開展信息安全等級保護工作應建立安全保護機制

鄧偉玲

(南寧市公安局網絡安全保衛支隊，廣西 南寧 530022)

一 信息網絡和重要信息系統存在的主要問題

第一，利用基礎信息網絡和重要信息系統的違法犯罪活動迅速上升。不法分子利用一些安全漏洞，使用病毒、木馬、網絡釣魚等技術進行網絡盜竊、網絡詐騙、網絡賭博等違法犯罪，對我國的經濟秩序、社會管理秩序和公民的合法權益造成嚴重侵害。

第二，基礎信息網絡和重要信息系統存在安全隱患。由于各基礎信息網絡和重要信息系統的核心設備、技術和高端服務主要依賴國外進口，在操作系統、專用芯片和大型應用軟件等方面不能自主可控，給我國的信息安全帶來了深層的技術隱患。

第三，我國的信息安全保障工作基礎薄弱。信息安全意識和安全防范能力差，信息系統安全建設、監管缺乏依據和標準，安全保護措施和安全制度不完善，監管措施不到位。1994年《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)規定，“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。2003年中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發［2003］27號)明確指出“實行信息安全等級保護”，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。實行信息安全等級保護是國際上通行的做法開展信息安全等級保護工作應建立安全保護機制，安全保護機制包括：信息安全效能評估、信息安全保障工作評價機制、印記響應機制、安全響應技術體系、安全監測預警機制等。

二 建立信息網絡和重要信息系統安全保護機制

本人就從事信息安全等級保護工作以來，淺談信息系統在開展等級保護工作建立安全保護機制應從以下幾個方面開展。

(一)積極組織部署等級保護工作

1.專門成立等級保護協調領導機構成立由分管領導、分管部門、網絡管理組成的信息安全等級保護協調領導小組，確保系統高效運行、理順信息安全管理、規范信息化安全等級建設。

2.明確等級保護責任部門和工作崗位開會、下文明確等級保護責任部門，做到分工明確，責任具體到人。

3.貫徹落實等級保護各項工作文件或方案等級保護責任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案，制定出《網絡與信息安全事件應急預案》、《機房管理制度》等一系列規章制度，落實等級保護工作。

4.召開工作動員會議，組織人員培訓，專門部署等級保護工作每季度召開一次工作動員會議，定期、不定期對技術人員進行培訓，并開展考核。技術人員認真學習貫徹有關文件精神，把信息安全等級保護工作提升到重要位置，常抓不懈。

5.要求主要領導認真聽取等級保護工作匯報并做出重要指示主要領導對等級保護工作給與批示，要求認真做好有關工作。指示責任部門做好自檢、自查，精心準備，迎接公安機關專項檢查。

(二)認真落實信息安全責任制

1.成立信息安全職能部門單位需成立信息系統安全職能部門，負責信息系統絡建設，信息安全，日常運行管理。

2.制定信息安全責任追究制度制定相應信息安全責任追究制度，定崗到人，明確責任分工，把信息安全責任事故降低到最低。

(三)積極推進信息安全制度建設

1.加強人員安全管理制度建設各單位需建立人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度，對新進人員進行培訓，加強人員安全管理，不定期開展考核。

2.嚴格執行機房安全管理制度各單位需制定出《機房管理制度》，加強機房進出人員管理和日常監控制度，嚴格實施機房安全管理條例，做好防火防盜，保證機房安全。

3.建立系統建設管理制度各單位需制訂產品采購、工程實施、驗收交付、服務外包等系統建設管理制度，通過公開招標，擇優選用，提高系統建設的質量。

(四)大力加強信息系統運維

1.開展日常信息安全監測和預警各單位需建立日常信息安全監測和預警機制，提高處置網絡與信息安全突發公共能力事件，加強網絡信息安全保障工作，形成科學、有效、反應迅速的應急工作機制，確保重要計算機信息系統的實體安全、運行安全和數據安全，最大限度地減輕網站網絡與信息安全突發公共事件的危害。

2.建立安全事件報告和響應處理程序各單位需建立健全分級負責的應急管理體制，完善日常安全管理責任制。相關部門各司其職，做好日常管理和應急處置工作。設立安全事件報告和相應處理程序，根據安全事件分類和分級，進行不同的上報程序，開展不同的響應處理。

3.制定應急處置預案，定期演練并不斷完善制定安全應急預案，根據預警信息，啟動相應應急程序，加強值班值守工作，做好應急處理各項準備工作。定期演練預警方案，不斷完善預警方案可行性、可操作性。

(五)有效推進信息系統等級測評和安全建設整改工作

1.制定等級測評工作計劃認真制定等級測評工作計劃表，按照工作計劃表，有條不紊的開展等級測評。

2.制定安全建設整改工作計劃制定安全建設整改工作計劃，根據自查結果，對發現問題進行安全建設整改。編制整改方案，限期完成整改計劃。

3.保證等級測評工作經費優先保證等級測評工作經費的劃撥、使用。

4.落實安全建設整改工作經費保障積極落實安全建設整改工作經費，協調財政部門保障整改經費保障。

三 不斷完善等級保護自查和整改

1.組織部署等級保護自查工作領導協調小組開專題會議，部署等級保護自查工作。按照信息安全等級保護工作檢查表的要求，細化各項檢查指標，落實各項指標。

2.等級保護體系建立后，還需要一個有效的、持續性的驗證方法確保信息系統在不斷發展的同時保證符合安全等級要求，并且由管理部門確認信息系統能夠投入運行，這就是信息系統的認證和認可(C＆A)。這個階段一般由國家專門的測評認證和認可部門進行。信息安全立法、評測認證體系對等級保護起著至關重要的作用。由于業務的發展和信息技術的更新，信息系統始終處在變更過程中;由于新的安全漏洞和威脅的不斷出現，信息資產也會出現新的安全脆弱點，這可能會影響到整個信息系統的安全風險狀態和安全等級。所以，用戶需要建立一套動態的安全狀況跟蹤和監控機制。

四 總結

等級保護是信息安全保障基礎性工作的核心，是涉及范圍廣泛的系統工程，需要大量的理論研究工作，尤其需要在實踐工作中獲得經驗教訓，樹立最佳實踐，并且逐步進行體系的發展和完善。我們需要在開放、合作的前提下，發動全社會的力量投入到等級保護建設中去，才能如期有效地實現信息安全保障的目標。