陈静静

    【摘要】 本文首先介绍了党和国家对信息安全工作的相关指示与当前信息安全的现状；然后详细论述了等保工作的演化过程、内容、意义、分级等内容；最后说明了故宫博物院等保工作的开展情况并提出了对文博业等保建设的一点想法。

    【关键词】 信息安全 等级保护 文博系统

    一、当前我国信息安全现状

    近年来，党中央高度重视网络与信息安全工作。随着国家“十三五”规划纲要、网络强国、《中国制造2025》、“互联网+”的系列战略部署的推进实施，网络安全工作的范畴和深度都在不断拓展，迫切要求进一步提升安全保障水平和风险防控能力，更好支撑经济社会健康有序发展。

    信息通信技术和网络快速发展并加速向传统领域融合，导致安全威胁更加复杂隐蔽，互联网与工业等领域融合创新带来的安全问题日益严峻。2016年，国家信息安全漏洞共享平台（CNVD）共收录2203个属于“零日”漏洞，可用于实施远程网络攻击的漏洞有9503个 [1]。某企业2016年度报告中指出在其参与的网络安全应急响应事件中，仅有 4.7%的攻击事件是企业自主发现；26.8%的攻击事件是在已经发生了显著入侵迹象或经济损失后才被企业发现；而另外68.5%企业不知道自己受到攻击[2]。

    这一组数据充分反映我国当前信息安全现状所面临的严峻形式，距离中央的要求还有一定的差距。同时督促着广大政、事、企单位更加深入理解信息安全建设的重要意义，加强信息安全的建设保障，降低自身信息安全事件的风险指数。

    二、等级保护

    信息安全等级保护是中国正在大力推行的一项制度。现行网络安全法明确规定：国家实行网络安全等级保护制度。2016年12月27日，中国国家互联网信息办公室发布《国家网络空间安全战略》，以贯彻落实习近平总书记网络强国战略思想。这是对加快、加强等级保护建设的又一次强调和升华。

    信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

    定级一般遵循自主定级、动态调整的原则。《信息系统安全等级保护定级指南》给出了确定安全保护等级的具体方法。等级保护要经过定级阶段，初备案阶段，测评阶段，整改阶段，复测阶段。最终备案的信息系统要在等保制度的监督管理下进行运营，并根据所定级别要求的时间内周期性检查评测。并要跟踪信息系统的变化情况，调整安全保护措施。

    信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面还要对整合了所有安全控制机制的系统整体进行测评。

    三、故宫博物院等保建设现状

    故宫博物院从2012年起对其使用的信息管理系统进行了安全现状测评，首先评估了系统性质进行定级，其次分析目前信息管理系统的安全状况与等级保护相应级别要求之间的差距，然后依据分析结果进行了针对性的整改与认证评测。

    信息管理系统现状测评的过程如下：

    1）调研阶段：评估中心测评项目组在故宫博物院信息管理系统负责人配合下對信息管理系统的测评进行前期调研工作。2）现场测评阶段：评估中心测评项目组对信息管理系统进行了现场测评，具体工作内容为查询相关文档、与有关人员访谈、现场配置核查，对收集到的相关信息进行综合分析和整理。3）分析与报告编制阶段：测评人员首先整理和汇总前期现场测评获得的测评结果记录，并对其进行了符合性判断和整体分析，找出了信息管理系统存在的主要问题，并提出了安全建设整改建议。

    评测报告从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面描述了评测结果、进行了问题分析并提出了整改建议。

    四、关于文博系统等保建设的一点想法

    很多行业主管单位要求行业单位开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育、卫生等行业。总体来说文博相关单位在信息安全等级保护上起步相对较晚。原因是多方面的。首先是由于行业特点，导致对信息安全的认识方面相对不足。文博从业人员、领导干部以文科为主，相对缺乏对信息安全专业地位的直观感触。其次文博相关系统比较独立，对外开放的系统多作为信息展示用途，对社会民生影响较弱。

    但是当前信息安全事件频发，信息安全犯罪技术成本越来越低。网络安全事件有很大概率发生在文博系统，如果制度缺失或建设不足一定会受到置疑。所以文博系统也应该充分认识到等保工作的重要意义，切实履行自身在等保工作中的义务。一方面是为了降低信息安全风险，提高信息系统的安全防护能力；另一方面是为了遵循国家相关法律法规和制度的要求，符合相关主管单位和行业规定；同时也是为了合理地规避或降低风险。

    参 考 文 献

    [1]《2016年CNVD漏洞数据统计简报》

    [2]《2016年中国互联网安全报告》

• 针对性护理对更年期功能性子宫出血患者心理情绪的影响分析
• 疼痛护理对老年骨折患者术后康复的效果观察及VAS评分影响分析
• 预见性护理指引在骨科护理中的应用价值
• 舒适护理模式在老年冠心病患者焦虑抑郁情绪护理的效果观察
• 冠状动脉造影及冠脉内支架植入术后并发症护理措施分析
• 循证护理用于下肢骨折护理中对下肢静脉血栓等并发症的作用评价
• 妇科腹腔镜手术患者舒适度影响因素及护理干预研究
• 脑出血的家庭护理及注意事项
• 新生儿静脉留置针护理应用预见性护理干预的效果分析
• 人性化护理在功能性子宫出血患者中的价值和满意度观察
• 细节护理在消化内科护理中的临床应用效果
• 复合护理干预对乳腺癌患者术后淋巴水肿发生率及生活质量的影响
• 早期营养护理改善胃癌术后患者各类营养评估指标效果分析
• 临床护理路径护理对乳腺癌患者癌性疲乏与生活质量的影响
• 心脏运动康复对急性心肌梗死PCI术后患者心功能及生活质量的影响
• 临床护理路径在股骨骨折患者护理、健康教育中的应用价值体会
• 综合护理干预在糖尿病患者护理中的临床效果评价
• 优质护理对习惯性流产患者心理情绪和生活质量的改善分析
• 人性化护理干预在老年慢性阻塞性肺炎的效果
• 探索分析针对广泛期肺癌化疗患者实施护理干预的方法及对病人生活质量的影响效果
• 研究综合护理干预在新生儿重症监护室医院感染中的护理效果
• 产后避孕宣教对女性产后避孕行为和非意愿妊娠的影响
• 护理管理在新型冠状病毒肺炎防控实践中的应用
• 胸腰椎骨折内固定术后患者早期康复护理干预的应用效果及VAS评分影响评价
• 烟油制备工艺研究进展
• nonconcentrical
• nonconcentrically
• nonconcentricities
• nonconcentricity
• nonconceptual
• nonconceptually
• nonconcern
• nonconcerns
• nonconcession
• nonconcessions
• nonconciliatory
• nonconcluding
• nonconclusion
• nonconclusions
• nonconclusive
• nonconclusively
• nonconclusiveness
• nonconclusivenesses
• non-concur
• noncondemnation
• noncondemnations
• noncondensable
• noncondensation
• noncondensations
• non-condensing
• 瞎子看戏跟人笑
• 瞎子看西洋景——白熬功夫
• 瞎子看西洋景——白熬工夫
• 瞎子眼里无人
• 瞎子磨镰刀——快了
• 瞎子管瓜——全靠喉咙响
• 瞎子背拐子走——由你指点
• 瞎子背瘸子
• 瞎子背瞎子——忙（盲）上加忙（盲）
• 瞎子舔煤球——眼黑嘴也黑
• 瞎子见钱也眼开
• 瞎子见钱眼也开
• 瞎子见钱眼睛开
• 瞎子话
• 瞎子走路——一步一步来
• 瞎子走路——一步步地来
• 瞎子走路—— 一步步的来
• 瞎子走黑路——乱撞乱碰
• 瞎子跳崖——心中没数儿
• 瞎子跳舞（瞎子打哈哈）——盲目乐观
• 瞎子踢毽——踢一个没一个
• 瞎子蹚水——试着来
• 瞎子过桥——死路一条
• 瞎子过河——不摸水深浅
• 瞎子过河——摸不着边