淺議政府行業信息安全等級保護中的政策理解誤區
2013-01-01 00:00:00尉飛新李靜芳
中國管理信息化 2013年2期
[摘要]本文介紹了信息系統安全等級保護的起源及中國信息安全等級保護的發展現狀;分析了國內政府行業在開展信息安全等級保護過程中存在政策理解誤區,包括認識誤區、定級對象誤區、等級劃分誤區和實施與測評誤區;指出政府行業信息安全等級保護應做到政策理解到位,定級范圍合理,等保級別準確,實施過程完整,測評及時有效。
[關鍵詞]政府行業;信息系統;等級保護;誤區
doi:10.3969/j.issn.1673-0194.2013.02.040
[中圖分類號]G203[文獻標識碼]A[文章編號]1673-0194(2012)24-0085-03
1 前言
等級保護原本是軍事領域的安全保密體系,為了在計算機世界中實現這一體系,研究人員苦心奮斗多年。隨著網絡時代的到來,等級保護有了新的內涵:從保護對象上,不再局限于軍事領域的大型主機,而是所有對國計民生有重要影響的信息系統;從實施的安全策略上,不再局限于軍事安全保密規則,而是用于各種安全保護策略;從測評角度看,不再限于個別信息安全產品的靜態測評,而是考查網絡系統在實際運行中表現出的綜合保護能力,是涵蓋了架構、功能、管理和配置等各方面檢查的全面、綜合、動態的測評。一句話,等級保護逐步從一種技術思想發展為今天貫穿了信息安全保障各個工作環節的一個過程和一種制度。等級保護標準是等級保護思想進化歷史的快照。各個標準的興衰歷史表明,標準必須與時俱進,跟得上用戶的需求,才能得到有關各方(政府、用戶與廠商等等)的積極響應,而只有得到積極響應的標準才能稱得上有生命。
《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)規定,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。
各級各類政府部門在推行信息安全等級保護工作的過程中,由于對相關政策和要求“吃不透”,在實施過程中出現了多種誤讀。本文旨在分析政府行業信息安全等級保護中存在的政策理解誤區并提出相關建議。
2 國內信息安全等級保護實施現狀
2.1 起源
中國早在1984年就開始收集國外等級保護的相關資料。1994年的《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)被視為中國實施等級保護的法律基礎。2004年的《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和2007年《信息安全等級保護管理辦法》(公通字[2007]43號)等文件明確了等級保護的定位、基本內容、流程和工作要求以及相關部門的職責任務,為開展等級保護工作提供了規范保障。簡單地說,中國實施等級保護的基本任務是:系統分等級保護、產品分等級管理、事件分等級處置。
隨著《信息系統等級保護安全設計技術要求》(GB/T25070)的發布和實施,中國的等級保護國家標準和行業標準已有50多個,等級保護標準體系已初步形成。
2.2 實施現狀
《信息安全等級保護管理辦法》(公通字[2007]43號)(以下簡稱43號文件)和《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)的出臺,標志我國信息安全等級保護工作進入實質的實施階段。自從2007年6月份以來,全國范圍內的重要系統普遍開展了信息安全等級保護工作,到目前為止,定級工作已經基本結束,將進入整改階段。回顧我國的等級保護工作,可以看到兩大成效,即定級保護的定級備案工作成效顯著;各種政策標準體系日趨完善。
目前來看,定級工作已經圓滿完成,接下來是建設和整改工作,之后進行一些等級測評工作,工作不斷地暴露出一些問題和政策理解誤區需要解決。
3 等級保護認識誤區
不少部門和單位對等級保護的認識存在一定誤區,較集中的問題是:等級保護的投資較高,對現有投資是一種浪費。用戶經常會反映一些問題,歷年來在安全建設方面已經進行了大量投資,現在建設等級保護是否要“推倒重來”。
對于是否要“推倒重來”,可以從兩方面考慮:
(1)按照國家相關規定,三級以上網絡不能采用國外產品。對于這種底線原則,應該毫不含糊地執行,而由此產生的重復投資,只能說明前期的安全建設沒有遵循統一的標準。
(2)目前信息系統中存在著大量沒有更新、升級,甚至淘汰落后的設備,通過等級保護的實施,需要對原有網絡系統進行加固,重新購買某些產品的服務,這種投資不能稱之為重復投資。
4 定級備案對象誤區
4.1 定級范圍
《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號)規定了信息安全等級保護的定級范圍,包括:
(1)電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡,經營性公眾互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。
(2)鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業,部門的生產、調度、管理、辦公等重要信息系統。
(3)市(地)級以上黨政機關的重要網站和辦公信息系統。
(4)涉及國家秘密的信息系統。
4.2 定級對象確定誤區
政府行業在實際開展信息安全等級保護定級過程中,由于沒有對相關信息系統進行深入的定級對象分析,包括信息系統管理組織機構、業務應用、物理位置和運行環境等,經常會產生以下誤區。
4.2.1 定級對象安全責任單位不明確
按照要求,作為定級對象的信息系統應能夠唯一確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等工作,則這個下級單位可作為定級對象安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應當是這些下級單位共同所屬的上級單位。
而在實際定級對象確定過程中,很多單位和部門存在著安全責任單位確定的隨意性,例如對于一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,可能隨意指定一家下屬單位作為安全責任單位等情況,而其他下屬單位認為該系統的安全責任單位并非自己,存在疏忽和大意的情況,導致在定級對象備案、測評、整改過程中產生很多低效率環節。
4.2.2 定級對象不具備信息系統的基本要素
按照要求,作為定級對象的信息系統應該是由相關的或配套的設施設備按照一定的應用目標和規則組合而成的有形實體。
而在實際定級對象確定過程中,則存在將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象的情況,這些單一的系統組件往往不具備信息系統的基本要求,因此不應作為定級對象。
4.2.3 定級對象業務應用不單一或不獨立
按照要求,定級對象應承擔單一或獨立的業務應用,該業務應用的業務流程獨立,與其他業務應用沒有數據交換且獨享所有信息處理設備。
而在實際定級對象確定過程中,有很多應用系統其實是作為其他業務應用系統的一個分支或一部分,而不屬于(公信安[2007]861號)文件規定的定級范圍。例如船舶過閘收費系統、水情信息監測系統等只是作為一套遙測或監控系統,本質上是為上層業務系統提供數據支撐或實時監控的,與其他業務應用會發生數據交換,不應單獨作為定級對象。
5 等保級別確定誤區
5.1 安全保護等級劃分原則
《信息安全等級保護管理辦法》(公通字[2007]43號)規定了信息系統的安全保護等級劃分原則,見表1。
5.2 不同級別系統基本要求項的差異
按照要求,應根據“業務信息”和“系統服務”的需求確定整個系統的安全保護等級,不同級別的系統中,信息安全等級保護的基本要求有很大差異,對技術要求和管理要求的級別也不同,見表2。
5.3 定級誤區
政府行業在實際開展等級保護定級過程中,經常會因為各種原因造成定級偏高或偏低的情況。
5.3.1 定級偏高
如果系統定級偏高,則會造成該信息系統信息安全過度保護,會增加技術安全防護費用,同時大量增加管理成本。信息系統的測評的頻率和要求也相應提高,造成資源浪費。同時由于級別越高,系統的技術和管理要求越高,致使信息系統的易用性受到影響。總的來說,系統定級偏高,會形成“好鋼沒用在刀刃上”的后果。
5.3.2 定級偏低
如果系統定級偏低,則會造成該信息系統安全保護不到位,沒有根據系統侵害客體以及侵害客體的實際情況確定系統保護等級,相應的技術防護水平和安全管理要求難以滿足安全需求,且系統安全測評的頻率和要求也隨之降低。系統一旦發生安全問題,會形成管理部門的過度責任。
6 實施和測評誤區
6.1 系統定級后就完成了等級保護
很多部門和單位認為系統完成了定級也就完成了等級保護。其實,完成等級保護定級工作并不是萬事大吉,而是剛剛開始。套用一句廣告詞:“你才剛上路呢。”由于對政策的不理解,很多用戶認為完成定級就是完成了等級保護。其實,自定級只是等級保護的入門工作。
涉及等級保護的相關文件已經明確提出系統的安全問題遵循“誰建設誰維護”的原則。安全本身是動態的,這就決定了等級保護是長期、持續性的工作。等級保護最大的推動力是每半年或一年一次的系統檢查,檢查將統一用戶對等級保護建設的認識。
6.2 將安全測評等同于等級保護
在我國,目前主管部門安全認可的依據多數是系統安全測評的結果。主管部門根據系統測評結果判斷,如果殘余風險可以接受,則允許系統投入運行或繼續運行,否則信息系統便沒有達到特定安全等級的安全要求。沒有最終的主管認可過程,等級保護無法落到實處。從這個意義上講,進行等級保護建設、實施風險管理過程后的系統安全測評及行政認可是等級保護的落腳點。而不能認為系統做了安全測評就是完成了等級保護。
7 結語
當今的信息產業已經成為國民經濟重要支柱之一,政府信息系統對于提高政府公共服務能力,建設責任政府、法制政府和服務政府提供著重要支撐和保障。同時,政府信息系統的安全性問題也越來越重要,必然成為我國開展信息系統安全等級保護的重點。在政府部門開展信息系統安全等級保護過程中,必須嚴格按照等保相關規定和文件的要求,深入剖析政策內涵,做到政策理解到位,定級范圍合理,等保級別準確,實施過程完整,測評及時有效。
主要參考文獻
[1]朱繼鋒,趙英杰,楊賀,等.等級保護思想的演化[J].信息安全與通信保密,2011(4).
[2]張戈.等級保護的三大誤區[N].電腦商報,2008-03-03.
[3]中華人民共和國國務院.中華人民共和國計算機信息系統安全保護條例[S].1994.
[4]GB17859-1999,計算機信息系統安全等級標準劃分準則[S].
[5]中華人民共和國公安部.信息安全等級保護備案實施細則[S].2007.
