当前开展信息安全等级工作面临的形势

1、当前开展信息安全等级工作面临的形势近年来，在党中央、国务院的高度重视下，通过各地区、各部门的共同努力，信息安全工作取得明显成效：信息安全责任进一步明确，等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展，信息安全防护水平明显提高。与此同时我们应该看到，当前我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务十分艰巨、繁重。一是西强我弱的局面长期存在，信息安全战略威胁更加突。近年来，我国重要信息系统的安全保护能力虽然有了很大提高，但同西方发达国家相比，还是处于西强我弱，总体比较被动的局面。奥巴马执政以来，美国高度重视网络安全问题，将网络空间视为继陆、海空、太

2、空后的第五战略空间，制订出台了包括强化联邦政府对网络安全的统一领导，整合各方资源力量，成立作战部队，加强技术研发和网络战资源储备，全面提升国家关键信息基础设施的安全防范能力等一系列重要举措。而美国推行国家网络安全新战略，正是将中国作为其头号假想敌。如果未来发生网络战，美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统。同时，信息安全领域的一些关键技术和关键产品大部分掌握在西方信息化发达国家手中，从而使大量采用国外产品和服务的我国重要信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步加大，构成了对我关键基础设施的战略威胁。二是各类网络安全威胁不断增多，网络安全防范难度加大。近

3、年来，截获计算机病毒数量、新增病毒种类以及感染计算机台数较往年同期均有所增加，计算机病毒通过网页挂马、网络共享、电子邮件和U盘等移动存储介质广泛传播。与第三方应用软件、浏览器服务有关安全漏洞也大幅上升，其中大量是高危漏洞。大量木马、后门病毒利用安全漏洞通过网站挂马、U盘摆渡、伪造和欺骗等手段侵入重要信息系统，消耗系统资源，窃取个人用户信息甚至国家秘密和商业秘密，给重要信息系统的安全运行造成很大危害。此外，境内外敌对势力敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷，对我重要信息系统实施网络探测攻击，破坏国家网络基础设施的行为也逐年增多。三是信息安全建设缺乏规范，安全防护能力亟待提高。

4、一些单位信息安全领导体制和工作机制等责任制未落实，人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。缺乏常态化的系统安全保护状况的测评分析，在安全技术策略的选择、建设整改方案设计及实施等技术建设方面，既存在一定的盲目性，也缺乏完整性和系统性，导致信息安全整体防护能力和水平不高，给信息系统正常运行留下安全隐患。为切实履行中央赋予公安部的职责，2007年，公安部会同有关部门开展了信息安全等级保护定级工作。经过各部门、各行业、各单位的共同努力，定级工作已基本完成。为加快推进信息安全等级保护制度建设，将等级保护工作向纵深推进，定级备案工作完成后，公安部积极组织有关单位和专家，制定并完善了等级

5、保护相关政策和技术标准，为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础。一是制定了信息安全等级保护安全建设整改工作的相关政策。经过多年探索和实践，特别是经过北京奥运网络安全保卫工作的检验，进一步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法，制定并印发了关于开展信息安全等级保护安全建设整改工作的指导意见(公信安200911429号)及信息安全等级保护安全建设整改工作指南等附件，至此，针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成。二是制定了信息安全等级保护安全建设整改工作的相关标准。为配合信息安全等级保护安全建设整改工作顺利

6、开展，公安部组织国内有关单位和专家经过多年研究，形成了以计算机信息系统安全保护等级划分准则(GB17859-1999)为基础的技术、管理和产品三大类标准体系，并在此基础上，形成了体现安全建设整改具体内容和要求的信息系统安全等级保护基本要求(GB/T 22239-2008)。该标准与测评要求等状况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准，共同为安全建设整改工作提供技术标准支撑。至此，信息安全等级保护标准体系也已基本形成。三是等级保护测评体系建设已经开展。等级测评工作是信息安全等级保护整体工作的一个重要组成部分。为推动信息安全等级保护测评机构建设，规范测评机构和人员及其测评活动

7、的管理，保障等级保护工作的顺利开展，公安部已于2009年初组织开展等级测评体系建设。先后组织编写了信息安全等级保护测评要求、信息安全等级保护测评过程指南以及信息系统等级保护测评报告模版等标准和规范。为检验标准和规范的可行性和必要性，公安部于2009年7-10月份组织开展了等级测评体系建设试点工作，六个省市公安机关和十多家测评机构参加，积累了对测评机构及人员规范管理的经验和方法。下一步公安部将在全国推广试点工作经验，加强对测评机构的能力审验和安全审查，加强对测评人员的安全审查和培训，并将通过评估的测评机构向社会公布，供相关单位选择。此外，电力等一些行业及一些信息安全企业已经按照等级保护相关政策和

8、标准，开始进行信息安全等级保护安全建设整改工作，摸索了一些经验。总之，综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础，既是形势所迫，也具备了一定的条件，既有必要性，也有可行性。因此，各单位要全面准确把握当前我国信息安全工作面临的形势，进一步统一思想，提高认识，增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感，将等级保护工作落实好。2信息安全等级保护安全建设整改工作依据的政策近几年，为组织开展信息安全等级保护工作，公安部根据中华人民共和国计算机信息系统安全保护条例(国务院147号令)的授权，会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件，国家发改委会同公安

9、部、国家保密局出台了相关文件，公安部对有些具体工作出台-了一些指导意见和规范，这些文件初步构成了信息安全等级保护政策体系，为指导各地区、各部门开展等级保护工作提供了政策保障。2.1总体政策总体方面的文件有两个，这两个文件确定了等级保护制度的总体内容和要求，对等级保护工作的开展起到宏观指导作用。1)关于信息安全等级保护工作的实施意见(公通字200466号)。该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件，主要内容包括贯彻落实信息安全等级保护制度的基本原则，等级保护工作的基本内容、工作要求和实施计划，以及各部门工作职责分

10、工等。2)信息安全等级保护管理办法(公通字200743号)。该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。2.2具体政策对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查)，出台了相应的政策规范：1)定级政策。关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)。2007年7月20日四部

11、委在北京联合召开了全国重要信息系统安全等级保护定级工作电视电话会议，会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。2)备案政策。信息安全等级保护备案实施细则(公信安20071360号)。该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，并附带有关法律文书，指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。3)安全建设整改政策。关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)。该文件明确了非涉及国家秘密信息系统开展安

12、全建设整改工作的目标、内容、流程和要求等，文件附件包括信息安全等级保护安全建设整改工作指南和信息安全等级保护主要标准简要说明。该文件由公安部印发。关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家保密局共同会签印发。4)等级测评政策。关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)。该文件明确了等级测评的内容、

13、方法和测评报告格式等内容，用以规范等级测评活动。该文件由公安部网络安全保卫局印发。5)检查监督政策。公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号)。该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等，使检查工作规范化、制度化。该文件由公安部网络安全保卫局印发。3信息安全等级保护安全建设整改工作依据的标准为推动我国信息安全等级保护作的开展，十多年来，在公安部领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全

14、等级保护标准体系，为开展信息安全等级保护工作提供了标准保障信息安全等级保护相关标准具体见信息安全等级保护主要标准简要说明。各单位、各部门安全建设整改工作应依据基本要求或行业标准规范，并在不同阶段、针对不同技术活动参照相应的标准规范进行。为了方便使用，我们已将主要标准汇编成信息安全等级保护标准汇编发给有关单位、部门。标准体系的构成与作用如下。3.1基础类标准计算机信息系统安全保护等级划分准则是强制性国家标准，是等级保护重要的基础性标准。依据在此标准制定的信息系统通用安全技术要求等技术类标准和信息系统安全管理要求、信息系统安全工程管理要求等管理类标准、操作系统安全技术要求等产品类标准，共同构成了等

15、级保护基础性标准，为相关标准的制定起到了基础性作用。3.2安全要求类标准基本要求以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。1)信息系统安全等级保护基本要求(以下简称基本要求该标准是在计算机信息系统安全保护等级划分准则、技术类标准和管理类标准基础上，总结几年的实践，结合当前信息技术发展的实际情况研究制定的，该标准提出了各级信息系统应当具备的安全保护能力，并从技术和管理两方面提出了相应的措施。2)信息系统安全等级保护基本要求的行业细则。重点行业可以按照基本要求等国家标准，结合行业特点，在公安部等有关部门指导下，确定基本要求的具体指标，在不低于基本要求的情况下，结合系统安全保护的特

16、殊需求，制定信息系统安全建设整改的行业标准规范或细则，并据此开展安全建设整改工作。3.3定级类标准信息系统安全等级保护定级指南和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。1)信息系统安全等级保护定级指南(GB/T22240-2008)。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容，用于指导开展信息系统定级工作。2)信息系统安全等级保护行业定级细则。重点行业可以根据信息系统安全等级保护定级指南，结合行业特点，在公安部指导下，制定出台行业信息系统定级标准规范或细则，并据此开展信息系统定级工作。3.4方法指导类标准信息系统安全等级保护实施指南和信息系统等级保护

17、安全设计技术要求构成了指导信息系统安全建设整改的方法指导类标准。1)信息系统安全等级保护实施指南(信安字2007110号)。该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。2)信息系统等级保护安全设计技术要求(信安秘字2009059号)。该标准提出了信息系统等级保护安全设计的技术要求，包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求，以及定级系统互联的设计技术要求，明确了体现定级系统安

18、全保护能力的整体控制机制，用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。3.5现状分析类标准信息系统安全等级保护测评要求和信息系统安全等级保护测评过程指南构成了指导开展等级测评的标准规范。1)信息系统安全等级保护测评要求。该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容，用于规范和指导测评人员如何开展等级测评工作。2)信息系统安全等级保护测评过程指南。该标准阐述了信息系统等级测评的测评过程，明确了等级测评的工作任务、分析方法以及工作结果等，包括测评准备活动、方案编制活动、现场测评活动、分析

19、与报告编制活动，用于规范测评机构的等级测评过程。上述标准在应用中需注意以下问题：一是基本要求是信息系统安全建设整改的基本目标，信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。基本要求中不包含安全设计和工程实施等内容，因此，在系统安全建设整改中，可以参照信息系统安全等级保护实施指南、信息系统等级保护安全设计技术要求和信息系统安全工程管理要求进行。二是由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级，因此，在进行信息系统安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定基本要求中卡H应的安全保护要求。各单位、各部门在进行信息系统安全建设整改方案设

20、计时，要按照整体安全的原则，综合考虑安全保护措施，建立系统综合防护体系，提高系统的整体保护能力。三是信息系统等级保护安全设计技术要求依据计算机信息系统安全保护等级划分准则从计算环境安全、区域边界安全、通信网络安全和安全管理中心(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求，用于指导信息系统等级保护安全技术设计。该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求，所以应与基本要求等标准配合使用。4信息安全等级保护安全建设整改的工作内容及要求各单位、各部门在开展安全建设整改工作中，应坚持管理和技术并重的原则，依据基本要求，落实信息安全责任制，建立并落实各类安全

21、管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。4.1信息安全等级保护安全管理制度建设1)建设依据。按照管理办法、信息系统安全等级保护基本要求，参照信息系统安全管理要求、信息系统安全工程管理要求等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。2)建设内容。落实信息安全责任制。成立信息安全工作领导机构，明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。落实人员安全管理制度。制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。落实系统建设管理制度。建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。落实系统运维管理制度。建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，