□宋博石菡閆曉敏劉子涵

（1河南省水利信息中心；2國網(wǎng)河南省電力公司電力科學(xué)研究院計量中心）

河南水利應(yīng)用系統(tǒng)安全等級保護工作淺析

□宋博1石菡2閆曉敏1劉子涵1

（1河南省水利信息中心；2國網(wǎng)河南省電力公司電力科學(xué)研究院計量中心）

信息化技術(shù)的不斷應(yīng)用使得水利應(yīng)用系統(tǒng)不斷龐大，防汛抗旱、水資源管理、電子政務(wù)，電子郵件系統(tǒng)等已經(jīng)廣泛應(yīng)用在水利系統(tǒng)的方方面面。信息系統(tǒng)也面臨著各種各樣的攻擊和挑戰(zhàn)，蠕蟲病毒、拒接服務(wù)、爬蟲掃描、后門漏洞等，不僅影響了業(yè)務(wù)系統(tǒng)的正常運行，也使個人隱私和敏感信息暴露無疑。應(yīng)用系統(tǒng)的等級保護工作既是網(wǎng)絡(luò)安全法的基本要求，也是應(yīng)用系統(tǒng)安全穩(wěn)定運行的重要保障，做好水利應(yīng)用系統(tǒng)的安全防護、定級測評工作就成為最基本的安全需求。

水利應(yīng)用系統(tǒng)；定級測評；等級保護；安全

0 前言

河南省水利應(yīng)用系統(tǒng)近年來快速發(fā)展，依托國家水利部建設(shè)了防汛抗旱、水資源管理、移民安置等重要業(yè)務(wù)系統(tǒng)，2010年開始建設(shè)河南水利電子政務(wù)系統(tǒng)，目前已完成河南水利門戶網(wǎng)站群、支撐環(huán)境系統(tǒng)、內(nèi)部綜合辦公系統(tǒng)、行政審批系統(tǒng)建設(shè)。全省目前共有主要應(yīng)用系統(tǒng)20個，現(xiàn)有2個二級及以上業(yè)務(wù)完成安全等級保護定級和測評備案工作，包含河南省水資源管理系統(tǒng)定級備案為三級，水利門戶網(wǎng)站定級備案為二級。按照最新頒布的網(wǎng)絡(luò)安全法和關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)要求，河南省水利應(yīng)用系統(tǒng)安全等級保護工作還比較落后，盡快加強和完善等級保護工作就顯得尤為重要。

1 等級保護工作基本要求

2007年8月公安部等四部局辦，聯(lián)合下發(fā)了《信息安全等級保護管理辦法》。

管理辦法對信息系統(tǒng)的安全加固、整改完善提供了具體依據(jù)，也是信息系統(tǒng)進(jìn)行安全測評及國家信息安全監(jiān)管部門進(jìn)行監(jiān)督、檢查、指導(dǎo)的依據(jù)。做好等級保護工作，既是國家的基本要求，也是行業(yè)自身安全運行迫切需要。

2 《網(wǎng)絡(luò)安全法》明確要求

近年來信息化安全事件頻發(fā)，網(wǎng)絡(luò)安全已經(jīng)提升為國家安全的高度?！吨腥A人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起施行。網(wǎng)絡(luò)安全法是我國第一部針對網(wǎng)絡(luò)安全的法律，對國家網(wǎng)絡(luò)和個人隱私保護都提出了全新細(xì)致的要求，將成為我國網(wǎng)絡(luò)安全的重要保障。

《網(wǎng)絡(luò)安全法》第二十一條明確指出：國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)履行自身安全保護義務(wù)，保障個人敏感信息安全。第三十一條：關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。

3 信息系統(tǒng)安全等級保護現(xiàn)狀

全省目前共有主要應(yīng)用系統(tǒng)20個，現(xiàn)有2個二級及以上業(yè)務(wù)完成定級和備案工作，包括河南省水資源管理系統(tǒng)定級為三級，門戶網(wǎng)站定級為二級。按照最新頒布的網(wǎng)絡(luò)安全法和關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)要求，河南省現(xiàn)有信息系統(tǒng)等級保護定級工作不夠完善，重要信息系統(tǒng)還存在定級標(biāo)準(zhǔn)低，未進(jìn)行定級評測和測評工作。按照《網(wǎng)絡(luò)安全法》和關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)要求，河南省部分關(guān)鍵信息基礎(chǔ)設(shè)施定級尚未符合要求，還未開展等級保護定級和評測工作。

關(guān)鍵信息基礎(chǔ)設(shè)施是指涉及國家重要領(lǐng)域和共用事業(yè)的部門，如果發(fā)生安全事故會影響社會穩(wěn)定和國民經(jīng)濟正常運行對人民生命財產(chǎn)造成嚴(yán)重?fù)p失。關(guān)鍵信息基礎(chǔ)設(shè)施包括網(wǎng)站類，如黨政機關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等；平臺類，如即時通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺；生產(chǎn)業(yè)務(wù)類，如辦公和業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計算平臺、電視轉(zhuǎn)播系統(tǒng)等。水利行業(yè)作為其中的一項重要組成，既承擔(dān)了國民經(jīng)濟建設(shè)的使命，又關(guān)乎每一個人的正常生活，因此要做好重要水利系統(tǒng)安全保障工作，確?；A(chǔ)設(shè)施的安全穩(wěn)定運行。

4 實行信息安全等級保護的意義

信息安全等級保護工作自建立以來已經(jīng)有近20年的時間，從當(dāng)初的最基本的指導(dǎo)方法發(fā)展為今天的等級保護2.0。在很多的發(fā)達(dá)國家，等級保護工作也被廣泛的應(yīng)用在基礎(chǔ)設(shè)施的保障中，我國的等級保護工作遵從“重點保護，適度安全的原則”。根據(jù)具體應(yīng)用系統(tǒng)的重要程度化分為五個不同的等級，實施不同的防護要求，這樣做既有利于有限的財力和人力保障投入最需要的部位，便于安全資源的優(yōu)化配置，也有利于整體安全水平的提高。2017年5月全球爆發(fā)了大面積的電腦勒索病毒W(wǎng)annaCry，波及150多個國家7.50萬臺電腦被感染。我國的一些領(lǐng)域部門也受到了影響，但總體的影響程度并不嚴(yán)重，特別是對水利行業(yè)的影響較小。這和近幾年來重視和加強信息安全等級保護工作有著密不可分的關(guān)系，通過信息安全的同步規(guī)劃和同步實施，有利的保障了重要應(yīng)用系統(tǒng)的安全性，提高了水利整體安全管理意識和運維規(guī)范水平。通過實行信息安全等級保護制度，有利于明確相關(guān)部門和人員的安全責(zé)任，有利于保障國民經(jīng)濟和人民生活的穩(wěn)定運行，因此信息安全等級保護是國家信息安全保障工作的基本制度。

5 等級保護流程

信息安全等級保護工作可以分為：定級、備案、審核、變更和撤銷五個環(huán)節(jié)，不同的對象根據(jù)自身的情況對照執(zhí)行。

5.1 等級劃分

計算機信息系統(tǒng)安全保護根據(jù)系統(tǒng)的重要程度和受到破壞以后產(chǎn)生的社會影響程度可以劃分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

5.2 定級程序

信息系統(tǒng)管理和運行單位根據(jù)自身應(yīng)用系統(tǒng)具體情況，參照定級指南的標(biāo)準(zhǔn)，確定應(yīng)用系統(tǒng)的等級，對于一級及以下的應(yīng)用系統(tǒng)可以自主定級，對于二級及以上的信息系統(tǒng)應(yīng)向當(dāng)?shù)匕踩珯C關(guān)備案，四級以上信息系統(tǒng)應(yīng)當(dāng)由國家安全保護專家評審會評審確定。

5.3 備案審核

信息系統(tǒng)管理和運行單位根據(jù)自身應(yīng)用系統(tǒng)具體情況確定等級后向公安機關(guān)提出備案申請，公安部門10個工作日內(nèi)審查并出具意見。符合定級要求的加蓋公章并完成備案，不符合要求的將通知備案單位整改或者進(jìn)行重新定級，直至備案單位符合等級保護備案要求。

5.4 備案變更

備案表中事項發(fā)生變更，備案單位應(yīng)當(dāng)自變更之日起30日內(nèi)重新填寫備案表并報公安機關(guān)網(wǎng)監(jiān)部門備案。其中涉及備案證明的，公安機關(guān)網(wǎng)監(jiān)部門應(yīng)當(dāng)重新頒布備案證明。

6 安全建設(shè)思路

我國信息安全等級保護制度的指導(dǎo)思想是：“按需防御的等級化安全體系”。整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)《信息系統(tǒng)安全等級保護基本要求》分為物理安全，主要包括機房和線路環(huán)境；網(wǎng)絡(luò)安全，主要包括接入端到用戶端的數(shù)據(jù)鏈路；主機安全，主要包括各應(yīng)用服務(wù)器和個人終端電腦和移動設(shè)備；應(yīng)用安全，主要包括應(yīng)用系統(tǒng)自身和安全防護相關(guān)；數(shù)據(jù)安全，主要包括數(shù)據(jù)的使用，存儲，傳輸?shù)确矫?。管理部分重點針對運行維護人員，根據(jù)《信息系統(tǒng)安全等級保護基本要求》則分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面。

根據(jù)等級化安全保障體系的設(shè)計思路，等級保護的設(shè)計與實施通過以下步驟進(jìn)行：系統(tǒng)識別與定級、安全域設(shè)計、確定安全域安全要求、評估現(xiàn)狀、安全保障體系方案設(shè)計、安全建設(shè)和持續(xù)安全運維。通過如上步驟，系統(tǒng)可以形成整體的等級化的安全保障體系，同時根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。等級保護工作應(yīng)該是一個不斷循環(huán)的過程，通過持續(xù)的整改和完善達(dá)到和適應(yīng)不同時期的持續(xù)安全要求。

編輯：趙鑫

TP309

：B

：1673-8853（2017）08-0095-02

2017-06-06