隨著資訊化快速發展,網路和資訊化應用涉及的領域越來越多,由於系統自身的脆弱性以及外部環境和人為因素綜合造成了資訊保安事件頻發,資訊保安成了國家發展的一項重要工作。資訊保安等級保護是針對資訊及其載體按照重要性進行分級保護的一項工作,等級保護標準是等級保護工作中資訊系統分級的主要依據。金融行業作為資訊化行業的重要組成部分,其資訊系統的安全保障能力和水平關係到國家安全、社會穩定和公共利益。金融行業等級保護標準是由中國人民銀行根據國家標準結合金融行業現狀而制定。2017年6月1日,《中華人民共和國網路安全法》(以下簡稱“網路安全法”)開始實施,這是我國第一部全面規範網路空間安全管理方面問題的基礎性法律,為資訊保安領域工作的開展提供了法律保障。在網路安全法實施的新形勢下,為了配合網路安全法的實施,提高等級保護標準的時效性,等級保護標準也在不斷地發展和完善。
一、國家等級保護標準
我國的資訊保安等級保護工作起步於20世紀90年代,隨後相繼頒佈了多個等級保護標準,具體可分為基礎性標準、定級標準、建設標準、測評類標準和管理類標準。基礎性標準包括《計算機資訊系統安全等級保護劃分準則》(GB17859-1999)、《資訊系統安全等級保護實施指南》(GB25058-2010)以及《資訊保安等級保護管理辦法》(公通字[2007]43號)等;定級標準有《資訊系統安全等級保護定級指南》(GB/T22240-2008)等;建設標準包括《資訊系統安全等級保護基本要求》(GB/T22239-2008)、《資訊系統通用安全技術要求》(GB/T20271-2006)以及《資訊系統等級保護安全設計技術要求》(GB/T25070-2010)等;測評類標準主要有《資訊系統安全等級保護測評要求》(GB/T28448-2012)和《資訊系統安全等級保護測評過程指南》(GB/T28449-2012)等;管理類標準主要有《資訊系統安全管理要求》(GB/T20269-2006)以及《資訊系統安全工程管理要求》(GB/T20282-2006)等。針對單位的普通訊息安全工作人員而言,涉及較多的標準主要有定級標準《資訊系統安全等級保護定級指南》(GB/T22240-2008)與建設標準《資訊系統安全等級保護基本要求》(GB/T22239-2008)等。《資訊系統安全等級保護定級指南》主要用於指導資訊系統的等級劃分和評定,將資訊系統安全保護等級劃分為5級,定級要素有兩個:等級保護物件受到破壞時所侵害的客體以及客體受到侵害程度。定級要素與資訊系統安全保護等級的關係見表1。由表1可知,三級及以上系統受到侵害時可能會影響國家安全,而一級、二級系統受到侵害時只會對社會秩序或者個人權益產生影響。在實際系統定級過程中,要從系統的資訊保安和服務連續性兩個維度分別定級,最後按就高原則給系統進行定級。《資訊系統安全等級保護基本要求》是針對不同安全保護等級資訊系統應該具有的基本安全保護能力提出的安全要求,根據實現方式的不同,基本安全要求分為基本技術要求和基本管理要求兩大類等級保護基本要求共有10個部分,技術要求和管理要求各佔5個部分。其中,技術類安全要求又細分三個型別。資訊保安類(S類):為保護資料在儲存、傳輸、處理過程中不被洩露、破壞和免受未授權的修改的資訊保安類要求。服務保證類(A類):保護系統連續正常的執行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求。通用安全保護類要求(G類):既考慮資訊保安類,又考慮服務保障類,最後選擇就高原則。
二、金融行業資訊保安等級保護標準及必要性分析
1.行業標準金融行業作為資訊化行業的一個重要組成部分,金融行業資訊系統安全直接關係到國家安全、社會穩定以及公民的利益等。為落實國家對金融行業資訊系統資訊保安等級保護相關工作要求,加強金融行業資訊保安管理和技術風險防範,保障金融行業資訊系統資訊保安等級保護建設、測評、整改工作順利開展,中國人民銀行鍼對金融行業的資訊保安問題,在2012年釋出了三項行業標準:《金融行業資訊系統資訊保安等級保護實施指引》、《金融行業資訊系統資訊保安等級保護測評指南》和《金融行業資訊保安等級保護測評服務安全指引》。2.必要性分析網路安全法明確規定國家實行網路安全等級保護制度,開展等級保護工作是滿足國家法律法規的.合規需求。金融行業開展資訊保安等級保護工作的必要性有以下3點。(1)理清安全等級,實現分級保護金融行業各類業務系統眾多,系統用途和服務物件差異性大,依據等級保護根據系統可用性和資料重要性開展分級的定級要求,可以有效梳理和分析現有的資訊系統,識別出重要的資訊系統,將不同系統按照不同重要等級進行分級,按照等級開展適當的安全防護,有效保證了有限資源充分發揮作用。(2)明確保護標準,實現規範保護金融行業資訊系統等級保護標準有效解決了金融行業資訊系統保護無標準可依的問題。在資訊系統全生命週期中注重落實等級保護相關標準和規範要求,在資訊系統需求、資訊系統建設和資訊系統維護階段參照、依據等級保護的標準和要求,基本實現資訊系統安全技術措施的同步規劃、同步建設、同步使用,從而保證重要的資訊系統能夠抵禦網路攻擊而不造成重大損失或影響。(3)定期開展測評,實現有效保護按照等級保護要求,每年對三級以上資訊系統開展測評工作,使得重要資訊系統能夠對系統的安全性實現定期回顧、有效評估,從整體上有效發現資訊系統存在的安全問題。通過每年開展等級保護測評工作,持續優化金融行業重要資訊系統安全防護措施,有效提高了重要資訊系統的安全保障能力,加強了資訊系統的安全管理水平,保障資訊系統的安全穩定執行以及對外業務服務的正常開展。
三、網路安全法作用下標準的發展
隨著等保制度上升為法律層面、等保的重要性不斷增加、等保物件也在擴充套件以及等保的體系也在不斷升級,等級保護的發展已經進入到了2.0時代。為了配合網路安全法的出臺和實施,滿足行業部門、企事業單位、安全廠商開展雲端計算、大資料、物聯網、移動互聯等新技術、新應用環境下等級保護工作需求,公安部網路安全保衛局組織對原有的等保系列標準進行修訂,主要從三個方面進行了修訂:標準的名稱、標準的結構以及標準的內容。1.標準名稱的變化為了與網路安全法提出的“網路安全等級保護制度”保持一致性,等級保護標準由原來的“資訊系統安全等級”修改為“網路安全等級”。例如:《資訊系統安全等級保護基本要求》修改為《網路安全等級保護基本要求》,《資訊系統安全等級保護定級指南》修改為《網路安全等級保護定級指南》等。2.標準結構的變化為了適應雲端計算、物聯網、大資料等新技術、新應用情況下網路安全等級保護工作的開展,等級保護基本要求標準、等級保護測評要求標準的結構均由原來的一部分變為六部分組成,分別為安全通用要求、雲端計算安全擴充套件要求、移動互聯安全擴充套件要求、物聯網安全擴充套件要求、工業控制系統安全擴充套件要求與大資料安全擴充套件要求。3.標準內容的變化各級技術要求分類和管理要求的分類都發生了變化。其中,技術要求“從面到點”提出安全要求,對機房設施、通訊網路、業務應用等提出了要求;管理要求“從元素到活動”,提出了管理必不可少的制度、機構和人員三要素,同時也提出了建設過程和運維過程中的安全活動要求。
四、展望
隨著資訊化的快速發展,資訊系統安全直接關係到個人權益、社會秩序以及國家安全。縱深防禦原則、態勢感知平臺以及等級保護是有效地保障資訊系統安全的三大重要手段,等級保護作為資訊系統安全保護工作的重要手段之一,對保護資訊系統安全起到了至關重要的作用。在網路安全法正式實施的新形勢下,等級保護工作也將出現如下發展趨勢。1.保證合法合規以網路安全法為依據,等級保護標準也會及時更新,變得更為合理,等級保護工作將有法可依、有規可循,從而保證等級保護工作合法合規。2.更加全面高效隨著網路安全法的實施,等級保護標準也會發展得更加全面,涉及面也會更廣(包括雲端計算、物聯網、大資料等),這將大大減少等級保護工作中的知識盲區和領域盲區,使等保工作開展得更加全面高效。3.規模越來越大隨著大資料技術的發展,重要資訊系統的數量也會增加,在資訊保安意識逐漸增強的大背景下,等級保護工作的規模會越來越大,涉及的系統也會大幅度增加。4.更加智慧化人工智慧技術的發展會大大推動等級保護工作向智慧化方向發展,同時,安全威脅態勢感知平臺的發展也會與等級保護相互促進,使得等級保護工作更加智慧化。