网神等保介绍

行业等级保护

成功案例

网神等保动态

等保相关政策法规

作者：it专家网   佚名

        从维护国家安全、社会秩序和公共利益的战略高度来看，做好信息系统安全等级保护越来越重要，其制度的落实和实施不能虚有其表。

分级保护意义重大

当前信息系统安全保护等级的划分共分为五级，分别为自主保护级、指导保护级、监督保护级、强制保护级以及专控保护级。

实施信息安全等级保护意义重大，不仅有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设协调发展，而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务，有效控制了信息安全建设成本。同时，信息安全等级保护对信息安全资源的配置进行了优化，重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是，信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任，进一步加强了信息安全管理。

安全保障尚存问题

近几年，针对我国基础信息网络和重要信息系统的违法犯罪持续上升，同时敌对势力的入侵、攻击和破坏也时有发生。这类违法犯罪事件主要包括：

1.病毒侵袭 信息化应用在社会生产中的作用日益凸显，与之相对应的，针对于此的攻击也越来越多，并越来越具有破坏性。举例来说，2010年7月，震网病毒开始在中国、印度、俄罗斯等多个国家爆发，其也是世界上首个以直接破坏工业基础设施为目标的蠕虫病毒，被称为网络“超级武器”。据统计，当时全球约4.5万个网络被该病毒感染。

2.系统漏洞 我国工控市场过度开放，国外产品占据大部分市场，如PLC(可编程逻辑控制器)国内产品的市场占有率不到1%，卫星导航芯片95%依赖进口。在现有的自动化系统中，国外产品在核心自动化控制部分仍占很大比例。而国外工业控制芯片和工业控制系统产品，在设计和配置上都可能存在漏洞，这些漏洞有可能为敌对势力所利用，一旦得逞，所造成的后果难以估量。

3.黑客攻击 在利益链条的驱动下，近年来，黑客入侵、后门植入等攻击事件频繁发生。2012年1月，Putty等服务器远程管理工具的汉化中文版被曝出存在后门，其可以将服务器的IP地址、root密码、连接端口等信息发送给攻击者，攻击者可通过后门对服务器承载的重要数据进行拷贝、添加、删除等操作。

4.外包隐患 2011年，某单位信息中心数据备份系统服务外包，磁盘阵列中使用的一块磁盘丢失。安全专家进行安全事件后果分析，认为不排除重要信息被泄露的可能。

近几年来，我国高度重视信息系统的风险防范，通过多种措施的制定和实施，信息安全保障工作取得了很大进展，但是从总体上看还存在一些问题。首先，信息安全工作不被重视，重要信息系统未落实关键安全保护技术措施;其次，信息安全管理制度体系不完善，信息安全责任制落实不到位，重要信息系统保护不得力;第三、缺少应有的岗位设置，人员和资金投入不足;最后，我国信息技术产品与国外还存在一定差距，安全专业化服务力量薄弱。

谨防测评风险

随着我国国民经济和社会信息化进程的全面加快，信息系统的基础性、全局性作用日益显现，保障信息安全已成为当前信息化发展中迫切需要解决的重大问题，信息系统安全等级保护的落实和实施势在必行。

信息系统安全等级保护的核心，是对信息系统分等级和按标准进行建设、管理和监督。要突出重点、分级负责、分类指导、分步实施，按照谁主管谁负责、谁运营谁负责、谁使用谁负责的要求，有效落实等级保护责任和措施。

1.科学定级，严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术标准，确定其信息系统的安全保护等级。对重要信息系统，其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统，以及跨地域的信息系统应按要求向管辖公安机关备案。

2.建设整改，落实措施。对已有的信息系统，其运营、使用单位要根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统，应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

3.自查自纠，落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统，定期进行安全状况检测评估，及时消除安全隐患和漏洞，发现问题及时整改，不断加强信息安全等级保护能力。

4.监督检查，完善保护。公安机关要按照等级保护的管理规范和技术标准的要求，重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的，要通知相关部门限期整改，确保信息安全等级保护的完善实施。

在实施过程中，信息系统的运营、使用单位要谨防测评风险。尤其是金融系统要加强风险管控，严防测评过程中突发事故和泄密事件的发生。各级金融企业、单位要按照中国人民银行发布的有关标准要求，严格选择符合资质的测评机构和测评人员，同时要加强等级测评的资源管理和过程管理，做好测评设备和过程的隔离和封闭，确保测评过程在安全可控的前提下规范化实施。对等级测评中发现的问题，要及时采取防范措施加以防控或缓释，并进一步制定和落实相应的整改方案，使信息系统的安全等级保护得以有效落实。

原文链接：http://www.vsharing.com/k/net/2012-11/672519.html