搜索
一、国家推行网络安全等级保护制度的现状自1994年国务院颁布《计算机信息系统安全保护条例》,规定我国的计算机信息系统实行安全等级保护起,等级保护制度逐步在国内推行。公安部会同有关部门制定了等级划分标准、等级管理办法,并陆续出台了一系列标准和政策,逐步形成了较为完善的体系。随着2017年《网络安全法》的正式生效,进一步明确了等级保护制度的地位和具体要求,2018年公安部又发布了《中华人民共和国网络安全法》配套行政法规《网络安全等级保护条例(征求意见稿)》,并面向社会先后公开发布了数十起等级保护执法案例。执法案例涵盖教育、互联网、医疗、公共服务等领域。处罚涉及处罚对象发生了未定级备案、未按期进行等级测评、未按规定留存网络日志、未采取安全保护技术措施、未采取数据分类、重要数据备份和加密措施等违法行为。除部分是因为执法机关在网络安全执法检查中发现问题,多数案件源于处罚对象发生漏洞被黑客利用攻击或造成了重要信息泄露等网络安全事件。对于等保建设单位来说,实施信息安全等级保护测评能够有效地提高单位信息系统安全建设的整体水平,有效控制本单位信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强单位信息安全管理。1、等级保护测评概述信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。2、等级保护测评相关标准依据现阶段等保测评的依据主要有《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术信息系统安全等级保护测评过程指南》(GB/T28449-2012)、《信息安全技术信息系统安全等级保护测评要求》(GB/T28448-2012)等国家标准及监管部门出台相关参考依据。3、等级保护测评机构现状当前全国等级保护测评机构共179家(机构明细见《国家网络安全等级保护工作协调小组办公室推荐测评机构名单》(时间截至2019年3月7日))。对于国内测评机构,等保测评工作监管越来越严,而且测评是第三方测试工作,测评机构保证公平、公正、客观进行测评也是对客户负责,对自己出具的报告负责。全国获得测评师证书的人数为5179人(初级3449人,中级1293人,高级437人)。2018年开始,所有被测系统都要在网上备案,目前在公安部门网上备案的系统共7892个(二级4036个,三级3818个,四级38个)。4、等保2.0的到来对等级保护测评工作影响随着《网络安全法》的实施,等保迈入2.0——网络安全等级保护2.0时代。一系列的新规定、新标准也陆续出台,也包括对等级保护测评工作提出了新的要求:(1)由公安部牵头,会同国家网信办、国家保密局、国家密码管理局联合制定了《网络安全等级保护条例》,同时公安部还制定了《网络安全等级保护测评机构管理办法》,打破测评机构区域限制,扩大测评机构的测评范围,实行公平竞争。(2)网络安全等级保护对象变化。例如等级保护对象,也是测评对象由原来的“信息系统”改为“网络和信息系统”,安全等级保护对象包括基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。同时新版安全要求在原有通用安全要求的基础上新增安全扩展要求,安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求,这些都将改变今后的等保测评内容。(3)一系列新标准陆续出台,同时现有的标准如《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术信息系统安全等级保护测评过程指南》(GB/T28449-2012)等也将被更新或替换。总体来说,今后的等保测评工作将面临新的挑战,包括在对新法规、新标准的理解、新的技术发展趋势的掌握,新的测评对象熟知等各方面要求国内等保测评机构、测评人员及相关监管部门也要提升到相应的水平程度。二、烟草行业等级保护工作现状烟草行业作为我国国民经济支柱的重要行业之一,其经济地位的重要性不言而喻。2011年6月国家烟草专卖局办公室下发了《关于组织对烟草行业信息系统安全等级保护基本要求征求意见的通知》,该通知的正式下发标志着我国烟草行业信息安全等级保护工作进入到实际操作阶段。作为国家经济体支柱型行业信息化的发展需要遵循国家信息化相关要求。按照国家有关等级保护的要求,提高烟草行业信息保障能力和水平,以确保烟草信息安全发展能够有效的保护和满足当前烟草信息化需求,提高烟草行业经济效益。《网络安全法》第八条规定,国家网信部门统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。国家烟草专卖局作为行业主管部门,认真落实、执行国家关于网络安全等级保护工作的各项要求和部署,大力推进以安全策略为核心,以管理体系、技术体系、运维体系共同支撑的行业信息安全保障体系建设。行业信息安全工作从以防火墙、防病毒的网络防护和局部防范为主,正在向“全面落实等级保护要求,完善安全体系,提高综合防护能力”转变,为构建一体化“数字烟草”提供安全支撑和有力保障。烟草专卖局领导多次批示要做好等级保护工作,强调要把信息安全工作放在与生产安全同等重要位置,局机关和行业各单位都成立了分管领导任组长、各部门主要负责人参加的信息安全领导小组。结合行业实际,印发《关于做好烟草行业信息系统安全等级保护定级工作的通知》、《关于开展烟草行业信息系统安全等级保护整改工作的通知》、《关于开展2011年烟草行业信息系统安全检查工作的通知》、《烟草行业信息系统安全等级保护基本要求》、《烟草行业信息系统安全等级保护与信息安全事件的定级准则》、《烟草行业信息系统安全等级保护实施规范》等一系列政策文件和标准规范,确保信息安全等级保护各项工作在烟草行业顺利开展。当前我国各省、市烟草公司的信息安全发展步伐不尽相同,有的省市的信息化发展步伐走在前列,信息化建设已经进入信息化整改阶段。有的省市信息安全体系规划和体系建设工作尚处于建设阶段。2018年,全国各省烟草行业都在大力开展网络安全和等级保护工作。烟草行业网络安全培训班在郑州举办;河南省局、辽宁省局、山西省局、湖北省局、深圳市局分别举办各自区域的网络安全培训/推进工作会议;湖北中烟、广西区局、山东省局、宁夏区局积极开展网络安全执法检查自查(专项检查)工作;河北中烟工业有限责任公司、河北白沙烟草有限责任公司、张家口卷烟厂、黑龙江省烟草公司及哈尔滨市公司就信息系统安全等级保护测评工作进行公开招标;河北省局召开信息系统安全等级保护测评工作启动会;贵州中烟11个信息新系统等级保护定级通过专家评审。三、等级保护工作建议江西省公安厅在推动等级保护工作方面一直在下大力气,每年都会开展全省网络安全执法检查工作,并于2017年3月成立了江西省网络与信息安全信息通报中心,以行政监督检查加技术指导相结合的方式落实其监管职责。作为信息系统运营使用单位,也应该高度重视企业网络安全,坚决落实等级保护制度。主要可以从以下几个方面着手:1、利用分等级进行防护的思路进行结构化安全设计安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即涉密人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。2、注重全生命周期安全管理等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。3、等级保护定级备案和测评首先是按照上级主管部门的文件要求,结合定级指南等标准,梳理自有的信息系统并定级,然后编制定级备案材料报送至公安机关。等级保护测评前,应选择合适的测评机构,考虑到等保测评主要是标准符合性测评,且该项工作推行了多年,大多数的测评机构测评实施能力上相差不大,在甄选时除了基本要求外,可着重从保密性、可控性、售后服务多样性等方面考虑择优选择。4、开展安全建设整改根据等级保护实施结果开展安全建设整改,具体主要包括安全域的二次梳理和优化、防护产品采购与部署、安全策略实施、安全整改加固以及等级保护管理体系建设提升等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。