摘要: 隨著我國信息化建設(shè)的不斷加深,大力推進信息安全保護工作成為當務(wù)之急,本文通過解讀我國信息安全保護的有關(guān)政策,針對我國信息安全保護現(xiàn)狀,探討了國家安全保護工作的核心問題。

關(guān)鍵詞:信息安全 等級保護 信息安全認證

當今世界信息化建設(shè)飛速發(fā)展,政治、經(jīng)濟和生活等各個領(lǐng)域正在迅速普及信息化管理。 “十五”期間,我國國民經(jīng)濟和社會信息化的發(fā)展都取得了令世人矚目的成就。信息化建設(shè)已經(jīng)成為支撐我國經(jīng)濟社會發(fā)展的關(guān)鍵因素之一。信息安全已經(jīng)直接關(guān)系到國家安全和人民群眾切身利益,關(guān)系到社會穩(wěn)定和改革開放的大局。因此,加強國家信息系統(tǒng)安全,推進信息安全保護工作有著重要的意義。

一、國家信息系統(tǒng)安全保護任務(wù)緊迫

信息安全是指在一定范圍內(nèi)的社會環(huán)境下,由信息和網(wǎng)絡(luò)技術(shù)與國家安全因素的相關(guān)性所構(gòu)成的國家安全的一種態(tài)勢,這種態(tài)勢描述了國家免受國內(nèi)外信息威脅的能力和以信息手段維護國家綜合安全的能力。當前,我國信息安全面臨的形勢仍然十分嚴峻,根據(jù)目前的趨勢,2007年我國信息安全所面臨的威脅主要集中在以下幾個方面:密碼盜取站點不斷上升;圖像垃圾郵件將會不斷上升;網(wǎng)絡(luò)站點的視頻流行使之成為黑客的目標;移動攻擊增多;身份盜取和數(shù)據(jù)損失將繼續(xù)成為公眾問題;僵尸網(wǎng)絡(luò)將繼續(xù)增長。寄生惡意軟件正在回頭。

二、我國信息安全等級保護工作已經(jīng)進入政策落實期

信息安全的等級保護制度是國家大力倡導的信息安全基本政策。我國信息安全等級保護的源頭最早可以追溯到1994年國務(wù)院發(fā)布的147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》,首次提出計算機信息系統(tǒng)實行安全等級保護。

2003年9月,中央頒布了《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(27號文件),提出要在未來5年內(nèi)建設(shè)中國信息安全保障體系。2005年,國家公安部出臺了等級保護規(guī)范, 2006年對等級保護制度進行了重點試點,并總結(jié)出了很好的經(jīng)驗和汲取的教訓。2007年7月20日,公安部、國家保密局、國家密碼管理局、國務(wù)院信息辦等四部門在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”,在全國范圍內(nèi),部署了重要信息系統(tǒng)的安全等級保護定級工作,標志著全國范圍的信息安全等級保護工作正式拉開了序幕。9月底,我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)等級保護的定級、備案工作全部完成。

三、我國信息系統(tǒng)安全保護的等級分類

意大利經(jīng)濟學家帕累托1897年發(fā)現(xiàn)了“二八原理”,即經(jīng)濟學上的“80/20效率法則”①。在國家信息安全領(lǐng)域也是如此。關(guān)鍵的往往是少數(shù)。所以將重要信息系統(tǒng)先定級,再保護---這就是等級保護最初的起因。

3.1我們國家信息系統(tǒng)的等級劃分

我們國家的信息系統(tǒng)等級劃分的標準基于兩方面:第一是信息系統(tǒng)本身的重要程度,第二是遭到破壞后的危害程度。系統(tǒng)越重要,被破壞后危害越高,那么等級越高。危害客體是三類:首先是國家安全,其次是社會秩序和公共利益,再次是公民、法人和其他組織的合法權(quán)益。

3.2我們國家信息系統(tǒng)安全保護的等級劃分

《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》27號文指出,不同的信息系統(tǒng)有著不同的安全要求,必須優(yōu)化信息安全資源的配置,確保重點,重點保護,將有限的信息安全資源放在最重要的地方。針對我國信息系統(tǒng)四大類基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng),其安全保護等級分類如下:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。

顯然,我們國家信息系統(tǒng)的安全保護等級分類充分體現(xiàn)了中國特色,那就是“自主定級,自主保護”。如果該系統(tǒng)屬于四級,你卻定為五級,那就是浪費國家有限的財力、物力、人力。相反,如果本來屬于三級,你卻定為二級,采取的保護措施達不到要求,自然就談不上保障信息系統(tǒng)安全。

四、信息安全認證成當務(wù)之急

隨著信息化的推進,全社會對信息與網(wǎng)絡(luò)系統(tǒng)的依賴性越來越強。信息安全產(chǎn)品、服務(wù)以及信息系統(tǒng)固有的敏感性和特殊性,直接影響著國家的安全利益和經(jīng)濟利益。通過頒布法令與標準,在信息安全領(lǐng)域?qū)嵤┱J證認可制度,已經(jīng)成為當今經(jīng)濟全球化和信息化趨勢下各國政府維護國家主權(quán)的重要手段,加快我國信息安全認證認可制度的實施是當務(wù)之急。

2006年6月,中國信息安全認證中心獲中編辦正式批準。至此,我國信息安全認證認可體系的建設(shè)構(gòu)架基本形成,工作機制基本確定。中國信息安全認證中心正式成立,標志著我國信息安全認證認可體系建設(shè)邁出了重要步伐。

信息安全產(chǎn)品測評認證是信息安全保障的基礎(chǔ)性工作。特別是在當前我國信息技術(shù)與產(chǎn)業(yè)的核心競爭力還不強,關(guān)鍵技術(shù)、關(guān)鍵設(shè)備還受制于人的情況下,嚴格把住信息技術(shù)產(chǎn)品的市場準入關(guān)尤為重要。通過認證的手段,有利于改革政府管理方式和手段,創(chuàng)建公平競爭的環(huán)境,有效地保護和促進我國信息安全技術(shù)與產(chǎn)業(yè)的發(fā)展。

五、國家重要信息系統(tǒng)的安全保護工作關(guān)鍵是發(fā)展可信計算機平臺

據(jù)統(tǒng)計,我國每年發(fā)生的信息安全事件, 80%左右是由于計算機體系結(jié)構(gòu)存在安全隱患和操作系統(tǒng)的不安全所引起的。終端的體系結(jié)構(gòu)和操作系統(tǒng)的安全是整個信息系統(tǒng)安全的基礎(chǔ),只有從信息系統(tǒng)的軟硬件的底層采取安全措施,才能有效的確保整個信息系統(tǒng)的安全。因此,可信計算技術(shù)正成為信息安全新的熱點研究方向。

我國著名信息安全專家、中國工程院沈昌祥院士曾指出:關(guān)乎國計民生信息系統(tǒng)的安全,不能建立在其他國家的核心技術(shù)和核心設(shè)備上,只能依靠我國信息安全產(chǎn)業(yè)的發(fā)展,他預(yù)測2007年,中國有望通過加強可信計算研究,打破信息安全領(lǐng)域被國外企業(yè)占據(jù)主導地位的局面。

六、結(jié)束語

結(jié)合國家信息安全保障體系建設(shè)需求,充分發(fā)揮政策優(yōu)勢,加強信息安全等級保護工作,加快我國信息安全認證認可制度的實施,建設(shè)和發(fā)展我國的可信計算平臺。這樣才能更好地保證我國信息系統(tǒng)的安全,更快地推動我國國民經(jīng)濟的高速發(fā)展。

參考文獻:

1蔡榮生,郭洪林,林寧 信息系統(tǒng)的安全性管理 《中國人民大學學報》 2005(3)

2 胡雪琴 等級保護漸落地——我國信息安全等級保護有關(guān)政策解讀 《中國信息化》 2007年10月

3 于波深化信息安全保障體系建設(shè) 《計算機安全》 2006年第8期

4 邊凱重要信息系統(tǒng)居安思?！禖IO WEEKLY》2007年第28期

5 趙林 信息安全等級保護工作取得新進展 《NETINFO SECURITY》2007年6月

6 黃新彥 實現(xiàn)信息安全協(xié)調(diào)健康發(fā)展《通信信息報》2005年11月

作者簡介:趙鴻雁,女,1970年10月生,1996年畢業(yè)于河北工業(yè)大學計算機科學與工程系,河北理工大學圖書館館員,從事計算機信息與文獻分編整理工作。