信息安全等保制度及其在故宮博物院的建設現狀

陳靜靜

【摘要】 本文首先介紹了黨和國家對信息安全工作的相關指示與當前信息安全的現狀；然后詳細論述了等保工作的演化過程、內容、意義、分級等內容；最后說明了故宮博物院等保工作的開展情況并提出了對文博業等保建設的一點想法。

【關鍵詞】 信息安全 等級保護 文博系統

一、當前我國信息安全現狀

近年來，黨中央高度重視網絡與信息安全工作。隨著國家“十三五”規劃綱要、網絡強國、《中國制造2025》、“互聯網+”的系列戰略部署的推進實施，網絡安全工作的范疇和深度都在不斷拓展，迫切要求進一步提升安全保障水平和風險防控能力，更好支撐經濟社會健康有序發展。

信息通信技術和網絡快速發展并加速向傳統領域融合，導致安全威脅更加復雜隱蔽，互聯網與工業等領域融合創新帶來的安全問題日益嚴峻。2016年，國家信息安全漏洞共享平臺（CNVD）共收錄2203個屬于“零日”漏洞，可用于實施遠程網絡攻擊的漏洞有9503個 [1]。某企業2016年度報告中指出在其參與的網絡安全應急響應事件中，僅有 4.7%的攻擊事件是企業自主發現；26.8%的攻擊事件是在已經發生了顯著入侵跡象或經濟損失后才被企業發現；而另外68.5%企業不知道自己受到攻擊[2]。

這一組數據充分反映我國當前信息安全現狀所面臨的嚴峻形式，距離中央的要求還有一定的差距。同時督促著廣大政、事、企單位更加深入理解信息安全建設的重要意義，加強信息安全的建設保障，降低自身信息安全事件的風險指數。

二、等級保護

信息安全等級保護是中國正在大力推行的一項制度。現行網絡安全法明確規定：國家實行網絡安全等級保護制度。2016年12月27日，中國國家互聯網信息辦公室發布《國家網絡空間安全戰略》，以貫徹落實習近平總書記網絡強國戰略思想。這是對加快、加強等級保護建設的又一次強調和升華。

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。

定級一般遵循自主定級、動態調整的原則。《信息系統安全等級保護定級指南》給出了確定安全保護等級的具體方法。等級保護要經過定級階段，初備案階段，測評階段，整改階段，復測階段。最終備案的信息系統要在等保制度的監督管理下進行運營，并根據所定級別要求的時間內周期性檢查評測。并要跟蹤信息系統的變化情況，調整安全保護措施。

信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現；另一方面還要對整合了所有安全控制機制的系統整體進行測評。

三、故宮博物院等保建設現狀

故宮博物院從2012年起對其使用的信息管理系統進行了安全現狀測評，首先評估了系統性質進行定級，其次分析目前信息管理系統的安全狀況與等級保護相應級別要求之間的差距，然后依據分析結果進行了針對性的整改與認證評測。

信息管理系統現狀測評的過程如下：

1）調研階段：評估中心測評項目組在故宮博物院信息管理系統負責人配合下對信息管理系統的測評進行前期調研工作。2）現場測評階段：評估中心測評項目組對信息管理系統進行了現場測評，具體工作內容為查詢相關文檔、與有關人員訪談、現場配置核查，對收集到的相關信息進行綜合分析和整理。3）分析與報告編制階段：測評人員首先整理和匯總前期現場測評獲得的測評結果記錄，并對其進行了符合性判斷和整體分析，找出了信息管理系統存在的主要問題，并提出了安全建設整改建議。

評測報告從物理安全、網絡安全、主機安全、應用安全、數據安全與備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理十個方面描述了評測結果、進行了問題分析并提出了整改建議。

四、關于文博系統等保建設的一點想法

很多行業主管單位要求行業單位開展等級保護工作，目前已經下發行業要求文件的有：金融、電力、廣電、醫療、教育、衛生等行業。總體來說文博相關單位在信息安全等級保護上起步相對較晚。原因是多方面的。首先是由于行業特點，導致對信息安全的認識方面相對不足。文博從業人員、領導干部以文科為主，相對缺乏對信息安全專業地位的直觀感觸。其次文博相關系統比較獨立，對外開放的系統多作為信息展示用途，對社會民生影響較弱。

但是當前信息安全事件頻發，信息安全犯罪技術成本越來越低。網絡安全事件有很大概率發生在文博系統，如果制度缺失或建設不足一定會受到置疑。所以文博系統也應該充分認識到等保工作的重要意義，切實履行自身在等保工作中的義務。一方面是為了降低信息安全風險，提高信息系統的安全防護能力；另一方面是為了遵循國家相關法律法規和制度的要求，符合相關主管單位和行業規定；同時也是為了合理地規避或降低風險。

參 考 文 獻

[1]《2016年CNVD漏洞數據統計簡報》

[2]《2016年中國互聯網安全報告》