鄧偉玲

(南寧市公安局網(wǎng)絡安全保衛(wèi)支隊，廣西 南寧 530022)

一 信息網(wǎng)絡和重要信息系統(tǒng)存在的主要問題

第一，利用基礎信息網(wǎng)絡和重要信息系統(tǒng)的違法犯罪活動迅速上升。不法分子利用一些安全漏洞，使用病毒、木馬、網(wǎng)絡釣魚等技術(shù)進行網(wǎng)絡盜竊、網(wǎng)絡詐騙、網(wǎng)絡賭博等違法犯罪，對我國的經(jīng)濟秩序、社會管理秩序和公民的合法權(quán)益造成嚴重侵害。

第二，基礎信息網(wǎng)絡和重要信息系統(tǒng)存在安全隱患。由于各基礎信息網(wǎng)絡和重要信息系統(tǒng)的核心設備、技術(shù)和高端服務主要依賴國外進口，在操作系統(tǒng)、專用芯片和大型應用軟件等方面不能自主可控，給我國的信息安全帶來了深層的技術(shù)隱患。

第三，我國的信息安全保障工作基礎薄弱。信息安全意識和安全防范能力差，信息系統(tǒng)安全建設、監(jiān)管缺乏依據(jù)和標準，安全保護措施和安全制度不完善，監(jiān)管措施不到位。1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”。2003年中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)［2003］27號)明確指出“實行信息安全等級保護”，“要重點保護基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。實行信息安全等級保護是國際上通行的做法開展信息安全等級保護工作應建立安全保護機制，安全保護機制包括：信息安全效能評估、信息安全保障工作評價機制、印記響應機制、安全響應技術(shù)體系、安全監(jiān)測預警機制等。

二 建立信息網(wǎng)絡和重要信息系統(tǒng)安全保護機制

本人就從事信息安全等級保護工作以來，淺談信息系統(tǒng)在開展等級保護工作建立安全保護機制應從以下幾個方面開展。

(一)積極組織部署等級保護工作

1.專門成立等級保護協(xié)調(diào)領(lǐng)導機構(gòu)成立由分管領(lǐng)導、分管部門、網(wǎng)絡管理組成的信息安全等級保護協(xié)調(diào)領(lǐng)導小組，確保系統(tǒng)高效運行、理順信息安全管理、規(guī)范信息化安全等級建設。

2.明確等級保護責任部門和工作崗位開會、下文明確等級保護責任部門，做到分工明確，責任具體到人。

3.貫徹落實等級保護各項工作文件或方案等級保護責任部門和工作人員認真貫徹落實公安部、省公安廳等級保護各項工作文件或方案，制定出《網(wǎng)絡與信息安全事件應急預案》、《機房管理制度》等一系列規(guī)章制度，落實等級保護工作。

4.召開工作動員會議，組織人員培訓，專門部署等級保護工作每季度召開一次工作動員會議，定期、不定期對技術(shù)人員進行培訓，并開展考核。技術(shù)人員認真學習貫徹有關(guān)文件精神，把信息安全等級保護工作提升到重要位置，常抓不懈。

5.要求主要領(lǐng)導認真聽取等級保護工作匯報并做出重要指示主要領(lǐng)導對等級保護工作給與批示，要求認真做好有關(guān)工作。指示責任部門做好自檢、自查，精心準備，迎接公安機關(guān)專項檢查。

(二)認真落實信息安全責任制

1.成立信息安全職能部門單位需成立信息系統(tǒng)安全職能部門，負責信息系統(tǒng)絡建設，信息安全，日常運行管理。

2.制定信息安全責任追究制度制定相應信息安全責任追究制度，定崗到人，明確責任分工，把信息安全責任事故降低到最低。

(三)積極推進信息安全制度建設

1.加強人員安全管理制度建設各單位需建立人員錄用、離崗、考核、安全保密、教育培訓、外來人員管理等安全管理制度，對新進人員進行培訓，加強人員安全管理，不定期開展考核。

2.嚴格執(zhí)行機房安全管理制度各單位需制定出《機房管理制度》，加強機房進出人員管理和日常監(jiān)控制度，嚴格實施機房安全管理條例，做好防火防盜，保證機房安全。

3.建立系統(tǒng)建設管理制度各單位需制訂產(chǎn)品采購、工程實施、驗收交付、服務外包等系統(tǒng)建設管理制度，通過公開招標，擇優(yōu)選用，提高系統(tǒng)建設的質(zhì)量。

(四)大力加強信息系統(tǒng)運維

1.開展日常信息安全監(jiān)測和預警各單位需建立日常信息安全監(jiān)測和預警機制，提高處置網(wǎng)絡與信息安全突發(fā)公共能力事件，加強網(wǎng)絡信息安全保障工作，形成科學、有效、反應迅速的應急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)站網(wǎng)絡與信息安全突發(fā)公共事件的危害。

2.建立安全事件報告和響應處理程序各單位需建立健全分級負責的應急管理體制，完善日常安全管理責任制。相關(guān)部門各司其職，做好日常管理和應急處置工作。設立安全事件報告和相應處理程序，根據(jù)安全事件分類和分級，進行不同的上報程序，開展不同的響應處理。

3.制定應急處置預案，定期演練并不斷完善制定安全應急預案，根據(jù)預警信息，啟動相應應急程序，加強值班值守工作，做好應急處理各項準備工作。定期演練預警方案，不斷完善預警方案可行性、可操作性。

(五)有效推進信息系統(tǒng)等級測評和安全建設整改工作

1.制定等級測評工作計劃認真制定等級測評工作計劃表，按照工作計劃表，有條不紊的開展等級測評。

2.制定安全建設整改工作計劃制定安全建設整改工作計劃，根據(jù)自查結(jié)果，對發(fā)現(xiàn)問題進行安全建設整改。編制整改方案，限期完成整改計劃。

3.保證等級測評工作經(jīng)費優(yōu)先保證等級測評工作經(jīng)費的劃撥、使用。

4.落實安全建設整改工作經(jīng)費保障積極落實安全建設整改工作經(jīng)費，協(xié)調(diào)財政部門保障整改經(jīng)費保障。

三 不斷完善等級保護自查和整改

1.組織部署等級保護自查工作領(lǐng)導協(xié)調(diào)小組開專題會議，部署等級保護自查工作。按照信息安全等級保護工作檢查表的要求，細化各項檢查指標，落實各項指標。

2.等級保護體系建立后，還需要一個有效的、持續(xù)性的驗證方法確保信息系統(tǒng)在不斷發(fā)展的同時保證符合安全等級要求，并且由管理部門確認信息系統(tǒng)能夠投入運行，這就是信息系統(tǒng)的認證和認可(C＆A)。這個階段一般由國家專門的測評認證和認可部門進行。信息安全立法、評測認證體系對等級保護起著至關(guān)重要的作用。由于業(yè)務的發(fā)展和信息技術(shù)的更新，信息系統(tǒng)始終處在變更過程中;由于新的安全漏洞和威脅的不斷出現(xiàn)，信息資產(chǎn)也會出現(xiàn)新的安全脆弱點，這可能會影響到整個信息系統(tǒng)的安全風險狀態(tài)和安全等級。所以，用戶需要建立一套動態(tài)的安全狀況跟蹤和監(jiān)控機制。

四 總結(jié)

等級保護是信息安全保障基礎性工作的核心，是涉及范圍廣泛的系統(tǒng)工程，需要大量的理論研究工作，尤其需要在實踐工作中獲得經(jīng)驗教訓，樹立最佳實踐，并且逐步進行體系的發(fā)展和完善。我們需要在開放、合作的前提下，發(fā)動全社會的力量投入到等級保護建設中去，才能如期有效地實現(xiàn)信息安全保障的目標。