陳靜靜

【摘要】 本文首先介紹了黨和國家對(duì)信息安全工作的相關(guān)指示與當(dāng)前信息安全的現(xiàn)狀；然后詳細(xì)論述了等保工作的演化過程、內(nèi)容、意義、分級(jí)等內(nèi)容；最后說明了故宮博物院等保工作的開展情況并提出了對(duì)文博業(yè)等保建設(shè)的一點(diǎn)想法。

【關(guān)鍵詞】 信息安全 等級(jí)保護(hù) 文博系統(tǒng)

一、當(dāng)前我國信息安全現(xiàn)狀

近年來，黨中央高度重視網(wǎng)絡(luò)與信息安全工作。隨著國家“十三五”規(guī)劃綱要、網(wǎng)絡(luò)強(qiáng)國、《中國制造2025》、“互聯(lián)網(wǎng)+”的系列戰(zhàn)略部署的推進(jìn)實(shí)施，網(wǎng)絡(luò)安全工作的范疇和深度都在不斷拓展，迫切要求進(jìn)一步提升安全保障水平和風(fēng)險(xiǎn)防控能力，更好支撐經(jīng)濟(jì)社會(huì)健康有序發(fā)展。

信息通信技術(shù)和網(wǎng)絡(luò)快速發(fā)展并加速向傳統(tǒng)領(lǐng)域融合，導(dǎo)致安全威脅更加復(fù)雜隱蔽，互聯(lián)網(wǎng)與工業(yè)等領(lǐng)域融合創(chuàng)新帶來的安全問題日益嚴(yán)峻。2016年，國家信息安全漏洞共享平臺(tái)（CNVD）共收錄2203個(gè)屬于“零日”漏洞，可用于實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞有9503個(gè) [1]。某企業(yè)2016年度報(bào)告中指出在其參與的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，僅有 4.7%的攻擊事件是企業(yè)自主發(fā)現(xiàn)；26.8%的攻擊事件是在已經(jīng)發(fā)生了顯著入侵跡象或經(jīng)濟(jì)損失后才被企業(yè)發(fā)現(xiàn)；而另外68.5%企業(yè)不知道自己受到攻擊[2]。

這一組數(shù)據(jù)充分反映我國當(dāng)前信息安全現(xiàn)狀所面臨的嚴(yán)峻形式，距離中央的要求還有一定的差距。同時(shí)督促著廣大政、事、企單位更加深入理解信息安全建設(shè)的重要意義，加強(qiáng)信息安全的建設(shè)保障，降低自身信息安全事件的風(fēng)險(xiǎn)指數(shù)。

二、等級(jí)保護(hù)

信息安全等級(jí)保護(hù)是中國正在大力推行的一項(xiàng)制度?，F(xiàn)行網(wǎng)絡(luò)安全法明確規(guī)定：國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2016年12月27日，中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，以貫徹落實(shí)習(xí)近平總書記網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略思想。這是對(duì)加快、加強(qiáng)等級(jí)保護(hù)建設(shè)的又一次強(qiáng)調(diào)和升華。

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測評(píng)、信息安全檢查五個(gè)階段。

定級(jí)一般遵循自主定級(jí)、動(dòng)態(tài)調(diào)整的原則?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)定級(jí)指南》給出了確定安全保護(hù)等級(jí)的具體方法。等級(jí)保護(hù)要經(jīng)過定級(jí)階段，初備案階段，測評(píng)階段，整改階段，復(fù)測階段。最終備案的信息系統(tǒng)要在等保制度的監(jiān)督管理下進(jìn)行運(yùn)營，并根據(jù)所定級(jí)別要求的時(shí)間內(nèi)周期性檢查評(píng)測。并要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。

信息系統(tǒng)安全等級(jí)測評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來實(shí)現(xiàn)；另一方面還要對(duì)整合了所有安全控制機(jī)制的系統(tǒng)整體進(jìn)行測評(píng)。

三、故宮博物院等保建設(shè)現(xiàn)狀

故宮博物院從2012年起對(duì)其使用的信息管理系統(tǒng)進(jìn)行了安全現(xiàn)狀測評(píng)，首先評(píng)估了系統(tǒng)性質(zhì)進(jìn)行定級(jí)，其次分析目前信息管理系統(tǒng)的安全狀況與等級(jí)保護(hù)相應(yīng)級(jí)別要求之間的差距，然后依據(jù)分析結(jié)果進(jìn)行了針對(duì)性的整改與認(rèn)證評(píng)測。

信息管理系統(tǒng)現(xiàn)狀測評(píng)的過程如下：

1）調(diào)研階段：評(píng)估中心測評(píng)項(xiàng)目組在故宮博物院信息管理系統(tǒng)負(fù)責(zé)人配合下對(duì)信息管理系統(tǒng)的測評(píng)進(jìn)行前期調(diào)研工作。2）現(xiàn)場測評(píng)階段：評(píng)估中心測評(píng)項(xiàng)目組對(duì)信息管理系統(tǒng)進(jìn)行了現(xiàn)場測評(píng)，具體工作內(nèi)容為查詢相關(guān)文檔、與有關(guān)人員訪談、現(xiàn)場配置核查，對(duì)收集到的相關(guān)信息進(jìn)行綜合分析和整理。3）分析與報(bào)告編制階段：測評(píng)人員首先整理和匯總前期現(xiàn)場測評(píng)獲得的測評(píng)結(jié)果記錄，并對(duì)其進(jìn)行了符合性判斷和整體分析，找出了信息管理系統(tǒng)存在的主要問題，并提出了安全建設(shè)整改建議。

評(píng)測報(bào)告從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理十個(gè)方面描述了評(píng)測結(jié)果、進(jìn)行了問題分析并提出了整改建議。

四、關(guān)于文博系統(tǒng)等保建設(shè)的一點(diǎn)想法

很多行業(yè)主管單位要求行業(yè)單位開展等級(jí)保護(hù)工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育、衛(wèi)生等行業(yè)?？傮w來說文博相關(guān)單位在信息安全等級(jí)保護(hù)上起步相對(duì)較晚。原因是多方面的。首先是由于行業(yè)特點(diǎn)，導(dǎo)致對(duì)信息安全的認(rèn)識(shí)方面相對(duì)不足。文博從業(yè)人員、領(lǐng)導(dǎo)干部以文科為主，相對(duì)缺乏對(duì)信息安全專業(yè)地位的直觀感觸。其次文博相關(guān)系統(tǒng)比較獨(dú)立，對(duì)外開放的系統(tǒng)多作為信息展示用途，對(duì)社會(huì)民生影響較弱。

但是當(dāng)前信息安全事件頻發(fā)，信息安全犯罪技術(shù)成本越來越低。網(wǎng)絡(luò)安全事件有很大概率發(fā)生在文博系統(tǒng)，如果制度缺失或建設(shè)不足一定會(huì)受到置疑。所以文博系統(tǒng)也應(yīng)該充分認(rèn)識(shí)到等保工作的重要意義，切實(shí)履行自身在等保工作中的義務(wù)。一方面是為了降低信息安全風(fēng)險(xiǎn)，提高信息系統(tǒng)的安全防護(hù)能力；另一方面是為了遵循國家相關(guān)法律法規(guī)和制度的要求，符合相關(guān)主管單位和行業(yè)規(guī)定；同時(shí)也是為了合理地規(guī)避或降低風(fēng)險(xiǎn)。

參 考 文 獻(xiàn)

[1]《2016年CNVD漏洞數(shù)據(jù)統(tǒng)計(jì)簡報(bào)》

[2]《2016年中國互聯(lián)網(wǎng)安全報(bào)告》