鄧偉玲

(南寧市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊，廣西 南寧 530022)

一 信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在的主要問題

第一，利用基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪活動迅速上升。不法分子利用一些安全漏洞，使用病毒、木馬、網(wǎng)絡(luò)釣魚等技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，對我國的經(jīng)濟(jì)秩序、社會管理秩序和公民的合法權(quán)益造成嚴(yán)重侵害。

第二，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在安全隱患。由于各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心設(shè)備、技術(shù)和高端服務(wù)主要依賴國外進(jìn)口，在操作系統(tǒng)、專用芯片和大型應(yīng)用軟件等方面不能自主可控，給我國的信息安全帶來了深層的技術(shù)隱患。

第三，我國的信息安全保障工作基礎(chǔ)薄弱。信息安全意識和安全防范能力差，信息系統(tǒng)安全建設(shè)、監(jiān)管缺乏依據(jù)和標(biāo)準(zhǔn)，安全保護(hù)措施和安全制度不完善，監(jiān)管措施不到位。1994年《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)規(guī)定，“計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)［2003］27號)明確指出“實(shí)行信息安全等級保護(hù)”，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”。實(shí)行信息安全等級保護(hù)是國際上通行的做法開展信息安全等級保護(hù)工作應(yīng)建立安全保護(hù)機(jī)制，安全保護(hù)機(jī)制包括：信息安全效能評估、信息安全保障工作評價機(jī)制、印記響應(yīng)機(jī)制、安全響應(yīng)技術(shù)體系、安全監(jiān)測預(yù)警機(jī)制等。

二 建立信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保護(hù)機(jī)制

本人就從事信息安全等級保護(hù)工作以來，淺談信息系統(tǒng)在開展等級保護(hù)工作建立安全保護(hù)機(jī)制應(yīng)從以下幾個方面開展。

(一)積極組織部署等級保護(hù)工作

1.專門成立等級保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)成立由分管領(lǐng)導(dǎo)、分管部門、網(wǎng)絡(luò)管理組成的信息安全等級保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)小組，確保系統(tǒng)高效運(yùn)行、理順信息安全管理、規(guī)范信息化安全等級建設(shè)。

2.明確等級保護(hù)責(zé)任部門和工作崗位開會、下文明確等級保護(hù)責(zé)任部門，做到分工明確，責(zé)任具體到人。

3.貫徹落實(shí)等級保護(hù)各項工作文件或方案等級保護(hù)責(zé)任部門和工作人員認(rèn)真貫徹落實(shí)公安部、省公安廳等級保護(hù)各項工作文件或方案，制定出《網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》、《機(jī)房管理制度》等一系列規(guī)章制度，落實(shí)等級保護(hù)工作。

4.召開工作動員會議，組織人員培訓(xùn)，專門部署等級保護(hù)工作每季度召開一次工作動員會議，定期、不定期對技術(shù)人員進(jìn)行培訓(xùn)，并開展考核。技術(shù)人員認(rèn)真學(xué)習(xí)貫徹有關(guān)文件精神，把信息安全等級保護(hù)工作提升到重要位置，常抓不懈。

5.要求主要領(lǐng)導(dǎo)認(rèn)真聽取等級保護(hù)工作匯報并做出重要指示主要領(lǐng)導(dǎo)對等級保護(hù)工作給與批示，要求認(rèn)真做好有關(guān)工作。指示責(zé)任部門做好自檢、自查，精心準(zhǔn)備，迎接公安機(jī)關(guān)專項檢查。

(二)認(rèn)真落實(shí)信息安全責(zé)任制

1.成立信息安全職能部門單位需成立信息系統(tǒng)安全職能部門，負(fù)責(zé)信息系統(tǒng)絡(luò)建設(shè)，信息安全，日常運(yùn)行管理。

2.制定信息安全責(zé)任追究制度制定相應(yīng)信息安全責(zé)任追究制度，定崗到人，明確責(zé)任分工，把信息安全責(zé)任事故降低到最低。

(三)積極推進(jìn)信息安全制度建設(shè)

1.加強(qiáng)人員安全管理制度建設(shè)各單位需建立人員錄用、離崗、考核、安全保密、教育培訓(xùn)、外來人員管理等安全管理制度，對新進(jìn)人員進(jìn)行培訓(xùn)，加強(qiáng)人員安全管理，不定期開展考核。

2.嚴(yán)格執(zhí)行機(jī)房安全管理制度各單位需制定出《機(jī)房管理制度》，加強(qiáng)機(jī)房進(jìn)出人員管理和日常監(jiān)控制度，嚴(yán)格實(shí)施機(jī)房安全管理條例，做好防火防盜，保證機(jī)房安全。

3.建立系統(tǒng)建設(shè)管理制度各單位需制訂產(chǎn)品采購、工程實(shí)施、驗(yàn)收交付、服務(wù)外包等系統(tǒng)建設(shè)管理制度，通過公開招標(biāo)，擇優(yōu)選用，提高系統(tǒng)建設(shè)的質(zhì)量。

(四)大力加強(qiáng)信息系統(tǒng)運(yùn)維

1.開展日常信息安全監(jiān)測和預(yù)警各單位需建立日常信息安全監(jiān)測和預(yù)警機(jī)制，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共能力事件，加強(qiáng)網(wǎng)絡(luò)信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害。

2.建立安全事件報告和響應(yīng)處理程序各單位需建立健全分級負(fù)責(zé)的應(yīng)急管理體制，完善日常安全管理責(zé)任制。相關(guān)部門各司其職，做好日常管理和應(yīng)急處置工作。設(shè)立安全事件報告和相應(yīng)處理程序，根據(jù)安全事件分類和分級，進(jìn)行不同的上報程序，開展不同的響應(yīng)處理。

3.制定應(yīng)急處置預(yù)案，定期演練并不斷完善制定安全應(yīng)急預(yù)案，根據(jù)預(yù)警信息，啟動相應(yīng)應(yīng)急程序，加強(qiáng)值班值守工作，做好應(yīng)急處理各項準(zhǔn)備工作。定期演練預(yù)警方案，不斷完善預(yù)警方案可行性、可操作性。

(五)有效推進(jìn)信息系統(tǒng)等級測評和安全建設(shè)整改工作

1.制定等級測評工作計劃認(rèn)真制定等級測評工作計劃表，按照工作計劃表，有條不紊的開展等級測評。

2.制定安全建設(shè)整改工作計劃制定安全建設(shè)整改工作計劃，根據(jù)自查結(jié)果，對發(fā)現(xiàn)問題進(jìn)行安全建設(shè)整改。編制整改方案，限期完成整改計劃。

3.保證等級測評工作經(jīng)費(fèi)優(yōu)先保證等級測評工作經(jīng)費(fèi)的劃撥、使用。

4.落實(shí)安全建設(shè)整改工作經(jīng)費(fèi)保障積極落實(shí)安全建設(shè)整改工作經(jīng)費(fèi)，協(xié)調(diào)財政部門保障整改經(jīng)費(fèi)保障。

三 不斷完善等級保護(hù)自查和整改

1.組織部署等級保護(hù)自查工作領(lǐng)導(dǎo)協(xié)調(diào)小組開專題會議，部署等級保護(hù)自查工作。按照信息安全等級保護(hù)工作檢查表的要求，細(xì)化各項檢查指標(biāo)，落實(shí)各項指標(biāo)。

2.等級保護(hù)體系建立后，還需要一個有效的、持續(xù)性的驗(yàn)證方法確保信息系統(tǒng)在不斷發(fā)展的同時保證符合安全等級要求，并且由管理部門確認(rèn)信息系統(tǒng)能夠投入運(yùn)行，這就是信息系統(tǒng)的認(rèn)證和認(rèn)可(C＆A)。這個階段一般由國家專門的測評認(rèn)證和認(rèn)可部門進(jìn)行。信息安全立法、評測認(rèn)證體系對等級保護(hù)起著至關(guān)重要的作用。由于業(yè)務(wù)的發(fā)展和信息技術(shù)的更新，信息系統(tǒng)始終處在變更過程中;由于新的安全漏洞和威脅的不斷出現(xiàn)，信息資產(chǎn)也會出現(xiàn)新的安全脆弱點(diǎn)，這可能會影響到整個信息系統(tǒng)的安全風(fēng)險狀態(tài)和安全等級。所以，用戶需要建立一套動態(tài)的安全狀況跟蹤和監(jiān)控機(jī)制。

四 總結(jié)

等級保護(hù)是信息安全保障基礎(chǔ)性工作的核心，是涉及范圍廣泛的系統(tǒng)工程，需要大量的理論研究工作，尤其需要在實(shí)踐工作中獲得經(jīng)驗(yàn)教訓(xùn)，樹立最佳實(shí)踐，并且逐步進(jìn)行體系的發(fā)展和完善。我們需要在開放、合作的前提下，發(fā)動全社會的力量投入到等級保護(hù)建設(shè)中去，才能如期有效地實(shí)現(xiàn)信息安全保障的目標(biāo)。