公安大學專家:網路安全等級保護工作的創新發展
自1994年我國確立計算機資訊系統實行安全等級保護制度以來,等級保護與我國資訊化共同發展,從探索走向成熟,有力地保障了國家資訊保安。隨著資訊科技的迅猛發展,等級保護的物件發生了變化,國內外網路安全領域也面臨新形勢、新問題,驅動等級保護在成熟經驗的基礎上開啟新一輪創新發展。
一、等級保護制度發展的三個階段
隨著雲端計算、大資料、人工智慧等新技術、應用的發展,資料資產快速泛在化,傳統安全防禦邊界被打破,資訊資產安全面臨前所未有的威脅。與此同時,等級保護工作持續健康發展,已成為國家資訊保安保護的基本制度。回顧我國等級保護制度的發展,大致可分為以下三個階段。
第一階段:等級保護確立和探索階段。這個階段從1994年確立計算機資訊系統實行安全等級保護制度開始,到2003年等級保護從一項計算機資訊系統安全保護制度提升至國家資訊保安保障基本制度。2004年至2006年,公安部聯合四部委開展了涉及6萬餘家單位,共11萬餘資訊系統的等級保護基礎調查和等級保護試點工作。通過摸底調查和試點,探索開展等級保護工作領導、組織、協調的模式和辦法,營造等級保護工作的政策環境,為全面開展等級保護工作奠定了堅實的基礎。
第二階段:等級保護全面實施階段。歷經十多年的探索,2007年正式啟動實施等級保護工作,陸續出臺等級保護基本要求、安全設計和測評要求等一系列標準,實現了完善測評體系、開展三級以上系統測評、建設整改等有關等級保護工作的階段性目標。2010年以後,金融、電力、教育、醫療、交通等行業監管部門和企事業單位陸續配套相關制度,全面貫徹執行等級保護工作,標誌著我國資訊保安等級保護工作全面展開,等級保護工作進入規模化推進階段。
第三階段:等級保護創新發展階段。2017年6月1日,《中華人民共和國網路安全法》正式實施,明確將國家網路安全等級保護制度從我國的基本國策和基本制度上升為國家法律。網路安全等級保護的保護物件也發生了較大變化,原有的“資訊系統”擴充套件成更廣範圍的“等級保護物件”,包括網路基礎設施、資訊系統、雲端計算平臺、大資料、物聯網和工業控制系統等。等級保護的基本要求不斷豐富和完善,風險評估、安全監測、通報預警、案事件調查、資料防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等這些與網路安全密切相關的措施全部納入等級保護制度並加以實施。建立更為完善的等級保護體系,包括政策體系、標準體系、測評體系、技術體系、服務體系、關鍵技術研究體系、教育訓練體系等。以等級保護為核心,構建包括安全監測、通報預警、快速處置、態勢感知、安全防範、精確打擊等為一體的國家關鍵資訊基礎設施安全保衛體系。
二、等級保護工作取得顯著成效
歷經二十多年的持續發展,等級保護工作在機構隊伍、測評和安全檢查等方面成效顯著。
等級保護的機構和隊伍建設不斷加強。設定了國家和省兩級資訊保安等級保護工作協調小組辦公室,在行業主管部門、網路安全重點保護單位建立了資訊保安等級保護聯絡員制度,成立了等級保護專家組。規範測評機構和人員的管理,發展完善測評機構和測評師隊伍。根據國家網路安全等級保護協調小組辦公室公佈的《全國網路安全等級保護測評機構推薦目錄》,現有160餘家測評機構。國家對測評人員實行等級測評師管理,逐步構建了具備職業道德和工作操守、等級分佈和人員規模相對合理的測評師隊伍。統計資料表明,已註冊的高階測評師130餘人,中級測評師1200餘人,初級測評師3400餘人。注重建設測評機構和人員的質量監督與管理體系,開展網路安全等級保護測評能力驗證,確保等級測評服務的安全、客觀、公正。
系統測評與建設工作有序開展。截至2017年底,我國已累計受理備案14萬餘個資訊系統,其中三級以上重要資訊系統1.7萬餘個,基本涵蓋所有關鍵資訊基礎設施。根據等級保護的政策要求,金融、電力和水利等各重點行業,依據行業實際制定等級保護實施細則,進一步細化、落實本系統內的等級保護工作。以金融行業為例,行業管理部門制定了《證券期貨業資訊系統安全等級保護基本要求》《金融行業資訊保安等級保護測評服務安全指引》《金融行業資訊系統資訊保安等級保護測評指南》《金融行業資訊系統資訊保安等級保護實施指引》等行業細化規範,以此為依託,全面開展金融行業等級保護工作。
開展網路安全執法大檢查和網路安全資訊通報預警。對納入等級保護的資訊系統開展常態化檢查,按照公安機關網路安全執法檢查的相關工作方案要求,對第三級(含)以上資訊系統、重點網站及所屬單位,開展執法檢查。採取現場檢查、技術檢測和遠端滲透相結合的方式,下發執法檢查反饋意見書、整改通知書、安全隱患告知書,督促其開展整改,消除問題和隱患。近年來,累計發現整改各類安全漏洞近40萬個。按照中央和國家相關要求,建立覆蓋部省市三級、200多個重要行業、橫縱通暢的立體化全國網路安全預警通報體系。
三、新時期等級保護工作新要求
為貫徹落實《中華人民共和國網路安全法》,應深入推進實施國家網路安全等級保護制度,有效應對動態、非對稱、複雜和不確定等特性的網路安全挑戰,積極融入網路空間國際治理環境,通過自主創新推進網路安全保障工作,為新時代網路安全事業作出新貢獻。
積極構建等級保護安全、開放、合作的良好生態。首先,政府管理部門應按照法律規定和授權,建立良好的統籌協調機制,避免監管職能交叉和內容重複,規避監管中出現對同一單位、同一事項重複檢查且標準不一等問題。其次,網信部門統籌協調,公安、保密和密碼等部門分工負責,其他部門協同開展等級保護工作。公安機關發揮主力軍作用,政府其他職能部門尤其是行業監管部門充分履行網路安全保護職責,營造社會多方參與網路安全保護工作的良好生態。再次,充分發揮群眾的基礎性作用,通過組織社會力量參與網路安全防範工作,一方面強化網路安全社會力量的防範意識和能力,另一方面帶動更多的群眾關注、重視、支援、配合網路安全防範工作,真正起到以點帶面、以面保點的基礎性作用。
加強對等級保護工作的系統研究。首先開展等級保護的制度體系研究,不斷完善等級保護的法律政策、標準、技術支撐、人才隊伍、教育訓練和綜合保障等各分支體系。其次,應開展對網路安全綜合防控體系的研究,調動社會各種有效資源,實現開放協同、資源共享、主動防禦、快速處置、精細管理的一體化系統工程,構建網路空間立體化綜合防控體系。再次,開展網路安全技術研究,增強主動防禦、監測發現、態勢感知、通報預警、快速處置和監督管理等能力。使用大資料、人工智慧等技術,讓安全保護從區域性走向全域性,從被動轉向主動,從區域性的檢測防禦轉向整體的威脅檢測和感知,從靜態轉向更多的動態自適應體系,開創網路防護新時代。
加強等級保護工作的國際化交流與合作。積極服務國家網路空間國際合作戰略,提供中國方案,分享中國經驗。面對全球性的網路安全問題,加強國家間的合作對話、溝通與交流,以政府間、企業間、民間的各種友好合作,研究探討網路安全等級保護工作模式,共同維護網路空間安全。加強網路安全保護的立法、經驗和技術交流,推動世界各國就網路安全等級保護達成共識,制定合作措施。加強全球在預警防範、應急響應、技術創新、標準規範、資訊共享等方面合作,提高網路風險的防範和應對能力。
(本文刊登於《中國資訊保安》雜誌2018年第8期)
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。