信息系统安全等级保护整改培训资料(一)
扬州大自然网络信息有限公司 2012年12月28日 阅读数: 6068
一、当前开展信息安全等级工作面临的形势
近年来,在党中央、国务院的高度重视下,通过各地区、各部门的共同努力,信息安全工作取得明显成效:信息安全责任进一步明确,等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展,信息安全防护水平明显提高。与此同时我们应该看到,当前我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务十分艰巨、繁重。
一是西强我弱的局面长期存在,信息安全战略威胁更加突出。近年来,我国重要信息系统的安全保护能力虽然有了很大提高,但同西方发达国家相比,还是处于西强我弱,总体比较被动的局面。奥巴马执政以来,美国高度重视网络安全问题,将网络空间视为继陆、海、空、太空后的“第五战略空间”,制订出台了包括强化联邦政府对网络安全的统一领导,整合各方资源力量,成立作战部队,加强技术研发和网络战资源储备,全面提升国家关键信息基础设施的安全防范能力等一系列重要举措。而美国推行国家网络安全新战略,正是将中国作为其头号假想敌。如果未来发生“网络战”,美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统。同时,信息安全领域的一些关键技术和关键产品大部分掌握在西方信息化发达国家手中,从而使大量采用国外产品和服务的我国重要信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步加大,构成了对我关键基础设施的战略威胁。
二是各类网络安全威胁不断增多,网络安全防范难度加大。今年以来,截获计算机病毒数量、新增病毒种类以及感染计算机台数较去年同期均有所增加,计算机病毒通过网页挂马、网络共享、电子邮件和U盘等移动存储介质广泛传播。与第三方应用软件、浏览器服务有关安全漏洞也大幅上升,其中大量是高危漏洞。大量木马、后门病毒利用安全漏洞通过“网站挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统,消耗系统资源,窃取个人用户信息甚至国家秘密和商业秘密,给重要信息系统的安全运行造成很大危害。此外,境内外敌对势力、敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷,对我重要信息系统实施网络探测攻击,破坏国家网络基础设施的行为也逐年增多。
三是信息安全建设缺乏规范,安全防护能力亟待提高。一些单位信息安全领导体制和工作机制等责任制未落实,人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。缺乏常态化的系统安全保护状况的测评分析,在安全技术策略的选择、建设整改方案设计及实施等技术建设方面,既存在一定的盲目性,也缺乏完整性和系统性,导致信息安全整体防护能力和水平不高,给信息系统正常运行留下安全隐患。
为切实履行中央赋予公安部的职责,2007年,公安部会同有关部门开展了信息安全等级保护定级工作。经过各部门、各行业、各单位的共同努力,定级工作已基本完成。为加快推进信息安全等级保护制度建设,将等级保护工作向纵深推进,定级备案工作完成后,公安部积极组织有关单位和专家,制定并完善了等级保护相关政策和技术标准,为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础。一是制定了信息安全等级保护安全建设整改工作的相关政策。经过多年探索和实践,特别是经过北京奥运网络安全保卫工作的检验,进一步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法,制定并印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)及《信息安全等级保护安全建设整改工作指南》等附件,至此,针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成。二是制定了信息安全等级保护安全建设整改工作的相关标准。为配合信息安全等级保护安全建设整改工作顺利开展,公安部组织国内有关单位和专家经过多年研究,形成了以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础的技术、管理和产品三大类标准体系,并在此基础上,形成了体现安全建设整改具体内容和要求的《信息系统安全等级保护基本要求》(GB/T 22239-2008)。该标准与测评要求等状况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准,共同为安全建设整改工作提供技术标准支撑。至此,信息安全等级保护标准体系也已基本形成。三是等级保护测评体系建设已经开展。等级测评工作是信息安全等级保护整体工作的一个重要组成部分。为推动信息安全等级保护测评机构建设,规范测评机构和人员及其测评活动的管理,保障等级保护工作的顺利开展,公安部已于今年年初组织开展等级测评体系建设。先后组织编写了《信息安全等级保护测评要求》、《信息安全等级保护测评过程指南》以及《信息系统等级保护测评报告模版》等标准和规范。为检验标准和规范的可行性和必要性,公安部于今年7—10月份组织开展了等级测评体系建设试点工作,六个省市公安机关和十多家测评机构参加,积累了对测评机构及人员规范管理的经验和方法。下一步公安部将在全国推广试点工作经验,加强对测评机构的能力审验和安全审查,加强对测评人员的安全审查和培训,并将通过评估的测评机构向社会公布,供相关单位选择。此外,电力等一些行业及一些信息安全企业已经按照等级保护相关政策和标准,开始进行信息安全等级保护安全建设整改工作,摸索了一些经验。
总之,综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础,既是形势所迫,也具备了一定的条件,既有必要性,也有可行性。因此,各单位要全面准确把握当前我国信息安全工作面临的形势,进一步统一思想,提高认识,增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感,将等级保护工作落实好。
近年来,在党中央、国务院的高度重视下,通过各地区、各部门的共同努力,信息安全工作取得明显成效:信息安全责任进一步明确,等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展,信息安全防护水平明显提高。与此同时我们应该看到,当前我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务十分艰巨、繁重。
一是西强我弱的局面长期存在,信息安全战略威胁更加突出。近年来,我国重要信息系统的安全保护能力虽然有了很大提高,但同西方发达国家相比,还是处于西强我弱,总体比较被动的局面。奥巴马执政以来,美国高度重视网络安全问题,将网络空间视为继陆、海、空、太空后的“第五战略空间”,制订出台了包括强化联邦政府对网络安全的统一领导,整合各方资源力量,成立作战部队,加强技术研发和网络战资源储备,全面提升国家关键信息基础设施的安全防范能力等一系列重要举措。而美国推行国家网络安全新战略,正是将中国作为其头号假想敌。如果未来发生“网络战”,美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统。同时,信息安全领域的一些关键技术和关键产品大部分掌握在西方信息化发达国家手中,从而使大量采用国外产品和服务的我国重要信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步加大,构成了对我关键基础设施的战略威胁。
二是各类网络安全威胁不断增多,网络安全防范难度加大。今年以来,截获计算机病毒数量、新增病毒种类以及感染计算机台数较去年同期均有所增加,计算机病毒通过网页挂马、网络共享、电子邮件和U盘等移动存储介质广泛传播。与第三方应用软件、浏览器服务有关安全漏洞也大幅上升,其中大量是高危漏洞。大量木马、后门病毒利用安全漏洞通过“网站挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统,消耗系统资源,窃取个人用户信息甚至国家秘密和商业秘密,给重要信息系统的安全运行造成很大危害。此外,境内外敌对势力、敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷,对我重要信息系统实施网络探测攻击,破坏国家网络基础设施的行为也逐年增多。
三是信息安全建设缺乏规范,安全防护能力亟待提高。一些单位信息安全领导体制和工作机制等责任制未落实,人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。缺乏常态化的系统安全保护状况的测评分析,在安全技术策略的选择、建设整改方案设计及实施等技术建设方面,既存在一定的盲目性,也缺乏完整性和系统性,导致信息安全整体防护能力和水平不高,给信息系统正常运行留下安全隐患。
为切实履行中央赋予公安部的职责,2007年,公安部会同有关部门开展了信息安全等级保护定级工作。经过各部门、各行业、各单位的共同努力,定级工作已基本完成。为加快推进信息安全等级保护制度建设,将等级保护工作向纵深推进,定级备案工作完成后,公安部积极组织有关单位和专家,制定并完善了等级保护相关政策和技术标准,为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础。一是制定了信息安全等级保护安全建设整改工作的相关政策。经过多年探索和实践,特别是经过北京奥运网络安全保卫工作的检验,进一步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法,制定并印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)及《信息安全等级保护安全建设整改工作指南》等附件,至此,针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成。二是制定了信息安全等级保护安全建设整改工作的相关标准。为配合信息安全等级保护安全建设整改工作顺利开展,公安部组织国内有关单位和专家经过多年研究,形成了以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础的技术、管理和产品三大类标准体系,并在此基础上,形成了体现安全建设整改具体内容和要求的《信息系统安全等级保护基本要求》(GB/T 22239-2008)。该标准与测评要求等状况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准,共同为安全建设整改工作提供技术标准支撑。至此,信息安全等级保护标准体系也已基本形成。三是等级保护测评体系建设已经开展。等级测评工作是信息安全等级保护整体工作的一个重要组成部分。为推动信息安全等级保护测评机构建设,规范测评机构和人员及其测评活动的管理,保障等级保护工作的顺利开展,公安部已于今年年初组织开展等级测评体系建设。先后组织编写了《信息安全等级保护测评要求》、《信息安全等级保护测评过程指南》以及《信息系统等级保护测评报告模版》等标准和规范。为检验标准和规范的可行性和必要性,公安部于今年7—10月份组织开展了等级测评体系建设试点工作,六个省市公安机关和十多家测评机构参加,积累了对测评机构及人员规范管理的经验和方法。下一步公安部将在全国推广试点工作经验,加强对测评机构的能力审验和安全审查,加强对测评人员的安全审查和培训,并将通过评估的测评机构向社会公布,供相关单位选择。此外,电力等一些行业及一些信息安全企业已经按照等级保护相关政策和标准,开始进行信息安全等级保护安全建设整改工作,摸索了一些经验。
总之,综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础,既是形势所迫,也具备了一定的条件,既有必要性,也有可行性。因此,各单位要全面准确把握当前我国信息安全工作面临的形势,进一步统一思想,提高认识,增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感,将等级保护工作落实好。
微信公众号