從維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的戰(zhàn)略高度來(lái)看，做好信息系統(tǒng)安全等級(jí)保護(hù)越來(lái)越重要，其制度的落實(shí)和實(shí)施不能虛有其表。

分級(jí)保護(hù)意義重大

當(dāng)前信息系統(tǒng)安全保護(hù)等級(jí)的劃分共分為5 級(jí)，分別為自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)以及專(zhuān)控保護(hù)級(jí)。

實(shí)施信息安全等級(jí)保護(hù)意義重大，不僅有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)發(fā)展，而且為信息系統(tǒng)安全建設(shè)和管理提供了系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，有效控制了信息安全建設(shè)成本。同時(shí)，信息安全等級(jí)保護(hù)對(duì)信息安全資源的配置進(jìn)行了優(yōu)化，重點(diǎn)保障了關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全。需要重點(diǎn)提到的是，信息安全等級(jí)保護(hù)明確了國(guó)家、法人和其他組織、公民的信息安全責(zé)任，進(jìn)一步加強(qiáng)了信息安全管理。

安全保障尚存問(wèn)題

近幾年，針對(duì)我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升，同時(shí)敵對(duì)勢(shì)力的入侵、攻擊和破壞也時(shí)有發(fā)生。這類(lèi)違法犯罪事件主要包括：

1.病毒侵襲

信息化應(yīng)用在社會(huì)生產(chǎn)中的作用日益凸顯，與之相對(duì)應(yīng)的，針對(duì)于此的攻擊也越來(lái)越多，并越來(lái)越具有破壞性。舉例來(lái)說(shuō)，2010年7月，震網(wǎng)病毒開(kāi)始在中國(guó)、印度、俄羅斯等多個(gè)國(guó)家爆發(fā)，其也是世界上首個(gè)以直接破壞工業(yè)基礎(chǔ)設(shè)施為目標(biāo)的蠕蟲(chóng)病毒，被稱(chēng)為網(wǎng)絡(luò)“超級(jí)武器”。據(jù)統(tǒng)計(jì)，當(dāng)時(shí)全球約4.5 萬(wàn)個(gè)網(wǎng)絡(luò)被該病毒感染。

2.系統(tǒng)漏洞

我國(guó)工控市場(chǎng)過(guò)度開(kāi)放，國(guó)外產(chǎn)品占據(jù)大部分市場(chǎng)，如PLC(可編程邏輯控制器)國(guó)內(nèi)產(chǎn)品的市場(chǎng)占有率不到1%，衛(wèi)星導(dǎo)航芯片95%依賴(lài)進(jìn)口。在現(xiàn)有的自動(dòng)化系統(tǒng)中，國(guó)外產(chǎn)品在核心自動(dòng)化控制部分仍占很大比例。而國(guó)外工業(yè)控制芯片和工業(yè)控制系統(tǒng)產(chǎn)品，在設(shè)計(jì)和配置上都可能存在漏洞，這些漏洞有可能為敵對(duì)勢(shì)力所利用，一旦得逞，所造成的后果難以估量。

3.黑客攻擊

在利益鏈條的驅(qū)動(dòng)下，近年來(lái)，黑客入侵、后門(mén)植入等攻擊事件頻繁發(fā)生。2012年1月，Putty 等服務(wù)器遠(yuǎn)程管理工具的漢化中文版被曝出存在后門(mén)，其可以將服務(wù)器的IP 地址、root 密碼、連接端口等信息發(fā)送給攻擊者，攻擊者可通過(guò)后門(mén)對(duì)服務(wù)器承載的重要數(shù)據(jù)進(jìn)行拷貝、添加、刪除等操作。

4.外包隱患

2011年，某單位信息中心數(shù)據(jù)備份系統(tǒng)服務(wù)外包，磁盤(pán)陣列中使用的一塊磁盤(pán)丟失。安全專(zhuān)家進(jìn)行安全事件后果分析，認(rèn)為不排除重要信息被泄露的可能。

近幾年來(lái)，我國(guó)高度重視信息系統(tǒng)的風(fēng)險(xiǎn)防范，通過(guò)多種措施的制定和實(shí)施，信息安全保障工作取得了很大進(jìn)展，但是從總體上看還存在一些問(wèn)題。首先，信息安全工作不被重視，重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施; 其次，信息安全管理制度體系不完善，信息安全責(zé)任制落實(shí)不到位，重要信息系統(tǒng)保護(hù)不得力;第三、缺少應(yīng)有的崗位設(shè)置，人員和資金投入不足;最后，我國(guó)信息技術(shù)產(chǎn)品與國(guó)外還存在一定差距，安全專(zhuān)業(yè)化服務(wù)力量薄弱。

謹(jǐn)防測(cè)評(píng)風(fēng)險(xiǎn)

隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，信息系統(tǒng)的基礎(chǔ)性、全局性作用日益顯現(xiàn)，保障信息安全已成為當(dāng)前信息化發(fā)展中迫切需要解決的重大問(wèn)題，信息系統(tǒng)安全等級(jí)保護(hù)的落實(shí)和實(shí)施勢(shì)在必行。

信息系統(tǒng)安全等級(jí)保護(hù)的核心，是對(duì)信息系統(tǒng)分等級(jí)和按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。要突出重點(diǎn)、分級(jí)負(fù)責(zé)、分類(lèi)指導(dǎo)、分步實(shí)施，按照誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)的要求，有效落實(shí)等級(jí)保護(hù)責(zé)任和措施。

1.科學(xué)定級(jí)，嚴(yán)格備案。信息系統(tǒng)的運(yùn)營(yíng)、使用單位必須按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)的安全保護(hù)等級(jí)。對(duì)重要信息系統(tǒng)，其運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)通過(guò)專(zhuān)家委員會(huì)的安全評(píng)審。安全保護(hù)等級(jí)在二級(jí)以上的信息系統(tǒng)，以及跨地域的信息系統(tǒng)應(yīng)按要求向管轄公安機(jī)關(guān)備案。

2.建設(shè)整改，落實(shí)措施。對(duì)已有的信息系統(tǒng)，其運(yùn)營(yíng)、使用單位要根據(jù)已經(jīng)確定的信息安全保護(hù)等級(jí)，按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，采購(gòu)和使用相應(yīng)等級(jí)的信息安全產(chǎn)品，落實(shí)安全技術(shù)措施，完成系統(tǒng)整改。對(duì)新建、改建、擴(kuò)建的信息系統(tǒng)，應(yīng)當(dāng)按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)施工。

3.自查自糾，落實(shí)要求。信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門(mén)要按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的信息系統(tǒng)，定期進(jìn)行安全狀況檢測(cè)評(píng)估，及時(shí)消除安全隱患和漏洞，發(fā)現(xiàn)問(wèn)題及時(shí)整改，不斷加強(qiáng)信息安全等級(jí)保護(hù)能力。

4.監(jiān)督檢查，完善保護(hù)。公安機(jī)關(guān)要按照等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點(diǎn)對(duì)三級(jí)及以上安全等級(jí)的信息系統(tǒng)進(jìn)行監(jiān)督檢查。發(fā)現(xiàn)安全保護(hù)不符合管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，要通知相關(guān)部門(mén)限期整改，確保信息安全等級(jí)保護(hù)的完善實(shí)施。

在實(shí)施過(guò)程中，信息系統(tǒng)的運(yùn)營(yíng)、使用單位要謹(jǐn)防測(cè)評(píng)風(fēng)險(xiǎn)。尤其是金融系統(tǒng)要加強(qiáng)風(fēng)險(xiǎn)管控，嚴(yán)防測(cè)評(píng)過(guò)程中突發(fā)事故和泄密事件的發(fā)生。各級(jí)金融企業(yè)、單位要按照中國(guó)人民銀行發(fā)布的有關(guān)標(biāo)準(zhǔn)要求，嚴(yán)格選擇符合資質(zhì)的測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員，同時(shí)要加強(qiáng)等級(jí)測(cè)評(píng)的資源管理和過(guò)程管理，做好測(cè)評(píng)設(shè)備和過(guò)程的隔離和封閉，確保測(cè)評(píng)過(guò)程在安全可控的前提下規(guī)范化實(shí)施。對(duì)等級(jí)測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題，要及時(shí)采取防范措施加以防控或緩釋?zhuān)⑦M(jìn)一步制定和落實(shí)相應(yīng)的整改方案，使信息系統(tǒng)的安全等級(jí)保護(hù)得以有效落實(shí)。