企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)研究報(bào)告

摘? 要：開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作不僅是實(shí)現(xiàn)國(guó)家對(duì)重要信息系統(tǒng)重點(diǎn)保護(hù)的重要措施，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定的政治任務(wù)。企業(yè)信息系統(tǒng)是企業(yè)信息化建設(shè)、企業(yè)信息開放與保護(hù)、企業(yè)信息開發(fā)與利用的 “大腦”和“神經(jīng)中樞”。企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全關(guān)系到企業(yè)的職能及效益和國(guó)家的戰(zhàn)略安全，影響社會(huì)秩序、民眾正常生活。本文分析了當(dāng)下企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全方面的態(tài)勢(shì)，其所面臨的威脅因素以及企業(yè)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)的重要性，并根據(jù)在日常工作中的經(jīng)驗(yàn)，歸納總結(jié)了開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的流程和注意事項(xiàng)。

關(guān)鍵詞：企業(yè)信息系統(tǒng);網(wǎng)絡(luò)安全;等級(jí)保護(hù);測(cè)評(píng)流程

一、什么是企業(yè)信息系統(tǒng)

企業(yè)信息系統(tǒng)泛指用于企業(yè)的各種信息系統(tǒng)，諸如管理信息系統(tǒng)或決策支持系統(tǒng)、專家系統(tǒng)、各種泛ERP系統(tǒng)或客戶關(guān)系管理、人力資源管理這樣的專職化系統(tǒng)等。從不同的角度來觀察信息系統(tǒng)有不同的概念結(jié)構(gòu)。從信息系統(tǒng)的作用觀點(diǎn)來看，它由四個(gè)主要部件構(gòu)成：信息源、信息處理器、信息用戶和信息管理者。從信息系統(tǒng)對(duì)信息的處理過程來看，信息系統(tǒng)可以看成是由輸入、處理和輸出這三個(gè)基本的行為部件構(gòu)成的。信息系統(tǒng)收集企業(yè)內(nèi)部和外部環(huán)境相關(guān)的原始數(shù)據(jù)，經(jīng)過適當(dāng)處理后變成有用的信息輸出，輸出的信息提供給信息使用者和反饋給信息輸入端。信息提供給用戶，用于進(jìn)行輔助決策或解決工作當(dāng)中的有關(guān)問題;反饋給輸入端可以參與對(duì)輸人數(shù)據(jù)的評(píng)價(jià)，修正數(shù)據(jù)輸入階段出現(xiàn)的問題。從信息系統(tǒng)對(duì)信息的處理內(nèi)容及決策層次來看，信息系統(tǒng)可以看成一個(gè)金字塔式的結(jié)構(gòu)。

二、什么是網(wǎng)絡(luò)安全

在2016年4月19日召開的網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)，維護(hù)網(wǎng)絡(luò)安全“要樹立正確的網(wǎng)絡(luò)安全觀”。所謂網(wǎng)絡(luò)安全觀，是人們對(duì)網(wǎng)絡(luò)安全這一重大問題的基本觀點(diǎn)和看法。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全，通常指計(jì)算機(jī)網(wǎng)絡(luò)的安全，實(shí)際上也可以指計(jì)算機(jī)通信網(wǎng)絡(luò)的安全。廣義的網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的信息受到保護(hù)。其中的信息安全需求，是指通信網(wǎng)絡(luò)給人們提供信息查詢、網(wǎng)絡(luò)服務(wù)時(shí)，保證服務(wù)對(duì)象的信息不受監(jiān)聽、竊取和篡改等威脅，以滿足人們最基本的安全需要（如隱秘性、可用性等）的特性。網(wǎng)絡(luò)安全側(cè)重于網(wǎng)絡(luò)傳輸?shù)陌踩?，信息安全?cè)重于信息自身的安全，網(wǎng)絡(luò)安全可以分為以下幾個(gè)常見類別：

（一）網(wǎng)絡(luò)安全是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受入侵者（無論是定向攻擊還是條件惡意軟件）攻擊的技術(shù)。

（二）應(yīng)用程序安全側(cè)重于保護(hù)軟件和設(shè)備免受威脅。受到侵害的應(yīng)用程序可能會(huì)對(duì)其旨在保護(hù)的數(shù)據(jù)提供訪問權(quán)限。并且早在應(yīng)用程序設(shè)計(jì)階段而非部署程序或設(shè)備之前，就決定了此應(yīng)用程序能否成功保障安全。

（三）信息安全設(shè)計(jì)用于在存儲(chǔ)和傳輸過程中保護(hù)數(shù)據(jù)的完整和私密。

（四）運(yùn)營(yíng)安全包括處理和保護(hù)數(shù)據(jù)資產(chǎn)的過程和決策。用戶在訪問網(wǎng)絡(luò)時(shí)所具有的權(quán)限與確定存儲(chǔ)或共享數(shù)據(jù)的時(shí)間和位置的步驟均包含在此保護(hù)傘下。

（五）災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性定義了組織如何應(yīng)對(duì)網(wǎng)絡(luò)安全事件或任何其它導(dǎo)致運(yùn)營(yíng)或數(shù)據(jù)損失的事件。災(zāi)難恢復(fù)策略規(guī)定了組織如何恢復(fù)其運(yùn)營(yíng)和信息，以恢復(fù)到事件發(fā)生之前的等同運(yùn)營(yíng)能力。業(yè)務(wù)連續(xù)性指組織在沒有某些資源的情況下嘗試運(yùn)營(yíng)時(shí)所依靠的計(jì)劃。

（六）最終用戶教育解決了最不可預(yù)測(cè)的網(wǎng)絡(luò)安全因素：人。任何人都可能因未遵循良好的安全實(shí)踐而意外將病毒引入到其他安全系統(tǒng)中。因此，教會(huì)用戶刪除可疑電子郵件附件、不要插入未識(shí)別的USB驅(qū)動(dòng)器，以及其他各種重要的課程對(duì)于所有組織的安全都至關(guān)重要。

三、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全面臨的威脅因素

由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)已經(jīng)成為一個(gè)完全開放的、不受控制的網(wǎng)絡(luò)系統(tǒng)。目前，網(wǎng)絡(luò)所面臨的安全威脅因素主要有病毒攻擊、黑客攻擊和拒絕服務(wù)攻擊。在互聯(lián)網(wǎng)中，經(jīng)常會(huì)有黑客嘗試各種方式侵入計(jì)算機(jī)系統(tǒng)，然后盜取計(jì)算機(jī)中的機(jī)密文件和數(shù)據(jù)或者直接破壞重要信息，使計(jì)算機(jī)無法正常運(yùn)行，直至癱瘓。結(jié)合企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際運(yùn)行情況，深入分析了企業(yè)所面臨的網(wǎng)絡(luò)安全威脅，主要包括以下幾個(gè)方面：

（一）互聯(lián)網(wǎng)病毒攻擊。網(wǎng)絡(luò)蠕蟲類病毒的流行給網(wǎng)民造成了巨大損失。隨著我國(guó)互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，在互聯(lián)網(wǎng)環(huán)境下，病毒可以很容易進(jìn)行傳播，并且傳播速度非?？?，病毒可以通過文件或者郵件附件的形式進(jìn)行傳播，給網(wǎng)民帶來極大的影響。病毒的高效傳播，不僅導(dǎo)致計(jì)算機(jī)無法正常使用，還將使計(jì)算機(jī)丟失重要的數(shù)據(jù)和文件，甚至導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓。

（二）外來入侵情況。企業(yè)內(nèi)部的網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行連接，雖然網(wǎng)絡(luò)中部署了防火墻設(shè)置，但是由于沒有其他的安全防范措施，還是比較容易受到網(wǎng)絡(luò)上黑客的攻擊。使用補(bǔ)丁，操作系統(tǒng)程序中包含的驅(qū)動(dòng)程序和系統(tǒng)服務(wù)可以升級(jí)，并實(shí)現(xiàn)動(dòng)態(tài)連接，對(duì)黑客來說這是一種簡(jiǎn)便的方法，也是制造計(jì)算機(jī)病毒的溫床。除此之外，黑客還經(jīng)常使用操作系統(tǒng)提供的遠(yuǎn)程服務(wù)和無密碼入口作為入侵通道。

（三）來自內(nèi)部人員的威脅。任何網(wǎng)絡(luò)系統(tǒng)都離不開人的控制和管理，網(wǎng)絡(luò)內(nèi)部人員的威脅一方面是來自于對(duì)企業(yè)心生怨憤的內(nèi)部員工的惡意破壞，企業(yè)內(nèi)部員工特別是有一定權(quán)限的管理人員，可以直接接觸到核心服務(wù)器等關(guān)鍵設(shè)備，從而破壞企業(yè)內(nèi)部網(wǎng)絡(luò)，會(huì)造成嚴(yán)重后果。另一方面則是內(nèi)部員工的操作不規(guī)范，或是為了貪圖方便繞過網(wǎng)絡(luò)中的安全系統(tǒng)等違規(guī)操作，從而給網(wǎng)絡(luò)帶來各種威脅和潛在隱患。

四、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)

隨著企業(yè)上網(wǎng)的迅猛發(fā)展，企業(yè)信息安全問題變得尤為重要，因?yàn)槠髽I(yè)信息安全問題直接關(guān)系到企業(yè)的生存與發(fā)展，確保企業(yè)信息安全、以便企業(yè)不受損失應(yīng)該成為各級(jí)企業(yè)用戶的共識(shí)?，F(xiàn)在許多企業(yè)沒有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性，盲目相信國(guó)外的加密軟件，對(duì)于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱，其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。天災(zāi)，也叫“不可抗力”的災(zāi)難，通常指水火無情的自然災(zāi)害，而在科技越來越發(fā)達(dá)的今天，企業(yè)可能要面臨另一種“天災(zāi)”，那就是——信息安全威脅。下圖1為企業(yè)信息安全隱患餅狀圖，從圖中可以看出如今網(wǎng)絡(luò)安全對(duì)企業(yè)信息系統(tǒng)造成極大威脅。

據(jù)調(diào)查，目前國(guó)內(nèi)90%的網(wǎng)站存在安全問題，其主要原因是企業(yè)管理者缺少或沒有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小，不會(huì)成為黑客的攻擊目標(biāo)，如此態(tài)度，企業(yè)信息安全更是無從談起。

五、近年來發(fā)生的企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全事件

互聯(lián)網(wǎng)的應(yīng)用越來越廣泛，各行業(yè)也紛紛建立了信息系統(tǒng)，但是由于受到網(wǎng)絡(luò)開放性的影響，容易導(dǎo)致網(wǎng)絡(luò)受到攻擊威脅，一旦信息系統(tǒng)被破壞，就會(huì)造成嚴(yán)重信息流失。一方面會(huì)影響到企業(yè)信息安全，另一方面會(huì)導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失。以下是近年來的一些企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全事件的回顧：

（一）2020年2月，亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）成為大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊的目標(biāo)。該公司經(jīng)歷并緩解了DDoS攻擊，其規(guī)模為每秒2.3兆比特（Tbps）。它的數(shù)據(jù)包轉(zhuǎn)發(fā)速率為293.1 Mpps，每秒請(qǐng)求速率為694201（rps）。DDoS攻擊在一周內(nèi)造成了三天的威脅加劇，被認(rèn)為是歷史上最大的DDoS攻擊之一。

（二）2020年3月19日，，有用戶發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，其中，1.72億條有賬戶基本信息，售價(jià)0.177比特幣。涉及到的賬號(hào)信息包括用戶ID、賬號(hào)發(fā)布的微博數(shù)、粉絲數(shù)、關(guān)注數(shù)、性別、地理位置等。

（三）2020年4月，世界衛(wèi)生組織發(fā)表聲明稱疫情期間遭受網(wǎng)絡(luò)攻擊數(shù)量急劇增加，約有450個(gè)世衛(wèi)組織及數(shù)千名相關(guān)工作人員的郵箱、密碼遭到泄露。據(jù)外媒報(bào)道，和世衛(wèi)組織的數(shù)據(jù)一起泄露的，還有美國(guó)國(guó)立衛(wèi)生研究院，美國(guó)疾病預(yù)防控制中心，蓋茨基金會(huì)等機(jī)構(gòu)的數(shù)據(jù)，共計(jì)近25000對(duì)郵箱和密碼。

（四）2020年7月，Cybernews研究人員發(fā)現(xiàn)上海孝信網(wǎng)絡(luò)的一個(gè)含有幾十萬(wàn)用戶數(shù)據(jù)的數(shù)據(jù)庫(kù)存在安全問題。上海孝信網(wǎng)絡(luò)科技有限公司，運(yùn)用互聯(lián)網(wǎng)+科技養(yǎng)老的新理念，致力于提高中國(guó)2億老人居家養(yǎng)老的生活質(zhì)量，為老年人提供不同的app和服務(wù)。這個(gè)數(shù)據(jù)庫(kù)中含有超過34萬(wàn)條的GPS位置信息、個(gè)人ID、手機(jī)號(hào)、地址、 用戶親屬和監(jiān)護(hù)人的姓名和手機(jī)號(hào)、GPS位置、哈希的口令等敏感信息記錄。

（五）2020年3月，萬(wàn)豪連鎖酒店披露了一起安全漏洞，影響了520多萬(wàn)的酒店客人的數(shù)據(jù)。黑客獲得了萬(wàn)豪員工兩個(gè)賬戶的登錄憑證，這些員工獲得了萬(wàn)豪連鎖酒店客戶信息。大約在漏洞被發(fā)現(xiàn)前一個(gè)月，他們利用這些信息竊取了數(shù)據(jù)。被竊取的數(shù)據(jù)涉及個(gè)人詳細(xì)信息，如姓名、生日、電話號(hào)碼、旅行信息和忠誠(chéng)計(jì)劃信息。

根據(jù)Marriot的說法，黑客可能通過偽造證書或網(wǎng)絡(luò)釣魚獲得了他們員工的證書。此前，這家酒店巨頭曾宣布在2018年底發(fā)生數(shù)據(jù)泄露事件，多達(dá)5億名客人受到影響！

由上述安全事件可以看出，信息系統(tǒng)的網(wǎng)絡(luò)安全關(guān)系到國(guó)家和企業(yè)的戰(zhàn)略安全，影響社會(huì)秩序、民眾正常生活。

六、企業(yè)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的重要性

網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)）實(shí)施分等級(jí)保護(hù)、分等級(jí)監(jiān)管、對(duì)網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)網(wǎng)絡(luò)中發(fā)生的安全事件分等級(jí)響應(yīng)、處置。其中“網(wǎng)絡(luò)”是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，包括網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)據(jù)資源等。開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作不僅是實(shí)現(xiàn)國(guó)家對(duì)重要信息系統(tǒng)重點(diǎn)保護(hù)的重要措施，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定的政治任務(wù)。

對(duì)于企業(yè)來說，實(shí)施信息安全等級(jí)保護(hù)測(cè)評(píng)能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，與國(guó)家安全保持一致，有效控制企業(yè)信息安全建設(shè)成本;有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。

對(duì)于信息系統(tǒng)來說，通過等級(jí)保護(hù)測(cè)評(píng)可及時(shí)發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改，當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時(shí)，信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”。

七、企業(yè)信息系統(tǒng)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的依據(jù)

在企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中，涉及到主要的依據(jù)為：

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2019）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2020）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》（GB/T250702019）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019）

《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》（GB/T284492018）

八、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作流程

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的五個(gè)規(guī)定基本動(dòng)作為“定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查”，如圖2所示。

（一）定級(jí)：確認(rèn)定級(jí)對(duì)象，參考《定級(jí)指南》等初步確認(rèn)等級(jí)，組織專家評(píng)審，主管單位審核，公安機(jī)關(guān)備案審查。

（二）備案：持定級(jí)報(bào)告和備案表等材料到公安機(jī)關(guān)網(wǎng)安部門進(jìn)行備案。

（三）安全建設(shè)整改：以《基本要求》中對(duì)應(yīng)等級(jí)的要求為標(biāo)準(zhǔn)，對(duì)定級(jí)對(duì)象當(dāng)前不滿足要求的進(jìn)行建設(shè)整改。

（四）等級(jí)測(cè)評(píng)：委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)定級(jí)對(duì)象進(jìn)行等級(jí)測(cè)評(píng)，形成正式的測(cè)評(píng)報(bào)告。

（五）監(jiān)督檢查：向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門提交測(cè)評(píng)報(bào)告，配合完成對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施情況的檢查。

九、定級(jí)

《保護(hù)條例》在定級(jí)階段新增要求，第二級(jí)以上必須經(jīng)過專家評(píng)審、行業(yè)主管部門核準(zhǔn)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)由行業(yè)主管部門統(tǒng)一擬定安全保護(hù)等級(jí)，統(tǒng)一組織定級(jí)評(píng)審。

定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。信息系統(tǒng)安全級(jí)別定不準(zhǔn)，系統(tǒng)建設(shè)、整改、備案、等級(jí)測(cè)評(píng)等后續(xù)工作都失去了針對(duì)性。

根據(jù)《信息安全等級(jí)保護(hù)管理辦法》中的規(guī)定，信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)的國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危險(xiǎn)程度等因素確定。

《保護(hù)條例》第十六條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)。意味著系統(tǒng)使用前須先定級(jí)。定級(jí)的流程見圖3所示：

（一）確定定級(jí)對(duì)象

作為定級(jí)對(duì)象的系統(tǒng)信息應(yīng)具有如下基本特征：①具有確定的主要安全責(zé)任體;②承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用;③包含相互關(guān)聯(lián)的多個(gè)資源。

為了達(dá)到各級(jí)的安全保護(hù)能力要求，國(guó)家等級(jí)保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類，涵蓋了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理十個(gè)方面的內(nèi)容。

（二）確定等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和侵害的程度

決定信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素組成：①等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體;②對(duì)客體造成侵害的程度。

客體包括以下三方面：

1、公民、法人和其他組織的合法權(quán)益。影響公民、法人和其他組織的合法權(quán)益是指由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。

2、社會(huì)秩序、公共利益。侵害社會(huì)秩序、公共利益的事項(xiàng)包括以下方面：①影響國(guó)家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序;②影響各種類型的經(jīng)濟(jì)活動(dòng)按秩序;③影響各行業(yè)的科研、生產(chǎn)秩序;④影響各行業(yè)的科研、生產(chǎn)秩序;⑤影響公眾在法律約束和道德規(guī)范下的正常生活秩序等;⑥其他影響社會(huì)秩序的事項(xiàng)侵害公共利益的事項(xiàng)包括以下方面：①影響社會(huì)成員使用公共設(shè)施;②影響社會(huì)成員獲取公開信息資源;③影響社會(huì)成員授受公共服務(wù)等方面;④其他影響公共利益的事項(xiàng)

3、國(guó)家安全。侵害國(guó)家安全的事項(xiàng)包括以下方面：①影響國(guó)家政權(quán)穩(wěn)固和國(guó)防實(shí)力;②影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定影響國(guó)家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益;③影響國(guó)家重要的安全保衛(wèi)工作;④影響國(guó)家經(jīng)濟(jì)競(jìng)爭(zhēng)力和科技實(shí)力;⑤其他影響國(guó)家安全的事項(xiàng)確定作為定級(jí)對(duì)象的企業(yè)信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國(guó)家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。（三）確定安全保護(hù)等級(jí)等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：①造成一般損害;②造成嚴(yán)重?fù)p害;③造成特別嚴(yán)重?fù)p害。

十、企業(yè)信息管理系統(tǒng)受破壞后產(chǎn)生的危害后果

企業(yè)信息管理系統(tǒng)受破壞后，可能產(chǎn)生以下危害后果：企業(yè)內(nèi)部職工隱私泄露、企業(yè)客戶隱私泄露、影響企業(yè)各部門工作職能降低業(yè)務(wù)能力、引起法律糾紛、導(dǎo)致財(cái)務(wù)損失、對(duì)社會(huì)秩序和公共利益造成損害、對(duì)國(guó)家安全造成損害。

十一、網(wǎng)絡(luò)安全等級(jí)保護(hù)備案辦理流程

（一）定級(jí)

企業(yè)信息管理系統(tǒng)的等級(jí)保護(hù)定級(jí)常定級(jí)為第二級(jí)或第三級(jí)。第二級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者在定級(jí)、撤銷或者變更調(diào)整網(wǎng)絡(luò)安全保護(hù)等級(jí)時(shí)，需在10個(gè)工作日內(nèi)到縣級(jí)以上公安機(jī)關(guān)備案。

一般備案需準(zhǔn)備以下材料：①信息系統(tǒng)安全等級(jí)保護(hù)備案表;②信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告;③信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見;④主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見。

三級(jí)系統(tǒng)還需提供以下材料（部分地方要求二級(jí)系統(tǒng)也需要提供）：①系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;②系統(tǒng)安全組織機(jī)構(gòu)和管理制度;③系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案;④系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明。

（二）審核

由公安機(jī)關(guān)對(duì)備案材料進(jìn)行審核，并在10個(gè)工作日內(nèi)出具網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明。發(fā)現(xiàn)不符合有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正;發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。

（三）安全建設(shè)整改

新建的信息系統(tǒng)需根據(jù)其安全保護(hù)等級(jí)的相應(yīng)基本要求，結(jié)合其特殊安全需求，自項(xiàng)目立項(xiàng)之初，同步開展安全建設(shè)方案規(guī)劃設(shè)計(jì)和系統(tǒng)集成實(shí)施工作。

已有信息系統(tǒng)需根據(jù)等級(jí)測(cè)評(píng)結(jié)果，結(jié)合其特殊安全需求，有針對(duì)性的從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等方面進(jìn)行安全技術(shù)整改實(shí)施工作。

建設(shè)整改工作是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的核心和落腳點(diǎn)，定級(jí)備案、等級(jí)測(cè)評(píng)和監(jiān)督檢查最終都要服從和服務(wù)于建設(shè)整改工作。

安全建設(shè)整改是為了保證當(dāng)建立新的企業(yè)信息管理系統(tǒng)時(shí)，能讓系統(tǒng)在滿足自身需求的同時(shí)，保障系統(tǒng)的安全保護(hù)能力，使系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)水平。

企業(yè)在開展安全技術(shù)建設(shè)整改之前，通過開展安全保護(hù)技術(shù)現(xiàn)狀分析，查找等級(jí)保護(hù)對(duì)象安全保護(hù)技術(shù)建設(shè)整改需要解決的問題，明確其安全保護(hù)技術(shù)建設(shè)整改的需求;遵從“一個(gè)中心、三重防護(hù)”的安全架構(gòu)（其中，“一個(gè)中心”即安全管理中心，“三重防護(hù)”指的是安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)），設(shè)計(jì)信息系統(tǒng)的安全建設(shè)方案，保證安全措施同步規(guī)劃、同步建設(shè)、同步使用。實(shí)際工作中，應(yīng)該秉承“三分技術(shù)、七分管理”的理念，設(shè)計(jì)建設(shè)方案時(shí)需要將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。安全管理是指在信息系統(tǒng)中對(duì)需要人員參與的活動(dòng)采取必要的管理控制措施，對(duì)信息系統(tǒng)的生命周期全過程實(shí)施科學(xué)管理。安全技術(shù)主要通過在信息系統(tǒng)中合理部署軟硬件并正確配置其安全功能實(shí)現(xiàn)。

等級(jí)保護(hù)上的管理分為“安全管理制度”、“安全管理機(jī)構(gòu)”、“安全管理人員”、“安全建設(shè)管理”、“安全運(yùn)維管理”五個(gè)方面。

安全管理制度：是指確定安全管理策略，制定安全管理制度。確定安全管理目標(biāo)和安全策略，針對(duì)信息系統(tǒng)的各類管理活動(dòng)，制定人員安全管理制度、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)維管理制度、定期檢查制度等，規(guī)范安全管理人員或操作人員的操作規(guī)程等，形成安全管理體系。

安全管理機(jī)構(gòu)：主要是要設(shè)立或明確信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，落實(shí)責(zé)任部門，建立崗位和人員管理制度，明確每個(gè)崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制。

安全管理人員：是指加強(qiáng)人員的安全管理。規(guī)范人員錄用、離崗過程，關(guān)鍵崗位簽署保密協(xié)議，對(duì)各類人員進(jìn)行安全意識(shí)教育、崗位技術(shù)培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)，對(duì)關(guān)鍵崗位的人員進(jìn)行全面、嚴(yán)格的安全審查和技術(shù)考核。對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進(jìn)行控制。

安全建設(shè)管理：是指加強(qiáng)系統(tǒng)建設(shè)過程的管理。制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)、備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門，具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施。

安全運(yùn)維管理：是指加強(qiáng)系統(tǒng)運(yùn)維過程的管理。制定系統(tǒng)運(yùn)維相關(guān)的管理制度，明確環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施

GBT22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中劃分為安全通用要求和安全擴(kuò)展要求。其中《GB/T 22239-2019》相較于《GB/T 22239-2008》， 無論是在總體結(jié)構(gòu)方面還是在細(xì)節(jié)內(nèi)容方面均發(fā)生了變化。《GB/T 22239-2019》采用安全通用要求和安全擴(kuò)展要求的劃分使得標(biāo)準(zhǔn)的使用更加具有靈活性和針對(duì)性。不同等級(jí)保護(hù)對(duì)象由于采用的信息技術(shù)不同， 所采用的保護(hù)措施也會(huì)不同。安全通用要求針對(duì)共性化保護(hù)需求提出， 無論等級(jí)保護(hù)對(duì)象以何種形式出現(xiàn)， 需要根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求。安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出， 等級(jí)保護(hù)對(duì)象需要根據(jù)安全保護(hù)等級(jí)、使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景實(shí)現(xiàn)安全擴(kuò)展要求。等級(jí)保護(hù)對(duì)象的安全保護(hù)措施需要同時(shí)實(shí)現(xiàn)安全通用要求和安全擴(kuò)展要求， 從而更加有效地保護(hù)等級(jí)保護(hù)對(duì)象。例如， 傳統(tǒng)的信息系統(tǒng)可能只需要采用安全通用要求提出的保護(hù)措施即可， 而云計(jì)算平臺(tái)不僅需要采用安全通用要求提出的保護(hù)措施， 還要針對(duì)云計(jì)算平臺(tái)的技術(shù)特點(diǎn)采用云計(jì)算安全擴(kuò)展要求提出的保護(hù)措施

（四）等級(jí)測(cè)評(píng)

新建二級(jí)系統(tǒng)上線前按照相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性測(cè)試。

新建三級(jí)以上系統(tǒng)上線前優(yōu)先進(jìn)行等保測(cè)評(píng)，通過等級(jí)測(cè)評(píng)后方可投入運(yùn)行。第三級(jí)以上系統(tǒng)每年進(jìn)行一次等保測(cè)評(píng)。要求運(yùn)營(yíng)單位每年進(jìn)行一次自查，并向備案的公安機(jī)關(guān)報(bào)告。三級(jí)網(wǎng)絡(luò)每年做等保測(cè)評(píng)可以看做一次自查。對(duì)二級(jí)網(wǎng)絡(luò)來說，可能需要每年向公安機(jī)關(guān)提交一份自查報(bào)告。

測(cè)評(píng)目的：一是掌握信息系統(tǒng)安全狀態(tài)、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求;二是能夠衡量出信息系統(tǒng)安全保護(hù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)等級(jí)的安全保護(hù)能力。

在取得網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明后，選擇具有國(guó)家或行業(yè)認(rèn)可資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。等級(jí)保護(hù)測(cè)評(píng)圍繞著技術(shù)要求和管理要求兩個(gè)大類進(jìn)行測(cè)評(píng)。

測(cè)評(píng)機(jī)構(gòu)的工作流程

①項(xiàng)目啟動(dòng)，與客戶溝通，收集系統(tǒng)基本信息，確定測(cè)評(píng)范圍;②進(jìn)場(chǎng)后與運(yùn)營(yíng)單位開項(xiàng)目啟動(dòng)會(huì)議，明確現(xiàn)場(chǎng)測(cè)評(píng)的工作計(jì)劃并落實(shí)配合人員信息;③現(xiàn)場(chǎng)測(cè)評(píng)，通過工具測(cè)試、問卷調(diào)查、人員訪談、現(xiàn)場(chǎng)查看等方式進(jìn)行數(shù)據(jù)采集;④整理現(xiàn)場(chǎng)采集的數(shù)據(jù)，采集的記錄由配合測(cè)評(píng)的工作人員確認(rèn)簽字;⑤對(duì)采集數(shù)據(jù)進(jìn)行初步分析，對(duì)照測(cè)評(píng)標(biāo)準(zhǔn)量化系統(tǒng)現(xiàn)狀與標(biāo)準(zhǔn)的差距;⑥與運(yùn)營(yíng)單位開結(jié)項(xiàng)會(huì)，匯報(bào)在現(xiàn)場(chǎng)測(cè)評(píng)工作中發(fā)現(xiàn)的問題;⑦對(duì)采集數(shù)據(jù)進(jìn)行綜合分析，根據(jù)評(píng)估模型得到評(píng)估結(jié)果，提出合理的整改建議，完成測(cè)評(píng)報(bào)告的編寫、報(bào)告評(píng)審等工作。

在進(jìn)行測(cè)評(píng)時(shí)，也存在一定的風(fēng)險(xiǎn)，由于企業(yè)信息系統(tǒng)的特殊性，數(shù)據(jù)傳輸、信息處理的實(shí)時(shí)性要求高，業(yè)務(wù)需要一直持續(xù)，不能中斷服務(wù)，不可預(yù)料的中斷會(huì)造成經(jīng)濟(jì)損失或者災(zāi)難。在進(jìn)行等保測(cè)評(píng)中與傳統(tǒng)的IT系統(tǒng)的風(fēng)險(xiǎn)有所不同，有一些特殊的方面需要引起注意：

使用在線的漏洞掃描方式有可能導(dǎo)致數(shù)據(jù)采集服務(wù)器宕機(jī)，從而造成關(guān)鍵生產(chǎn)數(shù)據(jù)丟失。而在滲透測(cè)試的過程中，如果滲透人員對(duì)企業(yè)的信息管理系統(tǒng)了解不足，進(jìn)行了誤操作，那么很可能將測(cè)試變成了攻擊。因此評(píng)估設(shè)備在使用過程中，需要做好充分的風(fēng)險(xiǎn)識(shí)別和處置預(yù)案，如漏洞掃描原則上不能直接應(yīng)用于信息管理系統(tǒng)，而是通過在備用系統(tǒng)或者停產(chǎn)系統(tǒng)上漏掃的方式進(jìn)行。同時(shí)，對(duì)于一些重要、尤其是核心基礎(chǔ)設(shè)施的企業(yè)信息管理系統(tǒng)，打補(bǔ)丁、軟件版本更新必須慎之又慎，最好能在備用系統(tǒng)上先做測(cè)試，確保補(bǔ)丁及更新不會(huì)對(duì)系統(tǒng)產(chǎn)生不良影響后再在正在運(yùn)行的系統(tǒng)中進(jìn)行相應(yīng)的操作！

（五）測(cè)評(píng)結(jié)論

根據(jù)現(xiàn)場(chǎng)采集的數(shù)據(jù)，參照測(cè)評(píng)標(biāo)準(zhǔn)，得出各個(gè)測(cè)評(píng)項(xiàng)的得分情況，經(jīng)過特定的公式進(jìn)行加權(quán)計(jì)算，得出被測(cè)系統(tǒng)的綜合得分，并根據(jù)表X得出其測(cè)評(píng)結(jié)論

綜合得分計(jì)算公式：

q為被測(cè)對(duì)象涉及的安全類，p（j）為某安全類對(duì)應(yīng)的總測(cè)評(píng)項(xiàng)數(shù)，不含不適用的測(cè)評(píng)項(xiàng)，m（k）為測(cè)評(píng)項(xiàng)k對(duì)應(yīng)的測(cè)評(píng)對(duì)象數(shù)，0.5為部分符合測(cè)評(píng)項(xiàng)的得分，如果存在高風(fēng)險(xiǎn)安全問題則直接判定等級(jí)測(cè)評(píng)結(jié)論為“差”。

（六）監(jiān)督檢查

公安、保密、密碼部門對(duì)運(yùn)營(yíng)使用單位和主管部門開展等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查、指導(dǎo)，對(duì)重要信息系統(tǒng)安全負(fù)監(jiān)管責(zé)任。對(duì)故意將信息系統(tǒng)安全級(jí)別定低逃避公安、保密、密碼部門監(jiān)管造成信息系統(tǒng)出現(xiàn)重大安全事故的要追究單位和人員的責(zé)任。

結(jié)語(yǔ)

企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)和保護(hù)是一個(gè)極其復(fù)雜的系統(tǒng)工程，需要從軟件、硬件、網(wǎng)絡(luò)以及人員管理、制度規(guī)范等多方面同時(shí)著手，做好等級(jí)保護(hù)等級(jí)測(cè)評(píng)工作，找出企業(yè)信息系統(tǒng)的安全現(xiàn)狀與系統(tǒng)所屬等級(jí)的安全基線的差距點(diǎn)，制定妥善的整改方案，并落實(shí)整改措施，提高系統(tǒng)的安全防護(hù)能力，才能真正有效的對(duì)企業(yè)的關(guān)鍵設(shè)施和關(guān)鍵信息安全進(jìn)行保護(hù)，保障企業(yè)的職能與效益，進(jìn)一步鞏固國(guó)家的經(jīng)濟(jì)戰(zhàn)略安全等。

參考文獻(xiàn)

[1]GBT22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

[2]GBT28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》

[3]劉謙.基于企業(yè)環(huán)境的網(wǎng)絡(luò)安全分析[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2021，11（12）：107-108+133.

[4]余琪，劉趁，王輝，劉飛.企業(yè)信息系統(tǒng)數(shù)據(jù)安全研究[J].信息技術(shù)與信息化，2021（08）：211-214.

[5]張宗安.淺談企業(yè)信息系統(tǒng)的發(fā)展及趨勢(shì)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2021，47（11）：46.

作者簡(jiǎn)介：鄭紹林（1992.03），男，漢族，廣東興寧人，本科學(xué)歷，研究方向：網(wǎng)絡(luò)安全