数据中心中的信息安全问题已经成为人们关注的焦点中的焦点,如何让人们安心地将自己的私密信息放到数据中心中去,消除心中疑虑,仍有很多工作要做。从数据中心角度来讲,只能不断地加强对自身信息安全的管理,保护数据中心的各类信息不受泄露或损坏。在这里,在国家层面也制定了相应的标准做参考,强制性地要求各信息中心单位能够遵守各项信息安全规定,提升整体的信息安全防护措施。8月16日,安徽网警依法查处一起违反网络安全等级保护制度的案件,因蚌埠怀远县教师进修学校网站因网络安全等级保护制度落实不到位,遭黑客攻击入侵,安徽省公安厅对学校进行了处罚,同时约谈了当地分管的副县长。这件事情之所以受到广泛关注在于处罚力度,以往这类事件也偶有发生,但并没有相应的处罚,大家总是觉得这类事情不算个事儿。实际上,国家早就颁布了相关法案,只是在执行上多采用警告、约谈的方式,实际进行处罚的并不多,这次显然国家加大了处罚力度,对不符合安全要求的就要坚决处理。说到这儿,数据中心信息安全处罚依据有两个方面国家制度:等级保护和分级保护,从事信息交互的单位要遵守这些制度,触犯了就要受到处罚。
等级保护全称是信息安全等级保护,2003年由中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》提出实行信息安全等级保护、建立国家信息安全保障体系的明确要求,公安部又颁布了《信息安全等级保护管理办法》。在2009年,公安部联合国家保密局、国家密码管理局、国务院信息化工作办公室发布《关于组织开展2009年度本市重要信息系统等级保护工作的通知》,可见国家层面对信息安全是非常重视了,不断加强健全信息安全方面的法律法规,加强信息安全方面的管理。等级保护按照破坏性、影响力分为五级:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。其中,一二级一般不影响国家安全,但三级及以上就有可能对国家安全造成损害。等级保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,自然包括那些中大型数据中心,而不论它是否涉密。公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导。我们打开一个正规的网站,在网站的下方都会有“X公网安备XXXX号”的字样,证明此网站经过了公关机关的审核,已经颁发了等级保护备案证明,大家可以放心使用和访问,对于那些没有经过公关机关备案的,多半是钓鱼网站或黑网站,不要访问和使用这类网站。国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导,国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责。
分级保护是中央保密委员会于2004年12月下发的《关于加强信息安全保障工作中保密管理若干一件》明确提出要建立健全涉密信息系统分级保护制度,2005年12月国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。分级保护分为秘密级、机密级和机密级(增强)、绝密级三个等级。三个等级对应等级保护的三四五级。分级保护由国家保密局来管理,推广带有强制性。分级保护定级是依据信息的重要性,以信息最高密级确定受保护的级别。涉密数据中心建设使用单位将涉密信息定级和建设使用情况,上报业务主管部门和保密工作机构和负责数据中心审批的保密工作部门备案,并接受保密部门的监督、检查和指导。定级要素是数据中心内处理的最高密级的数据。简单地讲,如果数据中心存在机密级和秘密级文件,那么数据中心为机密级。另外,还有一个规定是,如果机密级数据中心中处理的数据涉及军工,国防等领域,需要按机密增强进行防护。由保密局检查监督。
从以上介绍中不难发现,等级保护和分级保护具有明显不同。主管单位不同、等级定义也不同、依据标准不同等等。大部分的数据中心都要经过等级保护,而只有很少的数据中心需要分级保护审核备案。等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对数据中心实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而分级保护则是国家信息安全等级保护在涉及国家秘密信息的数据中心中特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密的数据中心和公众信息的数据中心在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展。说到底,还是两种保护标准的出发点不同,面向的对象也不同,数据中心要根据自己处理信息的安全去考虑做等级保护还是分级保护的审核和备案,公安机关和保密局也会根据数据中心的实际情况考虑做哪种信息安全的保护备案。
