全面推进涉密信息系统分级保护建设
发布时间:2009-10-13 10:16
◎陈阳怀
科技创新,社会进步,以信息化技术为代表的科技革命正迅速改变着人类生活方式和社会发展格局,我们在充分享受信息技术带来的成果的同时,网络信息安全问题已悄然而至,其中,涉及国家秘密的信息系统安全更是受到技术进步带来的威胁。
为了确保信息系统安全,早在2003年8月,中办、国办就颁发了《国家信息化领导小组关于加强信息安全保障工作的意见》,明确要求对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。2004年12月,中央保密委员会印发了《关于加强信息安全保障工作中保密管理的若干意见》,要求建立健全涉密信息系统分级保护制度,进一步加强信息安全保密管理。
2006年,国家保密局颁布并开始实施《涉及国家秘密的信息系统分级保护技术要求》,随后,为了进一步规范涉密信息系统分级保护(以下简称“分级保护”)工作的开展,国家保密局先后颁布了《涉及国家秘密的信息系统分级保护管理规范》和《涉及国家秘密的信息系统分级保护测评指南》,2008年,又出台了《涉及国家秘密的信息系统分级保护方案设计指南》。至此,分级保护工作从技术要求、方案设计、管理规范到安全测评,具备了一套完整的标准与规范。
既反对“弱保护” 又要防止“过保护”
分级保护的核心思想在于,平衡不同密级信息的风险与成本,采取不同强度的保护措施。分级保护既反对重应用不重安全、防护措施不到位的“弱保护”现象,同时也反对不从实际出发,防护措施“一刀切”的“过保护”现象。“安全域”概念是进一步实现分级保护核心思想的关键所在,即根据系统互联特性、信息密级、业务特性等因素,将信息系统划分为不同级别的安全区域,相应级别的安全区域采用相应级别的防护措施,从而使保护重点更加突出,保护方法更加科学,投入产出更加合理,彻底解决涉密单位在涉密信息系统建设与使用中的安全保密问题。
分级保护是一项复杂而系统的工作,项目开展涉及到企业投入、技术力量、实际环境等多种因素,完整的分级保护工作,从环节上至少包括风险评估、方案设计、项目实施、安全测评与安全运行等多个环节,包括政府、军队等涉及国家秘密信息系统的所有部门及核工业、兵器、航空、航天、电子、船舶等所有军工行业。2006年,国家保密局在《关于开展涉密信息系统分级保护工作的通知》中明确提出,涉密信息系统分级保护的总体目标是,力争用3年左右的时间,即在2010年前,使全国涉密信息系统普遍达到分级保护的要求,技术防护能力明显增强,系统管理水平明显提高。目前,分级保护工作在各个建有涉密信息系统的单位紧张进行着,同时,也有一大批涉密单位分级保护工作顺利通过了国家保密局及涉密信息系统测评中心的安全测评,已经正式投入运行。
思想层面和行动层面都有待强化
近年来,分级保护工作在开展中也面临着各种各样的问题,目前,工作形势依然严峻,任务依然艰巨。
1.在思想上,缺乏系统化的安全保密思想教育
分级保护工作是包括思想方法、技术策略和管理执行在内的安全体系建设过程。但是,传统的安全保密思想教育以说教讲评、会议精神学习为主,学习内容高度概括抽象,难以深入。安全保密意识的缺失导致了在工作中实际保密行为的缺失,由于安全保密意识不足,有的人员携带涉密信息回家办公,有的人员将涉密笔记本随身携带而不具备任何防护措施。安全保密意识的严重缺失,威胁到分级保护工作顺利进行,更关系到国家的安全和利益。因此,要进一步加强安全保密教育,丰富安全保密思想体系的内涵,为分级保护工作提供思想保障。
2.在行动上,缺乏操作性强的分级保护落实方法
态度决定行动,方法决定效率。尽管分级保护工作的重要性一再被强调,但仍有部分单位对分级保护工作认识不清晰,重视程度不够,并由此导致了建设中的一系列问题:如被动地由集成单位基于商业利益推动分级保护工作;主管领导不理解分级保护工作内容,指导工作不到位,而建设部门又没有决策权;某些人出于个人或部门利益,在分级保护资金投入方面不切实际,导致资金浪费;在项目实施中不注意平衡管理与技术防护的关系,一味地偏向管理或偏向技术……
这些问题的存在,都严重影响到分级保护工作的实施,影响到涉及国家秘密的信息系统的安全建设。
求真务实 提高分级保护工作力度
基于分级保护工作中出现的各种问题,笔者总结多年来的一线工作经验认为,目前,迫切需要从以下几方面加大工作力度:
1.进一步强化领导对分级保护工作重要性的认识
据了解,目前还有相当多的涉密信息系统建设单位没有开展分级保护工作,这些单位对分级保护工作的重要性认识还严重不足。由于分级保护工作的实施人员一般是信息化建设人员或保密管理人员,而这些人员往往在企业中不具备决策权,若仅仅是将会议精神带回上报给领导,则往往难以引起领导重视,因此,要加强对部分单位主管领导的培训工作力度,使其全面、系统地理解分级保护核心思想和建设要求,掌握科学的信息安全管理方法。
2.宏观保密与微观保密并重
传统的安全保密工作是宏观的、具象的、可见的,而目前涉密信息已经以声、光、电、磁等多种形式表现。分级保护工作体系也已不再仅仅是宏观的物理安全保卫,而已经系统化地体现在了以数据信息为防护中心的微观领域。信息系统安全保障工作需要宏观安全保密与微观安全保密并重,已经成为不争的事实。随着信息对抗技术的迅猛发展,微观领域的安全隐患层出不穷,安全防护更需要持续不断。因此,在分级保护工作中,必须要进一步掌握涉密信息系统宏观保密与微观保密相统一的思想,以进一步提高安全保密工作的严谨态度,筑牢信息化条件下安全保密防线。
3.深入贯彻分级保护中技术与管理相平衡的思想
在分级保护建设中,既要谨防不懂技术的人员,或受到某些利益驱动的人员,盲目投资造成浪费的现象,也要防止由于过于偏重管理工作,忽视技术的现象。要以单位现状为基础,以安全为宗旨,以寻找技术与管理的最佳平衡点为目标,在现状与投入的平衡上、技术与管理的平衡上,充分体现分级保护的“适度安全”思想。
4.充分体现安全保密工作与时俱进思想
保密工作不是一劳永逸的过程,而是一个动态发展、与时俱进的过程。做好安全保密工作不仅需要跟上时代,更要努力站在时代前沿。安全建设工作虽然是基于现状出发,但一切的管理措施和技术策略必须考虑到未来可预见的一段时期内的发展要求。在安全保密政策、保密建设规模、单位投入能力等因素综合评估的基础上,统筹管理措施和技术防护,统筹现状与未来,是分级保护工作与时俱进的关键所在。
(摘自中国保密在线)
科技创新,社会进步,以信息化技术为代表的科技革命正迅速改变着人类生活方式和社会发展格局,我们在充分享受信息技术带来的成果的同时,网络信息安全问题已悄然而至,其中,涉及国家秘密的信息系统安全更是受到技术进步带来的威胁。
为了确保信息系统安全,早在2003年8月,中办、国办就颁发了《国家信息化领导小组关于加强信息安全保障工作的意见》,明确要求对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。2004年12月,中央保密委员会印发了《关于加强信息安全保障工作中保密管理的若干意见》,要求建立健全涉密信息系统分级保护制度,进一步加强信息安全保密管理。
2006年,国家保密局颁布并开始实施《涉及国家秘密的信息系统分级保护技术要求》,随后,为了进一步规范涉密信息系统分级保护(以下简称“分级保护”)工作的开展,国家保密局先后颁布了《涉及国家秘密的信息系统分级保护管理规范》和《涉及国家秘密的信息系统分级保护测评指南》,2008年,又出台了《涉及国家秘密的信息系统分级保护方案设计指南》。至此,分级保护工作从技术要求、方案设计、管理规范到安全测评,具备了一套完整的标准与规范。
既反对“弱保护” 又要防止“过保护”
分级保护的核心思想在于,平衡不同密级信息的风险与成本,采取不同强度的保护措施。分级保护既反对重应用不重安全、防护措施不到位的“弱保护”现象,同时也反对不从实际出发,防护措施“一刀切”的“过保护”现象。“安全域”概念是进一步实现分级保护核心思想的关键所在,即根据系统互联特性、信息密级、业务特性等因素,将信息系统划分为不同级别的安全区域,相应级别的安全区域采用相应级别的防护措施,从而使保护重点更加突出,保护方法更加科学,投入产出更加合理,彻底解决涉密单位在涉密信息系统建设与使用中的安全保密问题。
分级保护是一项复杂而系统的工作,项目开展涉及到企业投入、技术力量、实际环境等多种因素,完整的分级保护工作,从环节上至少包括风险评估、方案设计、项目实施、安全测评与安全运行等多个环节,包括政府、军队等涉及国家秘密信息系统的所有部门及核工业、兵器、航空、航天、电子、船舶等所有军工行业。2006年,国家保密局在《关于开展涉密信息系统分级保护工作的通知》中明确提出,涉密信息系统分级保护的总体目标是,力争用3年左右的时间,即在2010年前,使全国涉密信息系统普遍达到分级保护的要求,技术防护能力明显增强,系统管理水平明显提高。目前,分级保护工作在各个建有涉密信息系统的单位紧张进行着,同时,也有一大批涉密单位分级保护工作顺利通过了国家保密局及涉密信息系统测评中心的安全测评,已经正式投入运行。
思想层面和行动层面都有待强化
近年来,分级保护工作在开展中也面临着各种各样的问题,目前,工作形势依然严峻,任务依然艰巨。
1.在思想上,缺乏系统化的安全保密思想教育
分级保护工作是包括思想方法、技术策略和管理执行在内的安全体系建设过程。但是,传统的安全保密思想教育以说教讲评、会议精神学习为主,学习内容高度概括抽象,难以深入。安全保密意识的缺失导致了在工作中实际保密行为的缺失,由于安全保密意识不足,有的人员携带涉密信息回家办公,有的人员将涉密笔记本随身携带而不具备任何防护措施。安全保密意识的严重缺失,威胁到分级保护工作顺利进行,更关系到国家的安全和利益。因此,要进一步加强安全保密教育,丰富安全保密思想体系的内涵,为分级保护工作提供思想保障。
2.在行动上,缺乏操作性强的分级保护落实方法
态度决定行动,方法决定效率。尽管分级保护工作的重要性一再被强调,但仍有部分单位对分级保护工作认识不清晰,重视程度不够,并由此导致了建设中的一系列问题:如被动地由集成单位基于商业利益推动分级保护工作;主管领导不理解分级保护工作内容,指导工作不到位,而建设部门又没有决策权;某些人出于个人或部门利益,在分级保护资金投入方面不切实际,导致资金浪费;在项目实施中不注意平衡管理与技术防护的关系,一味地偏向管理或偏向技术……
这些问题的存在,都严重影响到分级保护工作的实施,影响到涉及国家秘密的信息系统的安全建设。
求真务实 提高分级保护工作力度
基于分级保护工作中出现的各种问题,笔者总结多年来的一线工作经验认为,目前,迫切需要从以下几方面加大工作力度:
1.进一步强化领导对分级保护工作重要性的认识
据了解,目前还有相当多的涉密信息系统建设单位没有开展分级保护工作,这些单位对分级保护工作的重要性认识还严重不足。由于分级保护工作的实施人员一般是信息化建设人员或保密管理人员,而这些人员往往在企业中不具备决策权,若仅仅是将会议精神带回上报给领导,则往往难以引起领导重视,因此,要加强对部分单位主管领导的培训工作力度,使其全面、系统地理解分级保护核心思想和建设要求,掌握科学的信息安全管理方法。
2.宏观保密与微观保密并重
传统的安全保密工作是宏观的、具象的、可见的,而目前涉密信息已经以声、光、电、磁等多种形式表现。分级保护工作体系也已不再仅仅是宏观的物理安全保卫,而已经系统化地体现在了以数据信息为防护中心的微观领域。信息系统安全保障工作需要宏观安全保密与微观安全保密并重,已经成为不争的事实。随着信息对抗技术的迅猛发展,微观领域的安全隐患层出不穷,安全防护更需要持续不断。因此,在分级保护工作中,必须要进一步掌握涉密信息系统宏观保密与微观保密相统一的思想,以进一步提高安全保密工作的严谨态度,筑牢信息化条件下安全保密防线。
3.深入贯彻分级保护中技术与管理相平衡的思想
在分级保护建设中,既要谨防不懂技术的人员,或受到某些利益驱动的人员,盲目投资造成浪费的现象,也要防止由于过于偏重管理工作,忽视技术的现象。要以单位现状为基础,以安全为宗旨,以寻找技术与管理的最佳平衡点为目标,在现状与投入的平衡上、技术与管理的平衡上,充分体现分级保护的“适度安全”思想。
4.充分体现安全保密工作与时俱进思想
保密工作不是一劳永逸的过程,而是一个动态发展、与时俱进的过程。做好安全保密工作不仅需要跟上时代,更要努力站在时代前沿。安全建设工作虽然是基于现状出发,但一切的管理措施和技术策略必须考虑到未来可预见的一段时期内的发展要求。在安全保密政策、保密建设规模、单位投入能力等因素综合评估的基础上,统筹管理措施和技术防护,统筹现状与未来,是分级保护工作与时俱进的关键所在。
(摘自中国保密在线)