信息安全等保制度及其在故宮博物院的建設(shè)現(xiàn)狀

陳靜靜

【摘要】 本文首先介紹了黨和國家對信息安全工作的相關(guān)指示與當前信息安全的現(xiàn)狀；然后詳細論述了等保工作的演化過程、內(nèi)容、意義、分級等內(nèi)容；最后說明了故宮博物院等保工作的開展情況并提出了對文博業(yè)等保建設(shè)的一點想法。

【關(guān)鍵詞】 信息安全 等級保護 文博系統(tǒng)

一、當前我國信息安全現(xiàn)狀

近年來，黨中央高度重視網(wǎng)絡(luò)與信息安全工作。隨著國家“十三五”規(guī)劃綱要、網(wǎng)絡(luò)強國、《中國制造2025》、“互聯(lián)網(wǎng)+”的系列戰(zhàn)略部署的推進實施，網(wǎng)絡(luò)安全工作的范疇和深度都在不斷拓展，迫切要求進一步提升安全保障水平和風(fēng)險防控能力，更好支撐經(jīng)濟社會健康有序發(fā)展。

信息通信技術(shù)和網(wǎng)絡(luò)快速發(fā)展并加速向傳統(tǒng)領(lǐng)域融合，導(dǎo)致安全威脅更加復(fù)雜隱蔽，互聯(lián)網(wǎng)與工業(yè)等領(lǐng)域融合創(chuàng)新帶來的安全問題日益嚴峻。2016年，國家信息安全漏洞共享平臺（CNVD）共收錄2203個屬于“零日”漏洞，可用于實施遠程網(wǎng)絡(luò)攻擊的漏洞有9503個 [1]。某企業(yè)2016年度報告中指出在其參與的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件中，僅有 4.7%的攻擊事件是企業(yè)自主發(fā)現(xiàn)；26.8%的攻擊事件是在已經(jīng)發(fā)生了顯著入侵跡象或經(jīng)濟損失后才被企業(yè)發(fā)現(xiàn)；而另外68.5%企業(yè)不知道自己受到攻擊[2]。

這一組數(shù)據(jù)充分反映我國當前信息安全現(xiàn)狀所面臨的嚴峻形式，距離中央的要求還有一定的差距。同時督促著廣大政、事、企單位更加深入理解信息安全建設(shè)的重要意義，加強信息安全的建設(shè)保障，降低自身信息安全事件的風(fēng)險指數(shù)。

二、等級保護

信息安全等級保護是中國正在大力推行的一項制度?，F(xiàn)行網(wǎng)絡(luò)安全法明確規(guī)定：國家實行網(wǎng)絡(luò)安全等級保護制度。2016年12月27日，中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，以貫徹落實習(xí)近平總書記網(wǎng)絡(luò)強國戰(zhàn)略思想。這是對加快、加強等級保護建設(shè)的又一次強調(diào)和升華。

信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階段。

定級一般遵循自主定級、動態(tài)調(diào)整的原則?！缎畔⑾到y(tǒng)安全等級保護定級指南》給出了確定安全保護等級的具體方法。等級保護要經(jīng)過定級階段，初備案階段，測評階段，整改階段，復(fù)測階段。最終備案的信息系統(tǒng)要在等保制度的監(jiān)督管理下進行運營，并根據(jù)所定級別要求的時間內(nèi)周期性檢查評測。并要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。

信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統(tǒng)應(yīng)具有不同的安全保護能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級相適應(yīng)的安全控制來實現(xiàn)；另一方面還要對整合了所有安全控制機制的系統(tǒng)整體進行測評。

三、故宮博物院等保建設(shè)現(xiàn)狀

故宮博物院從2012年起對其使用的信息管理系統(tǒng)進行了安全現(xiàn)狀測評，首先評估了系統(tǒng)性質(zhì)進行定級，其次分析目前信息管理系統(tǒng)的安全狀況與等級保護相應(yīng)級別要求之間的差距，然后依據(jù)分析結(jié)果進行了針對性的整改與認證評測。

信息管理系統(tǒng)現(xiàn)狀測評的過程如下：

1）調(diào)研階段：評估中心測評項目組在故宮博物院信息管理系統(tǒng)負責(zé)人配合下對信息管理系統(tǒng)的測評進行前期調(diào)研工作。2）現(xiàn)場測評階段：評估中心測評項目組對信息管理系統(tǒng)進行了現(xiàn)場測評，具體工作內(nèi)容為查詢相關(guān)文檔、與有關(guān)人員訪談、現(xiàn)場配置核查，對收集到的相關(guān)信息進行綜合分析和整理。3）分析與報告編制階段：測評人員首先整理和匯總前期現(xiàn)場測評獲得的測評結(jié)果記錄，并對其進行了符合性判斷和整體分析，找出了信息管理系統(tǒng)存在的主要問題，并提出了安全建設(shè)整改建議。

評測報告從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理十個方面描述了評測結(jié)果、進行了問題分析并提出了整改建議。

四、關(guān)于文博系統(tǒng)等保建設(shè)的一點想法

很多行業(yè)主管單位要求行業(yè)單位開展等級保護工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育、衛(wèi)生等行業(yè)?？傮w來說文博相關(guān)單位在信息安全等級保護上起步相對較晚。原因是多方面的。首先是由于行業(yè)特點，導(dǎo)致對信息安全的認識方面相對不足。文博從業(yè)人員、領(lǐng)導(dǎo)干部以文科為主，相對缺乏對信息安全專業(yè)地位的直觀感觸。其次文博相關(guān)系統(tǒng)比較獨立，對外開放的系統(tǒng)多作為信息展示用途，對社會民生影響較弱。

但是當前信息安全事件頻發(fā)，信息安全犯罪技術(shù)成本越來越低。網(wǎng)絡(luò)安全事件有很大概率發(fā)生在文博系統(tǒng)，如果制度缺失或建設(shè)不足一定會受到置疑。所以文博系統(tǒng)也應(yīng)該充分認識到等保工作的重要意義，切實履行自身在等保工作中的義務(wù)。一方面是為了降低信息安全風(fēng)險，提高信息系統(tǒng)的安全防護能力；另一方面是為了遵循國家相關(guān)法律法規(guī)和制度的要求，符合相關(guān)主管單位和行業(yè)規(guī)定；同時也是為了合理地規(guī)避或降低風(fēng)險。

參 考 文 獻

[1]《2016年CNVD漏洞數(shù)據(jù)統(tǒng)計簡報》

[2]《2016年中國互聯(lián)網(wǎng)安全報告》