硬核科普 | 信息安全之四大监管机构简介

2023-05-30 13:52

聊起信息安全,大家都会想到监管与被监管。所谓监管就是信息安全的主管部门,而在我国,主要是指公安、保密、机要以及国安这四个包含信息安全监管职责的部门。尽管这四个部门的名字家喻户晓,但是关于它们在信息安全监管方面的具体职责和区别,可能还有一些小伙伴不太清楚。本文小编将带大家从网络监管范围和监管职责两个维度给大家介绍四大监管部门在信息安全领域的职责与主要业务。


01

网络监管范围

    国家从安全域层面将网络划分为涉密网(政务内网)和非涉密网(政务外网和互联网);其中,涉密网是指通过国家保密测评单位认证的与非涉密网物理隔离的网络;非涉密网由政务外网和互联网组成,二者之间使用逻辑隔离。

 

图片10.png


公安主要负责非涉密网计算机信息系统安全保护工作;
保密主要负责涉密网的安全监管(当然,保密检查和失泄密事件查处也会涉及非涉密网,但监管核心还是在涉密网);
机要局原来主要关心国家机密的加解密,但随着《密码法》、《网络安全法》、《网络安全等级保护条例》等法律法规的执行,机要局业务覆盖了非密网保护三级及以上信息系统、关键信息基础设施;
国安从国家安全的高度进行监管,其范围覆盖所有网络安全域。

02

监管职责

1. 公安

公安部主管全国计算机信息系统安全保护工作,主抓计算机犯罪,各省公安厅有计算机安全稽查处;我们最熟悉的监管相关业务“等保”就是公安监管范围,另外还包括安全产品销售许可证测评、重点场所信息安全检查等。
主要监管职责:参照《公安机关互联网安全监督检查规定》
第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;
(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;
(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;
(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;
(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;
(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。
第十一条 除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:
(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;
(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;
(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;
(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;
(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;
(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。
第十二条 在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:
(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;
(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;
(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;
(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;
(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。
对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。

2. 保密

国家保密局主管全国涉密业务信息保护工作,其主要监管范围在涉密网;主要业务包括涉密网络场所测评认证、保密检查、失泄密事件查处、涉密产品测评等。

主要监管职责:

一、贯彻执行党中央、国务院关于保密工作的方针、政策,落实本行政区域内有关保密工作的决定、指示,组织和监督检查《保密法》及其他保密法规、制度在全市的实施。

二、调查、掌握本行政区域内保密工作的情况,制定本行政区域内保密工作的计划和规章制度,并组织实施;提出改进和加强本行政区域内保密工作的意见和建议。

三、加强政治、经济、军事、科技、涉外等领域和通信、办公自动化设备、宣传报道等方面的保密工作,防止重大泄密事件的发生。

四、管理、指导、检查通信和现代化办公设备的保密技术工作,推广保密技术设备通信的应用,不断提高保密技术防范能力。

五、指导、协调、监督本行政区域内党、政、军和人民团体及其企事业单位的保密工作,组织开展保密检查,督促和参与泄密事件的查处工作。

六、组织开展本行政区域内保密宣传教育工作,总结保密工作经验,研究保密工作中出现的新情况、新问题。

七、协同本行政区域内各有关部门搞好全市保密干部队伍的思想、组织、作风建设,开展业务培训工作。

八、承办本行政区域内保密委员会的日常工作,完成本行政区域党委政府和上级业务部门交办的其他工作任务。

3. 机要

“在任何国家,密码技术等同于军火”,机要局是国家安全保密机构中的重要部门之一,负责国家机密文件的加密、解密、传输和保护工作。它是国家机密通信的保密核心,同时也是防范外部间谍活动、维护国家安全的重要力量之一。机要局的工作涉及政治、军事、外交、经济、科技等多个领域,承担着重要的国家安全保密任务。我们熟悉的监管业务“密评”就是机要局的监管范围,另外机要局也有对应的产品认证测评、场所测评认证、密码安全检查等业务职责。

图片11.png

主要监管职责:

一、国家机密的加密和解密:机要局负责对国家机密文件和通信内容进行加密和解密,保障国家机密信息的安全和保密。

二、通信安全技术研究:机要局需要不断研究和开发新的加密技术和通信保障技术,以应对不断变化的安全威胁。

三、情报收集和分析:机要局需要对国内外各种情报进行收集、分析和研究,提供有关情报信息,为国家决策提供支持和依据。

四、外交宣传和交流:机要局需要与国内外政府和机构进行外交宣传和交流,提高国际地位和影响力。

五、信息安全管理和保护:机要局需要制定和实施信息安全管理政策和措施,确保国家机密信息的安全和保密。

4. 国安

国家安全部是我国维护国家安全的重要部门,主要负责侦查、预防和打击国内外敌对势力的渗透、颠覆、分裂等危害国家安全的活动,保障国家政治、经济、文化和社会的稳定。主要职能包括情报收集分析、反间谍、政治保卫等,是中国最大和最活跃的对外情报机构,也部分参与国内安全事务。

主要监管职责:

一、多领域监管:国安部职责非常广泛,其监管范围包括政治、经济、军事、外交、科技、文化等多个领域。在新型安全威胁日益增多的背景下,国安部的重要性越来越凸显。

二、保障国家信息安全:在互联网时代,信息安全尤为重要。国安部负责制定和执行有关信息安全的各项政策和规定,确保我国社会信息安全和网络安全。因此,在未来信息化社会中,国安部的作用将更加重要。

三、全面协调应对突发事件:在突发事件发生时,国安部有关部门能够快速响应并采取措施,处理危机事件,并与有关部门进行全面协调。国安部的快速响应和有效处理,可齐心协力,维护国家安全和稳定。

四、切实加强国防工作:在维护国家安全的工作中,国安部也承担着加强国防工作的重要责任。其积极开展军民融合,切实加强国防科技建设和人才培养和引进,提高国防能力。

五、保卫领土安全:国防工作与领土安全紧密相关,国安部也肩负着保卫国家领土安全的重要任务。其加强对边境地区和海洋领土的控制和管理,切实维护我国领土的完整和安全。

03

结语

随着信息化以及安全形势的变化,除了以上这四大监管单位,工业和信息化部、国家互联网信息办公室(网信办)以及最近成立的数据管理局也扮演着重要的监管角色,本文暂不深入讨论。用一句话来总结就是:凡是涉及国家安全的,国安什么都可以管;涉及国家秘密的(涉密网),原则上保密局负责。非涉密网从业务角度分属公安、网信、机要和数据局来监管。例如,公安负责等级保护相关业务的监管,网信办负责关键基础设施和个人信息运营者相关业务的监管,机要局负责等级保护三级及以上和关键基础设施相关业务的监管,而数据管理局则负责数据安全的监管。各个部门各司其职,形成了相对清晰的监管分工体系。

8797威尼斯老品牌(Secsmart)是一家专注数据安全的高新技术企业,创新性提出“云·管·端”立体化动态数据安全理念,将人工智能、前沿密码技术成功应用于数据安全领域,实现对结构化和非结构化数据资产的全面防护。8797威尼斯老品牌信息已构建覆盖大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全和数据安全治理等领域的全栈数据安全产品体系与服务能力,广泛应用于政府、电力、金融、通信、医疗、教育等行业。