网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


安全等级保护 不能虚有其表

2012-11-22 13:46 推荐: 浏览: 75 views 字号:

摘要: 从维护国家安全、社会秩序和公共利益的战略高度来看,做好信息系统安全等级保护越来越重要,其制度的落实和实施不能虚有其表。 分级保护意义重大 当前信息系统安全保护等级的划分共分为五级,分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。 实施信息安...

从维护国家安全、社会秩序和公共利益的战略高度来看,做好信息系统安全等级保护越来越重要,其制度的落实和实施不能虚有其表。

分级保护意义重大

当前信息系统安全保护等级的划分共分为五级,分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。

实施信息安全等级保护意义重大,不仅有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展,而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了信息安全建设成本。同时,信息安全等级保护对信息安全资源的配置进行了优化,重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是,信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任,进一步加强了信息安全管理。

安全保障尚存问题

近几年,针对我国基础信息网络和重要信息系统的违法犯罪持续上升,同时敌对势力的入侵、攻击和破坏也时有发生。这类违法犯罪事件主要包括:

1.病毒侵袭 信息化应用在社会生产中的作用日益凸显,与之相对应的,针对于此的攻击也越来越多,并越来越具有破坏性。举例来说,2010年7月,震网病毒开始在中国、印度、俄罗斯等多个国家爆发,其也是世界上首个以直接破坏工业基础设施为目标的蠕虫病毒,被称为网络“超级武器”。据统计,当时全球约4.5万个网络被该病毒感染。

2.系统漏洞 我国工控市场过度开放,国外产品占据大部分市场,如PLC(可编程逻辑控制器)国内产品的市场占有率不到1%,卫星导航芯片95%依赖进口。在现有的自动化系统中,国外产品在核心自动化控制部分仍占很大比例。而国外工业控制芯片和工业控制系统产品,在设计和配置上都可能存在漏洞,这些漏洞有可能为敌对势力所利用,一旦得逞,所造成的后果难以估量。

3.黑客攻击 在利益链条的驱动下,近年来,黑客入侵、后门植入等攻击事件频繁发生。2012年1月,Putty等服务器远程管理工具的汉化中文版被曝出存在后门,其可以将服务器的IP地址、root密码、连接端口等信息发送给攻击者,攻击者可通过后门对服务器承载的重要数据进行拷贝、添加、删除等操作。

4.外包隐患 2011年,某单位信息中心数据备份系统服务外包,磁盘阵列中使用的一块磁盘丢失。安全专家进行安全事件后果分析,认为不排除重要信息被泄露的可能。

近几年来,我国高度重视信息系统的风险防范,通过多种措施的制定和实施,信息安全保障工作取得了很大进展,但是从总体上看还存在一些问题。首先,信息安全工作不被重视,重要信息系统未落实关键安全保护技术措施;其次,信息安全管理制度体系不完善,信息安全责任制落实不到位,重要信息系统保护不得力;第三、缺少应有的岗位设置,人员和资金投入不足;最后,我国信息技术产品与国外还存在一定差距,安全专业化服务力量薄弱。

谨防测评风险

随着我国国民经济和社会信息化进程的全面加快,信息系统的基础性、全局性作用日益显现,保障信息安全已成为当前信息化发展中迫切需要解决的重大问题,信息系统安全等级保护的落实和实施势在必行。

信息系统安全等级保护的核心,是对信息系统分等级和按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求,有效落实等级保护责任和措施。

1.科学定级,严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术标准,确定其信息系统的安全保护等级。对重要信息系统,其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统,以及跨地域的信息系统应按要求向管辖公安机关备案。

2.建设整改,落实措施。对已有的信息系统,其运营、使用单位要根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,落实安全技术措施,完成系统整改。对新建、改建、扩建的信息系统,应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

3.自查自纠,落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统,定期进行安全状况检测评估,及时消除安全隐患和漏洞,发现问题及时整改,不断加强信息安全等级保护能力。

4.监督检查,完善保护。公安机关要按照等级保护的管理规范和技术标准的要求,重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的,要通知相关部门限期整改,确保信息安全等级保护的完善实施。

在实施过程中,信息系统的运营、使用单位要谨防测评风险。尤其是金融系统要加强风险管控,严防测评过程中突发事故和泄密事件的发生。各级金融企业、单位要按照中国人民银行发布的有关标准要求,严格选择符合资质的测评机构和测评人员,同时要加强等级测评的资源管理和过程管理,做好测评设备和过程的隔离和封闭,确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题,要及时采取防范措施加以防控或缓释,并进一步制定和落实相应的整改方案,使信息系统的安全等级保护得以有效落实。

http://www.vsharing.com/k/net/2012-11/672519.html

联系站长租广告位!

中国首席信息安全官