信息安全保护及网络安全法的作用发展

随着信息化快速发展，网络和信息化应用涉及的领域越来越多，由于系统自身的脆弱性以及外部环境和人为因素综合造成了信息安全事件频发，信息安全成了国家发展的一项重要工作。信息安全等级保护是针对信息及其载体按照重要性进行分级保护的一项工作，等级保护标准是等级保护工作中信息系统分级的主要依据。金融行业作为信息化行业的重要组成部分，其信息系统的安全保障能力和水平关系到国家安全、社会稳定和公共利益。金融行业等级保护标准是由中国人民银行根据国家标准结合金融行业现状而制定。2017年6月1日，《中华人民共和国网络安全法》（以下简称“网络安全法”）开始实施，这是我国第一部全面规范网络空间安全管理方面问题的基础性法律，为信息安全领域工作的开展提供了法律保障。在网络安全法实施的新形势下，为了配合网络安全法的实施，提高等级保护标准的时效性，等级保护标准也在不断地发展和完善。

一、国家等级保护标准

我国的信息安全等级保护工作起步于20世纪90年代，随后相继颁布了多个等级保护标准，具体可分为基础性标准、定级标准、建设标准、测评类标准和管理类标准。基础性标准包括《计算机信息系统安全等级保护划分准则》（GB17859-1999）、《信息系统安全等级保护实施指南》（GB25058-2010）以及《信息安全等级保护管理办法》（公通字[2007]43号）等；定级标准有《信息系统安全等级保护定级指南》（GB/T22240-2008）等；建设标准包括《信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息系统通用安全技术要求》（GB/T20271-2006）以及《信息系统等级保护安全设计技术要求》（GB/T25070-2010）等；测评类标准主要有《信息系统安全等级保护测评要求》（GB/T28448-2012）和《信息系统安全等级保护测评过程指南》（GB/T28449-2012）等；管理类标准主要有《信息系统安全管理要求》（GB/T20269-2006）以及《信息系统安全工程管理要求》（GB/T20282-2006）等。针对单位的普通信息安全工作人员而言，涉及较多的标准主要有定级标准《信息系统安全等级保护定级指南》（GB/T22240-2008）与建设标准《信息系统安全等级保护基本要求》（GB/T22239-2008）等。《信息系统安全等级保护定级指南》主要用于指导信息系统的等级划分和评定，将信息系统安全保护等级划分为5级，定级要素有两个：等级保护对象受到破坏时所侵害的客体以及客体受到侵害程度。定级要素与信息系统安全保护等级的关系见表1。由表1可知，三级及以上系统受到侵害时可能会影响国家安全，而一级、二级系统受到侵害时只会对社会秩序或者个人权益产生影响。在实际系统定级过程中，要从系统的信息安全和服务连续性两个维度分别定级，最后按就高原则给系统进行定级。《信息系统安全等级保护基本要求》是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类等级保护基本要求共有10个部分，技术要求和管理要求各占5个部分。其中，技术类安全要求又细分三个类型。信息安全类（S类）：为保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求。服务保证类（A类）：保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求。通用安全保护类要求（G类）：既考虑信息安全类，又考虑服务保障类，最后选择就高原则。

二、金融行业信息安全等级保护标准及必要性分析

1.行业标准金融行业作为信息化行业的一个重要组成部分，金融行业信息系统安全直接关系到国家安全、社会稳定以及公民的利益等。为落实国家对金融行业信息系统信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展，中国人民银行针对金融行业的信息安全问题，在2012年了三项行业标准：《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》和《金融行业信息安全等级保护测评服务安全指引》。2.必要性分析网络安全法明确规定国家实行网络安全等级保护制度，开展等级保护工作是满足国家法律法规的合规需求。金融行业开展信息安全等级保护工作的必要性有以下3点。（1）理清安全等级，实现分级保护金融行业各类业务系统众多，系统用途和服务对象差异性大，依据等级保护根据系统可用性和数据重要性开展分级的定级要求，可以有效梳理和分析现有的信息系统，识别出重要的信息系统，将不同系统按照不同重要等级进行分级，按照等级开展适当的安全防护，有效保证了有限资源充分发挥作用。（2）明确保护标准，实现规范保护金融行业信息系统等级保护标准有效解决了金融行业信息系统保护无标准可依的问题。在信息系统全生命周期中注重落实等级保护相关标准和规范要求，在信息系统需求、信息系统建设和信息系统维护阶段参照、依据等级保护的标准和要求，基本实现信息系统安全技术措施的同步规划、同步建设、同步使用，从而保证重要的信息系统能够抵御网络攻击而不造成重大损失或影响。（3）定期开展测评，实现有效保护按照等级保护要求，每年对三级以上信息系统开展测评工作，使得重要信息系统能够对系统的安全性实现定期回顾、有效评估，从整体上有效发现信息系统存在的安全问题。通过每年开展等级保护测评工作，持续优化金融行业重要信息系统安全防护措施，有效提高了重要信息系统的安全保障能力，加强了信息系统的安全管理水平，保障信息系统的安全稳定运行以及对外业务服务的正常开展。

三、网络安全法作用下标准的发展

随着等保制度上升为法律层面、等保的重要性不断增加、等保对象也在扩展以及等保的体系也在不断升级，等级保护的发展已经进入到了2.0时代。为了配合网络安全法的出台和实施，满足行业部门、企事业单位、安全厂商开展云计算、大数据、物联网、移动互联等新技术、新应用环境下等级保护工作需求，公安部网络安全保卫局组织对原有的等保系列标准进行修订，主要从三个方面进行了修订：标准的名称、标准的结构以及标准的内容。1.标准名称的变化为了与网络安全法提出的“网络安全等级保护制度”保持一致性，等级保护标准由原来的“信息系统安全等级”修改为“网络安全等级”。例如：《信息系统安全等级保护基本要求》修改为《网络安全等级保护基本要求》，《信息系统安全等级保护定级指南》修改为《网络安全等级保护定级指南》等。2.标准结构的变化为了适应云计算、物联网、大数据等新技术、新应用情况下网络安全等级保护工作的开展，等级保护基本要求标准、等级保护测评要求标准的结构均由原来的一部分变为六部分组成，分别为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求与大数据安全扩展要求。3.标准内容的变化各级技术要求分类和管理要求的分类都发生了变化。其中，技术要求“从面到点”提出安全要求，对机房设施、通信网络、业务应用等提出了要求；管理要求“从元素到活动”，提出了管理必不可少的制度、机构和人员三要素，同时也提出了建设过程和运维过程中的安全活动要求。

四、展望

随着信息化的快速发展，信息系统安全直接关系到个人权益、社会秩序以及国家安全。纵深防御原则、态势感知平台以及等级保护是有效地保障信息系统安全的三大重要手段，等级保护作为信息系统安全保护工作的重要手段之一，对保护信息系统安全起到了至关重要的作用。在网络安全法正式实施的新形势下，等级保护工作也将出现如下发展趋势。1.保证合法合规以网络安全法为依据，等级保护标准也会及时更新，变得更为合理，等级保护工作将有法可依、有规可循，从而保证等级保护工作合法合规。2.更加全面高效随着网络安全法的实施，等级保护标准也会发展得更加全面，涉及面也会更广（包括云计算、物联网、大数据等），这将大大减少等级保护工作中的知识盲区和领域盲区，使等保工作开展得更加全面高效。3.规模越来越大随着大数据技术的发展，重要信息系统的数量也会增加，在信息安全意识逐渐增强的大背景下，等级保护工作的规模会越来越大，涉及的系统也会大幅度增加。4.更加智能化人工智能技术的发展会大大推动等级保护工作向智能化方向发展，同时，安全威胁态势感知平台的发展也会与等级保护相互促进，使得等级保护工作更加智能化。

作者:王建华 单位:上海浦东发展银行信息科技部