企業信息安全工作實踐

摘? ?要：信息安全的重要性越來越受到國家和企業的重視，信息安全等級保護相關規范的出現，給各個企業的信息安全工作提供了一個很好的抓手，企業應該針對不同的信息系統，按照要求從定級、備案、安全建設和整改、等級測評五個方面入手開展企業信息安全工作，不僅能滿足國家相關要求，也能從技術和管理兩個方面開展工作，搭建企業信息化安全體系架構，提升企業的信息安全整體能力。

關鍵詞：信息安全;安全等保;網絡安全法

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

Abstract： The importance of information security has been gained a very high attention by the government and enterprises. The regulation of information security classification protection has provided a good guideline for enterprises information security.? For different systems， enterprises should start to work based on the following five aspects： classifcation， filing， security system buildup & restrengthen， and evaluation according to the different requirements， so that it not only can meet the relevant requirements of the government， but also can build up the enterprise information security architecture via technology and management aspects， then overall enhance the capability of enterprise information security.

Key words： information security; security classfication; cybersecurity law

1 引言

隨著信息化的普及，信息系統的基礎性、全局性日益突出，信息資源已成為重要的戰略資源之一。整體來說我國的信息安全保障工作基礎還很薄弱，保障信息安全成為信息化發展中的重要課題。面對當前信息安全面臨的復雜、嚴峻形勢，基礎信息網絡和重要信息系統一旦出現大的信息安全問題，不僅僅影響本單位、本行業，而且直接威脅國家安全、社會穩定以及經濟發展。

2 加強信息安全工作既是國家要求也是企業自身迫切需要

從國家層面看，國家對信息安全工作高度重視。2013年6月“棱鏡門”事件爆發并持續發酵后，中國已將信息安全工作提高到前所未有的高度。公安部及相關部委多次以會議、通知及實地檢查的方式督促企業加強信息安全保障工作，要求信息系統必須符合國家信息安全相關規定。

從企業層面上看，信息安全嚴重影響企業自身價值，這幾年信息安全事件主要集中在信息泄露和網絡詐騙兩方面，2018年全球網絡造成近30億以上的用戶信息泄露，形成巨大的安全隱患。在這幾年公安部組織的“護網行動”中，多家企業的重要信息系統不堪一擊，也存在多個國內企業的網站、郵箱和對外服務的信息系統被黑客攻陷的案例，造成對企業發展的不良影響。

信息安全的重要性不言而喻，但怎樣根據公司的實際情況，針對重要程度不同的信息系統建立不同信息系統安全防護體系，是一個亟待解決的難題。2007年發布的《信息安全等級保護管理辦法》，從整體上給企業的信息安全工作指明了方向。

3 以安全等保為抓手，搭建企業信息化安全體系架構

目前多數公司的安全防護是從技術入手，部署上網行為管理系統、防火墻、入侵檢測和網絡接入控制系統等，但各自為政，不僅安全技術缺乏體系，不能切實發揮技術防護的作用，而且整體上缺乏頂層設計和體系化，難以全方位抵御攻擊。保障信息系統安全需要大量的人力物力投入，不同公司的信息系統使用范圍不同，重要程度不同的信息系統不可能統一的做相同安全防范，應該區別對待。早在20世紀90年代，美國發布的FIPS199《聯邦信息和信息系統安全分類標準》，就針對美國政府聯邦的信息系統從機密性、完整性和可用性三個方面評估，按程度高中低分級，并加以不同的安全保護要求。中國在信息安全等級保護方面也不甘落后，1994年國務院下發了《中華人民共和國計算機信息安全保護條例》，首次提出了計算機信息系統實行安全等級保護的概念，以推動信息安全保障工作的順利進行。但真正成體系化全面推行等級保護是2007年7月16日公安部會同國家保密局、國家密碼管理局和國務院信息辦聯合出臺的《關于開展全國重要信息系統安全等級保護定級工作的通知》，要求在全國范圍內開展信息系統安全等級保護（簡稱安全等保）定級工作。近期隨著信息安全的國內國外形勢越來越嚴峻，國家加強了對信息安全工作的要求，于2017年6月1日公布實施了《中華人民共和國網絡安全法》，該法的第21條明確規定國家實行網絡安全等級保護制度，標志著網絡安全保護進入有法可依的新時代，“網絡安全等級保護制度”首次納入國家法律。為了合乎國家法律要求，各企業應對尚未開展安全等保的信息系統開展相應的工作，對不同級別的信息系統進行不同的安全防護，搭建企業整體的安全體系架構。

4 安全等保工作的具體實踐

信息系統安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，信息系統的安全等保工作共有五個階段，包括定級、備案、安全建設和整改、信息安全等級測評。

4.1 定級

2007年公布的《信息安全等級保護管理辦法》規定信息系統安全等級從低到高分為五級，五級為最高，是根據所定級的信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素自主定級及自主保護確定的。兩個定級要素為等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。安全被破壞時侵害的客體包括公民、法人和其他組織的合法權益，社會秩序、公共利益和國家安全三個方面。對客體造成侵害的程度有三種：一般損害、嚴重損害和特別嚴重損害。定級要素與信息系統安全保護等級的關系如表1所示。

信息系統的定級應該在信息系統的規劃設計時同期展開，根據2007年發布的等保要求（簡稱為等保1.0），定級可以采用自主定級的方式展開，目前等保2.0正在征求意見稿中，等保2.0將等保1.0中的“信息安全等級保護”與時俱進優化為“網絡安全等級保護”，其中不僅擴大了等保1.0的覆蓋范圍，覆蓋了這幾年新興的技術—云計算平臺、大數據平臺和物聯網，也醞釀將自主定級增加專家評定和主管部門審核的環節。

定級三級以上非常重要的信息系統可以納入國家關鍵基礎設施管理，在網絡安全等級保護制度的基礎上，實行重點保護。

4.2 備案

定級為二級以上的信息系統需要到當地公安機關網安部門備案，備案前應完成公司的《信息系統安全定級方案》（《定級方案》）和填寫《信息系統安全等級保護備案表》（《備案表》）。 在《備案表》中需要填寫單位的基本情況和信息安全責任部門情況，并填寫本次需備案的各個信息系統應用、系統及安全定級等情況。在《定級方案》中需對備案的各信息系統的應用、維護、系統架構和安全定級的依據做進一步的描述。

上述兩個備案文件需加蓋公司公章后提交當地公安機關審核，審核通過后，每個信息系統都會被頒發公安部監制的《信息系統安全等級保護備案證明》。

4.3 安全建設

信息安全和信息系統的建設應該是相輔相成的，必須做到與信息系統統一規劃、統一部署、統一推進、統一實施，信息系統的安全建設應該與系統的規劃、設計及實施同步進行，否則容易造成“兩張皮”，做了無用功，系統安全得不到保障。安全等保的建設需要從技術和管理兩方面入手，技術上根據系統架構，從底層的機房到上面的信息系統應用和數據分為五大類：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。管理方面由五大部分組成：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

《信息系統安全等級保護基本要求》里有明確的對各級技術和管理的要求，由于所保護的系統的重要程度不同，級別越高的系統，在技術和管理方面的要求越高。如在一級系統只需要對重要信息系統進行備份和恢復;二級系統增加了應提供關鍵設備的硬件冗余;三級系統進一步要求完全數據備份至少每天一次并場外存放;應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地;四級系統則須建立異地災備應用災備中心，數據可以實時備份。

4.4 安全整改

信息系統的安全整改應該是兩個方面的內容。一是定級級別的整改，根據系統使用范圍和深度的變化，可能會造成級別的不同，需要重新定級備案。二是根據自查或安全等保測評，按照相關系統的信息安全等級對比安全管理和技術指標，進行差距和風險分析，使風險分析的結果與等級保護相銜接，確定加固的基本標準和目標，為安全加固奠定基礎，在技術和管理方面實施切實有效的加固措施，有效提高重要信息系統的安全防護水平，為企業信息化發展保駕護航，同時為等級保護測評奠定基礎。

4.5 安全等保測評

根據要求，第三級信息系統應當每年至少進行一次等級測評，第四級信息系統應當每半年至少進行一次等級測評。選擇測評機構是應參考《全國信息安全等級保護測評機構推薦目錄》里具體資質的測評機構，測評機構應該是公安部信息安全等級保護評估中心認證的，到場的等級測評人員應具有評估中心頒發的《等級測評師證書》，對第三級以上網絡提供等級測評服務的，測評師人數不得少于4名，其中高級測評師、中級測評師應各不少于1名。評估完成后提交《信息系統安全等級保護基本要求》，并交當地公安局備案。

二級系統的等保測評可以由自主完成，可以根據《信息系統安全等級保護基本要求》里面要求的指標進行符合性對標，但為了專業性建議不定期地由專業測評公司測評，以便更全面地查漏補缺。

5 企業安全等保的思考

企業的信息安全等保工作中，很容易造成重技術輕管理的問題，技術上不斷加固，依靠增加硬件設備來提高防范能力，但缺乏組織管理，沒能從系統建設設計階段就考慮安全問題，對人員的安全管理松懈，更多的是處在“事件”管理上，出了安全事件后才去事后處理，無法做到有效的防御、抗擊和追溯。技術和管理是一部雙駕馬車，需要同步建設，不斷完善，做到事前能預警和防御，事中能控制，事后能追溯和審計。

信息系統安全等保工作是一項長期的工作。按照《網絡安全法》的要求，不僅新建的信息系統應該在項目立項和建設階段就要統籌考慮安全等保工作，以便在系統架構和日常管理中能夠滿足安全等保的要求，對已定級的信息系統也需要開展安全等保工作，需要不斷進行自查和優化及整改。如信息系統的應用范圍、功能等發生了變化，可能會影響到信息系統的安全等保級別，級別有所變化則需要去當地公安機關重新備案;二級以下系統建議每年可以對照安全等保要求自查;三級以上的系統則每年需請國家或地方認證的信息安全測評機構進行測評檢查工作，并根據檢查的情況查漏補遺，不斷加固。信息安全等保工作不是一勞永逸的工作，需要不斷從技術和管理兩個方面進行改進優化，持續提升安全防御能力。

6 結束語

本文從國家和企業角度分別介紹了信息安全的重要性，分析了企業開展信息安全工作的痛點，論述了以信息安全等級保護作為抓手開展企業信息安全工作，不僅能滿足國家相關要求，也能從技術和管理兩個方面開展工作搭建企業信息化安全體系架構，并根據實際工作經驗，具體闡述了安全等保工作的五個階段具體工作以及后續工作的思考和建議，希望能為企業開展信息化安全工作提供參考。

參考文獻

[1] 公安部，等.信息安全等級保護管理辦法[Z].2007.

[2] 國家標準化管理委員會，等.信息系統安全等級保護基本要求[Z].2008.

[3] 國家標準化管理委員會，等. 信息系統安全保護等級定級指南[Z].2008.

[4] 全國人民代表大會常務委員會.中華人民共和國網絡安全法[Z].2017.

作者簡介：

盧旭紅（1965-），女，漢族，江蘇南京人，美國紐約城市大學，碩士;主要研究方向和關注領域：信息系統架構的研究、建設和管理、系統運維及信息安全。