施行。网络安全法是我国第一部针对网络安全的法律，对国家网络和个人隐私保护都提出了全新细致的要求，将成为我国网络安全的重要保障。

《网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。网络运营者应当履行自身安全保护义务，保障个人敏感信息安全。第三十一条：关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

3 信息系统安全等级保护现状

全省目前共有主要应用系统20个，现有2个二级及以上业务完成定级和备案工作，包括河南省水资源管理系统定级为三级，门户网站定级为二级。按照最新颁布的网络安全法和关键信息基础设施的相关要求，河南省现有信息系统等级保护定级工作不够完善，重要信息系统还存在定级标准低，未进行定级评测和测评工作。按照《网络安全法》和关键信息基础设施的相关要求，河南省部分关键信息基础设施定级尚未符合要求，还未开展等级保护定级和评测工作。

关键信息基础设施是指涉及国家重要领域和共用事业的部门，如果发生安全事故会影响社会稳定和国民经济正常运行对人民生命财产造成严重损失。关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。水利行业作为其中的一项重要组成，既承担了国民经济建设的使命，又关乎每一个人的正常生活，因此要做好重要水利系统安全保障工作，确保基础设施的安全稳定运行。

4 实行信息安全等级保护的意义

信息安全等级保护工作自建立以来已经有近20年的时间，从当初的最基本的指导方法发展为今天的等级保护2.0。在很多的发达国家，等级保护工作也被广泛的应用在基础设施的保障中，我国的等级保护工作遵从“重点保护，适度安全的原则”。根据具体应用系统的重要程度化分为五个不同的等级，实施不同的防护要求，这样做既有利于有限的财力和人力保障投入最需要的部位，便于安全资源的优化配置，也有利于整体安全水平的提高。2017年5月全球爆发了大面积的电脑勒索病毒WannaCry，波及150多个国家7.50万台电脑被感染。我国的一些领域部门也受到了影响，但总体的影响程度并不严重，特别是对水利行业的影响较小。这和近几年来重视和加强信息安全等级保护工作有着密不可分的关系，通过信息安全的同步规划和同步实施，有利的保障了重要应用系统的安全性，提高了水利整体安全管理意识和运维规范水平。通过实行信息安全等级保护制度，有利于明确相关部门和人员的安全责任，有利于保障国民经济和人民生活的稳定运行，因此信息安全等级保护是国家信息安全保障工作的基本制度。

5 等级保护流程

信息安全等级保护工作可以分为：定级、备案、审核、变更和撤销五个环节，不同的对象根据自身的情况对照执行。

5.1 等级划分

计算机信息系统安全保护根据系统的重要程度和受到破坏以后产生的社会影响程度可以划分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

5.2 定级程序

信息系统管理和运行单位根据自身应用系统具体情况，参照定级指南的标准，确定应用系统的等级，对于一级及以下的应用系统可以自主定级，对于二级及以上的信息系统应向当地安全机关备案，四级以上信息系统应当由国家安全保护专家评审会评审确定。

5.3 备案审核

信息系统管理和运行单位根据自身应用系统具体情况确定等级后向公安机关提出备案申请，公安部门10个工作日内审查并出具意见。符合定级要求的加盖公章并完成备案，不符合要求的将通知备案单位整改或者进行重新定级，直至备案单位符合等级保护备案要求。

5.4 备案变更

备案表中事项发生变更，备案单位应当自变更之日起30日内重新填写备案表并报公安机关网监部门备案。其中涉及备案证明的，公安机关网监部门应当重新颁布备案证明。

6 安全建设思路

我国信息安全等级保护制度的指导思想是：“按需防御的等级化安全体系”。整体的安全保障体系包括技术和管理两大部分，其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全，主要包括机房和线路环境；网络安全，主要包括接入端到用户端的数据链路；主机安全，主要包括各应用服务器和个人终端电脑和移动设备；应用安全，主要包括应用系统自身和安全防护相关；数据安全，主要包括数据的使用，存储，传输等方面。管理部分重点针对运行维护人员，根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：系统识别与定级、安全域设计、确定安全域安全要求、评估现状、安全保障体系方案设计、安全建设和持续安全运维。通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障系统整体的安全。等级保护工作应该是一个不断循环的过程，通过持续的整改和完善达到和适应不同时期的持续安全要求。

编辑：赵鑫

TP309

：B

：1673-8853（2017）08-0095-02

2017-06-06