关于做好政府机关信息安全等级保护工作的建议

摘要：信息技术的推广应用在给我们带来便利的同时也带来了风险，为了提高我国重要信息系统的安全保护程度，我国启动了信息安全等级保护工作，政府机关的信息系统有自己的特点，该文介绍了几个做好政府机关等级保护工作的建议。

关键词： 信息系统；等级保护；网络空间；定级；建设整改；变更；备案

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）21-4808-03

当今世界，信息技术革命在给全世界人民带来便利的同时也带来了隐患和风险。应该说，我国的信息安全形势非常严峻，发达国家要使我们的网络信息系统瘫痪或盗窃我们的重要信息易如反掌。

纵观国内，信息化的工作流程已取代了传统的手工作业，各行各业的信息系统变得日益庞大和复杂，但我们的安全意识、技术和管理水平却始终不高。有幸的是，我国的信息化管理层早已认清了形势，开始推进我国建设信息安全的自主之路。

2007年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发文，了《信息安全等级保护管理办法》。同年，四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》。自此，我国各行各业大规模开展重要信息系统安全等级保护工作的序幕正式拉开。

所谓信息安全等级保护（以下简称“等保”），是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。这里，信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

本文不讨论关于信息安全产品的分等级管理和信息安全事件的分等级响应，仅就信息系统分等级安全保护开展讨论。

1 背景

信息安全等级保护制度，作为我国的一项重大政策，是各行各业开展重要系统信息安全建设的基础和依据。特别是《信息系统安全等级保护基本要求》（以下简称《基本要求》）的出台，在实践操作层面指导了重要行业的信息安全工作的开展。应该说无论是技术还是管理，我们都能从《基本要求》中找到建设维护信息系统相应的制度要求。

总的来说，我国信息安全等级保护制度的出台是及时的，有着特别重大和积极的意义，我们所有重要信息系统的建设者、维护者、使用者都应深刻领会，积极响应。在我国的重要行业领域里，严格参照《基本要求》开展等级保护工作，构建信息系统安全壁垒，是我们抵御敌对势力网络攻击和信息战的尚方宝剑。

21世纪的网络空间里，信息安全保卫战是看不见硝烟的战争，任何个人任何单位都不能轻视它，借助这场战争，胜利者将获得经济、政治上的利益，失败者将承受巨大的损失。这是一场隐蔽而持久的战争，我们任何人任何单位都不能放松警惕，我们必须时刻警醒，大量商用的核心信息技术掌握在他国手中，我们所处的地位本就弱势，如果再不重视信息安全，就等于没有任何防护措施任人宰割却不自知。

我们必须在网络空间里构建一道防线，使我们的信息系统不受侵害，而信息安全等级保护制度就是那道抵挡入侵的安全防线。落实好信息安全等级保护制度是我们的职责，也只有参照信息安全等级保护制度来完善和加固我们的信息系统，我们才能更好保护无形却有巨额价值的信息系统资产。

2 政府机关信息化工作的现状

现阶段，我国政府机关的信息系统具有以下一些特点：

1）在我国，政府机关的信息系统一般都是涉及国计民生的重要业务系统，因此，保障这些信息系统安全的需求非常强烈。

2）政府机关的信息系统大多追求稳妥，太先进的设施或软件不会贸然使用，所以信息化水平稍显落后。

3）我国正处在经济快速发展的时期，政策调整非常频繁，导致信息系统需要经常改动以适应政府服务及管理功能的需要。

4）政府机关的资金使用有财政预算和信息化管理部门的限制，一般都是按需设定，按计划采购，预算外的项目很难实施，而且预算都是提前一年设定。所以政府机关的信息安全建设只能按部就班循序渐进，无法一蹴而就。

5）随着近年来政府工作依赖信息化程度的提高，信息系统使用范围越来越广，信息部门工作人员的缺口在增大，人力资源紧张的问题越来越突出。为了弥补人手不足的窘境，信息部门一人多岗的现象非常普遍，而按照信息安全的相关要求，有些工作岗位必须由不同人员担任，这就要考验我们信息部门的管理者水平了。

2 做好等保工作的几点建议

政府机关的信息系统如此重要，现状又如此特殊，我们该如何在政府机关里开展好等保工作，通过等级保护来保障信息系统的正常运行呢？下面我推荐一些做好等保工作的建议。

2.1 思想上真正重视

首先，我们必须真正从思想上重视等保工作，才能在行动上保证等保的有效执行。如果说落实等保工作仅仅因为是国家的政策规定而为之，那么最后往往是敷衍了事的形式主义，等保的实际效果并不能真正体现出来。

对于信息系统安全工作我们丝毫不能松懈，信息安全防护的道路漫长而艰巨，我们必须拿出勇气和决心，坚守防线。实际上，等级保护制度是我国信息管理部门研究制定的自我防护措施，现在重要系统的信息安全事业得到很大程度的重视也是得益于国家等级保护制度的出台。也正因信息安全得到了前所未有的重视，重要系统的信息安全保障水平才得到大幅度的提升。因此，我们必须真正的引入等保，切实严格的按照要求开展等级保护工作。

2.2 做好定级工作

信息系统的安全保护等级分五级，不同的等级相对应的等级保护要求也不同。等级保护的核心思想，就是把重要的信息系统按相应级别保护起来，不同的等级保护级别分别有不同的信息技术建设管理要求。简而言之，定级就是确定信息系统的保护等级。

由于我们每个单位的经费与预算是有限的，每个单位的信息系统又有重要和次要之分，因此，我们必须梳理所有的信息系统，逐一确定相应等级。将有限的预算投入到高保护级别的信息系统安全保障中，才是实际而高效的。如果定级不准，将使重要信息系统得不到应有的保护，或者非重要信息系统占用太多原本就紧张的资源。当然，在实际的工作中，每个单位的情况不同，信息系统具有的风险特点也不同，那就要具体情况具体分析了。

另外，现在很多单位一提到等级保护就认为这是信息部门的工作，与业务没什么关系。但是我认为这种观点是错误的，在等保最关键的定级环节中，责任主体是我们的业务部门也就是信息系统的应用管理方。因为按照规定，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。所以说一个信息系统受到破坏后将引起怎样的影响，信息部门作为建设运维方是无法得知的，业务部门必须分析相关影响，并确定信息系统的保护级别。

再一个是定级的时间问题，也就是说，什么时候确定信息系统的保护等级。先说新建系统，一般来说，新建信息系统在一开始便应该确定相应的等级，也就是说在信息系统建设之前的业务需求阶段，等级保护级别就应该被确定了。只有明确了信息系统的保护级别，我们才能在项目建设的需求中考虑相应等级需要达到的安全要求，并按相应等级的要求来建设系统。再说在用系统， 因为等级保护制度是近些年才提出来的，而我们使用的信息系统有很多是在等保之前就投入使用的，那么这些在用的信息系统就只能在后期补定保护级别了。

总之，定级工作是等保工作的基础工作，如果不及时定级，后续工作将无法开展。如果定级不准确，将无法按对应的要求来保护信息系统。

2.3 划清信息系统的边界

信息部门应该做的是：正确分析信息系统涉及的设施及范围，实际上，这项工作是具有难度的。由于现在的信息系统都是运行在网络环境中，信息系统的后台数据是交叉使用、相互调用。而定级是根据业务信息及系统服务两者中高的安全等级来决定该信息系统的。所以定级时系统范围的确定就需要慎重考虑了。

但是我认为在等保中贯彻着一种思想，就是“谁主管谁负责，谁运行谁负责，谁使用谁负责”的思想，由于我国国情的特点，一个信息系统在运行过程中可能跨省可能跨市或跨单位。那么此时，我们必须以责任主体来分割信息系统，因为等级保护的责任主体必须有明确的宿主，比如说在上下级级联的信息系统中，信息系统位于上级单位的软硬件设施和数据应该由上级单位管理，位于下级单位的软硬件设施和数据应该由下级单位管理。

2.4 安全建设整改

建设整改工作是等保的核心工作，也是最具技术难度的工作。如果是新建信息系统，前面已经讲到应该在建设之初就由业务部门确定保护级别，然后信息部门可以按照相应级别要求去建设信息系统的安全功能；如果是未经定级就投入使用的信息系统，这些系统多半不会参照等级保护要求来建设安全功能，或多或少都会有不符合等级保护要求的地方。这样的话，我们必须在信息系统补定级之后，按照《基本要求》来对照自查并进行整改。

由于我国政府机关人力、资金等资源的限制，整改工作的压力很大。但很多时候，即使我们了解信息系统所具有的风险点，也不敢轻易尝试操作。一方面，我们的技术人员水平有限，怕操作失误承担不良后果，另一方面，单位资金紧张，没有财力去扩充安全设施；或者，人手紧张，没有足够人员来满足空缺的岗位。

实际上，整改工作确实是需要拿出决心、勇气和智慧的，否则是执行不下去的。比如说打补丁工作，我们可以尝试搭建测试环境，在测试环境中如果补丁不影响系统正常运行，那我们就可以在正式环境中操作该工作，当然，在操作之前我们要做好回退的准备。同样的，关闭不需要的服务和端口也同样可以在模拟环境中先行测试。人手不够，可以尝试一人多岗，互为AB岗，或交叉审计。没有资金采购安全设施，可以通过一些管理策略或人工操作来弥补。

2.5 循环改进

伴随着信息技术的不断升级进步，信息安全保护也不能停滞不前。今天采用的保护措施有效并不意味明天也能有效。所以信息安全保障应该是一项持久永续的工作，只要信息化系统不停止运行，安全保障工作就不能停止，也就是说等级保护工作也必须持续进行。

一个重要信息系统从产生到废止，信息安全等级保护需要贯彻整个生命周期。这样一种工作模式是保障信息系统安全相对有效的方式，需要指出的是，做好等保工作不是一次性的，不可能一劳永逸。比如说，我们按保护级别对信息系统开展了安全整改与建设，在进行等保测评之后，我们需要对测评报告指出的风险或安全差距开展再次的整改与建设；因为重要信息系统需要定期测评，所以在整改之后我们要再次开展等保测评，然后对测评出的问题再整改……

2.6 变更工作

由于信息系统是一种替代手工操作的工作方式或生产工具，这种特殊的使命注定了信息系统不是一成不变的。因此我们必须定期梳理重要信息系统，确认是否有重要信息系统发生了变更，这里的变更应该是全方位的，从纵向来说我们要看信息系统相关的物理环境、硬件设施、软件程序、管理制度、业务流程、业务数据、管理人员等方面是否有变更；从横向来说，我们要看信息系统是否发生了合并、新增、废弃、缩减等等。当变化发生时，我们必须首先确认保护级别是否需要变化，其次才看系统相关的资产或管理是否有变化，并办理更新登记备案。

其中，系统保护等级的变更工作常常是最容易被忽视的。很多人认为信息系统既然在首次被确认了保护级别，就不应当再被改变了。但在实际工作中，我们发现业务需求发生变化的情况太多了，由于我国政治经济文化等各方面都处在迅猛发展的阶段，我们政府机关的政策或服务经常会发生变化，而变化的发生直接体现在信息系统的变更上，所以信息系统功能或被变更或被扩展或被删减是正常而频繁的。那么既然业务系统的功能发生了变化，它的保护等级就有可能会发生变化。所以，为了避免保护等级的不合时宜，重新核定保护级别是必须正视的工作。

2.7 备案

在虚拟的网络世界中，战争已经悄悄的开打了。发达国家陆续都成立了他们的网络空间保卫司令部。我们也不能放任他国在网络世界中随意侵入我国重要领域。因此，我国的信息管理部门必须采取一些措施来保卫重要领域的信息系统，而要想保卫自己的领土就必须了解自己的实力和软肋。所以我们必须让高管理层掌握我国重要信息系统发展的现状，等保工作中的备案便是管理部门获取第一手资料的渠道。

备案登记就是按要求到单位所属的公安机关去登记重要信息系统的信息。我们必须认真对待该项工作，如果我们填报的资料不准确或敷衍了事，将会误导管理部门甚至使国家的战略决策发生偏差。另外，在发生任何重要的变更时，我们都应该及时的办理更改登记，调整备案的相关资料。以便于管理部门了解掌握我国重要领域信息系统的真实状况。只有了解自身的信息化状态，采取合适的应对措施，我国才能在网络空间保卫战中谋求自己的一席之地。

3 结束语

经历着等级保护的洗礼，我们政府机关的信息系统正在积极的改变，信息安全要素已经慢慢渗入到信息化体系的血液中。虽然由于经费、人员、政策等资源的限制，我们的信息系统还不能做到无懈可击、牢不可破，但是随着等级保护工作一轮又一轮的循环展开，我相信不久的将来，重要信息系统的可靠性将再上一个台阶，我们的政府机关在以更优质的服务提供给人们的同时，其安全程度也将更高。

参考文献：

[1] 公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京：电子工业出版社出版，2010.