摘 要:信息安全的重要性越来越受到国家和企业的重视,信息安全等级保护相关规范的出现,给各个企业的信息安全工作提供了一个很好的抓手,企业应该针对不同的信息系统,按照要求从定级、备案、安全建设和整改、等级测评五个方面入手开展企业信息安全工作,不仅能满足国家相关要求,也能从技术和管理两个方面开展工作,搭建企业信息化安全体系架构,提升企业的信息安全整体能力。
关键词:信息安全;安全等保;网络安全法
中图分类号:TP309 文献标识码:A
Abstract: The importance of information security has been gained a very high attention by the government and enterprises. The regulation of information security classification protection has provided a good guideline for enterprises information security. For different systems, enterprises should start to work based on the following five aspects: classifcation, filing, security system buildup & restrengthen, and evaluation according to the different requirements, so that it not only can meet the relevant requirements of the government, but also can build up the enterprise information security architecture via technology and management aspects, then overall enhance the capability of enterprise information security.
Key words: information security; security classfication; cybersecurity law
1 引言
随着信息化的普及,信息系统的基础性、全局性日益突出,信息资源已成为重要的战略资源之一。整体来说我国的信息安全保障工作基础还很薄弱,保障信息安全成为信息化发展中的重要课题。面对当前信息安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而且直接威胁国家安全、社会稳定以及经济发展。
2 加强信息安全工作既是国家要求也是企业自身迫切需要
从国家层面看,国家对信息安全工作高度重视。2013年6月“棱镜门”事件爆发并持续发酵后,中国已将信息安全工作提高到前所未有的高度。公安部及相關部委多次以会议、通知及实地检查的方式督促企业加强信息安全保障工作,要求信息系统必须符合国家信息安全相关规定。
从企业层面上看,信息安全严重影响企业自身价值,这几年信息安全事件主要集中在信息泄露和网络诈骗两方面,2018年全球网络造成近30亿以上的用户信息泄露,形成巨大的安全隐患。在这几年公安部组织的“护网行动”中,多家企业的重要信息系统不堪一击,也存在多个国内企业的网站、邮箱和对外服务的信息系统被黑客攻陷的案例,造成对企业发展的不良影响。
信息安全的重要性不言而喻,但怎样根据公司的实际情况,针对重要程度不同的信息系统建立不同信息系统安全防护体系,是一个亟待解决的难题。2007年发布的《信息安全等级保护管理办法》,从整体上给企业的信息安全工作指明了方向。
3 以安全等保为抓手,搭建企业信息化安全体系架构
目前多数公司的安全防护是从技术入手,部署上网行为管理系统、防火墙、入侵检测和网络接入控制系统等,但各自为政,不仅安全技术缺乏体系,不能切实发挥技术防护的作用,而且整体上缺乏顶层设计和体系化,难以全方位抵御攻击。保障信息系统安全需要大量的人力物力投入,不同公司的信息系统使用范围不同,重要程度不同的信息系统不可能统一的做相同安全防范,应该区别对待。早在20世纪90年代,美国发布的FIPS199《联邦信息和信息系统安全分类标准》,就针对美国政府联邦的信息系统从机密性、完整性和可用性三个方面评估,按程度高中低分级,并加以不同的安全保护要求。中国在信息安全等级保护方面也不甘落后,1994年国务院下发了《中华人民共和国计算机信息安全保护条例》,首次提出了计算机信息系统实行安全等级保护的概念,以推动信息安全保障工作的顺利进行。但真正成体系化全面推行等级保护是2007年7月16日公安部会同国家保密局、国家密码管理局和国务院信息办联合出台的《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展信息系统安全等级保护(简称安全等保)定级工作。近期随着信息安全的国内国外形势越来越严峻,国家加强了对信息安全工作的要求,于2017年6月1日公布实施了《中华人民共和国网络安全法》,该法的第21条明确规定国家实行网络安全等级保护制度,标志着网络安全保护进入有法可依的新时代,“网络安全等级保护制度”首次纳入国家法律。为了合乎国家法律要求,各企业应对尚未开展安全等保的信息系统开展相应的工作,对不同级别的信息系统进行不同的安全防护,搭建企业整体的安全体系架构。
4 安全等保工作的具体实践
信息系统安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,信息系统的安全等保工作共有五个阶段,包括定级、备案、安全建设和整改、信息安全等级测评。
4.1 定级
2007年公布的《信息安全等级保护管理办法》规定信息系统安全等级从低到高分为五级,五级为最高,是根据所定级的信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素自主定级及自主保护确定的。两个定级要素为等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。安全被破坏时侵害的客体包括公民、法人和其他组织的合法权益,社会秩序、公共利益和国家安全三个方面。对客体造成侵害的程度有三种:一般损害、严重损害和特别严重损害。定级要素与信息系统安全保护等级的关系如表1所示。
信息系统的定级应该在信息系统的规划设计时同期展开,根据2007年发布的等保要求(简称为等保1.0),定级可以采用自主定级的方式展开,目前等保2.0正在征求意见稿中,等保2.0将等保1.0中的“信息安全等级保护”与时俱进优化为“网络安全等级保护”,其中不仅扩大了等保1.0的覆盖范围,覆盖了这几年新兴的技术—云计算平台、大数据平台和物联网,也酝酿将自主定级增加专家评定和主管部门审核的环节。
定级三级以上非常重要的信息系统可以纳入国家关键基础设施管理,在网络安全等级保护制度的基础上,实行重点保护。
4.2 备案
定级为二级以上的信息系统需要到当地公安机关网安部门备案,备案前应完成公司的《信息系统安全定级方案》(《定级方案》)和填写《信息系统安全等级保护备案表》(《备案表》)。 在《备案表》中需要填写单位的基本情况和信息安全责任部门情况,并填写本次需备案的各个信息系统应用、系统及安全定级等情况。在《定级方案》中需对备案的各信息系统的应用、维护、系统架构和安全定级的依据做进一步的描述。
上述两个备案文件需加盖公司公章后提交当地公安机关审核,审核通过后,每个信息系统都会被颁发公安部监制的《信息系统安全等级保护备案证明》。
4.3 安全建设
信息安全和信息系统的建设应该是相辅相成的,必须做到与信息系统统一规划、统一部署、统一推进、统一实施,信息系统的安全建设应该与系统的规划、设计及实施同步进行,否则容易造成“两张皮”,做了无用功,系统安全得不到保障。安全等保的建设需要从技术和管理两方面入手,技术上根据系统架构,从底层的机房到上面的信息系统应用和数据分为五大类:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。管理方面由五大部分组成:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
《信息系统安全等级保护基本要求》里有明确的对各级技术和管理的要求,由于所保护的系统的重要程度不同,级别越高的系统,在技术和管理方面的要求越高。如在一级系统只需要对重要信息系统进行备份和恢复;二级系统增加了应提供关键设备的硬件冗余;三级系统进一步要求完全数据备份至少每天一次并场外存放;应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地;四级系统则须建立异地灾备应用灾备中心,数据可以实时备份。
4.4 安全整改
信息系统的安全整改应该是两个方面的内容。一是定级级别的整改,根据系统使用范围和深度的变化,可能会造成级别的不同,需要重新定级备案。二是根据自查或安全等保测评,按照相关系统的信息安全等级对比安全管理和技术指标,进行差距和风险分析,使风险分析的结果与等级保护相衔接,确定加固的基本标准和目标,为安全加固奠定基础,在技术和管理方面实施切实有效的加固措施,有效提高重要信息系统的安全防护水平,为企业信息化发展保驾护航,同时为等级保护测评奠定基础。
4.5 安全等保测评
根據要求,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评。选择测评机构是应参考《全国信息安全等级保护测评机构推荐目录》里具体资质的测评机构,测评机构应该是公安部信息安全等级保护评估中心认证的,到场的等级测评人员应具有评估中心颁发的《等级测评师证书》,对第三级以上网络提供等级测评服务的,测评师人数不得少于4名,其中高级测评师、中级测评师应各不少于1名。评估完成后提交《信息系统安全等级保护基本要求》,并交当地公安局备案。
二级系统的等保测评可以由自主完成,可以根据《信息系统安全等级保护基本要求》里面要求的指标进行符合性对标,但为了专业性建议不定期地由专业测评公司测评,以便更全面地查漏补缺。
5 企业安全等保的思考
企业的信息安全等保工作中,很容易造成重技术轻管理的问题,技术上不断加固,依靠增加硬件设备来提高防范能力,但缺乏组织管理,没能从系统建设设计阶段就考虑安全问题,对人员的安全管理松懈,更多的是处在“事件”管理上,出了安全事件后才去事后处理,无法做到有效的防御、抗击和追溯。技术和管理是一部双驾马车,需要同步建设,不断完善,做到事前能预警和防御,事中能控制,事后能追溯和审计。
信息系统安全等保工作是一项长期的工作。按照《网络安全法》的要求,不仅新建的信息系统应该在项目立项和建设阶段就要统筹考虑安全等保工作,以便在系统架构和日常管理中能够满足安全等保的要求,对已定级的信息系统也需要开展安全等保工作,需要不断进行自查和优化及整改。如信息系统的应用范围、功能等发生了变化,可能会影响到信息系统的安全等保级别,级别有所变化则需要去当地公安机关重新备案;二级以下系统建议每年可以对照安全等保要求自查;三级以上的系统则每年需请国家或地方认证的信息安全测评机构进行测评检查工作,并根据检查的情况查漏补遗,不断加固。信息安全等保工作不是一劳永逸的工作,需要不断从技术和管理两个方面进行改进优化,持续提升安全防御能力。
6 结束语
本文从国家和企业角度分别介绍了信息安全的重要性,分析了企业开展信息安全工作的痛点,论述了以信息安全等级保护作为抓手开展企业信息安全工作,不仅能满足国家相关要求,也能从技术和管理两个方面开展工作搭建企业信息化安全体系架构,并根据实际工作经验,具体阐述了安全等保工作的五个阶段具体工作以及后续工作的思考和建议,希望能为企业开展信息化安全工作提供参考。
参考文献
[1] 公安部,等.信息安全等级保护管理办法[Z].2007.
[2] 国家标准化管理委员会,等.信息系统安全等级保护基本要求[Z].2008.
[3] 国家标准化管理委员会,等. 信息系统安全保护等级定级指南[Z].2008.
[4] 全国人民代表大会常务委员会.中华人民共和国网络安全法[Z].2017.
作者简介:
卢旭红(1965-),女,汉族,江苏南京人,美国纽约城市大学,硕士;主要研究方向和关注领域:信息系统架构的研究、建设和管理、系统运维及信息安全。