信息系统等级保护政策从2005年出台,经历了近5年完善、落实的过程,如今已经大势所趋、循序渐进的进行了。
在2007年,公安部、保密局等部门联合发布了《信息安全等级保护管理办法》,明确了等级保护将通过等级化方法和安全体系方法有效结合,系统地解决信息安全问题。
2008年,《信息安全技术 信息系统安全等级保护基本要求》出台,从物理安全、网络安全、应用安全等方面,详细规定了五个等级的保护要求。
2009年4月,国家质检总局、财政部、认监委联合发布公告,决定从2010年5月1日起,对防火墙、安全路由器等13种产品,实行强制性认证,未获得中国信息安全认证证书的产品,不得进入政府采购。同时,中国信息安全产品认证中心开始进行信息安全产的强制认证工作。
从国家出台的一系列措施来看,等级保护工作已经受到更高程度的重视。信息系统的等级保护和信息安全产品的强制认证,已经形成了一个综合安全评估体系,并且进入大范围运行阶段。通过两者的紧密结合,必将对我国信息安全保护工作起到推动作用。
在实施过程中,网络安全部分是等级保护工作的核心内容,与之相关是防火墙、入侵防御、身份认证、加密传输等设备,也都需要接受综合考评。此前,我国已经在单项信息安全产品认证方面有相应的标准,例如防火墙产品认证标准、VPN技术规范等。但对于网络结构整体而言,一直缺少一个综合的评估标准。
《基本要求》颁布后,从网络结构安全、访问控制、安全审计、入侵防范等方面做出了明确的安全要求,中国信息安全产品认证中心也充分根据上述要求,对信息安全产品实施进行严格的检测、检验。据了解,在8月底举行的信息安全产品认证颁证大会上,已有34款信息安全产品获得了认证证书。其中,在通过认证的16款防火墙产品中,有4款符合第三级的要求,分别由上海华堂网络有限公司和交大捷普公司送测,其他防火墙产品均为第一、二级。
获得国家信息安全产品认证证书,表明该产品质量和安全性符合相关标准和技术规范的要求,并完成了进入系统等级保护和政府强制采购目录的技术准备工作。同时,我们也可以看到,科学、规范、统一的认证制度开始发挥作用,我国的信息安全等级保护和信息安全产品认证工作已经卓有成效的开展,保障信息安全、等级保护与产品认证相结合已经成为大势所趋。这既是国家发展的总体要求,也是现实需求。政府机关、企事业单位、金融、教育等行业应密切配合、严格落实、加强监管,共同做好新形势下的信息安全保护工作。
阅读(399) | 评论(0) | 转发(0) |
