推進(jìn)等級(jí)保護(hù)　保障信息安全

那　罡

保障國家信息安全，把握好信息化發(fā)展方向，關(guān)系到國家的根本利益。尤其是在當(dāng)前全球經(jīng)濟(jì)發(fā)生深刻變化，信息化進(jìn)程加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性日益增強(qiáng)的今天，沒有國家的信息安全，就沒有真正意義上的經(jīng)濟(jì)、政治、文化和國防安全。

持續(xù)推動(dòng)的等級(jí)保護(hù)

信息化技術(shù)標(biāo)準(zhǔn)委員會(huì)副主任委員崔書昆認(rèn)為，在基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全嚴(yán)重關(guān)系到國家安全、社會(huì)穩(wěn)定以及人民群眾切身利益的今天，信息安全問題已然成為事關(guān)全局的戰(zhàn)略性問題。近年來，有關(guān)部門圍繞信息安全保障體系建設(shè)，在信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、標(biāo)準(zhǔn)制定、產(chǎn)品開發(fā)及打擊各種網(wǎng)絡(luò)違法犯罪活動(dòng)等方面取得了積極進(jìn)展。在這種情勢下，將信息安全等級(jí)保護(hù)確定為提高國家信息安全保障能力，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益的一項(xiàng)基本制度，是非常必要的。

可以這樣理解，我國信息安全各項(xiàng)工作快速推進(jìn)，信息安全風(fēng)險(xiǎn)評(píng)估工作和保障體系建設(shè)、信息安全管理工作、信息安全法制化和規(guī)范化建設(shè)、信息化基礎(chǔ)設(shè)施和體系建設(shè)取得了重要的成效。特別是從2007年7月20號(hào)開始，全國重要信息系統(tǒng)定級(jí)工作已經(jīng)開始，并在各行業(yè)、各部門、各單位的支持下，取得了豐碩的成果。

從2008年開始，公安部會(huì)同國家保密局等部門，在重要信息系統(tǒng)定級(jí)工作的基礎(chǔ)之上，部署和開展深入推進(jìn)信息安全等級(jí)保護(hù)工作，它主要分為三個(gè)方面：

第一，依據(jù)國家行業(yè)標(biāo)準(zhǔn)，從管理和技術(shù)兩個(gè)方面，開展信息系統(tǒng)安全建設(shè)整改，建立并落實(shí)安全管理制度，落實(shí)安全責(zé)任制。

第二，根據(jù)等級(jí)保護(hù)標(biāo)準(zhǔn)開展風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份、應(yīng)急處置、安全檢查等工作。

第三，對(duì)信息系統(tǒng)應(yīng)用的一些重要單位，開展等級(jí)保護(hù)工作檢查。

公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長說：“目前全國范圍內(nèi)，大規(guī)模的重要系統(tǒng)定級(jí)工作已經(jīng)基本完成，相關(guān)資料目前集中到公安部進(jìn)行管理。定級(jí)工作的主要成效是了解重要信息系統(tǒng)的底數(shù)，掌握國家信息安全的基本情況，為全面貫徹落實(shí)信息安全等級(jí)保護(hù)制度，推動(dòng)國家信息安全保障等工作的深入發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。同時(shí)，某些地方、企業(yè)或者單位沒有完成定級(jí)工作，但會(huì)納入到我們下一階段的檢查工作當(dāng)中完成。另外，有些企業(yè)會(huì)隨后逐步執(zhí)行該工作，不會(huì)影響國家等級(jí)保護(hù)制度的大規(guī)模推動(dòng)?！?/p>

實(shí)施等級(jí)保護(hù)，充分體現(xiàn)了“適度安全、保護(hù)重點(diǎn)”的目的，可以把國家的重要網(wǎng)絡(luò)、重要系統(tǒng)挑出來，把國家有限的精力、財(cái)力投入到信息保護(hù)當(dāng)中去，提高國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)水平，同時(shí)提高信息安全保障工作的整體水平。

奧運(yùn)留下的財(cái)富

“2008年北京奧運(yùn)會(huì)的信息網(wǎng)絡(luò)安全工作給我們留下了很多財(cái)富?！惫鶈⑷?jīng)說過，奧運(yùn)會(huì)對(duì)我們國家的信息網(wǎng)絡(luò)安全工作進(jìn)行了一次大考。它既考驗(yàn)了我們國家信息網(wǎng)絡(luò)安全的工作，同時(shí)也考驗(yàn)了等級(jí)保護(hù)主管部門、公安部和很多部委的行業(yè)主管部門的信息安全工作。在這次大考中，各部門均表現(xiàn)得很優(yōu)秀。在北京奧運(yùn)會(huì)期間，無論是核心網(wǎng)絡(luò)還是信息系統(tǒng)，都遭受了大規(guī)模的攻擊和入侵，卻沒有出現(xiàn)相關(guān)安全事故，支撐北京奧運(yùn)會(huì)順利舉辦，這是我國信息網(wǎng)絡(luò)安全領(lǐng)域經(jīng)歷的考驗(yàn)。

實(shí)際上，奧運(yùn)會(huì)取得的經(jīng)驗(yàn)和公安部下一步等級(jí)保護(hù)工作之間存在密切的相關(guān)性。公安部和有關(guān)部委會(huì)借鑒奧運(yùn)會(huì)信息安全網(wǎng)絡(luò)經(jīng)驗(yàn)，充分利用好奧運(yùn)留下的財(cái)富，進(jìn)一步開展今后的工作。

記者了解到，在北京奧運(yùn)會(huì)之前，成立了以公安部牽頭的包括海關(guān)、銀行、廣電等14個(gè)部委參加的信息網(wǎng)絡(luò)安全指揮部。由于有了這樣的指揮部，使得各項(xiàng)工作的落實(shí)有了一個(gè)組織保障。如果沒有這個(gè)指揮部，大家各干各的，在北京奧運(yùn)會(huì)期間便無法保證重要系統(tǒng)和網(wǎng)絡(luò)的安全。

在2008年，國家安全的核心問題便是保障奧運(yùn)的安全，奧運(yùn)安全采取的第一個(gè)措施就是等級(jí)保護(hù)。郭啟全介紹說：“公安部把奧運(yùn)核心網(wǎng)絡(luò)和涉及奧運(yùn)會(huì)的系統(tǒng)都定級(jí)、備案，針對(duì)風(fēng)險(xiǎn)和重要性搞等級(jí)測評(píng)和風(fēng)險(xiǎn)評(píng)估，反復(fù)查找問題、漏洞、脆弱性和安全風(fēng)險(xiǎn)。從歷史經(jīng)驗(yàn)來看，總會(huì)有一些黑客試圖攻擊奧運(yùn)系統(tǒng)。所以，在這些黑客攻擊之前，我們就需要開始做嚴(yán)格的攻擊性自測。找到問題后進(jìn)行系統(tǒng)加固，并且是有針對(duì)性地進(jìn)行加固。這種安全建設(shè)、整改、加固還有等級(jí)測評(píng)，提升了我們的系統(tǒng)防范能力?！?/p>

郭啟全強(qiáng)調(diào)：“我們當(dāng)時(shí)還專門針對(duì)北京奧運(yùn)會(huì)提出了風(fēng)險(xiǎn)評(píng)估的指南。北京奧運(yùn)會(huì)期間最大的風(fēng)險(xiǎn)是什么？其實(shí)就是來自黑客的攻擊破壞，所以搞風(fēng)險(xiǎn)評(píng)估要針對(duì)最大的風(fēng)險(xiǎn)去做。舉個(gè)例子，我到國家體育總局去了三次，就是研究他們的網(wǎng)絡(luò)安全問題、網(wǎng)站安全問題，這就有針對(duì)性，搞等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估非常有針對(duì)性。這使得我們的風(fēng)險(xiǎn)找得準(zhǔn)，漏洞找得準(zhǔn)，問題找得準(zhǔn)，因此相關(guān)措施就有針對(duì)性?！?/p>

2009年的新工作

中國工程院院士沈昌祥指出，目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力還處于發(fā)展的初級(jí)階段，有些應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學(xué)的一項(xiàng)研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

由于奧運(yùn)網(wǎng)絡(luò)和信息系統(tǒng)開展了等級(jí)保護(hù)工作，并對(duì)等級(jí)保護(hù)工作的政策標(biāo)準(zhǔn)、工作環(huán)節(jié)進(jìn)行了檢驗(yàn)，所以等級(jí)保護(hù)下一步的工作部署將充分借鑒北京奧運(yùn)會(huì)的經(jīng)驗(yàn)，健全完善等級(jí)保護(hù)領(lǐng)導(dǎo)體制和協(xié)調(diào)配合機(jī)制，例如等級(jí)保護(hù)原來有些領(lǐng)導(dǎo)體制可能還要進(jìn)行補(bǔ)充，明確重點(diǎn)工作對(duì)象，比如說拿三級(jí)系統(tǒng)作為重點(diǎn)工作對(duì)象。

郭啟全說：“我們會(huì)嚴(yán)格落實(shí)責(zé)任制，認(rèn)真抓好三點(diǎn)工作，計(jì)劃三年內(nèi)完成安全系統(tǒng)的整改工作，總的目標(biāo)就是：能力提高，事故降低，等級(jí)保護(hù)制度得到落實(shí)，國家信息網(wǎng)絡(luò)安全基本得到保障?！?/p>

開展的重點(diǎn)工作主要分為三個(gè)方面。第一個(gè)方面是全面開展等級(jí)保護(hù)安全建設(shè)整改工作，要建設(shè)安全設(shè)施，落實(shí)安全措施，建立并落實(shí)安全管理制度，落實(shí)責(zé)任制。第二個(gè)方面是各單位建立安全整改工作規(guī)劃，完成定級(jí)系統(tǒng)整改規(guī)劃和制定具體實(shí)施方案。第三個(gè)方面是以三級(jí)以上系統(tǒng)為重點(diǎn)，確定安全需求，制定安全方案。“當(dāng)然，一些單位可能不太明白具體的操作辦法，屆時(shí)我們會(huì)選擇有代表性的信息系統(tǒng)進(jìn)行安全建設(shè)試點(diǎn)、示范，結(jié)合行業(yè)特點(diǎn)制定行業(yè)標(biāo)準(zhǔn)規(guī)范，按照有關(guān)工作實(shí)施的規(guī)范要求組織實(shí)施信息系統(tǒng)安全建設(shè)工程?！?/p>

記者了解到，在下一步等級(jí)保護(hù)工作中，等級(jí)保護(hù)監(jiān)督檢查工作將會(huì)隨著工作的展開，逐步開展檢查工作。檢查工作可以分為三種方式：各單位定期自查，行業(yè)主管部門定期組織本行業(yè)開展行業(yè)檢查以及公安機(jī)關(guān)會(huì)同主管部門進(jìn)行檢查。

在等級(jí)測評(píng)方面，郭啟全說，我們會(huì)推動(dòng)等級(jí)測評(píng)機(jī)構(gòu)建設(shè)，并進(jìn)入到重要領(lǐng)域測評(píng)。我們對(duì)這些機(jī)構(gòu)進(jìn)行管理，對(duì)測評(píng)人員進(jìn)行培訓(xùn)，頒發(fā)合格證書，要求持證上崗。重點(diǎn)行業(yè)要建設(shè)獨(dú)立的測評(píng)機(jī)構(gòu)，接受公安機(jī)關(guān)的監(jiān)管。