信息系統安全等級保護整改培訓資料（一）

揚州大自然網絡信息有限公司   2012年12月28日   閱讀數： 5423

一、當前開展信息安全等級工作面臨的形勢
    近年來，在黨中央、國務院的高度重視下，通過各地區、各部門的共同努力，信息安全工作取得明顯成效：信息安全責任進一步明確，等級保護、風險評估、網絡信任體系、應急與災備等基礎性工作和基礎設施建設取得明顯進展，信息安全防護水平明顯提高。與此同時我們應該看到，當前我國信息安全面臨的形勢仍然十分嚴峻，維護國家信息安全的任務十分艱巨、繁重。
    一是西強我弱的局面長期存在，信息安全戰略威脅更加突出。近年來，我國重要信息系統的安全保護能力雖然有了很大提高，但同西方發達國家相比，還是處于西強我弱，總體比較被動的局面。奧巴馬執政以來，美國高度重視網絡安全問題，將網絡空間視為繼陸、海、空、太空后的“第五戰略空間”，制訂出臺了包括強化聯邦政府對網絡安全的統一領導，整合各方資源力量，成立作戰部隊，加強技術研發和網絡戰資源儲備，全面提升國家關鍵信息基礎設施的安全防范能力等一系列重要舉措。而美國推行國家網絡安全新戰略，正是將中國作為其頭號假想敵。如果未來發生“網絡戰”，美國和西方國家首要攻擊目標就是我國涉及國計民生的重要信息系統。同時，信息安全領域的一些關鍵技術和關鍵產品大部分掌握在西方信息化發達國家手中，從而使大量采用國外產品和服務的我國重要信息系統受敵對勢力、敵對分子滲透、攻擊、控制的安全隱患進一步加大，構成了對我關鍵基礎設施的戰略威脅。
    二是各類網絡安全威脅不斷增多，網絡安全防范難度加大。今年以來，截獲計算機病毒數量、新增病毒種類以及感染計算機臺數較去年同期均有所增加，計算機病毒通過網頁掛馬、網絡共享、電子郵件和U盤等移動存儲介質廣泛傳播。與第三方應用軟件、瀏覽器服務有關安全漏洞也大幅上升，其中大量是高危漏洞。大量木馬、后門病毒利用安全漏洞通過“網站掛馬”、“U盤擺渡”、偽造和欺騙等手段侵入重要信息系統，消耗系統資源，竊取個人用戶信息甚至國家秘密和商業秘密，給重要信息系統的安全運行造成很大危害。此外，境內外敵對勢力、敵對分子和不法分子也利用重要信息系統的安全漏洞和管理缺陷，對我重要信息系統實施網絡探測攻擊，破壞國家網絡基礎設施的行為也逐年增多。
    三是信息安全建設缺乏規范，安全防護能力亟待提高。一些單位信息安全領導體制和工作機制等責任制未落實，人員安全管理、系統運維管理和系統建設管理制度不健全、不規范。缺乏常態化的系統安全保護狀況的測評分析，在安全技術策略的選擇、建設整改方案設計及實施等技術建設方面，既存在一定的盲目性，也缺乏完整性和系統性，導致信息安全整體防護能力和水平不高，給信息系統正常運行留下安全隱患。
    為切實履行中央賦予公安部的職責，2007年，公安部會同有關部門開展了信息安全等級保護定級工作。經過各部門、各行業、各單位的共同努力，定級工作已基本完成。為加快推進信息安全等級保護制度建設，將等級保護工作向縱深推進，定級備案工作完成后，公安部積極組織有關單位和專家，制定并完善了等級保護相關政策和技術標準，為各單位、各部門深入開展等級保護安全建設整改工作奠定了必要的基礎。一是制定了信息安全等級保護安全建設整改工作的相關政策。經過多年探索和實踐，特別是經過北京奧運網絡安全保衛工作的檢驗，進一步明確了開展等級保護安全建設整改工作的目標、內容、要求和方法，制定并印發了《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）及《信息安全等級保護安全建設整改工作指南》等附件，至此，針對等級保護定級、備案、安全建設整改、等級測評、監督檢查等主要環節的政策體系已基本形成。二是制定了信息安全等級保護安全建設整改工作的相關標準。為配合信息安全等級保護安全建設整改工作順利開展，公安部組織國內有關單位和專家經過多年研究，形成了以《計算機信息系統安全保護等級劃分準則》（GB17859-1999）為基礎的技術、管理和產品三大類標準體系，并在此基礎上，形成了體現安全建設整改具體內容和要求的《信息系統安全等級保護基本要求》（GB/T 22239-2008）。該標準與測評要求等狀況分析方面的標準和實施指南、安全設計技術要求等方法指導方面標準，共同為安全建設整改工作提供技術標準支撐。至此，信息安全等級保護標準體系也已基本形成。三是等級保護測評體系建設已經開展。等級測評工作是信息安全等級保護整體工作的一個重要組成部分。為推動信息安全等級保護測評機構建設，規范測評機構和人員及其測評活動的管理，保障等級保護工作的順利開展，公安部已于今年年初組織開展等級測評體系建設。先后組織編寫了《信息安全等級保護測評要求》、《信息安全等級保護測評過程指南》以及《信息系統等級保護測評報告模版》等標準和規范。為檢驗標準和規范的可行性和必要性，公安部于今年7—10月份組織開展了等級測評體系建設試點工作，六個省市公安機關和十多家測評機構參加，積累了對測評機構及人員規范管理的經驗和方法。下一步公安部將在全國推廣試點工作經驗，加強對測評機構的能力審驗和安全審查，加強對測評人員的安全審查和培訓，并將通過評估的測評機構向社會公布，供相關單位選擇。此外，電力等一些行業及一些信息安全企業已經按照等級保護相關政策和標準，開始進行信息安全等級保護安全建設整改工作，摸索了一些經驗。
    總之，綜合開展信息安全等級保護安全建設整改工作面臨的形勢和前期工作基礎，既是形勢所迫，也具備了一定的條件，既有必要性，也有可行性。因此，各單位要全面準確把握當前我國信息安全工作面臨的形勢，進一步統一思想，提高認識，增強做好信息安全等級保護安全建設整改工作的責任感和緊迫感，將等級保護工作落實好。