在昨日《金融電子化》雜志社和綠盟科技舉辦的“Security+ 2015金融信息安全峰會”上,中國工程院院士沈昌祥介紹了中國信息安全等級保護制度。沈院士指出,美國是全球第一個提出網絡空間戰略的國家,早在2003年就以等級劃分的原則保護網絡空間,并在2013年新增了基礎網絡設施的等級安全保護,實現網絡全程保護監控。
中國的信息安全等級保護發展并不晚,早在上世紀80年代就起步,1994年國務院頒布了中華人民共和國計算機信息系統安全保護條令147號令,為我國實現等級保護提供了法律依據。根據147號令中國在1999年就制訂了17859(強制性標準),這個對等級保護做了總體上的、規范性的規定。
中國信息化領導小組成立以后,在2003年制訂了27號文件,關于加強信息安全保障工作的意見,進一步明確了信息安全等級保護制度,提出了要建立這個制度。為此國部委、國信辦分兩個系統,分別由國家保密局、公安部挑頭,等級保護不只是公安部挑頭的,密碼由國家密碼局統一負責。
斯諾登事件揭示了網絡安全存在著極大隱患,因此加強對網絡數據信息以及系統的保護勢在必行。沈院士介紹,中國的等級保護制度是以整個網絡空間的安全保護為對象,分三個層次:
層次一:個體的、公民的,以及小的法人單位,應該是一、二級。層次二:公眾利益、社會秩序,有可能是三級。層次三:國家安全的,這個實際上是涉及主權問題,因此涉及到四級了。因此必須很嚴格,從單位提出來要評審,而且要逐個備案。
等級保護需要制訂了一系列標準,中國要開始全面地建設,而且建完以后要嚴格測評,測評完了以后要整改,要采取各種的應急措施。等級保護不是靜態的,也不是一個環節,是全過程的PDR(防護)檢測、整改應急處理以及備份等,要做到主動應對、積極防御。總的看來要實現“三可”:
第一:可信。軟硬件的計算資源的可信會被篡改。第二:可控。證明數據信息訪問是授權控制的。第三:可管理。整個平臺要有管理者,沒有管理就沒有安全,尤其是強調了原則(三權分離)很重要,早就體現中國等級保護里面了。
沈院士稱,中國構建了科學的體系架構,按管理重心支撐寄生環境、區域便捷、通訊網絡三個方面的體系安全。再比較一下,2008年美國總統小布什下臺以前,急急忙忙地發布了總統令,要在美國聯邦政府的聯絡加強安全建設,也是三種防護,都是以按斯坦(英文)命名,有統一支持平臺,統一改制態勢,也統一管理、信息共享,跟中國的標準非常等同。
京公網安備 11010502049343號