今天这个会叫电子商务安全保障大会,确实任何一种社会活动或者商务活动,没有一个良好的保障,就不可能进入有序的运行。刚才各位领导还有曲成义老师都讲了,当前,我们国家为了促进信息化的发展提出了构建国家信息安全保障体系这样一项重要任务,在构建国家信息安全保障体系过程中有九项工作,其中比较重要的,放在第一的是全面实行信息安全等级保障制度,第二就是加强以密码技术为基础的信息保护和网络信任体系建设。正好这两个放在首要的工作,都和我们今天会议的主题有关。下面我要介绍的是:什么是信息安全等级保护制度?信息安全等级保护制度要干什么和如何开展信息安全等级保护工作。信息安全等级保护这个词可能大家都比较熟悉。事实上信息安全等级保护制度是国家信息安全保障的一个基本制度,要在未来几年内作为一种强制性制度,在重点领域和重要行业施行,目的是为了保障信息化发展和维护国家安全。
信息安全等级保护制度是一种国家管理行为,是国家管理意志的体现。事实上信息安全等级保护制度是一种手段,是为了构建国家信息安全保障体系;那么构建国家信息安全保障体系,我认为也是手段,根本的目的是保障信息应用的发展,包括我们会议主题也是叫电子商务安全保障,如果脱离开电子商务,脱离开信息化,谈安全保障,我认为只是一种空谈。信息应用的发展,共享是关键。包括电子商务的发展也是需要通过平台共享和资源共享来解决。但是现在我们的生活中有这样的误区:一个就是不愿意把已经拥有的资源拿来共享,认为这个东西是我的,我凭什么要和别人共享。但是你要是在一个开放式的平台上开展各种社会活动和商务活动,没有充分的共享是不可能做到的;第二,共享不是“滥享”,一定是做到有规则的共享。那么要做到有规则的共享,跟基于密码技术的身份认证体制有很大关系。
信息安全等级保护制度如果给一个定义的话,事实上是一种国家管理行为,是带有很强技术性的国家风险控制行为。讲到安全风险管理,目的并不是保证没有风险,而是要将信息系统带来的业务风险控制在可接受的范围之内。其实人类生活就是如此,人类永远是在做带有风险的事情。如果人类都不做有风险的事情,那么人类就不会进步了。但是人类一定做风险可控的事情,凡是做风险不可控的事情,可能的结果就是失败。信息安全等级保护的关键所在也就是基于信息系统所承载的应用的重要性,以及该应用损毁后带来的影响程度,来判断风险是否控制在可接受的范围之内。
从风险控制的角度上来看,首先要站在国家角度来看,这个信息系统所承载的应用跟国家建设、国家发展、国家安全和国家稳定有什么样的关系?因为我们知道,随着信息化的发展,我们的生产和生活,包括我们社会运营的很多模式都已经改变了。那么我们现在大量的社会活动,以及生产和生活,可以说有相当一部分已经完全依赖于信息技术和基于信息化的发展。
比如我们的电力调度,以前我们的电力调度是通过微波通信、人工合闸的方式来实现,但是现在我们所有的电力调度都是通过计算机实时数据系统,也就是基于计算机信息系统来完成。我曾经问过一个电力公司的老总,如果现在没有计算机信息系统,还能不能进行电力的调度?他想了一下,回答是否定的。因为他说可能我还有微波通信系统,可能我还能够部分的用人工合闸方式来进行调电,但是随着电网的庞大,随着技能工人的减少,几乎使得人们已经不具备这种手工合闸能力。
再举一个跟电子商务有关的例子,现在网上银行,或者是电子银行很发达。银行业是我们国家最早开始电算化或者开始计算机化的行业,以前大家到银行营业部去,如果电脑发生故障的时候,会看到一个牌子,上面写的是:电脑故障,如需紧急用款可以手工登折。那么今天你再到银行去,他挂出的牌子是:系统故障,停业半天。这说明想通过手工登折的方式来给你做钱的存入取出已经做不到了。就是因为电力调度计算机化,银行信息化这样一个发展,给我们带来充分便捷,同时给我们带来了新的风险。表面上看,电力行业的调度系统,银行的支付系统,是银行的,是一个企业行为。但是,因为它已经成为我们国计民生之必需。
试想一下如果没有电,可能今天我们就不能在这里开会,那像我这个年龄的人,小的时候,可能我们在这个城市还能买到煤油,那么到今天,如果你去打煤油,可能找不到地方能打到煤油,即使你打到煤油,恐怕也找不到煤油灯。原来我们这个城市里还有水井,现在我们都是住在二十层、三十层高的楼上,没有电水是上不去的,就算你家楼下有一个水井,你每天能够承受从楼下把水抬到三十层楼上吗?
人类每一次工业革命和技术发展,都会带来一个生产的巨变、生活的巨变和社会的巨变,同样带来了巨大的风险。基于TCP/IP的互通互联技术应用同样带来了工业革命和产业发展,同样给我们带来了生产和生活的巨变。信息系统所承载的业务应用,已经不完全是它自有的,它可能是社会所有,它关系到国家安全,公众利益,社会稳定和其他公民组织的合法权益。那么正是基于这样,信息系统所承载的应用就带有社会属性。一旦它损毁的时候,就会对国家安全和社会秩序带来影响。正因为如此,信息安全等级保护制度就是国家用来保证国家安全、社会稳定和公众秩序的,要对重要的信息系统,特别是那些关系国计民生的重要信息系统进行管理,通过管理来实现即使它如果出现问题,风险是可控的。
信息安全等级保护的内容就是根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及遭到破坏后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度!将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。
这里介绍一下客体和主体的概念,比如说小偷偷钱,他实施犯罪的对象是钱,但是他影响的客体是钱的拥有者,同样计算机犯罪活动,或者是敌对势力对计算机系统的攻击,实施犯罪的对象是计算机信息系统,但是它所影响的客体是依赖于这个计算机信息系统生存生活的客体。正是因为看到这样一个局面,所以说在我们整个等级保护的概念中,所要保护的就是那些跟国家安全、经济建设、社会生活、生活秩序有关的信息系统,因为一旦这些信息系统损毁,影响的客体就是国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益,会给这些客体带来不同程度的损害,有些甚至是灾难性的。也正是因为如此,国家就要指定专门管理部门,来对计算机信息系统,根据不同的保护等级进行监管和管理。那么在等级保护实施过程中实际上是带有很强技术性的,同时也是一个全社会性的活动。国家管理,它涉及到主要方面有以下几个层面:
1、管理层面,也就是政府层面。国家制定统一的信息安全等级保护管理规范和技术标准、组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作实行监督指导。在这个层面中间,待会儿我会通过职责分工介绍,都有哪些是国家管理部门。
2、用户层面。因为信息系统有自己的拥有者和使用者,所以说信息系统的拥有者,应该按照国家有关等级保护的管理规范和技术标准,对自己拥有和运行的信息系统开展等级保护工作,服从国家对信息安全等级保护工作的指导,来保证自己拥有的信息系统安全。
3、社会层面。除了国家管理者和信息系统的拥有者外,还有为这些系统运行提供服务、提供支持、提供产品的社会层面的企业、厂商、各种机构。那么这些信息安全产品、信息技术产品的研制生产单位,以及系统的集成、测评、服务、运行维护负责单位,都应该依照国家有关管理规范和标准,开展相应工作,并且接受国家信息安全职能部门的安全监管。
通过以上的介绍,我们知道什么是信息安全等级保护?信息安全等级保护所要保护的不单单是信息系统,实际上它要通过对信息系统的保护,来保护信息系统所承载的应用。这个应用是带有社会意义,这个应用是带有社会属性的。所以说我们在等级保护过程中,对一个系统的安全保护等级的确定不是从技术角度去看,或者说不单单从技术角度去看,而是通过它的社会属性去看。
刚才我讲了什么是等级保护,等级保护要干什么?等级保护和哪些人有关?我下面要介绍的是等级保护的主要流程。
1、定级。针对一个信息系统,首先我们要来判断它是什么样的安全保护等级。那么定级依据什么?我们定级是根据信息系统承载的应用,在国家安全、社会秩序、公共利益方面的重要程度,以及损毁后的影响程度。那么在定级的时候,我们可以先不看这个系统的保护情况,因为一个确定级别的信息系统不会因为得到了有效的保护,它的保护等级就会改变。除非这个系统所承载的业务应用,它的社会责任、应用范围有所变化,级别才会改变。从这个意义上来说,我们可以得到这样一种概念,“定级和保护无关”。但是下面还有一句话,“级别与保护有关”。为什么这么说?因为你是这样的级别,你就必须得实施跟这个级别相符合的保护。
2、备案。现在系统的安全保护等级分1-5级。当你的安全保护等级确定以后,
2级以上的都需要向国家管理部门进行备案。备案是为了国家管理部门能够知道在哪里有这样一个重要的信息系统,它是不是得到了有效的保护,它是不是能够满足国家风险管控的要求。
3、建设和整改。定级和备案以后,系统的拥有者要根据等级保护的相关规范和技术标准,对已经确定安全保护等级的系统进行相应的保护。保护是包括新建和改建的,当然我们现在面对的大量系统是已经建成的。其实我们在这些系统建设过程中,已经根据我们自身的安全需求,对系统进行了相应的安全建设,或者进行了系统的安全保护。那么在这个环节,我们要做的工作,就是看我们已有的保护和国家管理要求有没有差别。
4、等级测评。既然国家要管理,要判断一个确定级别的系统是否符合了这个级别的保护要求,那么就要开展等级测评。
5、监督检查。因为系统是运行的,在整个系统运行过程中间,国家信息安全监管职能部门要定期开展监督检查。系统的应用者和运行者,也要在不断的运行过程中间判断自己是否还符合这个级别系统的安全保护要求。
以上是等级保护工作的主要流程,问题的关键所在在以下三个环节:
定级是信息安全等级保护工作的重要环节,因为你不定级,就无法对它采取这个级别相应的保护。虽然根据你自身的安全需求,对系统已经做了保护。但国家管理还有要求。定级是首要的环节,是等级保护工作的开始环节,但不是核心环节。为什么?因为定级只是手段。它的目的是保护。国家对已经确定安全保护等级的系统,根据现在的技术发展,根据现在的黑客攻击能力,对1-5级的系统已经规定最低保护要求,也叫基本要求。什么意思呢?就是说你是2级的系统,你的保护等级是2,国家规定这样的系统在技术和管理两个方面十个部分,你最底线必须要作到什么,如果你做到了,这个系统就具备了相应等级的基本安全保护能力,达到了一个基本的安全状态。基本要求这个环节是信息安全等级保护的核心。因为我们大家都知道,安全讲木桶原理,木桶能盛多少水取决于短板,那么基本要求就是说你这个级别的系统,最短的板只能在这个地方,如果低于这个,体系就是有问题。
讲到这里大家可能有一个疑问,是不是满足了基本要求,我这个系统就应该是万无一失的?不是这样的。满足了基本要求只是达到了基本安全状态,但是系统有它自身的特点。其实等级保护不是要掀起一轮新的,或者重搞一轮建设高潮,事实上就是要把国家管理要求和系统自身安全保护需求结合起来。系统在达到基本安全状态情况下,还要挖掘这个系统特殊的安全需求是什么?你可以比它高,但是不能低于它。
在等级保护过程中间,根据法律法规和文件的要求,有以下分工:公安机关负责信息安全等级保护工作的监督、检查、指导。为什么要明确这样的责任?实际上依据《×××计算机信息系统安全保护条例》,也就是我们俗称的147号令规定的。147号令第6条规定,公安机关主管全国的计算机信息系统保护工作,这是法律规定的;国家保密部门负责等级保护工作有关保密工作的监督、检查、指导,这也是有法律规定的;国家密码管理部门,负责等级保护中的有关密码工作的监督、检查、指导,这也是有法律规定的。在等级保护过程中,还有重要的职责分工,是信息系统的拥有者、运行者,按照等级保护“谁拥有、谁负责,谁主管,谁负责,自主定级,自主保护,监督指导”的原则。讲到这个地方,大家会想,既然是自主定级、自主保护,你不要光看这个,后面还有一句话,叫监督指导。这个系统已经不再是你的了,因为你承担着社会责任,银行的系统,第一责任人肯定是银行,按照自主原则,它应该自主定级、自主保护,但是它必须要接受国家管理,因为这个系统同样是国家的,它损毁所带来的风险一样会影响到国家,影响到社会。另外行业的主管部门,要负责在本行业内贯彻落实信息安全等级保护工作,并对本行业内信息系统运行使用单位的落实情况进行管理。
跟等级保护相关的法规和管理规范有以下:1994年的147号令,《×××计算机信息系统安全保护条例》;2003年中央办公厅、×××办公厅转发《×××关于加强信息安全保障工作的意见》,也就是我们所说的27号文件;2004年国家公安部、保密局、密码管理局和国信办联合签发了《关于信息安全等级保护工作的实施意见》,俗称66号文;2007年四部委联合签发的《信息安全等级保护管理办法》等等。
跟等级保护相关的技术标准,有我们1999年颁布的强制性国家标准,GB17859-1999,还有《信息安全等级保护定级指南》、《信息安全等级保护基本要求》、《信息安全等级保护实施指南》、《信息安全等级保护测评要求》等等。
其实我列举的只是能够支撑这个制度推进的核心标准,但是实际上关于信息安全等级保护,目前已经有接近40个技术标准。我为什么把这些标准拿出来专门说一下?看看等级保护的主要流程,定级、备案、建设整改、等级测评、监督检查,从这个过程看,定级阶段,要根据法律的要求和信息安全等级保护定级指南,来确定系统的安全保护等级。已经确定了安全保护等级系统,要根据《信息安全等级保护实施指南》,实施指南是整个信息系统生命周期中间要如何来做等级保护的一个过程和活动的指南性文件。还有《信息安全等级保护基本要求》,这个基本要求对不同级别的信息系统,在技术和管理两方面十个部分已经规定了很详细的内容。比如说基于密码技术的数字证书,如果我没记错的话,我们对3级以上的系统,都强调了强制访问控制,强调了身份认证和识别。这些要求的基础就是基于密码技术的身份认证体系。我们在座各位都是在从事电子商务,或者从事基于密码技术的身份认证体系建设的,有时间的话可以看看。因为整个等级保护是一种国家管理行为,由于国家管理有这种要求,可能会对相应的产业和相应的技术发展带来一个比较大的商机。
等级保护已经开展的工作有以下:截止到2007年,已经发布了跟等级保护相关的法规和相关管理规范。同样完成了刚才我列举的几个核心标准,还完成了整个一系列技术标准,包括产品的、运行维护的等等。在2005年,开展了全国范围的信息系统安全保护基础调查工作,通过调查我们知道,全国有数十万的系统将纳入到整个等级保护的范畴之内。在2006年,我们开展了13个省市、33个系统的信息安全等级保护试点工作。2007年7月20日,在全国范围内开展了重要信息系统安全保护等级确定工作。这个工作截止到目前为止,已经告一段落。到目前为止,我们3级以上的系统近3万。
等级保护工作将要开展的工作,就是要使信息安全等级保护制度和标准在行业落地,因为面对几十个行业的信息系统,在全国按照一种统一的标准推行一个制度,具有很大的艰巨性。你要能有一个指导几十个行业的标准,为了这个共性的东西,可能你会舍去某一个行业个性的特点,当国家标准形成后,在指导行业推进的时候,回到这个行业,应该把行业个性的东西再丰满回来,也就是说在行业,首先要依据国家的基本要求,但是在行业里面,可能行业基本要求的门槛比国家的基本要求高。我们也就是要通过行业落地这种方法,在真正意义上解决国家管理要求和行业特定需求相结合的问题,最终目的是通过信息安全等级保护制度的推进,真正构建国家信息安全保障体系。