郭启全:各位领导,各位嘉宾,各位老朋友,大家下午好,很高兴又有机会和大家在一起共同研究有关等级保护工作,等级保护工作经过大家近一年的共同努力,取得很大成效,在2009年这一年当中,我们又出台一些新的政策,开展了一些工作,就有关的政策和标准,以及今后的几项工作,今天向大家做一下汇报和解读。
时间关系,讲两个问题,我讲的有关材料大家可以上中国等级保护网。给大家介绍一下开展等级保护工作所依据的政策和标准。从政策方面来讲,近几年,公安部根据国务院147号令授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。我们还编成一个汇编送给各个部门,各省。去年10月份,公安部组织95个部委在培训的时候,已经把相关材料赠送给各个部门。
到现在为止,这几年,公安部总共出台了9个文件,这9个文件,在中办27号文的基础上出台的,横线66号文和43号文这两个是综合性的文件,竖着的有7个文件,原来我在一些演讲材料上竖着的文件是6个,我们的汇编当中收录了8个,2010年又出台了33号文,关于等级测评,还有等级测评工作管理的这样一个通知。
给大家理一下这9个文件,不厌其烦的给大家介绍文件目前是开展等级保护工作需要有政策引导,需要有政策支持,它也是开展等级保护的依据,所以,这9个文件大家看有66号文,43号文,这是等级保护的实施意见、管理办法,以及通知,第四个163号文,就是备案的实施细则,第五个文件是去年年底我们出台的关于开展信息系统等级保护安全建设整改工作的指导意见,这个文件是非常重要的,这个文件对今后的几年工作都做了相应的部署,所以,我待会儿给大家汇报也主要是这个文件的内容。第六个文件是发改委、公安部、国家保密局出台的2071号文。第七个文件就是我刚才给大家重要指出的就是303号文,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知。第八个,等级测评报告的模板。第九个,公安机关检查的工作规范。这九个文件构成我们等级保护的政策体系。
我感觉到,等级保护工作所依据的政策到303号文出来,这九个文件我认为基本差不多了,近期不会再有再重要的文件出台,如果出台的话,可能会出台国人的法规或公安部的部长令,那是我们下一步的计划。
第二,等级保护的标准体系。这几年来,在国内有关专家企业的支持下,公安部和国家安标委,以及公安部的行标委组织制订了一系列等级保护工作的标准,大致我理了一下有50多个。就这些标准,我记得刻了一张盘,把我们8个文件,还有30多个标准刻了一张盘,也送给了各部委,各省。另外出台了一个等级保护的汇编,很厚,在座的有些专家领导已经拿到了,有关这些内容上我们等级保护网下载吧,这都有。
从等级保护标准的出台,它是支持我们开展等级保护,也是重要的依据,从这个图当中可以看出有关等级保护政策体系,等级保护的标准体系,这些标准在等级保护各个环节当中它的作用是什么,它相互之间的关系是什么,从这里大家可以看出来。给大家简单梳理一下。国标17859,这是一个基本标准,在这个标准基础上出台了技术类的、产品类的标准,安全要求类的标准有一个等级保护基本要求,这个基本要求作为我们开展等级保护安全建设整改工作的一个目标性的标准,有关行业部门可以在国家标准的基础之上制订出台行业标准规范。比如说电信行业、电力行业、证券等等,这些重要行业正在按照国家的标准出台行业标准规范。这些都是行业开展安全建设整改的依据。系统的等级标准一个是定级指南,还有这个行业出台的定级的细则也都作为系统定级的标准规范。方法指导类的有等级保护实施指南,还有最新出台的一个等级保护标准,安全设计技术要求。另外,现状分析类的,有一个测评要求,还有测评过程指南,这两个标准正在报批之中。
在标准应用过程中,我们需要注意的问题有以下几个方面:基本要求是我们搞等级保护的阶段性标准,安全设计技术要求是实现该标准,也就是把它作为一个阶段性目标,这个安全设计技术要求是实现该目标的方法和途径之中。第二,基本要求因为它不包括安全设计和工程实施等内容,因此,在用这个标准,在进行安全建设整改的时候要参照安全设计技术要求、安全管理要求、安全工程管理要求等等标准配合来使用。
第四个就是重点行业,我刚才提到可以按照国家标准技术要求,根据行业特点和行业的客观需求在公安部有关部门的指导下,制订行业标准规范或细则。
第五,再提一下安全设计技术要求,安全设计技术要求提出一个中心,三维防护的理念。所谓一个中心就是一个安全管理中心,三个防护主要从这三个方面,一个是计算环境安全,区域边界安全、通信网络安全,提出这样的设计思想和理念,这个标准只针对系统防护,从技术的角度提出来的新的要求。这个标准和基本要求,还有其他标准的使用,这个标准只提技术要求,没有物理安全和安全管理要求。把这些标准给大家做一下解读,以便大家在今后的工作当中能准备把握。
给大家汇报第二个部分,第二部分,我们信息安全等级保护工作做到现在,已经有几年了,从2006年大张旗鼓的推动,从基础调查到试点,到部署定级,到我们去年发文来部署安全整改和等级测评,这个工作做到现在,可以心里踏实的给大家交一本帐,给中央交一本帐。这几年,制订的政策标准,这个工作基本上完成,定级工作基本完成,定级工作把国家的重要信息系统已经挑了出来,因为搞等级保护的目的是要明确重点,保护重点。所以,我们通过定级把国家的几万个重要系统捏了出来,特别是我们近期梳理了几十个行业部门,二十个行业部门的五百个大系统,也让我们给梳理出来了。这些跨省联网的大系统就是我们下一步要进行安全建设整改,等级测评以及国家重点支持的目标。等级保护工作做到现在,下一步工作怎么做,有关工作目标、工作任务、工作要求给大家汇报一下。在汇报这之前,对于等级保护工作,深入开展等级保护工作,我们一定要充分认识这个工作的复杂性和艰巨性。我近期梳理了有关的工作情况,我本人认为等级保护工作大家都说难做,这个复杂。它的主要原因我认为一是等级保护工作的政策性和技术性很强,还没有哪一个国家信息安全保障工作中的某一项工作出台这么多文件,出台这么多标准,涉及了这么多工作环节。所以,它的政策性、技术性很强,另外它的涉及范围广,它涉及到全国各行各业,各个单位,各个部门。涉及到国家各个部委,涉及到国家的中央企业,涉及到各省和市。所以,地市级以上的国家机关、企事业单位等级保护工作都要做。所以,它的涉及范围广。
第二,信息系统要安全加固,我们定了级之后,这个系统要搞等级测评,要查找问题,把问题查找出来之后要干嘛呢?要进行安全建设整改,安全加固。搞安全加固,搞安全建设整改那要动用资金,要有经费支持。所以,它需要国家在经费上予以支持。
第三,跨省全国联网的大系统结构复杂,运行实施保护性高,数据极端重要,因为它的加固改造的周期就比较长。前不久,海关总署搞全国海关系统的等级保护工作培训,我参加了,有幸到苏州海关看了看我们海关的H2000,全省联网的大系统,这一看不要紧,我们全国海关的重要工作都要依托这样的大系统在开展工作。还有许多行业,电力、电信、银行、证券、保险、铁路、海关、税务、广电、社保、公安等等,都要依托这个开展工作,所以,它加固改造的周期要长。这是我们当前面临的下一步工作的困难和问题。为此,我们在前期充分调研,认真听取专家和各部委意见的基础之上,提出了这样今后三年的工作目标。
今后三年等级保护工作主要做什么?一,利用三年时间,力争2010年前完成安全整改工作和等级测评工作。开展安全管理制度建设、技术措施建设和等级测评。一信息系统安全管理水平要明显提高。开展等级保护实实在在的要达到一个什么样的目标,从五个方面大家看出来。一个是管理水平明显提高。二信息系统的防范能力明显增强,抗攻击,抗入侵,抵御破坏的能力要增强。信息系统的素质要强起来,不能老是身体很虚弱,这是不行的。所以,它的安全防范能力要明显增强。三,信息系统安全隐患和安全事故明显减少,这是一个标志。我搞等级保护,提高系统安全防范能力,它的隐患要减少,它的事故事件要明显减少。四,有效保障信息化健康发展。五,有效维护国家主权、社会秩序和公共利益。
下一步的工作范围已经备案的全国二级的信息系统要纳入整改范围,尚没有开展定级备案的信息系统,有些部门有,有的部门还没定级,有的部门定级了有的系统定了,有的系统没定,还有的系统定级不准,有这三个问题,需要在开展整改之前,要把这个工作先做好。
昨天,天津公安局的处长向我汇报,他马上开始在天津市范围之内一个部门一个部门的梳理,我去年年底对国家部委79个部委给公安部回了函,我要了解各部委的工作情况,备案情况、整改情况、测评情况。通过报送材料我感觉确实还有的部门,极少数部门的工作开展得不利。
第三,新建系统,近期我也到了几个部委,有的是项目评审,或者是安全建设评审,安全建设的方案评审。新建系统一定要同步开展安全建设,就是你这个新建系统在系统规划的时候要定了级。要按照系统级别开展安全建设,要制订安全建设方案,同步开展安全建设,以免后来找后帐。工作方法主要有下面几个。一个是我们要突出重要系统,也就是突出三级以上的系统,兼顾二级。另外,公安部正在组织几个重要行业,海关、税务、电力、银行,有几个重要行业正在搞试点示范。我们第一个树立的典型,国家电网公司电力行业,它的等级保护工作开展得非常好,非常扎实,起到了很大成效。我们公安部在简报上已经做了相应的宣传,已经把国家电网公司的经验出台了几期。重要行业可以结合行业特点,先行搞试点示范,然后行业推广。第三就是管理制度建设和技术措施建设应该同步进行。为什么分步实施呢?因为有关的行业部门,60%的部门在安全建设上不缺经费的支持,比如中央企业基本不缺经费。还有些需要中央财政支持的系统,它在搞整改的时候要动用资金,要向国家财政申请,今年可能申请明年的财政经费,这样的部门可以先搞安全制度建设。资金到位之后可以搞安全技术措施建设。
第四,最主要的体现什么思想?安全建设整改是在你系统安全建设的基础之上进行的安全整改工作,不是推倒重来。因此,我需要跟大家刻意强调的就是我们所做的工作就是把系统分析或者测评之后找出问题进行加固改造,缺什么补什么。也可以进行整体安全整改规划,开展安全建设整改工作。第五,利用信息安全等级保护综合工作平台,相关的重要行业部门应该研发或者配备这样的等级保护工作平台,使等级保护工作常态化、日常化。公安机关马上部署我们的三级管理平台,所以,我希望各个行业跟公安部有一个对接。
建设整改的主要内容一个是安全管理制度建设,这个涉及到安全责任制度落实,系统建设安全管理、系统运维管理等。时间关系,具体的内容不说了,我PPT上都有,有的东西大家从我们网站上可以找到。
技术措施建设很显然各个行业部门要结合行业特点和安全需求,制订符合相应等级要求的信息系统安全技术建设整改方案,开展安全技术措施建设。简单说就是制订安全整改方案之后,建设安全设施、落实安全管理措施。基本要求,从安全管理建设,还有安全技术措施建设各有五大方面,有将近150个点,这是我们国家标准技术要求提出来的基线要求,大家在整改的时候,特别是企业在支持各个单位,各个部门开展整改的时候要把握这个基本要求。可以开展现状分析,找差距,在信息系统开展安全建设整改的时候,在方案设计的时候大家要注意,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的总体保护能力。简单解释一下,系统定级的时候实际上是按照业务应用,一个业务系统一个业务系统定的级,但是你在整改的时候,你应该整体通盘考虑这个系统安全保护的方案,解决安全建设的资金和成本。
等级测评简单说,我们新出台的303号文,对于全国的等级测评机构采取这样的措施,国家和省级等级保护协调小组对于测评机构进行初审,初审合格的,由专门能力评估机构进行能力评估,对于测评人员进行培训考试发证。对于能力评估的测评机构发能力评估的证书,能力评估合格的测评机构由国家和省级两级等级保护协调小组组织专家予以评审,评审合格的予以推荐。就这几句话,具体材料查303号文。303号文附带了一个测评机构和测评人员的管理规范。
通过安全建设整改,我们的信息系统应该达到这样的能力目标,具体的不细解释,可以看材料,二级、三级、四级都有相应的能力目标要求,一级没写,材料上有,但是我这里没给大家演示。一级不用自己备案,自己做。我早就说过。五级没人定,没有任何一个单位做五级,所以,你不用操心五级的安全能力保护要求是啥,不用管。我们第二级第三级第四级能力要求就是这样。
工作流程,各单位,各部门按照这样的工作流程去开展今后三年的工作,一个是制订行业的安全整改工作规划,对安全整改工作进行整体部署,春节前后有十几个部委已经大规模的开始培训,开始部署了。还有一些重要行业正在研究,抓紧部署,所以,这项工作推起来比较快。第二,开展安全现状分析,从管理和技术两个方面确定安全建设整改的需求。第三,确定安全保护策略,制订系统整改方案。第四,按照方案进行安全建设整改。第五,进行安全自查和等级测评,发现问题进一步整改。这是整改的流程图。
在整改工作当中选择信息安全产品我们,第一,选择国产产品。信息安全企业已经按照有关的分级的标准进行设计制造,公安部信息安全产品检测中心已经进行分级检测,我们的销售许可证上也已经表明它的产品的等级,下一步安全产品的等级和系统的等级怎么对应我们正在研究,下一步出台相关的意见。还有一个环节,各个单位要开展自查和公安机关开展的监督检查,备案单位要定期自查,行业主管部门要进行督导检查,这两个部门要配合公安机关进行监督检查,履行公安机关的监督检查指导的职责。有关的内容就简单给大家汇报到这儿。
(责任编辑:陈曲)