您位于: 首页 OWASP峰会 OWASP2010中国峰会 郭启全:等级保护与应用安全

郭启全:等级保护与应用安全

 

公安部网络安全保卫局处长 郭启全

 

演讲实录:

 

「郭启全」:尊敬的各位来宾,各位先生,各位女士们,大家早上好!很高兴来参加这次OWASP中国峰会。在座有许多老朋友,当然还有许多新朋 友,感谢主办方举办这样一个峰会,对于信息安全工作,特别是信息安全技术进行研究研讨,这是一个很好的事情。我的演讲题目有点复杂,但是最终目的是要推动 我们国家的等级保护工作,维护国家的信息安全。我从四个方面给大家介绍一下。

 

一、近年来我们国家信息安全等级保护工作的情况及取得的成效。第一,公安部会同有关部门在相关部门大力支持下出台了一些等级保护工作的政策和保 护标准。第二,组织了国家机关的等级保护安全建设整改的培训,这为我们国家各单位各部门开展信息安全工作起到很好的指导作用。第三,我们成立等级保护安全 建设指导专家委员会,指导各单位各部门开展信息安全工作,开展等级保护工作。这个专家委在一年多来充分发挥作用,为我们重要行业部门开展安全建设整改工作 提供有力支持。第四,我们和国家电网、国土资源部等部门,现在正在大力推广相关部门的经验。第五,召开了全国公安机关网安部门等级保护工作培训会。

 

应该说通过近年来各方的努力,特别是在有关行业部门信息安全企业和专家的大力支持,国家的等级保护工作取得了重要成效。

 

一是出台 了一系列等级保护工作配套的政策和标准,构建完成了国家等级保护政策的体系和标准体系,为全国开展等级保护工作提供了政策标准和保障。

 

二是组织大规模的信息系统定级备案工作,明确了保护重点,会议主题要保护我们的应用安全。实际对于这些信息系统,一是要保护网络和系统自身的安全,它的应用安全,实际也就是它的业务安全,它为全社会提供服务、提供支撑的安全是一体的,密不可分的。

 

三是各单位各部门按照公安部的工作部署和要求,全面开展了安全建设整改和等级测评 工作,开展以等级保护为核心的安全防范工作,查找安全系统存在的安全问题。特别是我们一些重要行业部门,在新建网络和重要系统的时候,已经按照国家的信息 安全等级保护制度要求,从管理、从技术两个方面对于重要系统进行安全建设的方案设计。有效提高了国家基础网络和重要信息系统的安全保护能力。

 

所以等级保护工作,在座有政府行业部门的,有企业、有专家,等级保护工作离不开各个行业和专家的支持,大家都是这项工作的参与者和实施者。等级保护工作为信息安全企业提供一次难得的发展机遇和发展平台,也为我们的产业发展提供了一次难得机遇。

 

说到网络安全,现在不法分子对我们的网络的威胁越来越严重,对次我们要做好网络安全保护工作,网络安全防御工作,在此我提出我个人的观点和意 见。一是要深入开展等级保护工作,提高我们网络主动防御的能力。就是只有把我们的等级保护工作深入开展下去,提高我们主动防御的能力,这样才能真正提高我 们的安全防护能力。二是要加强应急软件,提高我们的网络应急组织能力,三是要加强我们的信息通道机制,提高我们的通道共享能力。三是建立各方参与机制,有 效发挥各方力量。四是提高我们的应急处置能力。这样几个能力是今后我们政府主导、各方参与、技术研究、产品研发的努力方向。

 

谈到国家等级保护政策和标准,近几年,应该说近十年公安部根据国务院的授权会同 有关部门,出台 一系列国家有关等级保护政策,这些等级保护政策是我们国家信息安全保障信息安全的主要政策。这些政策都是公开的,大家可以从网站上查到,从我们的宣传材料 上拿到。现在我们国家等级保护政策已经构成比较完备的政策体系,无论是64号文还是43号文,它们的出台 为各单位各部门开展等级保护提供了相关的政策文件,为我们全国开展等级保护提供了政策保障。

 

这几年公安部在信息安全企业以及专家大力支持下,我们国家形成比较完备的等级保护的标准体系,这个标准体系为各单位各部门开展等级保护工作,特 别是我们的信息安全建设整改工作提供了标准保障。这些标准引导我们企业搞信息安全技术的研究,为我们国家信息安全技术发展提供了指引。根据相关等级保护标 准,当前各单位各部门开展等级保护安全建设整改工作,围绕我们国家的基础网络和重要先进系统安全保护出台的有关定级、测评、安全设计、和保护的相关标准, 在这个图当中有所体现。这些材料大家从网上可以拿到,这些标准支撑了我们国家等级保护安全建设整改工作。

 

由于大规模的系统定级工作基本完成,我们国家的网络和系统的家底我们基本摸清,明确了我们应该保护的重点对象,既然重点对象已经清楚了,我们下 一步主要工作是要利用三年时间,对我们已经定级的信息系统开展安全建设整改工作。有几个关键词,什么叫安全建设整改工作?就是要建设安全设施,落实安全措 施,落实安全责任,落实安全管理制度。使我们国家基础网络先进系统管理能力提高,防患能力提高,隐患和事故减少,有效维护我们国家信息化健康发展,维护国 家安全社会秩序和公共利益,这就是我们搞等级保护的主要目标,也是我们今后三年各单位各部门按照这个目标去努力。

 

这有一个图,这个图是我们国家信息系统安全等级保护基本要求,这是个国家标准,这个国家标准指导我们各单位各部门这几年,从管理和技术两个方 面,各有5大方面重点,加起来有150多个点,这几年各单位各部门按照我们的基本要求开展安全技术建设和安全措施建设。二级以上的系统要纳入我们的整改范 围,我们搞这个安全建设整改主要的思路,是在我们原有的保护技术、保护设施的基础之上,按照国家标准查找安全问题,查找安全隐患 ,查找安全的差距,查找与国家标准的差距,然后制定安全建设整改方案,缺什么补什么。在此,为了指导各单位各部门开展下一步工作,我们制定了相关的工作流程,可以分几步走,各单位各部门要制定规划进行总体 部署,第二步是开展信息系统安全现状分析。第三步,确定安全保护策略,第四步,开展信息系统安全建设整改工作。

 

我们国家开展信息安全保护工作,包括今天的会议要研究我们的应用安全,研究我们相关信息安全的技术,研究产品,那么这个政府指导、政府引领、政 府监督检查指导、在各部门和专家企业的共同努力下,我们最终的目标要使我们的重要信息系统达到相关的保护能力,对于我们的二级系统、三级系统、四级系统都 提出了相关保护能力的要求。这些要求总的来讲就是无论里面怎么描述,概括起来讲就是通过搞等级保护,通过实施等级保护制度,这样一个强制的国家基本制度, 咱们国家信息安全的国策,使我们的重要系统达到这样一个目标:第一,抵抗攻击能力强了,身板硬朗了。第二,如果被攻击,使它的损失降到最低,能迅速恢复。这是我们搞等级保护对于系统来讲核心的目标。