鄧偉玲

(南寧市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)，廣西 南寧 530022)

一 信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在的主要問題

第一，利用基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪活動(dòng)迅速上升。不法分子利用一些安全漏洞，使用病毒、木馬、網(wǎng)絡(luò)釣魚等技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，對(duì)我國(guó)的經(jīng)濟(jì)秩序、社會(huì)管理秩序和公民的合法權(quán)益造成嚴(yán)重侵害。

第二，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)存在安全隱患。由于各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心設(shè)備、技術(shù)和高端服務(wù)主要依賴國(guó)外進(jìn)口，在操作系統(tǒng)、專用芯片和大型應(yīng)用軟件等方面不能自主可控，給我國(guó)的信息安全帶來了深層的技術(shù)隱患。

第三，我國(guó)的信息安全保障工作基礎(chǔ)薄弱。信息安全意識(shí)和安全防范能力差，信息系統(tǒng)安全建設(shè)、監(jiān)管缺乏依據(jù)和標(biāo)準(zhǔn)，安全保護(hù)措施和安全制度不完善，監(jiān)管措施不到位。1994年《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定”。2003年中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)［2003］27號(hào))明確指出“實(shí)行信息安全等級(jí)保護(hù)”，“要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。實(shí)行信息安全等級(jí)保護(hù)是國(guó)際上通行的做法開展信息安全等級(jí)保護(hù)工作應(yīng)建立安全保護(hù)機(jī)制，安全保護(hù)機(jī)制包括：信息安全效能評(píng)估、信息安全保障工作評(píng)價(jià)機(jī)制、印記響應(yīng)機(jī)制、安全響應(yīng)技術(shù)體系、安全監(jiān)測(cè)預(yù)警機(jī)制等。

二 建立信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全保護(hù)機(jī)制

本人就從事信息安全等級(jí)保護(hù)工作以來，淺談信息系統(tǒng)在開展等級(jí)保護(hù)工作建立安全保護(hù)機(jī)制應(yīng)從以下幾個(gè)方面開展。

(一)積極組織部署等級(jí)保護(hù)工作

1.專門成立等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)機(jī)構(gòu)成立由分管領(lǐng)導(dǎo)、分管部門、網(wǎng)絡(luò)管理組成的信息安全等級(jí)保護(hù)協(xié)調(diào)領(lǐng)導(dǎo)小組，確保系統(tǒng)高效運(yùn)行、理順信息安全管理、規(guī)范信息化安全等級(jí)建設(shè)。

2.明確等級(jí)保護(hù)責(zé)任部門和工作崗位開會(huì)、下文明確等級(jí)保護(hù)責(zé)任部門，做到分工明確，責(zé)任具體到人。

3.貫徹落實(shí)等級(jí)保護(hù)各項(xiàng)工作文件或方案等級(jí)保護(hù)責(zé)任部門和工作人員認(rèn)真貫徹落實(shí)公安部、省公安廳等級(jí)保護(hù)各項(xiàng)工作文件或方案，制定出《網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》、《機(jī)房管理制度》等一系列規(guī)章制度，落實(shí)等級(jí)保護(hù)工作。

4.召開工作動(dòng)員會(huì)議，組織人員培訓(xùn)，專門部署等級(jí)保護(hù)工作每季度召開一次工作動(dòng)員會(huì)議，定期、不定期對(duì)技術(shù)人員進(jìn)行培訓(xùn)，并開展考核。技術(shù)人員認(rèn)真學(xué)習(xí)貫徹有關(guān)文件精神，把信息安全等級(jí)保護(hù)工作提升到重要位置，常抓不懈。

5.要求主要領(lǐng)導(dǎo)認(rèn)真聽取等級(jí)保護(hù)工作匯報(bào)并做出重要指示主要領(lǐng)導(dǎo)對(duì)等級(jí)保護(hù)工作給與批示，要求認(rèn)真做好有關(guān)工作。指示責(zé)任部門做好自檢、自查，精心準(zhǔn)備，迎接公安機(jī)關(guān)專項(xiàng)檢查。

(二)認(rèn)真落實(shí)信息安全責(zé)任制

1.成立信息安全職能部門單位需成立信息系統(tǒng)安全職能部門，負(fù)責(zé)信息系統(tǒng)絡(luò)建設(shè)，信息安全，日常運(yùn)行管理。

2.制定信息安全責(zé)任追究制度制定相應(yīng)信息安全責(zé)任追究制度，定崗到人，明確責(zé)任分工，把信息安全責(zé)任事故降低到最低。

(三)積極推進(jìn)信息安全制度建設(shè)

1.加強(qiáng)人員安全管理制度建設(shè)各單位需建立人員錄用、離崗、考核、安全保密、教育培訓(xùn)、外來人員管理等安全管理制度，對(duì)新進(jìn)人員進(jìn)行培訓(xùn)，加強(qiáng)人員安全管理，不定期開展考核。

2.嚴(yán)格執(zhí)行機(jī)房安全管理制度各單位需制定出《機(jī)房管理制度》，加強(qiáng)機(jī)房進(jìn)出人員管理和日常監(jiān)控制度，嚴(yán)格實(shí)施機(jī)房安全管理?xiàng)l例，做好防火防盜，保證機(jī)房安全。

3.建立系統(tǒng)建設(shè)管理制度各單位需制訂產(chǎn)品采購(gòu)、工程實(shí)施、驗(yàn)收交付、服務(wù)外包等系統(tǒng)建設(shè)管理制度，通過公開招標(biāo)，擇優(yōu)選用，提高系統(tǒng)建設(shè)的質(zhì)量。

(四)大力加強(qiáng)信息系統(tǒng)運(yùn)維

1.開展日常信息安全監(jiān)測(cè)和預(yù)警各單位需建立日常信息安全監(jiān)測(cè)和預(yù)警機(jī)制，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共能力事件，加強(qiáng)網(wǎng)絡(luò)信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害。

2.建立安全事件報(bào)告和響應(yīng)處理程序各單位需建立健全分級(jí)負(fù)責(zé)的應(yīng)急管理體制，完善日常安全管理責(zé)任制。相關(guān)部門各司其職，做好日常管理和應(yīng)急處置工作。設(shè)立安全事件報(bào)告和相應(yīng)處理程序，根據(jù)安全事件分類和分級(jí)，進(jìn)行不同的上報(bào)程序，開展不同的響應(yīng)處理。

3.制定應(yīng)急處置預(yù)案，定期演練并不斷完善制定安全應(yīng)急預(yù)案，根據(jù)預(yù)警信息，啟動(dòng)相應(yīng)應(yīng)急程序，加強(qiáng)值班值守工作，做好應(yīng)急處理各項(xiàng)準(zhǔn)備工作。定期演練預(yù)警方案，不斷完善預(yù)警方案可行性、可操作性。

(五)有效推進(jìn)信息系統(tǒng)等級(jí)測(cè)評(píng)和安全建設(shè)整改工作

1.制定等級(jí)測(cè)評(píng)工作計(jì)劃認(rèn)真制定等級(jí)測(cè)評(píng)工作計(jì)劃表，按照工作計(jì)劃表，有條不紊的開展等級(jí)測(cè)評(píng)。

2.制定安全建設(shè)整改工作計(jì)劃制定安全建設(shè)整改工作計(jì)劃，根據(jù)自查結(jié)果，對(duì)發(fā)現(xiàn)問題進(jìn)行安全建設(shè)整改。編制整改方案，限期完成整改計(jì)劃。

3.保證等級(jí)測(cè)評(píng)工作經(jīng)費(fèi)優(yōu)先保證等級(jí)測(cè)評(píng)工作經(jīng)費(fèi)的劃撥、使用。

4.落實(shí)安全建設(shè)整改工作經(jīng)費(fèi)保障積極落實(shí)安全建設(shè)整改工作經(jīng)費(fèi)，協(xié)調(diào)財(cái)政部門保障整改經(jīng)費(fèi)保障。

三 不斷完善等級(jí)保護(hù)自查和整改

1.組織部署等級(jí)保護(hù)自查工作領(lǐng)導(dǎo)協(xié)調(diào)小組開專題會(huì)議，部署等級(jí)保護(hù)自查工作。按照信息安全等級(jí)保護(hù)工作檢查表的要求，細(xì)化各項(xiàng)檢查指標(biāo)，落實(shí)各項(xiàng)指標(biāo)。

2.等級(jí)保護(hù)體系建立后，還需要一個(gè)有效的、持續(xù)性的驗(yàn)證方法確保信息系統(tǒng)在不斷發(fā)展的同時(shí)保證符合安全等級(jí)要求，并且由管理部門確認(rèn)信息系統(tǒng)能夠投入運(yùn)行，這就是信息系統(tǒng)的認(rèn)證和認(rèn)可(C＆A)。這個(gè)階段一般由國(guó)家專門的測(cè)評(píng)認(rèn)證和認(rèn)可部門進(jìn)行。信息安全立法、評(píng)測(cè)認(rèn)證體系對(duì)等級(jí)保護(hù)起著至關(guān)重要的作用。由于業(yè)務(wù)的發(fā)展和信息技術(shù)的更新，信息系統(tǒng)始終處在變更過程中;由于新的安全漏洞和威脅的不斷出現(xiàn)，信息資產(chǎn)也會(huì)出現(xiàn)新的安全脆弱點(diǎn)，這可能會(huì)影響到整個(gè)信息系統(tǒng)的安全風(fēng)險(xiǎn)狀態(tài)和安全等級(jí)。所以，用戶需要建立一套動(dòng)態(tài)的安全狀況跟蹤和監(jiān)控機(jī)制。

四 總結(jié)

等級(jí)保護(hù)是信息安全保障基礎(chǔ)性工作的核心，是涉及范圍廣泛的系統(tǒng)工程，需要大量的理論研究工作，尤其需要在實(shí)踐工作中獲得經(jīng)驗(yàn)教訓(xùn)，樹立最佳實(shí)踐，并且逐步進(jìn)行體系的發(fā)展和完善。我們需要在開放、合作的前提下，發(fā)動(dòng)全社會(huì)的力量投入到等級(jí)保護(hù)建設(shè)中去，才能如期有效地實(shí)現(xiàn)信息安全保障的目標(biāo)。