2009年12月略论信息安全与等级保护.pdfVIP

2009年12月 略论信息安全与等级保护 赵鸿雁 （河北理工大学图书馆，唐山 063009 ） [摘要] 随着我国信息化建设的不断加深，大力推进信息安全保护工作成为当务之急，本文通过解读我 国信息安全保护的有关政策，针对我国信息安全保护现状，探讨了国家安全保护工作的核心问题。 [关键词] 信息安全；等级保护；信息安全认证； [中图分类号] G203；TP309.2 [文献标识码] A 当今世界信息化建设飞速发展，政治、经济和生活等各个领域正在迅速普及信息化管理。 “十五” 期间，我国国民经济和社会信息化的发展都取得了令世人瞩目的成就。信息化建设已经成为支撑我国经 济社会发展的关键因素之一。信息安全已经直接关系到国家安全和人民群众切身利益，关系到社会稳定 和改革开放的大局。因此，加强国家信息系统安全，推进信息安全保护工作有着重要的意义。 一、国家信息系统安全保护任务紧迫 信息安全是指在一定范围内的社会环境下,由信息和网络技术与国家安全因素的相关性所构成的国 家安全的一种态势,这种态势描述了国家免受国内外信息威胁的能力和以信息手段维护国家综合安全的 能力。当前，我国信息安全面临的形势仍然十分严峻，根据目前的趋势，2007年我国信息安全所面临的 威胁主要集中在以下几个方面：密码盗取站点不断上升；图像垃圾邮件将会不断上升；网络站点的视频 流行使之成为黑客的目标；移动攻击增多；身份盗取和数据损失将继续成为公众问题；僵尸网络将继续 增长。寄生恶意软件正在回头。 二、我国信息安全等级保护工作已经进入政策落实期 信息安全的等级保护制度是国家大力倡导的信息安全基本政策。我国信息安全等级保护的源头最早 可以追溯到1994年国务院发布的147号令《中华人民共和国计算机信息系统安全保护条例》，首次提出计 算机信息系统实行安全等级保护。 2003年9月，中央颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》（27号文件）， 提出要在未来5年内建设中国信息安全保障体系。2005年，国家公安部出台了等级保护规范， 2006年对 等级保护制度进行了重点试点，并总结出了很好的经验和汲取的教训。2007年7月20 日，公安部、国家 保密局、国家密码管理局、国务院信息办等四部门在北京联合召开“全国重要信息系统安全等级保护定 级工作电视电话会议” ，在全国范围内，部署了重要信息系统的安全等级保护定级工作，标志着全国范 围的信息安全等级保护工作正式拉开了序幕。9月底，我国基础网络和重要信息系统等级保护的定级、 备案工作全部完成。 三、我国信息系统安全保护的等级分类 意大利经济学家帕累托1897年发现了“二八原理”，即经济学上的“80/20效率法则”① 。在国家信息安 全领域也是如此。关键的往往是少数。所以将重要信息系统先定级，再保护这就是等级保护最初的 起因。 3.1我们国家信息系统的等级划分 我们国家的信息系统等级划分的标准基于两方面：第一是信息系统本身的重要程度，第二是遭到破 坏后的危害程度。系统越重要，被破坏后危害越高，那么等级越高。危害客体是三类：首先是国家安全， 其次是社会秩序和公共利益，再次是公民、法人和其他组织的合法权益。 3.2我们国家信息系统安全保护的等级划分 《国家信息化领导小组关于加强信息安全保障工作的意见》27号文指出，不同的信息系统有着不同 的安全要求，必须优化信息安全资源的配置，确保重点，重点保护，将有限的信息安全资源放在最重要 的地方。针对我国信息系统四大类基础网络和重要信息系统，其安全保护等级分类如下： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安 全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会 秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成 严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 显然，我们国家信息系统的安全保护等级分类充分体现了中国特色，那就是“ 自主定级，自主保护” 。