關于企業信息安全等級保護工作建設的探索

[摘要] 信息安全等級保護制度是我國為了保障信息安全而采取的重要措施，本文對信息安全等級保護制度的政策體系、標準體系進行整理，通過對中國石油信息安全等級保護制度建設進行介紹，總結成功經驗，分析信息安全等級保護制度的不足并提出改進建議。

[關鍵詞] 信息等級保護概述；中國石油；等級保護建設

[中圖分類號] TP391；X913.2 [文獻標識碼] A [文章編號] 1673 - 0194（2013）05- 0057- 02

1 信息等級保護制度概述

信息安全等級保護制度是國家信息安全保障工作的基本制度，是促進信息化健康發展的根本保障。其具體內容包括：①對國家秘密信息，法人和其他組織及公民的專有信息以及公開信息，存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管；②對信息系統中使用的信息安全產品實行按等級管理；③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。

定條件的測評機構開展等級測評；④建設整改：備案單位根據信息系統安全等級，按照國家政策、標準開展安全建設整改；⑤檢查：公安機關定期開展監督、檢查、指導。

2 中國石油信息安全等級保護制度建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后，中國石油認真貫徹國家信息安全等級保護制度各項要求，全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系，保障信息化建設和應用，支撐公司業務發展和總體戰略的實施，使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面：

（1）以信息安全等級保護工作為契機 ， 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求，建立自上而下的工作組織體系，明確信息安全責任部門，對中國石油統一建設的應用系統進行等級保護定級和備案，通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》，加強桌面安全、網絡安全、身份認證等安全基礎防護工作，加快開展重要信息系統的等級測評和安全建設整改工作，進一步提高信息系統的安全防御能力，提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后，聘請專業測評機構，及時開展等級測評、安全檢查和風險評估工作，并通過等級測評工作查找系統的不足和安全隱患，制訂安全整改方案，開展安全整改和加固改造，保障信息系統持續安全穩定運行。

（2）以信息安全等級保護工作為抓手 ， 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手，完善信息安全整體解決方案，建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念，將桌面安全、身份認證、網絡安全、容災等相關技術相互結合，建立統一的安全監控平臺和安全運行中心，實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能，顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍；采用集中管理、分級維護的管理模式，網絡與安全運維人員采用授權方式，持證上崗，建立網絡管理員、安全管理員和安全審計員制度；初步建立起中國石油內部信息安全風險評估隊伍，并于 2010 年完成地區公司的網絡安全風險評估工作。

（3）建立重要信息系統應急處置預案，完善災難恢復機制。2008 年，中國石油發布了《網絡與信息安全突發事件專項應急預案》，所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統，保障業務系統在遭遇突發事件時，能快速反應并恢復業務系統可用性。通過災難恢復項目研究，形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法，劃分了信息系統災難恢復等級，完善了災難恢復機制。

（4）規劃信息安全運行中心，建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案，提出了信息安全運行中心建設目標，通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合，實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮，形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力；通過完善安全運行管理體系，將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合，實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制，形成中國石油統一的應急指揮與協調調度能力，為中國石油信息安全保障奠定良好的基礎。

3 信息安全等級保護工作存在的不足及改進建議

信息安全等級保護管理辦法 （公通字[2007]43號）正式發布標志著全國范圍內的信息安全等級保護工作開始，通過5年的努力，全國信息安全工作形成了以落實信息安全等級保護制度為核心，信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面，重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件，20余個重要行業出臺了40余份行業等級保護標準，但同時存在著以下不足：

（1）對信息安全工作的認識不到位，對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計，截至2012年6月，我國有18%的單位未成立信息安全工作領導機構；21%的單位未落實信息安全責任部門，缺乏信息安全整體規劃；14個行業重要信息系統底數不清、安全保護狀況不明；12個行業未組織全行業信息安全專門業務培訓，開展信息安全工作的思路和方法不得當，措施不得力。20%的單位在信息系統規劃過程中，沒有認真制定安全策略和安全體系規劃，導致安全策略不得當；22%的信息系統網絡結構劃分不合理，核心業務區域部署位置不當，業務應用不合理，容易導致黑客入侵攻擊，造成網絡癱瘓，數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員，相關崗位設置不完整，安全管理人員身兼多職；48%的單位信息安全建設資金投入不足，導致重要信息系統安全加固和整改經費嚴重缺乏；27%的單位沒有針對安全崗位人員制訂相關的培訓計劃，沒有組織開展信息安全教育和培訓，安全管理、運維技術人員能力較弱。

（2）重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面，有34.9%的信息系統沒有保護主機審計記錄，34.8%的信息系統沒有保護主機審計進程，容易導致事故責任無法認定，無法確定事故（事件）原因，影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施，35%的信息系統沒有采取監測重要服務器入侵行為的技術措施，容易使內部網絡感染病毒，對攻擊行為無法進行有效監測和處置。

（3）我國信息技術與國外存在一定差距，安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高，依賴國外產品的情況還比較普遍；國內信息安全專業化服務力量薄弱，安全服務能力不強，部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商，給重要信息系統安全留下了隱患。

為了有效提高我國企業信息安全水平，增加等級保護的可行性及執行力，建議：①各企業開展以信息安全等級保護為核心的安全防范工作，提高網絡主動防御能力，并制訂應急處置預案，加強應急演練，提高網絡應急處置能力。②加大人員和資金投入，提高保障能力。③國家層面加快關鍵技術研究和產品化，重視產品供應鏈的安全可控。

主要參考文獻

[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全，2012（1）.

[2]池仁隆，張超，張春柳.信息系統安全等級保護建設與測評方法簡析[J].軟件產業與工程，2012（2）.

[3]馬遙，黃俊強.信息安全管理體系與等級保護管理要求[J].信息技術，2012（6）.