漆黑的夜晚会让人感受到电力的不可或缺,在沙漠中的人们才会真正体会到水的价值,在我们尽情享受信息化带来便利的同时,也应该居安思危。2007年7月23日,星期一。早晨一上班,某机关信息中心王主任的桌子
上放置了两份文件的复印件,领导还在上面签署了"重要"的字样,这两份文件是:《关于开展全国重要信息系统安全等级保护定级工作的通知》和《关于印发信息安全等级保护管理办法的通知》。
王主任告诉记者,此前他就多次接触过信息安全等级保护管理(试行)办法,这次准备仔细学习一下具体的申报方法。
四类系统全部定级
各行业企业重要信息系统的安全管理不再是企业自己的事情,它的安危,已经上升到了社会层面。
2007年7月20日,全国重要信息系统安全等级保护定级工作电视电话会议的主会场在公安部B221会议室召开,通过视频网络,全国各省市的公安厅都实时参与了此次会议。
从即日起至10月,四类重要的信息系统全部要通过定级,包括全国电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统,以及铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计等多个重点行业的重要信息系统,市地级以上党政机关的重要网站和办公信息系统,涉及国家秘密的信息系统都要纳入定级范围。
信息系统安全等级共划分为五级,其中第五级为最高级别,该级别系统受到破坏后,会对国家安全造成特别严重损害。
此次行动已经在去年就开始筹备,一些重要单位的负责人已经在2006年底接受了相关的培训。
"当时,北京市公安局就为我们介绍了定级的标准和一些网络安全的知识。"一位ICP网站的负责人告诉记者。
2006年2月,公安部信息安全等级保护评估中心在其网站上宣布《信息安全等级保护管理办法(试行)》在3月起开始正式实施。一年之后,2007年6月22日,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发《信息安全等级保护管理办法》,原试行办法同时废止。
2007年7月16日,四家主管单位又下发《关于开展全国重要信息系统安全等级保护定级工作的通知》,从7月至10月开展定级工作。此次行动成为了全国首次针对重要信息系统进行的调查工作。
记忆深刻的"中断"
信息化、网络、IT系统对社会效率的提高是显而易见的,它已经成为了社会发展运行当中不可或缺的基础资源,当这些资源运转正常的时候,为人类带来的是便利和效率的提高。而当它出现问题时,也许会带来致命的威胁,2006年贯穿全年的几大信息化"灾害"事件至今还让人记忆犹新:
海底光缆断裂让跨国企业蒙受了巨大损失;网银用户资金的频繁被盗让许多银行改进了网银交易的安全措施;银联跨行交易中断8小时让应急预案和灾备演练从纸上谈兵走向实际行动;民航离港系统瘫痪让众多机场再度"熟悉"了手工流程;亦庄数据中心遭受的疯狂袭击让人们感受到了黑客的疯狂。
然而,系统并不会因为人们的重视而自动走向安全,这些信息化"危机"事件一直在发生:
2007年7月18日,北京福彩系统维修调试,全市福彩网点从早晨7点至下午1点无法进行兑奖。
2007年7月2日,北京铁通宽带用户反映部分大厦出现大面积无法上网情况,对工作、生活产生一定影响。
2007年7月4日,中国人民大学成教网选课系统发生故障,许多学生在电脑前守候了一夜,5日中午12点左右系统才恢复正常。
2007年6月13日8时,复兴医院电脑系统出现故障,当天20余人无法办理出院结账手续。
2007年6月6日上午10点至下午2点,中信建投证券安立路营业部与建设银行连接的账户转账路由器出现故障,数十名股民无法转账买入股票。
2007年5月5日,南宁市江南客运站电脑售票系统出现故障,一度中断7个小时。车站方面所有工作人员上岗,在各检票台设立临时售票点,及时疏运乘客,未造成乘客滞留。
2007年3月21日,因建行系统故障,导致基金购买者张女士未能成功办理基金赎回业务,最终建行赔偿了张女士的损失。
2007年3月19日11点多,中国银行北京市系统出现故障,除自动取款机业务未受影响外,其他各项业务被迫中断。经技术人员紧急检修,下午3点左右,中国银行各支行系统陆续恢复正常。
这些报道于媒体之上的各种事件,在真真切切地影响着我们的生活,如果没有统一的管理,面对这些"隐藏"的问题,社会和用户该如何承受?
便利与风险共存
可以发现,行业的重要性越高,其信息化程度也越高,如银行、海关、税务、交通等,如果没有了信息化手段,这些行业的业务无法运转,一旦发生问题,影响范围巨大。隐藏在这些行业当中的信息系统,成为了此次定级调查的重点。
从另一个角度来看,在CNNIC最新公布的调查报告当中,中国的网民数量已经达到1.62亿人,互联网普及率达到12.3%。截止到2007年6月,中国域名总数达到918万个,网站数量达到131万个,上网计算机数量达到6710万台。中国有25.5%的网民使用网络购物,大约1/5的网民使用网上金融服务。这一系列的数字可以说明,有越来越多的人在享受网络的服务,同时也在承担着潜在的风险。
据统计,在2007年上半年,每月有6.6万个病毒出现,有超过1.18亿台计算机受到感染;2006年全年发生的网络犯罪行为达到4万余起,公安机关抓捕嫌疑人3万多人。
在《通知》中强调,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案。公安机关和国家有关部门受理备案后,要对信息系统的安全保护等级和备案情况进行审核、管理。
二级的定义为:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。相比一级,它增加了系统破坏对社会秩序和公共利益产生的损害。
国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山告诉记者,国家基础信息网络的安全已经到了关系国计民生的地步,但现在我国的信息化发展水平与安全管理水平的发展速度不相适应,必须要通过一些手段,把核心资源集中在重要信息系统的保护工作上。
应急与定级
2005年8月,国家发布了国家突发公共事件总体应急预案,2006年,我国共制定各类应急预案约135万多件,同时,国务院还针对某一类型或者几种类型突发公共事件制定了专项应急预案,如国家自然灾害救助应急预案,国家通信保障应急预案等,除此之外,还有国务院部门应急预案和地方应急预案等。
在这一系列应急预案组成的庞大应急体系当中,每一项预案的内容都可以发现两个明显字-信息,体现了在应急预案中信息的稳定传递是保障应急工作顺利开展的核心。
如果说各项应急预案是保障国家平稳运行的纵向行业规范的话,那此次开展的全国重要信息系统安全等级保护定级工作则是从IT的角度对"信息"进行了横向规范,它保证了业务过程中人员、流程、系统这三大元素中基础系统的稳定。