- 相關(guān)推薦
信息安全保護及網(wǎng)絡(luò)安全法的作用發(fā)展的論文
隨著信息化快速發(fā)展,網(wǎng)絡(luò)和信息化應(yīng)用涉及的領(lǐng)域越來越多,由于系統(tǒng)自身的脆弱性以及外部環(huán)境和人為因素綜合造成了信息安全事件頻發(fā),信息安全成了國家發(fā)展的一項重要工作。信息安全等級保護是針對信息及其載體按照重要性進行分級保護的一項工作,等級保護標(biāo)準(zhǔn)是等級保護工作中信息系統(tǒng)分級的主要依據(jù)。金融行業(yè)作為信息化行業(yè)的重要組成部分,其信息系統(tǒng)的安全保障能力和水平關(guān)系到國家安全、社會穩(wěn)定和公共利益。金融行業(yè)等級保護標(biāo)準(zhǔn)是由中國人民銀行根據(jù)國家標(biāo)準(zhǔn)結(jié)合金融行業(yè)現(xiàn)狀而制定。2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)絡(luò)安全法”)開始實施,這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律,為信息安全領(lǐng)域工作的開展提供了法律保障。在網(wǎng)絡(luò)安全法實施的新形勢下,為了配合網(wǎng)絡(luò)安全法的實施,提高等級保護標(biāo)準(zhǔn)的時效性,等級保護標(biāo)準(zhǔn)也在不斷地發(fā)展和完善。
一、國家等級保護標(biāo)準(zhǔn)
我國的信息安全等級保護工作起步于20世紀(jì)90年代,隨后相繼頒布了多個等級保護標(biāo)準(zhǔn),具體可分為基礎(chǔ)性標(biāo)準(zhǔn)、定級標(biāo)準(zhǔn)、建設(shè)標(biāo)準(zhǔn)、測評類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)。基礎(chǔ)性標(biāo)準(zhǔn)包括《計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護實施指南》(GB25058-2010)以及《信息安全等級保護管理辦法》(公通字[2007]43號)等;定級標(biāo)準(zhǔn)有《信息系統(tǒng)安全等級保護定級指南》(GB/T22240-2008)等;建設(shè)標(biāo)準(zhǔn)包括《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)、《信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)以及《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》(GB/T25070-2010)等;測評類標(biāo)準(zhǔn)主要有《信息系統(tǒng)安全等級保護測評要求》(GB/T28448-2012)和《信息系統(tǒng)安全等級保護測評過程指南》(GB/T28449-2012)等;管理類標(biāo)準(zhǔn)主要有《信息系統(tǒng)安全管理要求》(GB/T20269-2006)以及《信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)等。針對單位的普通信息安全工作人員而言,涉及較多的標(biāo)準(zhǔn)主要有定級標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護定級指南》(GB/T22240-2008)與建設(shè)標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)等。《信息系統(tǒng)安全等級保護定級指南》主要用于指導(dǎo)信息系統(tǒng)的等級劃分和評定,將信息系統(tǒng)安全保護等級劃分為5級,定級要素有兩個:等級保護對象受到破壞時所侵害的客體以及客體受到侵害程度。定級要素與信息系統(tǒng)安全保護等級的關(guān)系見表1。由表1可知,三級及以上系統(tǒng)受到侵害時可能會影響國家安全,而一級、二級系統(tǒng)受到侵害時只會對社會秩序或者個人權(quán)益產(chǎn)生影響。在實際系統(tǒng)定級過程中,要從系統(tǒng)的信息安全和服務(wù)連續(xù)性兩個維度分別定級,最后按就高原則給系統(tǒng)進行定級!缎畔⑾到y(tǒng)安全等級保護基本要求》是針對不同安全保護等級信息系統(tǒng)應(yīng)該具有的基本安全保護能力提出的安全要求,根據(jù)實現(xiàn)方式的不同,基本安全要求分為基本技術(shù)要求和基本管理要求兩大類等級保護基本要求共有10個部分,技術(shù)要求和管理要求各占5個部分。其中,技術(shù)類安全要求又細分三個類型。信息安全類(S類):為保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改的信息安全類要求。服務(wù)保證類(A類):保護系統(tǒng)連續(xù)正常的運行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求。通用安全保護類要求(G類):既考慮信息安全類,又考慮服務(wù)保障類,最后選擇就高原則。
二、金融行業(yè)信息安全等級保護標(biāo)準(zhǔn)及必要性分析
1.行業(yè)標(biāo)準(zhǔn)金融行業(yè)作為信息化行業(yè)的一個重要組成部分,金融行業(yè)信息系統(tǒng)安全直接關(guān)系到國家安全、社會穩(wěn)定以及公民的利益等。為落實國家對金融行業(yè)信息系統(tǒng)信息安全等級保護相關(guān)工作要求,加強金融行業(yè)信息安全管理和技術(shù)風(fēng)險防范,保障金融行業(yè)信息系統(tǒng)信息安全等級保護建設(shè)、測評、整改工作順利開展,中國人民銀行針對金融行業(yè)的信息安全問題,在2012年發(fā)布了三項行業(yè)標(biāo)準(zhǔn):《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務(wù)安全指引》。2.必要性分析網(wǎng)絡(luò)安全法明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度,開展等級保護工作是滿足國家法律法規(guī)的合規(guī)需求。金融行業(yè)開展信息安全等級保護工作的必要性有以下3點。(1)理清安全等級,實現(xiàn)分級保護金融行業(yè)各類業(yè)務(wù)系統(tǒng)眾多,系統(tǒng)用途和服務(wù)對象差異性大,依據(jù)等級保護根據(jù)系統(tǒng)可用性和數(shù)據(jù)重要性開展分級的定級要求,可以有效梳理和分析現(xiàn)有的信息系統(tǒng),識別出重要的信息系統(tǒng),將不同系統(tǒng)按照不同重要等級進行分級,按照等級開展適當(dāng)?shù)陌踩雷o,有效保證了有限資源充分發(fā)揮作用。(2)明確保護標(biāo)準(zhǔn),實現(xiàn)規(guī)范保護金融行業(yè)信息系統(tǒng)等級保護標(biāo)準(zhǔn)有效解決了金融行業(yè)信息系統(tǒng)保護無標(biāo)準(zhǔn)可依的問題。在信息系統(tǒng)全生命周期中注重落實等級保護相關(guān)標(biāo)準(zhǔn)和規(guī)范要求,在信息系統(tǒng)需求、信息系統(tǒng)建設(shè)和信息系統(tǒng)維護階段參照、依據(jù)等級保護的標(biāo)準(zhǔn)和要求,基本實現(xiàn)信息系統(tǒng)安全技術(shù)措施的同步規(guī)劃、同步建設(shè)、同步使用,從而保證重要的信息系統(tǒng)能夠抵御網(wǎng)絡(luò)攻擊而不造成重大損失或影響。(3)定期開展測評,實現(xiàn)有效保護按照等級保護要求,每年對三級以上信息系統(tǒng)開展測評工作,使得重要信息系統(tǒng)能夠?qū)ο到y(tǒng)的安全性實現(xiàn)定期回顧、有效評估,從整體上有效發(fā)現(xiàn)信息系統(tǒng)存在的安全問題。通過每年開展等級保護測評工作,持續(xù)優(yōu)化金融行業(yè)重要信息系統(tǒng)安全防護措施,有效提高了重要信息系統(tǒng)的安全保障能力,加強了信息系統(tǒng)的安全管理水平,保障信息系統(tǒng)的安全穩(wěn)定運行以及對外業(yè)務(wù)服務(wù)的正常開展。
三、網(wǎng)絡(luò)安全法作用下標(biāo)準(zhǔn)的發(fā)展
隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對象也在擴展以及等保的體系也在不斷升級,等級保護的發(fā)展已經(jīng)進入到了2.0時代。為了配合網(wǎng)絡(luò)安全法的出臺和實施,滿足行業(yè)部門、企事業(yè)單位、安全廠商開展云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術(shù)、新應(yīng)用環(huán)境下等級保護工作需求,公安部網(wǎng)絡(luò)安全保衛(wèi)局組織對原有的等保系列標(biāo)準(zhǔn)進行修訂,主要從三個方面進行了修訂:標(biāo)準(zhǔn)的名稱、標(biāo)準(zhǔn)的結(jié)構(gòu)以及標(biāo)準(zhǔn)的內(nèi)容。1.標(biāo)準(zhǔn)名稱的變化為了與網(wǎng)絡(luò)安全法提出的“網(wǎng)絡(luò)安全等級保護制度”保持一致性,等級保護標(biāo)準(zhǔn)由原來的“信息系統(tǒng)安全等級”修改為“網(wǎng)絡(luò)安全等級”。例如:《信息系統(tǒng)安全等級保護基本要求》修改為《網(wǎng)絡(luò)安全等級保護基本要求》,《信息系統(tǒng)安全等級保護定級指南》修改為《網(wǎng)絡(luò)安全等級保護定級指南》等。2.標(biāo)準(zhǔn)結(jié)構(gòu)的變化為了適應(yīng)云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作的開展,等級保護基本要求標(biāo)準(zhǔn)、等級保護測評要求標(biāo)準(zhǔn)的結(jié)構(gòu)均由原來的一部分變?yōu)榱糠纸M成,分別為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求與大數(shù)據(jù)安全擴展要求。3.標(biāo)準(zhǔn)內(nèi)容的變化各級技術(shù)要求分類和管理要求的分類都發(fā)生了變化。其中,技術(shù)要求“從面到點”提出安全要求,對機房設(shè)施、通信網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用等提出了要求;管理要求“從元素到活動”,提出了管理必不可少的制度、機構(gòu)和人員三要素,同時也提出了建設(shè)過程和運維過程中的安全活動要求。
四、展望
隨著信息化的快速發(fā)展,信息系統(tǒng)安全直接關(guān)系到個人權(quán)益、社會秩序以及國家安全?v深防御原則、態(tài)勢感知平臺以及等級保護是有效地保障信息系統(tǒng)安全的三大重要手段,等級保護作為信息系統(tǒng)安全保護工作的重要手段之一,對保護信息系統(tǒng)安全起到了至關(guān)重要的作用。在網(wǎng)絡(luò)安全法正式實施的新形勢下,等級保護工作也將出現(xiàn)如下發(fā)展趨勢。1.保證合法合規(guī)以網(wǎng)絡(luò)安全法為依據(jù),等級保護標(biāo)準(zhǔn)也會及時更新,變得更為合理,等級保護工作將有法可依、有規(guī)可循,從而保證等級保護工作合法合規(guī)。2.更加全面高效隨著網(wǎng)絡(luò)安全法的實施,等級保護標(biāo)準(zhǔn)也會發(fā)展得更加全面,涉及面也會更廣(包括云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等),這將大大減少等級保護工作中的知識盲區(qū)和領(lǐng)域盲區(qū),使等保工作開展得更加全面高效。3.規(guī)模越來越大隨著大數(shù)據(jù)技術(shù)的發(fā)展,重要信息系統(tǒng)的數(shù)量也會增加,在信息安全意識逐漸增強的大背景下,等級保護工作的規(guī)模會越來越大,涉及的系統(tǒng)也會大幅度增加。4.更加智能化人工智能技術(shù)的發(fā)展會大大推動等級保護工作向智能化方向發(fā)展,同時,安全威脅態(tài)勢感知平臺的發(fā)展也會與等級保護相互促進,使得等級保護工作更加智能化。
【信息安全保護及網(wǎng)絡(luò)安全法的作用發(fā)展的論文】相關(guān)文章:
[熱]網(wǎng)絡(luò)信息安全與防范論文05-25
個人網(wǎng)絡(luò)信息安全論文(精選10篇)04-25
網(wǎng)絡(luò)信息安全與防范論文15篇【集合】05-25
【優(yōu)選】網(wǎng)絡(luò)信息安全與防范論文15篇05-24
大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全探析論文01-12
大數(shù)據(jù)時代信息安全與隱私保護論文06-26