企業(yè)信息安全工作實(shí)踐

摘? ?要：信息安全的重要性越來(lái)越受到國(guó)家和企業(yè)的重視，信息安全等級(jí)保護(hù)相關(guān)規(guī)范的出現(xiàn)，給各個(gè)企業(yè)的信息安全工作提供了一個(gè)很好的抓手，企業(yè)應(yīng)該針對(duì)不同的信息系統(tǒng)，按照要求從定級(jí)、備案、安全建設(shè)和整改、等級(jí)測(cè)評(píng)五個(gè)方面入手開(kāi)展企業(yè)信息安全工作，不僅能滿足國(guó)家相關(guān)要求，也能從技術(shù)和管理兩個(gè)方面開(kāi)展工作，搭建企業(yè)信息化安全體系架構(gòu)，提升企業(yè)的信息安全整體能力。

關(guān)鍵詞：信息安全;安全等保;網(wǎng)絡(luò)安全法

中圖分類(lèi)號(hào)：TP309? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The importance of information security has been gained a very high attention by the government and enterprises. The regulation of information security classification protection has provided a good guideline for enterprises information security.? For different systems， enterprises should start to work based on the following five aspects： classifcation， filing， security system buildup & restrengthen， and evaluation according to the different requirements， so that it not only can meet the relevant requirements of the government， but also can build up the enterprise information security architecture via technology and management aspects， then overall enhance the capability of enterprise information security.

Key words： information security; security classfication; cybersecurity law

1 引言

隨著信息化的普及，信息系統(tǒng)的基礎(chǔ)性、全局性日益突出，信息資源已成為重要的戰(zhàn)略資源之一。整體來(lái)說(shuō)我國(guó)的信息安全保障工作基礎(chǔ)還很薄弱，保障信息安全成為信息化發(fā)展中的重要課題。面對(duì)當(dāng)前信息安全面臨的復(fù)雜、嚴(yán)峻形勢(shì)，基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)一旦出現(xiàn)大的信息安全問(wèn)題，不僅僅影響本單位、本行業(yè)，而且直接威脅國(guó)家安全、社會(huì)穩(wěn)定以及經(jīng)濟(jì)發(fā)展。

2 加強(qiáng)信息安全工作既是國(guó)家要求也是企業(yè)自身迫切需要

從國(guó)家層面看，國(guó)家對(duì)信息安全工作高度重視。2013年6月“棱鏡門(mén)”事件爆發(fā)并持續(xù)發(fā)酵后，中國(guó)已將信息安全工作提高到前所未有的高度。公安部及相關(guān)部委多次以會(huì)議、通知及實(shí)地檢查的方式督促企業(yè)加強(qiáng)信息安全保障工作，要求信息系統(tǒng)必須符合國(guó)家信息安全相關(guān)規(guī)定。

從企業(yè)層面上看，信息安全嚴(yán)重影響企業(yè)自身價(jià)值，這幾年信息安全事件主要集中在信息泄露和網(wǎng)絡(luò)詐騙兩方面，2018年全球網(wǎng)絡(luò)造成近30億以上的用戶(hù)信息泄露，形成巨大的安全隱患。在這幾年公安部組織的“護(hù)網(wǎng)行動(dòng)”中，多家企業(yè)的重要信息系統(tǒng)不堪一擊，也存在多個(gè)國(guó)內(nèi)企業(yè)的網(wǎng)站、郵箱和對(duì)外服務(wù)的信息系統(tǒng)被黑客攻陷的案例，造成對(duì)企業(yè)發(fā)展的不良影響。

信息安全的重要性不言而喻，但怎樣根據(jù)公司的實(shí)際情況，針對(duì)重要程度不同的信息系統(tǒng)建立不同信息系統(tǒng)安全防護(hù)體系，是一個(gè)亟待解決的難題。2007年發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》，從整體上給企業(yè)的信息安全工作指明了方向。

3 以安全等保為抓手，搭建企業(yè)信息化安全體系架構(gòu)

目前多數(shù)公司的安全防護(hù)是從技術(shù)入手，部署上網(wǎng)行為管理系統(tǒng)、防火墻、入侵檢測(cè)和網(wǎng)絡(luò)接入控制系統(tǒng)等，但各自為政，不僅安全技術(shù)缺乏體系，不能切實(shí)發(fā)揮技術(shù)防護(hù)的作用，而且整體上缺乏頂層設(shè)計(jì)和體系化，難以全方位抵御攻擊。保障信息系統(tǒng)安全需要大量的人力物力投入，不同公司的信息系統(tǒng)使用范圍不同，重要程度不同的信息系統(tǒng)不可能統(tǒng)一的做相同安全防范，應(yīng)該區(qū)別對(duì)待。早在20世紀(jì)90年代，美國(guó)發(fā)布的FIPS199《聯(lián)邦信息和信息系統(tǒng)安全分類(lèi)標(biāo)準(zhǔn)》，就針對(duì)美國(guó)政府聯(lián)邦的信息系統(tǒng)從機(jī)密性、完整性和可用性三個(gè)方面評(píng)估，按程度高中低分級(jí)，并加以不同的安全保護(hù)要求。中國(guó)在信息安全等級(jí)保護(hù)方面也不甘落后，1994年國(guó)務(wù)院下發(fā)了《中華人民共和國(guó)計(jì)算機(jī)信息安全保護(hù)條例》，首次提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)的概念，以推動(dòng)信息安全保障工作的順利進(jìn)行。但真正成體系化全面推行等級(jí)保護(hù)是2007年7月16日公安部會(huì)同國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合出臺(tái)的《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，要求在全國(guó)范圍內(nèi)開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)（簡(jiǎn)稱(chēng)安全等保）定級(jí)工作。近期隨著信息安全的國(guó)內(nèi)國(guó)外形勢(shì)越來(lái)越嚴(yán)峻，國(guó)家加強(qiáng)了對(duì)信息安全工作的要求，于2017年6月1日公布實(shí)施了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，該法的第21條明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，標(biāo)志著網(wǎng)絡(luò)安全保護(hù)進(jìn)入有法可依的新時(shí)代，“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”首次納入國(guó)家法律。為了合乎國(guó)家法律要求，各企業(yè)應(yīng)對(duì)尚未開(kāi)展安全等保的信息系統(tǒng)開(kāi)展相應(yīng)的工作，對(duì)不同級(jí)別的信息系統(tǒng)進(jìn)行不同的安全防護(hù)，搭建企業(yè)整體的安全體系架構(gòu)。

4 安全等保工作的具體實(shí)踐

信息系統(tǒng)安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，信息系統(tǒng)的安全等保工作共有五個(gè)階段，包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)。

4.1 定級(jí)

2007年公布的《信息安全等級(jí)保護(hù)管理辦法》規(guī)定信息系統(tǒng)安全等級(jí)從低到高分為五級(jí)，五級(jí)為最高，是根據(jù)所定級(jí)的信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素自主定級(jí)及自主保護(hù)確定的。兩個(gè)定級(jí)要素為等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體和對(duì)客體造成侵害的程度。安全被破壞時(shí)侵害的客體包括公民、法人和其他組織的合法權(quán)益，社會(huì)秩序、公共利益和國(guó)家安全三個(gè)方面。對(duì)客體造成侵害的程度有三種：一般損害、嚴(yán)重?fù)p害和特別嚴(yán)重?fù)p害。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如表1所示。

信息系統(tǒng)的定級(jí)應(yīng)該在信息系統(tǒng)的規(guī)劃設(shè)計(jì)時(shí)同期展開(kāi)，根據(jù)2007年發(fā)布的等保要求（簡(jiǎn)稱(chēng)為等保1.0），定級(jí)可以采用自主定級(jí)的方式展開(kāi)，目前等保2.0正在征求意見(jiàn)稿中，等保2.0將等保1.0中的“信息安全等級(jí)保護(hù)”與時(shí)俱進(jìn)優(yōu)化為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”，其中不僅擴(kuò)大了等保1.0的覆蓋范圍，覆蓋了這幾年新興的技術(shù)—云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)和物聯(lián)網(wǎng)，也醞釀將自主定級(jí)增加專(zhuān)家評(píng)定和主管部門(mén)審核的環(huán)節(jié)。

定級(jí)三級(jí)以上非常重要的信息系統(tǒng)可以納入國(guó)家關(guān)鍵基礎(chǔ)設(shè)施管理，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

4.2 備案

定級(jí)為二級(jí)以上的信息系統(tǒng)需要到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)安部門(mén)備案，備案前應(yīng)完成公司的《信息系統(tǒng)安全定級(jí)方案》（《定級(jí)方案》）和填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》（《備案表》）。 在《備案表》中需要填寫(xiě)單位的基本情況和信息安全責(zé)任部門(mén)情況，并填寫(xiě)本次需備案的各個(gè)信息系統(tǒng)應(yīng)用、系統(tǒng)及安全定級(jí)等情況。在《定級(jí)方案》中需對(duì)備案的各信息系統(tǒng)的應(yīng)用、維護(hù)、系統(tǒng)架構(gòu)和安全定級(jí)的依據(jù)做進(jìn)一步的描述。

上述兩個(gè)備案文件需加蓋公司公章后提交當(dāng)?shù)毓矙C(jī)關(guān)審核，審核通過(guò)后，每個(gè)信息系統(tǒng)都會(huì)被頒發(fā)公安部監(jiān)制的《信息系統(tǒng)安全等級(jí)保護(hù)備案證明》。

4.3 安全建設(shè)

信息安全和信息系統(tǒng)的建設(shè)應(yīng)該是相輔相成的，必須做到與信息系統(tǒng)統(tǒng)一規(guī)劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施，信息系統(tǒng)的安全建設(shè)應(yīng)該與系統(tǒng)的規(guī)劃、設(shè)計(jì)及實(shí)施同步進(jìn)行，否則容易造成“兩張皮”，做了無(wú)用功，系統(tǒng)安全得不到保障。安全等保的建設(shè)需要從技術(shù)和管理兩方面入手，技術(shù)上根據(jù)系統(tǒng)架構(gòu)，從底層的機(jī)房到上面的信息系統(tǒng)應(yīng)用和數(shù)據(jù)分為五大類(lèi)：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。管理方面由五大部分組成：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》里有明確的對(duì)各級(jí)技術(shù)和管理的要求，由于所保護(hù)的系統(tǒng)的重要程度不同，級(jí)別越高的系統(tǒng)，在技術(shù)和管理方面的要求越高。如在一級(jí)系統(tǒng)只需要對(duì)重要信息系統(tǒng)進(jìn)行備份和恢復(fù);二級(jí)系統(tǒng)增加了應(yīng)提供關(guān)鍵設(shè)備的硬件冗余;三級(jí)系統(tǒng)進(jìn)一步要求完全數(shù)據(jù)備份至少每天一次并場(chǎng)外存放;應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地;四級(jí)系統(tǒng)則須建立異地災(zāi)備應(yīng)用災(zāi)備中心，數(shù)據(jù)可以實(shí)時(shí)備份。

4.4 安全整改

信息系統(tǒng)的安全整改應(yīng)該是兩個(gè)方面的內(nèi)容。一是定級(jí)級(jí)別的整改，根據(jù)系統(tǒng)使用范圍和深度的變化，可能會(huì)造成級(jí)別的不同，需要重新定級(jí)備案。二是根據(jù)自查或安全等保測(cè)評(píng)，按照相關(guān)系統(tǒng)的信息安全等級(jí)對(duì)比安全管理和技術(shù)指標(biāo)，進(jìn)行差距和風(fēng)險(xiǎn)分析，使風(fēng)險(xiǎn)分析的結(jié)果與等級(jí)保護(hù)相銜接，確定加固的基本標(biāo)準(zhǔn)和目標(biāo)，為安全加固奠定基礎(chǔ)，在技術(shù)和管理方面實(shí)施切實(shí)有效的加固措施，有效提高重要信息系統(tǒng)的安全防護(hù)水平，為企業(yè)信息化發(fā)展保駕護(hù)航，同時(shí)為等級(jí)保護(hù)測(cè)評(píng)奠定基礎(chǔ)。

4.5 安全等保測(cè)評(píng)

根據(jù)要求，第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)。選擇測(cè)評(píng)機(jī)構(gòu)是應(yīng)參考《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》里具體資質(zhì)的測(cè)評(píng)機(jī)構(gòu)，測(cè)評(píng)機(jī)構(gòu)應(yīng)該是公安部信息安全等級(jí)保護(hù)評(píng)估中心認(rèn)證的，到場(chǎng)的等級(jí)測(cè)評(píng)人員應(yīng)具有評(píng)估中心頒發(fā)的《等級(jí)測(cè)評(píng)師證書(shū)》，對(duì)第三級(jí)以上網(wǎng)絡(luò)提供等級(jí)測(cè)評(píng)服務(wù)的，測(cè)評(píng)師人數(shù)不得少于4名，其中高級(jí)測(cè)評(píng)師、中級(jí)測(cè)評(píng)師應(yīng)各不少于1名。評(píng)估完成后提交《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，并交當(dāng)?shù)毓簿謧浒浮?/p>

二級(jí)系統(tǒng)的等保測(cè)評(píng)可以由自主完成，可以根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》里面要求的指標(biāo)進(jìn)行符合性對(duì)標(biāo)，但為了專(zhuān)業(yè)性建議不定期地由專(zhuān)業(yè)測(cè)評(píng)公司測(cè)評(píng)，以便更全面地查漏補(bǔ)缺。

5 企業(yè)安全等保的思考

企業(yè)的信息安全等保工作中，很容易造成重技術(shù)輕管理的問(wèn)題，技術(shù)上不斷加固，依靠增加硬件設(shè)備來(lái)提高防范能力，但缺乏組織管理，沒(méi)能從系統(tǒng)建設(shè)設(shè)計(jì)階段就考慮安全問(wèn)題，對(duì)人員的安全管理松懈，更多的是處在“事件”管理上，出了安全事件后才去事后處理，無(wú)法做到有效的防御、抗擊和追溯。技術(shù)和管理是一部雙駕馬車(chē)，需要同步建設(shè)，不斷完善，做到事前能預(yù)警和防御，事中能控制，事后能追溯和審計(jì)。

信息系統(tǒng)安全等保工作是一項(xiàng)長(zhǎng)期的工作。按照《網(wǎng)絡(luò)安全法》的要求，不僅新建的信息系統(tǒng)應(yīng)該在項(xiàng)目立項(xiàng)和建設(shè)階段就要統(tǒng)籌考慮安全等保工作，以便在系統(tǒng)架構(gòu)和日常管理中能夠滿足安全等保的要求，對(duì)已定級(jí)的信息系統(tǒng)也需要開(kāi)展安全等保工作，需要不斷進(jìn)行自查和優(yōu)化及整改。如信息系統(tǒng)的應(yīng)用范圍、功能等發(fā)生了變化，可能會(huì)影響到信息系統(tǒng)的安全等保級(jí)別，級(jí)別有所變化則需要去當(dāng)?shù)毓矙C(jī)關(guān)重新備案;二級(jí)以下系統(tǒng)建議每年可以對(duì)照安全等保要求自查;三級(jí)以上的系統(tǒng)則每年需請(qǐng)國(guó)家或地方認(rèn)證的信息安全測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)檢查工作，并根據(jù)檢查的情況查漏補(bǔ)遺，不斷加固。信息安全等保工作不是一勞永逸的工作，需要不斷從技術(shù)和管理兩個(gè)方面進(jìn)行改進(jìn)優(yōu)化，持續(xù)提升安全防御能力。

6 結(jié)束語(yǔ)

本文從國(guó)家和企業(yè)角度分別介紹了信息安全的重要性，分析了企業(yè)開(kāi)展信息安全工作的痛點(diǎn)，論述了以信息安全等級(jí)保護(hù)作為抓手開(kāi)展企業(yè)信息安全工作，不僅能滿足國(guó)家相關(guān)要求，也能從技術(shù)和管理兩個(gè)方面開(kāi)展工作搭建企業(yè)信息化安全體系架構(gòu)，并根據(jù)實(shí)際工作經(jīng)驗(yàn)，具體闡述了安全等保工作的五個(gè)階段具體工作以及后續(xù)工作的思考和建議，希望能為企業(yè)開(kāi)展信息化安全工作提供參考。

參考文獻(xiàn)

[1] 公安部，等.信息安全等級(jí)保護(hù)管理辦法[Z].2007.

[2] 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，等.信息系統(tǒng)安全等級(jí)保護(hù)基本要求[Z].2008.

[3] 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，等. 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南[Z].2008.

[4] 全國(guó)人民代表大會(huì)常務(wù)委員會(huì).中華人民共和國(guó)網(wǎng)絡(luò)安全法[Z].2017.

作者簡(jiǎn)介：

盧旭紅（1965-），女，漢族，江蘇南京人，美國(guó)紐約城市大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：信息系統(tǒng)架構(gòu)的研究、建設(shè)和管理、系統(tǒng)運(yùn)維及信息安全。