信息安全保护及网络安全法的作用发展的论文.doc

信息安全保护及网络安全法的作用发展的论文 随着信息化快速发展网络和信息化应用涉及的领域越来越多由于系统自身的脆弱性以及外部环境和人为因素综合造成了信息安全事件频发信息安全成了国家发展的一项重要工作信息安全等级保护是针对信息及其载体按照重要性进行分级保护的一项工作等级保护标准是等级保护工作中信息系统分级的主要依据金融行业作为信息化行业的重要组成部分其信息系统的安全保障能力和水平关系到国家安全、社会稳定和公共利益金融行业等级保护标准是由中国人民银行根据国家标准结合金融行业现状而制定年6月1日中华人民共和国网络安全法（以下简称“网络安全法”）开始实施这是我国第一部全面规范网络空间安全管理方面问题的基础性法律为信息安全领域工作的开展提供了法律保障在网络安全法实施的新形势下为了配合网络安全法的实施提高等级保护标准的时效性等级保护标准也在不断地发展和完善 一、国家等级保护标准 我国的信息安全等级保护工作起步于20世纪90年代随后相继颁布了多个等级保护标准具体可分为基础性标准、定级标准、建设标准、测评类标准和管理类标准基础性标准包括计算机信息系统安全等级保护划分准则（GB178591999）、信息系统安全等级保护实施指南（GB25058）以及信息安全等级保护管理办法（公通字43号）等；定级标准有信息系统安全等级保护定级指南（GB/T22240）等；建设标准包括信息系统安全等级保护基本要求（GB/T22239）、信息系统通用安全技术要求（GB/T20271）以及信息系统等级保护安全设计技术要求（GB/T25070）等；测评类标准主要有信息系统安全等级保护测评要求（GB/T28448）和信息系统安全等级保护测评过程指南（GB/T28449）等；管理类标准主要有信息系统安全管理要求（GB/T20269）以及信息系统安全工程管理要求（GB/T20282）等针对单位的普通信息安全工作人员而言涉及较多的标准主要有定级标准信息系统安全等级保护定级指南（GB/T22240）与建设标准信息系统安全等级保护基本要求（GB/T22239）等信息系统安全等级保护定级指南主要用于指导信息系统的等级划分和评定将信息系统安全保护等级划分为5级定级要素有两个：等级保护对象受到破坏时所侵害的客体以及客体受到侵害程度定级要素与信息系统安全保护等级的关系见表1由表1可知三级及以上系统受到侵害时可能会影响国家安全而一级、二级系统受到侵害时只会对社会秩序或者个人权益产生影响在实际系统定级过程中要从系统的信息安全和服务连续性两个维度分别定级最后按就高原则给系统进行定级信息系统安全等级保护基本要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求根据实现方式的不同基本安全要求分为基本技术要求和基本管理要求两大类等级保护基本要求共有10个部分技术要求和管理要求各占5个部分其中技术类安全要求又细分三个类型信息安全类（S类）：为保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求服务保证类（A类）：保护系统连续正常的运行免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求通用安全保护类要求（G类）：既考虑信息安全类又考虑服务保障类最后选择就高原则 二、金融行业信息安全等级保护标准及必要性分析 1.行业标准金融行业作为信息化行业的一个重要组成部分金融行业信息系统安全直接关系到国家安全、社会稳定以及公民的利益等为落实国家对金融行业信息系统信息安全等级保护相关工作要求加强金融行业信息安全管理和技术风险防范保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展中国人民银行针对金融行业的信息安全问题在年发布了三项行业标准：金融行业信息系统信息安全等级保护实施指引、金融行业信息系统信息安全等级保护测评指南和金融行业信息安全等级保护测评服务安全指引2.必要性分析网络安全法明确规定国家实行网络安全等级保护制度开展等级保护工作是满足国家法律法规的合规需求金融行业开展信息安全等级保护工作的必要性有以下3点（1）理清安全等级实现分级保护金融行业各类业务系统众多系统用途和服务对象差异性大依据等级保护根据系统可用性和数据重要性开展分级的定级要求可以有效梳理和分析现有的信息系统识别出重要的信息系统将不同系统按照不同重要等级进行分级按照等级开展适当的安全防护有效保证了有限资源充分发挥作用（2）明确保护标准实现规范保护金融行业信息系统等级保护标准有效解决了金融行业信息系统保护无标准可依的问题在信息系统全生命周期中注重落实等级保护相关标准和规范要求在信息系统需求、信息系统建设和信息系统维护阶段参照、依据等级保护的标准和要求基本实现信息系统安全技术措施的同步规划、同步建设、同步使用从而保证重要的信息系统能够抵御网络攻击而不造成重大损失或影响（3）定期开展测评实现有效保护按照等级保护要求每年对三级以上信息系统开展测评工作使得重要信息系统能够对系统的安全性实现定期回顾、有效评估从整体上有效发现信息系统存在的安全问题通过每年开展等级保护测评工作持续优化金融行业重要信息系统安全防护措施有效提高了重要信息系统的安全保障能力加强了信息系统的安全管理水平保障信息系统的安全稳定运行以及对外业务服务的正常开展 三、网络安全法作用下标准的发展 随着等保制度上升为法律层面、等保的重要性不断增加、等保对象也在扩展以及等保的体系也在不断升级等级保护的发展已经进入到了2.0时代为了配合网络安全法的出台和实施满足行业部门、企事业单位、安全厂商开展云计算、大数据、物联网、移动互联等新技术、新应用环境下等级保护工作需求公安部网络安全保卫局组织对原有的等保系列标准进行修订主要从三个方面进行了修订：标准的名称、标准的结构以及标准的内容1.标准名称的变化为了与网络安全法提出的“网络安全等级保护制度”保持一致性等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”例如：信息系统安全等级保护基本要求修改为网络安全等级保护基本要求信息系统安全等级保护定级指南修改为网络安全等级保护定级指南等2.标准结构的变化为了适应云计算、物联网、大数据等新技术、新应用情况下网络安全等级保护工作的开展等级保护基本要求标准、等级保护测评要求标准的结构均由原来的一部分变为六部分组成分别为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求3.标准内容的变化各级技术要求分类和管理要求的分类都发生了变化其中技术要求“从面到点”提出安全要求对机房设施、通信网络、业务应用等提出了要求；管理要求“从元素到活动”提出了管理必不可少的制度、机构和人员三要素同时也提出了建设过程和运维过程中的安全活动要求 四、展望 随着信息化的快速发展信息系统安全直接关系到个人权益、社会秩序以及国家安全纵深防御原则、态势感知平台以及等级保护是有效地保障信息系统安全的三大重要手段等级保护作为信息系统安全保护工作的重要手段之一对保护信息系统安全起到了至关重要的作用在网络安全法正式实施的新形势下等级保护工作也将出现如下发展趋势1.保证合法合规以网络安全法为依据等级保护标准也会及时更新变得更为合理等级保护工作将有法可依、有规可循从而保证等级保护工作合法合规2.更加全面高效随着网络安全法的实施等级保护标准也会发展得更加全面涉及面也会更广（包括云计算、物联网、大数据等）这将大大减少等级保护工作中的知识盲区和领域盲区