关于网络信息安全等级保护制度的思考(1)

一、为什么要等级保护

信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键，而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。

社会发展的不同阶段有不同特质的信息安全问题，在社会发展要求网络化信息系统互连互通的信息化时代，信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。

引发信息安全问题的因素有多个方面，有外部因素和内部的，但最主要的因素在于内部。信息安全政策不确定、信息安全发展方向不明朗；信息安全保护工作组织管理制度不健全，安全责任制不落实，导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系；信息安全市场和服务混乱、不规范；国家监管机制（执法队伍及其技术支撑体系）不健全，监管手段缺乏等。因此导致：国家对信息安全状况很难有效把握；信息系统主管、建设、使用者对如何搞好信息信息系统安全建设和管理，信息系统安全究竟存在什么问题、如何改进、需要多少投资等，心中无数；科研单位和企业对开发生产什么样的安全产品心中无数；信息安全专家对安全产品审查不好提出评审结果意见；信息安全职能部门对如何进行有效监督、检查评估、服务指导，如何处罚违规者等，也是心中无数。进而导致国家信息安全科学技术水平和整体信息安全保护能力很难提高，国家信息安全只好看国外，依赖国外，受国外思潮主导。对这些问题认识不足，不尽快采取有效的解决办法，势必影响信息化建设、经济发展、社会稳定、国防建设、国家安全。

为此，国家高度重视信息安全保护工作。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。这一重大决定，明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务,提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

国家实行信息安全等级保护制度，有利于建立长效机制，保证安全保护工作稳固、持久地进行下去；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于突出重点，加强对涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统的安全保护和管理监督；有利于明确国家、企业、个人的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施；有利于提高安全保护的科学性、针对性，推动网络安全服务机制的建立和完善；有利于采取系统、规范、经济有效、科学的管理和技术保障措施，提高整体安全保护水平，保障信息系统安全正常运行，保障信息安全，进而保障各行业、部门和单位的职能与业务安全、高速、高效地运转。有利于信息安全保护科学技术和产业化发展。

二、等级保护是什么？

1. 等级保护概念：对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化，进而牵动经济发展，提高综合国力。

国家实行信息系统安全等级保护的型式：国家意志、政府行为、科研单位、企业、社会广泛参与。国家意志：国家必须有统一的信息系统安全保护的法律规范、技术规范。政府行为：在国家信息化领导小组的统一领导，在国务院信息化工作办公室的统一组织、协调下，各级政府及其内部各部门应当对其信息系统安全建设与管理负责，开展信息系统安全等级保护工作。首先，各级政府在信息化建设过程中，应该按照等级保护政策法规规定、管理与技术规范，组织进行信息系统安全等级保护建设、管理。其次，信息安全保护职能部门要当严格依法行政，履行职责，做好安全等级保护工作。法律、法规和标准确定之后，政府信息安全保护职能部门的监督管理是推进和保障信息安全保护的关键。如果没有有效贯彻推进措施，再好的法律和标准也发挥不了其应有的效力。第三，信息系统安全涉及到社会的方方面面，有关科研机构和企业应积极开发市场所需等级保护安全技术和产品。全社会要提高信息安全保护意识，职业道德，自觉遵守有关法律、法规，创造和维护良好的信息安全保护社会环境。

信息安全等级保护要贯彻突出重点（国家保护重点和基础信息网络与重要信息系统内分区重点）、兼顾一般的原则。等级保护制度要求落实各级安全责任。国家重点保护下列基础信息网络和重要信息系统：

(1) 国家事务处理信息系统（党政机关办公系统）；

(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；

(3) 国防工业、国家科研等单位的信息系统；

(4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统；

(5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统；

(6)其他领域的重要信息系统。

2. 为什么要实行等级保护？网络信息系统与现实社会的组织体系构成是对应的。信息系统是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映。这种体系是分层次和级别的，这种组织体系中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律。信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护必须遵循的客观规律。

3. 实行等级保护制度目的: 是统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展。

三、等级保护做什么？

1. 信息系统安全等级保护监管级别划分为:

第一级 :自主性保护 ；第二级 :指导性保护；第三级 :监督性保护 ；第四级 :强制性保护 ；第五级 :专控性保护 。政府信息安全保护职能部门应当逐级加大安全保护力度。系统主管部门也应按级加强自管、自查、自评力度。

2. 国家已发布实施《计算机信息系统安全保护等级划分准则》GB17859-1999。这是一部强制性国家标准，是技术法规。它从功能上对信息系统的安全等级划分为五个级别的安全保护能力：第一级：用户自主保护级 ；第二级：系统审计保护级 ；第三级：安全标记保护级 ；第四级：结构化保护级 ；第五级：访问验证保护级。 安全保护能力从第一级到第五级逐级增强。以此为基础，有关部门已经研究提出了信息安全等级保护管理与技术标准体系，正在开展等级保护标准体系的建设，目前已发布了一些重要标准，并完成该标准体系的实施指南。各部门、各单位应当依照等级保护实施指南及相关标准，根据实际安全需求，按照等级的确定原则、要求和方法，确定本部门所属信息系统的安全保护等级，制定各自的安全等级保护解决方案，组织对现有信息系统进行加固改造，逐步开展新建系统的安全等级保护工作。