安全等級保護 不能虛有其表

從維護國家安全、社會秩序和公共利益的戰略高度來看，做好信息系統安全等級保護越來越重要，其制度的落實和實施不能虛有其表。

分級保護意義重大

當前信息系統安全保護等級的劃分共分為5 級，分別為自主保護級、指導保護級、監督保護級、強制保護級以及?？乇Ｗo級。

實施信息安全等級保護意義重大，不僅有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設協調發展，而且為信息系統安全建設和管理提供了系統性、針對性、可行性的指導和服務，有效控制了信息安全建設成本。同時，信息安全等級保護對信息安全資源的配置進行了優化，重點保障了關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。需要重點提到的是，信息安全等級保護明確了國家、法人和其他組織、公民的信息安全責任，進一步加強了信息安全管理。

安全保障尚存問題

近幾年，針對我國基礎信息網絡和重要信息系統的違法犯罪持續上升，同時敵對勢力的入侵、攻擊和破壞也時有發生。這類違法犯罪事件主要包括：

1.病毒侵襲

信息化應用在社會生產中的作用日益凸顯，與之相對應的，針對于此的攻擊也越來越多，并越來越具有破壞性。舉例來說，2010年7月，震網病毒開始在中國、印度、俄羅斯等多個國家爆發，其也是世界上首個以直接破壞工業基礎設施為目標的蠕蟲病毒，被稱為網絡“超級武器”。據統計，當時全球約4.5 萬個網絡被該病毒感染。

2.系統漏洞

我國工控市場過度開放，國外產品占據大部分市場，如PLC(可編程邏輯控制器)國內產品的市場占有率不到1%，衛星導航芯片95%依賴進口。在現有的自動化系統中，國外產品在核心自動化控制部分仍占很大比例。而國外工業控制芯片和工業控制系統產品，在設計和配置上都可能存在漏洞，這些漏洞有可能為敵對勢力所利用，一旦得逞，所造成的后果難以估量。

3.黑客攻擊

在利益鏈條的驅動下，近年來，黑客入侵、后門植入等攻擊事件頻繁發生。2012年1月，Putty 等服務器遠程管理工具的漢化中文版被曝出存在后門，其可以將服務器的IP 地址、root 密碼、連接端口等信息發送給攻擊者，攻擊者可通過后門對服務器承載的重要數據進行拷貝、添加、刪除等操作。

4.外包隱患

2011年，某單位信息中心數據備份系統服務外包，磁盤陣列中使用的一塊磁盤丟失。安全專家進行安全事件后果分析，認為不排除重要信息被泄露的可能。

近幾年來，我國高度重視信息系統的風險防范，通過多種措施的制定和實施，信息安全保障工作取得了很大進展，但是從總體上看還存在一些問題。首先，信息安全工作不被重視，重要信息系統未落實關鍵安全保護技術措施; 其次，信息安全管理制度體系不完善，信息安全責任制落實不到位，重要信息系統保護不得力;第三、缺少應有的崗位設置，人員和資金投入不足;最后，我國信息技術產品與國外還存在一定差距，安全專業化服務力量薄弱。

謹防測評風險

隨著我國國民經濟和社會信息化進程的全面加快，信息系統的基礎性、全局性作用日益顯現，保障信息安全已成為當前信息化發展中迫切需要解決的重大問題，信息系統安全等級保護的落實和實施勢在必行。

信息系統安全等級保護的核心，是對信息系統分等級和按標準進行建設、管理和監督。要突出重點、分級負責、分類指導、分步實施，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的要求，有效落實等級保護責任和措施。

1.科學定級，嚴格備案。信息系統的運營、使用單位必須按照等級保護的管理規范和技術標準，確定其信息系統的安全保護等級。對重要信息系統，其運營、使用單位及其主管部門應通過專家委員會的安全評審。安全保護等級在二級以上的信息系統，以及跨地域的信息系統應按要求向管轄公安機關備案。

2.建設整改，落實措施。對已有的信息系統，其運營、使用單位要根據已經確定的信息安全保護等級，按照等級保護的管理規范和技術標準，采購和使用相應等級的信息安全產品，落實安全技術措施，完成系統整改。對新建、改建、擴建的信息系統，應當按照等級保護的管理規范和技術標準進行信息系統的規劃設計、建設施工。

3.自查自糾，落實要求。信息系統的運營、使用單位及其主管部門要按照等級保護的管理規范和技術標準，對已經完成安全等級保護建設的信息系統，定期進行安全狀況檢測評估，及時消除安全隱患和漏洞，發現問題及時整改，不斷加強信息安全等級保護能力。

4.監督檢查，完善保護。公安機關要按照等級保護的管理規范和技術標準的要求，重點對三級及以上安全等級的信息系統進行監督檢查。發現安全保護不符合管理規范和技術標準的，要通知相關部門限期整改，確保信息安全等級保護的完善實施。

在實施過程中，信息系統的運營、使用單位要謹防測評風險。尤其是金融系統要加強風險管控，嚴防測評過程中突發事故和泄密事件的發生。各級金融企業、單位要按照中國人民銀行發布的有關標準要求，嚴格選擇符合資質的測評機構和測評人員，同時要加強等級測評的資源管理和過程管理，做好測評設備和過程的隔離和封閉，確保測評過程在安全可控的前提下規范化實施。對等級測評中發現的問題，要及時采取防范措施加以防控或緩釋，并進一步制定和落實相應的整改方案，使信息系統的安全等級保護得以有效落實。