在昨日《金融电子化》杂志社和绿盟科技举办的“Security+ 2015金融信息安全峰会”上,中国工程院院士沈昌祥介绍了中国信息安全等级保护制度。沈院士指出,美国是全球较早个提出网络空间战略的国家,早在2003年就以等级划分的原则保护网络空间,并在2013年新增了基础网络设施的等级安全保护,实现网络全程保护监控。
中国的信息安全等级保护发展并不晚,早在上世纪80年代就起步,1994年国务院颁布了中华人民共和国计算机信息系统安全保护条令147号令,为我国实现等级保护提供了法律依据。根据147号令中国在1999年就制订了17859(强制性标准),这个对等级保护做了总体上的、规范性的规定。
中国信息化领导小组成立以后,在2003年制订了27号文件,关于加强信息安全保障工作的意见,进一步明确了信息安全等级保护制度,提出了要建立这个制度。为此国部委、国信办分两个系统,分别由国家保密局、公安部挑头,等级保护不只是公安部挑头的,密码由国家密码局统一负责。
斯诺登事件揭示了网络安全存在着极大隐患,因此加强对网络数据信息以及系统的保护势在必行。沈院士介绍,中国的等级保护制度是以整个网络空间的安全保护为对象,分三个层次:
层次一:个体的、公民的,以及小的法人单位,应该是一、二级。层次二:公众利益、社会秩序,有可能是三级。层次三:国家安全的,这个实际上是涉及主权问题,因此涉及到四级了。因此必须很严格,从单位提出来要评审,而且要逐个备案。
等级保护需要制订了一系列标准,中国要开始全面地建设,而且建完以后要严格测评,测评完了以后要整改,要采取各种的应急措施。等级保护不是静态的,也不是一个环节,是全过程的PDR(防护)检测、整改应急处理以及备份等,要做到主动应对、积极防御。总的看来要实现“三可”:
较早:可信。软硬件的计算资源的可信会被篡改。第二:可控。证明数据信息访问是授权控制的。第三:可管理。整个平台要有管理者,没有管理就没有安全,尤其是强调了原则(三权分离)很重要,早就体现中国等级保护里面了。
沈院士称,中国构建了科学的体系架构,按管理重心支撑寄生环境、区域便捷、通讯网络三个方面的体系安全。再比较一下,2008年美国总统小布什下台以前,急急忙忙地发布了总统令,要在美国联邦政府的联络加强安全建设,也是三种防护,都是以按斯坦(英文)命名,有统一支持平台,统一改制态势,也统一管理、信息共享,跟中国的标准非常等同。
