河南水利應用系統安全等級保護工作淺析

□宋博石菡閆曉敏劉子涵

（1河南省水利信息中心；2國網河南省電力公司電力科學研究院計量中心）

河南水利應用系統安全等級保護工作淺析

□宋博1石菡2閆曉敏1劉子涵1

（1河南省水利信息中心；2國網河南省電力公司電力科學研究院計量中心）

信息化技術的不斷應用使得水利應用系統不斷龐大，防汛抗旱、水資源管理、電子政務，電子郵件系統等已經廣泛應用在水利系統的方方面面。信息系統也面臨著各種各樣的攻擊和挑戰，蠕蟲病毒、拒接服務、爬蟲掃描、后門漏洞等，不僅影響了業務系統的正常運行，也使個人隱私和敏感信息暴露無疑。應用系統的等級保護工作既是網絡安全法的基本要求，也是應用系統安全穩定運行的重要保障，做好水利應用系統的安全防護、定級測評工作就成為最基本的安全需求。

水利應用系統；定級測評；等級保護；安全

0 前言

河南省水利應用系統近年來快速發展，依托國家水利部建設了防汛抗旱、水資源管理、移民安置等重要業務系統，2010年開始建設河南水利電子政務系統，目前已完成河南水利門戶網站群、支撐環境系統、內部綜合辦公系統、行政審批系統建設。全省目前共有主要應用系統20個，現有2個二級及以上業務完成安全等級保護定級和測評備案工作，包含河南省水資源管理系統定級備案為三級，水利門戶網站定級備案為二級。按照最新頒布的網絡安全法和關鍵信息基礎設施的相關要求，河南省水利應用系統安全等級保護工作還比較落后，盡快加強和完善等級保護工作就顯得尤為重要。

1 等級保護工作基本要求

2007年8月公安部等四部局辦，聯合下發了《信息安全等級保護管理辦法》。

管理辦法對信息系統的安全加固、整改完善提供了具體依據，也是信息系統進行安全測評及國家信息安全監管部門進行監督、檢查、指導的依據。做好等級保護工作，既是國家的基本要求，也是行業自身安全運行迫切需要。

2 《網絡安全法》明確要求

近年來信息化安全事件頻發，網絡安全已經提升為國家安全的高度。《中華人民共和國網絡安全法》自2017年6月1日起施行。網絡安全法是我國第一部針對網絡安全的法律，對國家網絡和個人隱私保護都提出了全新細致的要求，將成為我國網絡安全的重要保障。

《網絡安全法》第二十一條明確指出：國家實行網絡安全等級保護制度。網絡運營者應當履行自身安全保護義務，保障個人敏感信息安全。第三十一條：關鍵信息基礎設施在網絡安全等級保護制度的基礎上，實行重點保護。

3 信息系統安全等級保護現狀

全省目前共有主要應用系統20個，現有2個二級及以上業務完成定級和備案工作，包括河南省水資源管理系統定級為三級，門戶網站定級為二級。按照最新頒布的網絡安全法和關鍵信息基礎設施的相關要求，河南省現有信息系統等級保護定級工作不夠完善，重要信息系統還存在定級標準低，未進行定級評測和測評工作。按照《網絡安全法》和關鍵信息基礎設施的相關要求，河南省部分關鍵信息基礎設施定級尚未符合要求，還未開展等級保護定級和評測工作。

關鍵信息基礎設施是指涉及國家重要領域和共用事業的部門，如果發生安全事故會影響社會穩定和國民經濟正常運行對人民生命財產造成嚴重損失。關鍵信息基礎設施包括網站類，如黨政機關網站、企事業單位網站、新聞網站等；平臺類，如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺；生產業務類，如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視轉播系統等。水利行業作為其中的一項重要組成，既承擔了國民經濟建設的使命，又關乎每一個人的正常生活，因此要做好重要水利系統安全保障工作，確保基礎設施的安全穩定運行。

4 實行信息安全等級保護的意義

信息安全等級保護工作自建立以來已經有近20年的時間，從當初的最基本的指導方法發展為今天的等級保護2.0。在很多的發達國家，等級保護工作也被廣泛的應用在基礎設施的保障中，我國的等級保護工作遵從“重點保護，適度安全的原則”。根據具體應用系統的重要程度化分為五個不同的等級，實施不同的防護要求，這樣做既有利于有限的財力和人力保障投入最需要的部位，便于安全資源的優化配置，也有利于整體安全水平的提高。2017年5月全球爆發了大面積的電腦勒索病毒WannaCry，波及150多個國家7.50萬臺電腦被感染。我國的一些領域部門也受到了影響，但總體的影響程度并不嚴重，特別是對水利行業的影響較小。這和近幾年來重視和加強信息安全等級保護工作有著密不可分的關系，通過信息安全的同步規劃和同步實施，有利的保障了重要應用系統的安全性，提高了水利整體安全管理意識和運維規范水平。通過實行信息安全等級保護制度，有利于明確相關部門和人員的安全責任，有利于保障國民經濟和人民生活的穩定運行，因此信息安全等級保護是國家信息安全保障工作的基本制度。

5 等級保護流程

信息安全等級保護工作可以分為：定級、備案、審核、變更和撤銷五個環節，不同的對象根據自身的情況對照執行。

5.1 等級劃分

計算機信息系統安全保護根據系統的重要程度和受到破壞以后產生的社會影響程度可以劃分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

5.2 定級程序

信息系統管理和運行單位根據自身應用系統具體情況，參照定級指南的標準，確定應用系統的等級，對于一級及以下的應用系統可以自主定級，對于二級及以上的信息系統應向當地安全機關備案，四級以上信息系統應當由國家安全保護專家評審會評審確定。

5.3 備案審核

信息系統管理和運行單位根據自身應用系統具體情況確定等級后向公安機關提出備案申請，公安部門10個工作日內審查并出具意見。符合定級要求的加蓋公章并完成備案，不符合要求的將通知備案單位整改或者進行重新定級，直至備案單位符合等級保護備案要求。

5.4 備案變更

備案表中事項發生變更，備案單位應當自變更之日起30日內重新填寫備案表并報公安機關網監部門備案。其中涉及備案證明的，公安機關網監部門應當重新頒布備案證明。

6 安全建設思路

我國信息安全等級保護制度的指導思想是：“按需防御的等級化安全體系”。整體的安全保障體系包括技術和管理兩大部分，其中技術部分根據《信息系統安全等級保護基本要求》分為物理安全，主要包括機房和線路環境；網絡安全，主要包括接入端到用戶端的數據鏈路；主機安全，主要包括各應用服務器和個人終端電腦和移動設備；應用安全，主要包括應用系統自身和安全防護相關；數據安全，主要包括數據的使用，存儲，傳輸等方面。管理部分重點針對運行維護人員，根據《信息系統安全等級保護基本要求》則分為安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面。

根據等級化安全保障體系的設計思路，等級保護的設計與實施通過以下步驟進行：系統識別與定級、安全域設計、確定安全域安全要求、評估現狀、安全保障體系方案設計、安全建設和持續安全運維。通過如上步驟，系統可以形成整體的等級化的安全保障體系，同時根據安全技術建設和安全管理建設，保障系統整體的安全。等級保護工作應該是一個不斷循環的過程，通過持續的整改和完善達到和適應不同時期的持續安全要求。

編輯：趙鑫

TP309

：B

：1673-8853（2017）08-0095-02

2017-06-06