论文部分内容阅读
(记者 陈芳丹)今年是等级保护工作全面开展的第一年,作为一项基本制度,等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。
6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过,办法的颁布标志着2006年《信息安全等级保护管理办法》(公通字[2006]7号)的废止。自此,全国范围的等级保护工作便轰轰烈烈地展开了。到12月2日,等级保护工作的开展已4个月有余。如何有效地总结各部委、行业等级保护工作的进展情况,并对下一步工作的开展进行合理展望,就成为本次IT两会“等级保护推广与实施”论坛的关注点。
本次论坛上,公安部公共信息网络安全监察局七处处长郭启全、信息化技术标准委员会副主任委员崔书昆、东软网络安全营销中心解决方案部部长曹鹏、e-Cop公司区域副总裁兼董事总经理徐为群等与会嘉宾,分别从主管部门的政策引导、专家的认识体会以及厂商的产业推动等方面,进行了等级保护相关的主题演讲。
等级保护意义重大
随着国民经济和社会发展信息化进程的全面加快、信息化程度的不断提高,关系国计民生的基础信息网络和重要信息系统已经成为国家的命脉所在。然而在当前,我国基础信息网络和重要信息系统却仍然面临着外部攻击、威胁、自身脆弱性、薄弱环节等诸多问题。2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)出台后,各单位、部门都在信息安全保障工作方面开展了多项工作并取得了一定成效。然而,在信息安全保障工作的具体落实过程中,却仍然存在着“工作重点不突出、找不出重点、没有标准”等问题,公安部公共信息网络安全监察局七处处长郭启全在本次论坛上指出,“总的来说,信息安全保障工作没有一个总体的牵头的带动工作,落实起来还显得比较弱,这样的形势促使国家大力推进等级保护制度。”
在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。信息化技术标准委员会副主任委员崔书昆认为,“在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力、维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。”
其实,信息安全等级保护是欧、美等发达国家实现信息安全保障工作的通行做法。譬如,美国在1985年发布的《可信计算机系统评估准则》(TCSEC)将计算机系统安全等级分为四等七级;欧洲在1990年发布的《信息技术安全评估准则》(ITSEC)将信息系统安全功能分为十级,评估级分为七级;1996年,欧美六国七方制订的《信息技术安全共同评估准则》(后来成为ISO/IEC 15408(1999)国际标准)将评估保障级分为七级;2002年美国制订的《联邦信息安全管理法案》(FISMA)规定,每一联邦机构必须按照FIPS199等标准,依据信息系统及其所载信息的重要性和影响,分别划为高、中、低三个基本安全保护级别。由此可见,实施等级保护,将信息系统按其所载信息的重要程度划分级别、采取防护措施已经形成国际潮流,而我国的等级保护工作的开展是顺应国际潮流的举措。同时,对国外有益经验的借鉴也可以加速我国信息安全保障体系的建设。
6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过。7月,四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。43号文与861号文的出台,不仅为等级保护工作的开展提供了规范保障,也从政策文件角度标志着这项工作的成熟。两个里程碑式的文件正式出台并下发后,7月20日,由公安部牵头的“全国重要信息系统安全等级保护定级工作电视电话会议”在北京召开,标志着信息安全等级保护工作在全国范围内正式开展与实施。同时,公安部、国家保密局、国家密码管理局联合成立的“国家信息安全等级保护协调小组”的建立,也为等级保护工作的开展提供了有力的组织保障。
“通过实施等级保护,充分体现‘适度安全、保护重点’的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。”郭启全处长表示。在本次论坛上,郭启全特别强调了等级保护的两个属性——“惟一性”与“强制性”。“等级保护的工作是国家信息保障的基本制度,具有惟一性,不具有选择性。信息安全等级保护是国家意志的体现,国家信息安全保障工作只有等级保护制度是强制实施的,也只有等级保护工作是由四个部委共同组织实施、公安机关牵头实施的。”
定级工作火热开展
7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开后,酝酿多年的信息安全等级保护工作便在全国正式展开了。在本次论坛上,崔书昆用“定级热潮”来形容轰轰烈烈的等级保护定级工作,“其规模之大,涉及面之广,各级领导之重视,在我国信息安全工作史上甚是少见。”
据他介绍,在工作开展过程中,由四部委代表国家执行三个方面的工作:第一,组织制订国家等级保护的政策标准规范;第二,组织各单位实施、开展等级保护工作;第三,对等级保护工作进行监督检查指导。谈到刚刚过去的2007下半年各部委开展的自主定级工作时,郭启全表示,“所谓自主定级,是由于各单位了解自己信息系统的重要部位,因此需要进行自主定级。而需要强调的是,自主定级不是绝对的。”据悉,单位在自主定级后,还需要经过领导部门的审批、专家评审以及公安机关备案的“三关”审核。各单位对信息系统自主定级,并向公安机关以及保密部门备案,是今年国家等级保护的主要工作。
在4个多月等级保护定级工作的开展过程中,崔书昆参与了多个部门、单位的定级讨论工作。谈到定级工作的体会,崔书昆认为,“吃透文件、把握重点、掌握相关政策并严格依据、把握定级工作的流程”是做好定级的关键。他认为,在定级过程中,各单位还应“结合本行业的特点”。他表示,“实际上,在本次定级当中,各个部委、各个部门都根据自己的工作特点、系统状况,做了具体的系统与等级划分。这次定级工作涉及的面非常广,各个单位的工作特点和信息系统的情况也不一样。如果千篇一律地定级,那么定出来的等级会有很多不适合。”
“另外,进行由上而下的指导也很重要,要坚持评审、审批与备案制度。”崔书昆在论坛上指出,各单位应初步确定信息系统安全保护等级,并聘请专家进行评审;对拟确定为第四级以上信息系统的,还要请国家信息安全保护等级专家评审委员会评审。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,可以进行相应的协调。
崔书昆还强调,在等级保护工作中,除了要贯彻有关的法律法规外,还要全面贯彻信息安全等级保护有关的信息安全技术标准。据他介绍,近几年我国发布的一系列信息安全标准,大体上可以分为五组:实施指南、定级指南、保护要求(包括系统和产品)、管理要求(包括工程管理)和测评要求。“在完成定级之后的各工作阶段,应特别强调贯彻执行已有标准。在信息安全等级保护工作开展的全过程,需要认真学习和应用这些标准,并在应用中提出修订建议,以便不断完善这些标准,使我国信息安全等级保护工作做得更好。”多年来,我国还制订了一系列与涉密系统分级保护工作相关的技术标准与管理标准,这些也应当在相关工作中认真贯彻。
到目前为止,纳入此次重要信息系统定级备案范围的全国各个重点行业、单位和部门,绝大多数都已完成了信息系统定级备案工作。其中50多个部(委、局)以及各省(区、市)专门成立了由主要领导挂帅的等级保护领导(协调)机构,形成了等级保护工作的组织领导机制。铁道部、人民银行、海关总署等40多个部(委、局)召开了全系统会议,部署定级工作,开展集中培训。此外,公安部上门督促指导了17个部委定级工作,并配合20多个部委开展了定级工作培训。“根据我们现在得到的备案数据以及统计结果,绝大多数的部委、省市都已经完成工作,取得了非常大的成效。目前,重要领域、命脉行业的定级工作都完成得非常好。”郭启全用“收获季节”来形容当前的定级工作。
等级保护影响深远
在政策层面和实施层面对等级保护工作进行深入分析后我们看到,实施等级保护或者说通过实施等级保护最终将更好地保障信息安全,其实更多的是在谈论如何划分级别、如何实施管理。在日新月异的安全技术更替中,如何将技术与管理很好地融合,成为值得探讨的话题。技术的进步使得众多安全产品,譬如FW、IDS、防病毒、IPS、CA、PKI等产品百花齐放,令人目不暇接。然而在很多时候,管理制度却是原地踏步。东软网络安全营销中心解决方案部部长曹鹏认为,“没有优秀的管理策略制度支撑的安全产品,只是安全矩阵中的散兵游勇。”作为安全产业的推动者,东软详细阐述了应该将人、技术、管理三者进行融合,并且借此将等级保护工作进行到底。曹鹏认为,“管理是从严到疏,再到自觉;从面面俱到,到点点细致;从技术升华,到回归技术本质。实质上,管理应该走人性化与中国化的创新融合之路。”
在本次论坛上,来自新加坡e-Cop公司的区域副总裁兼董事总经理徐为群,与参会嘉宾分享了新加坡等东南亚国家类似我国等级保护制度的信息安全相关制度,并就e-Cop公司包括安全设备支持维护、安全设备管理、安全咨询服务、安全设备监控、日志分析、事件处理/响应 (7×24安全监控服务)等的可管理安全服务(MSS,Managed Security Service),进行了翔实细致的介绍。
今年是等级保护工作全面正式开展的第一年,而作为一项基本制度,等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。在推进等级保护工作贯彻落实的过程中,如何更准确完整地理解、把握政策要求,如何在每个阶段性工作进展中对经验教训进行及时的回顾和总结,如何有效地借鉴国外等级保护工作的方式方法,如何将日新月异的技术真正融合入安全管理,并最终更好地贯彻于国家制度……诸多问题,都需要整个产业界进行不断地探索、认识和总结。
在本次论坛上,与会各方一致认为,今年定级备案工作的圆满完成,为等级保护的后续工作开了个好头。我们有理由期待建设、整改、测评、检察等工作在今后更完美地开展,并以此从根本上提高我国信息安全保障工作的整体水平。
6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过,办法的颁布标志着2006年《信息安全等级保护管理办法》(公通字[2006]7号)的废止。自此,全国范围的等级保护工作便轰轰烈烈地展开了。到12月2日,等级保护工作的开展已4个月有余。如何有效地总结各部委、行业等级保护工作的进展情况,并对下一步工作的开展进行合理展望,就成为本次IT两会“等级保护推广与实施”论坛的关注点。
本次论坛上,公安部公共信息网络安全监察局七处处长郭启全、信息化技术标准委员会副主任委员崔书昆、东软网络安全营销中心解决方案部部长曹鹏、e-Cop公司区域副总裁兼董事总经理徐为群等与会嘉宾,分别从主管部门的政策引导、专家的认识体会以及厂商的产业推动等方面,进行了等级保护相关的主题演讲。
等级保护意义重大
随着国民经济和社会发展信息化进程的全面加快、信息化程度的不断提高,关系国计民生的基础信息网络和重要信息系统已经成为国家的命脉所在。然而在当前,我国基础信息网络和重要信息系统却仍然面临着外部攻击、威胁、自身脆弱性、薄弱环节等诸多问题。2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)出台后,各单位、部门都在信息安全保障工作方面开展了多项工作并取得了一定成效。然而,在信息安全保障工作的具体落实过程中,却仍然存在着“工作重点不突出、找不出重点、没有标准”等问题,公安部公共信息网络安全监察局七处处长郭启全在本次论坛上指出,“总的来说,信息安全保障工作没有一个总体的牵头的带动工作,落实起来还显得比较弱,这样的形势促使国家大力推进等级保护制度。”
在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。信息化技术标准委员会副主任委员崔书昆认为,“在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力、维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。”
其实,信息安全等级保护是欧、美等发达国家实现信息安全保障工作的通行做法。譬如,美国在1985年发布的《可信计算机系统评估准则》(TCSEC)将计算机系统安全等级分为四等七级;欧洲在1990年发布的《信息技术安全评估准则》(ITSEC)将信息系统安全功能分为十级,评估级分为七级;1996年,欧美六国七方制订的《信息技术安全共同评估准则》(后来成为ISO/IEC 15408(1999)国际标准)将评估保障级分为七级;2002年美国制订的《联邦信息安全管理法案》(FISMA)规定,每一联邦机构必须按照FIPS199等标准,依据信息系统及其所载信息的重要性和影响,分别划为高、中、低三个基本安全保护级别。由此可见,实施等级保护,将信息系统按其所载信息的重要程度划分级别、采取防护措施已经形成国际潮流,而我国的等级保护工作的开展是顺应国际潮流的举措。同时,对国外有益经验的借鉴也可以加速我国信息安全保障体系的建设。
6月22日,《信息安全等级保护管理办法》(公通字[2007]43号)由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等国家四部委制订完成并审批通过。7月,四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。43号文与861号文的出台,不仅为等级保护工作的开展提供了规范保障,也从政策文件角度标志着这项工作的成熟。两个里程碑式的文件正式出台并下发后,7月20日,由公安部牵头的“全国重要信息系统安全等级保护定级工作电视电话会议”在北京召开,标志着信息安全等级保护工作在全国范围内正式开展与实施。同时,公安部、国家保密局、国家密码管理局联合成立的“国家信息安全等级保护协调小组”的建立,也为等级保护工作的开展提供了有力的组织保障。
“通过实施等级保护,充分体现‘适度安全、保护重点’的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。”郭启全处长表示。在本次论坛上,郭启全特别强调了等级保护的两个属性——“惟一性”与“强制性”。“等级保护的工作是国家信息保障的基本制度,具有惟一性,不具有选择性。信息安全等级保护是国家意志的体现,国家信息安全保障工作只有等级保护制度是强制实施的,也只有等级保护工作是由四个部委共同组织实施、公安机关牵头实施的。”
定级工作火热开展
7月20日,“全国重要信息系统安全等级保护定级工作电视电话会议”召开后,酝酿多年的信息安全等级保护工作便在全国正式展开了。在本次论坛上,崔书昆用“定级热潮”来形容轰轰烈烈的等级保护定级工作,“其规模之大,涉及面之广,各级领导之重视,在我国信息安全工作史上甚是少见。”
据他介绍,在工作开展过程中,由四部委代表国家执行三个方面的工作:第一,组织制订国家等级保护的政策标准规范;第二,组织各单位实施、开展等级保护工作;第三,对等级保护工作进行监督检查指导。谈到刚刚过去的2007下半年各部委开展的自主定级工作时,郭启全表示,“所谓自主定级,是由于各单位了解自己信息系统的重要部位,因此需要进行自主定级。而需要强调的是,自主定级不是绝对的。”据悉,单位在自主定级后,还需要经过领导部门的审批、专家评审以及公安机关备案的“三关”审核。各单位对信息系统自主定级,并向公安机关以及保密部门备案,是今年国家等级保护的主要工作。
在4个多月等级保护定级工作的开展过程中,崔书昆参与了多个部门、单位的定级讨论工作。谈到定级工作的体会,崔书昆认为,“吃透文件、把握重点、掌握相关政策并严格依据、把握定级工作的流程”是做好定级的关键。他认为,在定级过程中,各单位还应“结合本行业的特点”。他表示,“实际上,在本次定级当中,各个部委、各个部门都根据自己的工作特点、系统状况,做了具体的系统与等级划分。这次定级工作涉及的面非常广,各个单位的工作特点和信息系统的情况也不一样。如果千篇一律地定级,那么定出来的等级会有很多不适合。”
“另外,进行由上而下的指导也很重要,要坚持评审、审批与备案制度。”崔书昆在论坛上指出,各单位应初步确定信息系统安全保护等级,并聘请专家进行评审;对拟确定为第四级以上信息系统的,还要请国家信息安全保护等级专家评审委员会评审。当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时,可以进行相应的协调。
崔书昆还强调,在等级保护工作中,除了要贯彻有关的法律法规外,还要全面贯彻信息安全等级保护有关的信息安全技术标准。据他介绍,近几年我国发布的一系列信息安全标准,大体上可以分为五组:实施指南、定级指南、保护要求(包括系统和产品)、管理要求(包括工程管理)和测评要求。“在完成定级之后的各工作阶段,应特别强调贯彻执行已有标准。在信息安全等级保护工作开展的全过程,需要认真学习和应用这些标准,并在应用中提出修订建议,以便不断完善这些标准,使我国信息安全等级保护工作做得更好。”多年来,我国还制订了一系列与涉密系统分级保护工作相关的技术标准与管理标准,这些也应当在相关工作中认真贯彻。
到目前为止,纳入此次重要信息系统定级备案范围的全国各个重点行业、单位和部门,绝大多数都已完成了信息系统定级备案工作。其中50多个部(委、局)以及各省(区、市)专门成立了由主要领导挂帅的等级保护领导(协调)机构,形成了等级保护工作的组织领导机制。铁道部、人民银行、海关总署等40多个部(委、局)召开了全系统会议,部署定级工作,开展集中培训。此外,公安部上门督促指导了17个部委定级工作,并配合20多个部委开展了定级工作培训。“根据我们现在得到的备案数据以及统计结果,绝大多数的部委、省市都已经完成工作,取得了非常大的成效。目前,重要领域、命脉行业的定级工作都完成得非常好。”郭启全用“收获季节”来形容当前的定级工作。
等级保护影响深远
在政策层面和实施层面对等级保护工作进行深入分析后我们看到,实施等级保护或者说通过实施等级保护最终将更好地保障信息安全,其实更多的是在谈论如何划分级别、如何实施管理。在日新月异的安全技术更替中,如何将技术与管理很好地融合,成为值得探讨的话题。技术的进步使得众多安全产品,譬如FW、IDS、防病毒、IPS、CA、PKI等产品百花齐放,令人目不暇接。然而在很多时候,管理制度却是原地踏步。东软网络安全营销中心解决方案部部长曹鹏认为,“没有优秀的管理策略制度支撑的安全产品,只是安全矩阵中的散兵游勇。”作为安全产业的推动者,东软详细阐述了应该将人、技术、管理三者进行融合,并且借此将等级保护工作进行到底。曹鹏认为,“管理是从严到疏,再到自觉;从面面俱到,到点点细致;从技术升华,到回归技术本质。实质上,管理应该走人性化与中国化的创新融合之路。”
在本次论坛上,来自新加坡e-Cop公司的区域副总裁兼董事总经理徐为群,与参会嘉宾分享了新加坡等东南亚国家类似我国等级保护制度的信息安全相关制度,并就e-Cop公司包括安全设备支持维护、安全设备管理、安全咨询服务、安全设备监控、日志分析、事件处理/响应 (7×24安全监控服务)等的可管理安全服务(MSS,Managed Security Service),进行了翔实细致的介绍。
今年是等级保护工作全面正式开展的第一年,而作为一项基本制度,等级保护工作无疑将在我国未来信息安全保障工作中占据格外重要的地位。在推进等级保护工作贯彻落实的过程中,如何更准确完整地理解、把握政策要求,如何在每个阶段性工作进展中对经验教训进行及时的回顾和总结,如何有效地借鉴国外等级保护工作的方式方法,如何将日新月异的技术真正融合入安全管理,并最终更好地贯彻于国家制度……诸多问题,都需要整个产业界进行不断地探索、认识和总结。
在本次论坛上,与会各方一致认为,今年定级备案工作的圆满完成,为等级保护的后续工作开了个好头。我们有理由期待建设、整改、测评、检察等工作在今后更完美地开展,并以此从根本上提高我国信息安全保障工作的整体水平。