淺談企業(yè)信息安全等級保護工作

摘 要：現(xiàn)今社會，隨著科技的進步和社會的發(fā)展，經(jīng)濟規(guī)模不斷擴大。在企業(yè)不斷追求效率的要求下，高效的信息系統(tǒng)已經(jīng)深入到社會經(jīng)濟的方方面面。在享受著信息系統(tǒng)帶來諸多便捷的同時，我們也面臨著由于信息系統(tǒng)受到破壞而造成的重大損失。如何確保信息系統(tǒng)的安全性就成為了我們現(xiàn)階段亟待解決的重點問題。

關鍵詞：信息安全；等級保護；企業(yè)

1 當前企業(yè)信息安全等級保護工作現(xiàn)狀

面對信息安全的威脅，國家于2003年發(fā)布了《國家信息化領導小組關于加強信息安全保障工作的意見》，明確提出在非密信息安全領域，信息安全保障工作要“實行信息安全等級保護”，明確要求建立信息安全保障體系。隨后國家于2004年和2007年相繼頒布了《關于信息安全等級保護的實施意見》及《信息安全等級保護管理辦法》，信息安全等級保護制度全面實行。

2 企業(yè)信息安全等級保護的實施方法

2.1 依據(jù)的標準

企業(yè)信息安全等級保護制度應當依據(jù)國家頒布的以下標準執(zhí)行。

2.1.1 基礎標準

《計算機信息系統(tǒng)安全保護等級劃分準則》

2.1.2 安全要求

《信息系統(tǒng)安全等級保護基本要求》

2.1.3 系統(tǒng)等級

《信息系統(tǒng)安全等級保護定級指南》

2.1.4 方法指導

《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設計技術要求》

2.1.5 現(xiàn)狀分析

《信息系統(tǒng)安全等級保護測評要求》、《信息系統(tǒng)安全等級保護測評過程指南》

2.2 企業(yè)信息安全等級保護工作的步驟

企業(yè)信息安全等級保護工作一般分為三個階段，及準備階段、實施階段和鞏固階段。

2.2.1 信息安全等級保護工作準備階段

企業(yè)信息安全等級保護工作準備階段工作主要包括以下幾個方面：

（1）確定總體目標。確定總體目標，其主要目的是為企業(yè)等保工作確立一個明確的行動指南，并成為企業(yè)等保工作決策、評價、協(xié)調的基本依據(jù)。總體目標的確定為等保工作前進指明了方向，并明確了發(fā)展路線。確定總體目標也是等保工作計劃和其他各項工作安排的基礎。

（2）明確責任部門。為等保工作明確首要責任部門，以防止出現(xiàn)推諉扯皮的現(xiàn)象。一般等保工作責任部門為企業(yè)信息化工作主管部門。

（3）業(yè)務培訓。作為企業(yè)來說，信息安全等級保護是一個相對陌生的概念，但信息安全等級保護工作又是一個相對具有專業(yè)性的工作，所以在工作開展之前對相關人員進行培訓是非常必要的。

（4）摸底調查。在全面開展等級保護工作前，企業(yè)一定要對本單位所屬的信息系統(tǒng)進行全面的摸底調查，全面掌握信息系統(tǒng)（包括信息網(wǎng)路）的數(shù)量、分布、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，為下一步等保工作的全面展開、確定等級保護定級對象奠定基礎。

2.2.2 信息安全等級保護工作實施階段

信息安全等級保護工作實施階段的內容主要包括三個方面，系統(tǒng)定級備案、系統(tǒng)測評、系統(tǒng)安全建設整改。

（1）系統(tǒng)定級備案。企業(yè)在系統(tǒng)定級備案前首先要明確定級的對象，一般定級對象分為三個方面：起支撐、傳輸作用的信息網(wǎng)絡；用于生產(chǎn)、調度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務系統(tǒng)；企業(yè)網(wǎng)站。

在確定系統(tǒng)定級對象后，企業(yè)就需要根據(jù)信息系統(tǒng)重要性，按照相關技術標準文件對系統(tǒng)進行定級。

按照國家標準系統(tǒng)等級分為五級，但第五級系統(tǒng)在現(xiàn)實中基本不會出現(xiàn)，所以在一般情況下，信息系統(tǒng)一般按照前四個級別進行劃分。

第一級系統(tǒng)，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。該級系統(tǒng)適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級單位中一般的信息系統(tǒng)。該級系統(tǒng)無需備案，完全由企業(yè)自己來決定采用何種方式進行保護。

第二級系統(tǒng)，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級系統(tǒng)適用于縣級某些單位中重要的信息系統(tǒng)，地市級以上國家機關、企事業(yè)單位內部一般的信息系統(tǒng)。該級系統(tǒng)需要到當?shù)毓矙C關進行備案。

第三級系統(tǒng)，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。該級系統(tǒng)一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)。

第四級系統(tǒng)，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該系統(tǒng)一般適用于國家重要領域、部門影響涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。

參照以上標準企業(yè)要自行確定信息系統(tǒng)的安全等級，并組織相關領域的專家對定級結果進行評審。在專家出具相關評審意見后，對二級及以上的系統(tǒng)，企業(yè)需要到當?shù)厥屑壱陨瞎矙C關網(wǎng)絡安全保衛(wèi)部門辦理備案手續(xù)，以完成系統(tǒng)定級工作。

（2）系統(tǒng)測評。按照相關規(guī)定，三級及以上系統(tǒng)國家強制要求進行等級測評。等級測評的主要目的是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設整改需求；衡量出信息系統(tǒng)安全保護措施是否符合等級保護基本要求，是否具備了相應的等級的安全保護能力。

進行等級測評，企業(yè)需要聘請《全國信息安全等級保護測評機構推薦目錄》中具有專業(yè)資質的測評機構進行。對于測評結果，企業(yè)需要將測評報告向受理定級備案的公安機關備案。

（3）系統(tǒng)安全建設整改。參照測評結果，企業(yè)需要對測評中所體現(xiàn)的安全漏洞進行安全建設整改，以落實相應的物理安全、網(wǎng)絡安全、主機安全、應用數(shù)據(jù)安全等安全保護措施。

經(jīng)過安全整改，二級信息系統(tǒng)應具備防御小規(guī)模、較弱強度惡意攻擊，抵抗一般的自然災害，防范一般的計算機病毒和惡意代碼的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；具有恢復系統(tǒng)正常運行狀態(tài)的能力。

三級信息系統(tǒng)整改后應在統(tǒng)一的安全保護策略下應具備抵抗大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能立即恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中管控的能力。

經(jīng)過安全整改工作，四級信息系統(tǒng)具備的安全防范能力在三級的基礎上更為提升，統(tǒng)一的安全保護策略下可抵御敵對勢力有組織的大規(guī)模攻擊，抵抗嚴重的自然災害。

2.2.3 信息安全等級保護工作鞏固階段

企業(yè)信息系統(tǒng)經(jīng)過定級、測評、整改后進入日常運行時期。在這一時期，企業(yè)的信息系統(tǒng)在技術上已經(jīng)完全具備了系統(tǒng)安全等級的要求，也建立相應的安全管理制度體系。如何應用各種安全防范技術，如何持久的嚴格的按照安全管理體系要求執(zhí)行日常工作成為鞏固階段的主要任務。

在本階段，企業(yè)一定要建立完善的信息系統(tǒng)安全狀況日常監(jiān)測制度，嚴格執(zhí)行信息系統(tǒng)的日常運維和安全管理制度，及時消除安全隱患，確保信息安全和系統(tǒng)正常運行。除此之外，企業(yè)還要定期對信息系統(tǒng)安全狀態(tài)進行自查，并積極配合公安機關的監(jiān)督檢查工作。

3 結束語

本文對企業(yè)信息安全等級保護的重要作用，實施的全過程以及實施過程中的技術要求進行了較為詳細的論述。

信息安全等級保護工作的主要內容是建立一套與企業(yè)向適應的技術管理方案。在現(xiàn)今條件下，等級保護工作為企業(yè)信息安全提供了最為行之有效的工作方案。但等保的目的不是建立這一套方案，其重點在于今后要嚴格執(zhí)行這一方案。只有這樣才能最大限度的發(fā)揮信息安全等級保護工作的效果。

作者簡介：李冬（1982，2-），男，籍貫：河北省保定市，現(xiàn)職稱：助理工程師，學歷：研究生，研究方向：計算機科學。