摘? ?要：信息安全的重要性越來越受到國家和企業(yè)的重視，信息安全等級保護(hù)相關(guān)規(guī)范的出現(xiàn)，給各個(gè)企業(yè)的信息安全工作提供了一個(gè)很好的抓手，企業(yè)應(yīng)該針對不同的信息系統(tǒng)，按照要求從定級、備案、安全建設(shè)和整改、等級測評五個(gè)方面入手開展企業(yè)信息安全工作，不僅能滿足國家相關(guān)要求，也能從技術(shù)和管理兩個(gè)方面開展工作，搭建企業(yè)信息化安全體系架構(gòu)，提升企業(yè)的信息安全整體能力。

關(guān)鍵詞：信息安全;安全等保;網(wǎng)絡(luò)安全法

中圖分類號：TP309? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： The importance of information security has been gained a very high attention by the government and enterprises. The regulation of information security classification protection has provided a good guideline for enterprises information security.? For different systems， enterprises should start to work based on the following five aspects： classifcation， filing， security system buildup & restrengthen， and evaluation according to the different requirements， so that it not only can meet the relevant requirements of the government， but also can build up the enterprise information security architecture via technology and management aspects， then overall enhance the capability of enterprise information security.

Key words： information security; security classfication; cybersecurity law

1 引言

隨著信息化的普及，信息系統(tǒng)的基礎(chǔ)性、全局性日益突出，信息資源已成為重要的戰(zhàn)略資源之一。整體來說我國的信息安全保障工作基礎(chǔ)還很薄弱，保障信息安全成為信息化發(fā)展中的重要課題。面對當(dāng)前信息安全面臨的復(fù)雜、嚴(yán)峻形勢，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)一旦出現(xiàn)大的信息安全問題，不僅僅影響本單位、本行業(yè)，而且直接威脅國家安全、社會穩(wěn)定以及經(jīng)濟(jì)發(fā)展。

2 加強(qiáng)信息安全工作既是國家要求也是企業(yè)自身迫切需要

從國家層面看，國家對信息安全工作高度重視。2013年6月“棱鏡門”事件爆發(fā)并持續(xù)發(fā)酵后，中國已將信息安全工作提高到前所未有的高度。公安部及相關(guān)部委多次以會議、通知及實(shí)地檢查的方式督促企業(yè)加強(qiáng)信息安全保障工作，要求信息系統(tǒng)必須符合國家信息安全相關(guān)規(guī)定。

從企業(yè)層面上看，信息安全嚴(yán)重影響企業(yè)自身價(jià)值，這幾年信息安全事件主要集中在信息泄露和網(wǎng)絡(luò)詐騙兩方面，2018年全球網(wǎng)絡(luò)造成近30億以上的用戶信息泄露，形成巨大的安全隱患。在這幾年公安部組織的“護(hù)網(wǎng)行動”中，多家企業(yè)的重要信息系統(tǒng)不堪一擊，也存在多個(gè)國內(nèi)企業(yè)的網(wǎng)站、郵箱和對外服務(wù)的信息系統(tǒng)被黑客攻陷的案例，造成對企業(yè)發(fā)展的不良影響。

信息安全的重要性不言而喻，但怎樣根據(jù)公司的實(shí)際情況，針對重要程度不同的信息系統(tǒng)建立不同信息系統(tǒng)安全防護(hù)體系，是一個(gè)亟待解決的難題。2007年發(fā)布的《信息安全等級保護(hù)管理辦法》，從整體上給企業(yè)的信息安全工作指明了方向。

3 以安全等保為抓手，搭建企業(yè)信息化安全體系架構(gòu)

目前多數(shù)公司的安全防護(hù)是從技術(shù)入手，部署上網(wǎng)行為管理系統(tǒng)、防火墻、入侵檢測和網(wǎng)絡(luò)接入控制系統(tǒng)等，但各自為政，不僅安全技術(shù)缺乏體系，不能切實(shí)發(fā)揮技術(shù)防護(hù)的作用，而且整體上缺乏頂層設(shè)計(jì)和體系化，難以全方位抵御攻擊。保障信息系統(tǒng)安全需要大量的人力物力投入，不同公司的信息系統(tǒng)使用范圍不同，重要程度不同的信息系統(tǒng)不可能統(tǒng)一的做相同安全防范，應(yīng)該區(qū)別對待。早在20世紀(jì)90年代，美國發(fā)布的FIPS199《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》，就針對美國政府聯(lián)邦的信息系統(tǒng)從機(jī)密性、完整性和可用性三個(gè)方面評估，按程度高中低分級，并加以不同的安全保護(hù)要求。中國在信息安全等級保護(hù)方面也不甘落后，1994年國務(wù)院下發(fā)了《中華人民共和國計(jì)算機(jī)信息安全保護(hù)條例》，首次提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)的概念，以推動信息安全保障工作的順利進(jìn)行。但真正成體系化全面推行等級保護(hù)是2007年7月16日公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合出臺的《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》，要求在全國范圍內(nèi)開展信息系統(tǒng)安全等級保護(hù)（簡稱安全等保）定級工作。近期隨著信息安全的國內(nèi)國外形勢越來越嚴(yán)峻，國家加強(qiáng)了對信息安全工作的要求，于2017年6月1日公布實(shí)施了《中華人民共和國網(wǎng)絡(luò)安全法》，該法的第21條明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，標(biāo)志著網(wǎng)絡(luò)安全保護(hù)進(jìn)入有法可依的新時(shí)代，“網(wǎng)絡(luò)安全等級保護(hù)制度”首次納入國家法律。為了合乎國家法律要求，各企業(yè)應(yīng)對尚未開展安全等保的信息系統(tǒng)開展相應(yīng)的工作，對不同級別的信息系統(tǒng)進(jìn)行不同的安全防護(hù)，搭建企業(yè)整體的安全體系架構(gòu)。

4 安全等保工作的具體實(shí)踐

信息系統(tǒng)安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作，信息系統(tǒng)的安全等保工作共有五個(gè)階段，包括定級、備案、安全建設(shè)和整改、信息安全等級測評。

4.1 定級

2007年公布的《信息安全等級保護(hù)管理辦法》規(guī)定信息系統(tǒng)安全等級從低到高分為五級，五級為最高，是根據(jù)所定級的信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素自主定級及自主保護(hù)確定的。兩個(gè)定級要素為等級保護(hù)對象受到破壞時(shí)所侵害的客體和對客體造成侵害的程度。安全被破壞時(shí)侵害的客體包括公民、法人和其他組織的合法權(quán)益，社會秩序、公共利益和國家安全三個(gè)方面。對客體造成侵害的程度有三種：一般損害、嚴(yán)重?fù)p害和特別嚴(yán)重?fù)p害。定級要素與信息系統(tǒng)安全保護(hù)等級的關(guān)系如表1所示。

信息系統(tǒng)的定級應(yīng)該在信息系統(tǒng)的規(guī)劃設(shè)計(jì)時(shí)同期展開，根據(jù)2007年發(fā)布的等保要求（簡稱為等保1.0），定級可以采用自主定級的方式展開，目前等保2.0正在征求意見稿中，等保2.0將等保1.0中的“信息安全等級保護(hù)”與時(shí)俱進(jìn)優(yōu)化為“網(wǎng)絡(luò)安全等級保護(hù)”，其中不僅擴(kuò)大了等保1.0的覆蓋范圍，覆蓋了這幾年新興的技術(shù)—云計(jì)算平臺、大數(shù)據(jù)平臺和物聯(lián)網(wǎng)，也醞釀將自主定級增加專家評定和主管部門審核的環(huán)節(jié)。

定級三級以上非常重要的信息系統(tǒng)可以納入國家關(guān)鍵基礎(chǔ)設(shè)施管理，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

4.2 備案

定級為二級以上的信息系統(tǒng)需要到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門備案，備案前應(yīng)完成公司的《信息系統(tǒng)安全定級方案》（《定級方案》）和填寫《信息系統(tǒng)安全等級保護(hù)備案表》（《備案表》）。 在《備案表》中需要填寫單位的基本情況和信息安全責(zé)任部門情況，并填寫本次需備案的各個(gè)信息系統(tǒng)應(yīng)用、系統(tǒng)及安全定級等情況。在《定級方案》中需對備案的各信息系統(tǒng)的應(yīng)用、維護(hù)、系統(tǒng)架構(gòu)和安全定級的依據(jù)做進(jìn)一步的描述。

上述兩個(gè)備案文件需加蓋公司公章后提交當(dāng)?shù)毓矙C(jī)關(guān)審核，審核通過后，每個(gè)信息系統(tǒng)都會被頒發(fā)公安部監(jiān)制的《信息系統(tǒng)安全等級保護(hù)備案證明》。

4.3 安全建設(shè)

信息安全和信息系統(tǒng)的建設(shè)應(yīng)該是相輔相成的，必須做到與信息系統(tǒng)統(tǒng)一規(guī)劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施，信息系統(tǒng)的安全建設(shè)應(yīng)該與系統(tǒng)的規(guī)劃、設(shè)計(jì)及實(shí)施同步進(jìn)行，否則容易造成“兩張皮”，做了無用功，系統(tǒng)安全得不到保障。安全等保的建設(shè)需要從技術(shù)和管理兩方面入手，技術(shù)上根據(jù)系統(tǒng)架構(gòu)，從底層的機(jī)房到上面的信息系統(tǒng)應(yīng)用和數(shù)據(jù)分為五大類：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。管理方面由五大部分組成：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

《信息系統(tǒng)安全等級保護(hù)基本要求》里有明確的對各級技術(shù)和管理的要求，由于所保護(hù)的系統(tǒng)的重要程度不同，級別越高的系統(tǒng)，在技術(shù)和管理方面的要求越高。如在一級系統(tǒng)只需要對重要信息系統(tǒng)進(jìn)行備份和恢復(fù);二級系統(tǒng)增加了應(yīng)提供關(guān)鍵設(shè)備的硬件冗余;三級系統(tǒng)進(jìn)一步要求完全數(shù)據(jù)備份至少每天一次并場外存放;應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地;四級系統(tǒng)則須建立異地災(zāi)備應(yīng)用災(zāi)備中心，數(shù)據(jù)可以實(shí)時(shí)備份。

4.4 安全整改

信息系統(tǒng)的安全整改應(yīng)該是兩個(gè)方面的內(nèi)容。一是定級級別的整改，根據(jù)系統(tǒng)使用范圍和深度的變化，可能會造成級別的不同，需要重新定級備案。二是根據(jù)自查或安全等保測評，按照相關(guān)系統(tǒng)的信息安全等級對比安全管理和技術(shù)指標(biāo)，進(jìn)行差距和風(fēng)險(xiǎn)分析，使風(fēng)險(xiǎn)分析的結(jié)果與等級保護(hù)相銜接，確定加固的基本標(biāo)準(zhǔn)和目標(biāo)，為安全加固奠定基礎(chǔ)，在技術(shù)和管理方面實(shí)施切實(shí)有效的加固措施，有效提高重要信息系統(tǒng)的安全防護(hù)水平，為企業(yè)信息化發(fā)展保駕護(hù)航，同時(shí)為等級保護(hù)測評奠定基礎(chǔ)。

4.5 安全等保測評

根據(jù)要求，第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評。選擇測評機(jī)構(gòu)是應(yīng)參考《全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄》里具體資質(zhì)的測評機(jī)構(gòu)，測評機(jī)構(gòu)應(yīng)該是公安部信息安全等級保護(hù)評估中心認(rèn)證的，到場的等級測評人員應(yīng)具有評估中心頒發(fā)的《等級測評師證書》，對第三級以上網(wǎng)絡(luò)提供等級測評服務(wù)的，測評師人數(shù)不得少于4名，其中高級測評師、中級測評師應(yīng)各不少于1名。評估完成后提交《信息系統(tǒng)安全等級保護(hù)基本要求》，并交當(dāng)?shù)毓簿謧浒浮?/p>

二級系統(tǒng)的等保測評可以由自主完成，可以根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》里面要求的指標(biāo)進(jìn)行符合性對標(biāo)，但為了專業(yè)性建議不定期地由專業(yè)測評公司測評，以便更全面地查漏補(bǔ)缺。

5 企業(yè)安全等保的思考

企業(yè)的信息安全等保工作中，很容易造成重技術(shù)輕管理的問題，技術(shù)上不斷加固，依靠增加硬件設(shè)備來提高防范能力，但缺乏組織管理，沒能從系統(tǒng)建設(shè)設(shè)計(jì)階段就考慮安全問題，對人員的安全管理松懈，更多的是處在“事件”管理上，出了安全事件后才去事后處理，無法做到有效的防御、抗擊和追溯。技術(shù)和管理是一部雙駕馬車，需要同步建設(shè)，不斷完善，做到事前能預(yù)警和防御，事中能控制，事后能追溯和審計(jì)。

信息系統(tǒng)安全等保工作是一項(xiàng)長期的工作。按照《網(wǎng)絡(luò)安全法》的要求，不僅新建的信息系統(tǒng)應(yīng)該在項(xiàng)目立項(xiàng)和建設(shè)階段就要統(tǒng)籌考慮安全等保工作，以便在系統(tǒng)架構(gòu)和日常管理中能夠滿足安全等保的要求，對已定級的信息系統(tǒng)也需要開展安全等保工作，需要不斷進(jìn)行自查和優(yōu)化及整改。如信息系統(tǒng)的應(yīng)用范圍、功能等發(fā)生了變化，可能會影響到信息系統(tǒng)的安全等保級別，級別有所變化則需要去當(dāng)?shù)毓矙C(jī)關(guān)重新備案;二級以下系統(tǒng)建議每年可以對照安全等保要求自查;三級以上的系統(tǒng)則每年需請國家或地方認(rèn)證的信息安全測評機(jī)構(gòu)進(jìn)行測評檢查工作，并根據(jù)檢查的情況查漏補(bǔ)遺，不斷加固。信息安全等保工作不是一勞永逸的工作，需要不斷從技術(shù)和管理兩個(gè)方面進(jìn)行改進(jìn)優(yōu)化，持續(xù)提升安全防御能力。

6 結(jié)束語

本文從國家和企業(yè)角度分別介紹了信息安全的重要性，分析了企業(yè)開展信息安全工作的痛點(diǎn)，論述了以信息安全等級保護(hù)作為抓手開展企業(yè)信息安全工作，不僅能滿足國家相關(guān)要求，也能從技術(shù)和管理兩個(gè)方面開展工作搭建企業(yè)信息化安全體系架構(gòu)，并根據(jù)實(shí)際工作經(jīng)驗(yàn)，具體闡述了安全等保工作的五個(gè)階段具體工作以及后續(xù)工作的思考和建議，希望能為企業(yè)開展信息化安全工作提供參考。

參考文獻(xiàn)

[1] 公安部，等.信息安全等級保護(hù)管理辦法[Z].2007.

[2] 國家標(biāo)準(zhǔn)化管理委員會，等.信息系統(tǒng)安全等級保護(hù)基本要求[Z].2008.

[3] 國家標(biāo)準(zhǔn)化管理委員會，等. 信息系統(tǒng)安全保護(hù)等級定級指南[Z].2008.

[4] 全國人民代表大會常務(wù)委員會.中華人民共和國網(wǎng)絡(luò)安全法[Z].2017.

作者簡介：

盧旭紅（1965-），女，漢族，江蘇南京人，美國紐約城市大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：信息系統(tǒng)架構(gòu)的研究、建設(shè)和管理、系統(tǒng)運(yùn)維及信息安全。