版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、《電信交換》2009年第2期如何理解信息安全等級保護(hù)與分級保護(hù)徐蘇(電信科學(xué)技術(shù)第十研究所陜西西安710061)摘要:信息安全保護(hù)分級、分區(qū)域、分類、分階段是做好國家信息安全保護(hù)應(yīng)遵循的準(zhǔn)則。國家信息安全等級保護(hù)與涉密信息系統(tǒng)分級保護(hù)是兩個既聯(lián)系又有區(qū)別的概念。國家安全信息等級保護(hù),重點(diǎn)保護(hù)的對象是非涉密的涉及國計民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng);涉密信息系統(tǒng)分級保護(hù)是國家信息安全等級保護(hù)的重要組成部分,是等級保護(hù)在涉密領(lǐng)域的具體體
2、現(xiàn)。關(guān)鍵字:國家信息安全公眾信息國家秘密信息等級保護(hù)分級保護(hù)在日常工作中和為用戶提供服務(wù)的過程中,什么是信息系統(tǒng)等級保護(hù)?什么是涉密信息系統(tǒng)分級保護(hù)?這兩者之間有什么關(guān)系?那些系統(tǒng)需要進(jìn)行等級保護(hù)?涉密信息系統(tǒng)如何分級?這是時常困擾我們的問題。一、信息系統(tǒng)等級保護(hù)1999年國家發(fā)布并于2001年1月1日開始實(shí)施GB17859《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》。2003年,中辦、國辦轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意
3、見》(中辦發(fā)〔2003〕27號),提出實(shí)行信息安全等級保護(hù),建立國家信息安全保障體系的明確要求。2004年9月17日,公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》,明確了信息安全等級保護(hù)的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實(shí)施計劃。2006年1月17日,四部門又下發(fā)了《信息安全等級保護(hù)管理辦法(試行)》,進(jìn)一步確定職責(zé)分工,明確了公安機(jī)關(guān)負(fù)責(zé)全面工作、國家保密工作部門
4、負(fù)責(zé)涉密信息系統(tǒng)、國家密碼管理部門負(fù)責(zé)密碼工作、國務(wù)院信息辦負(fù)責(zé)的管理職責(zé)和要求。涉及國家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國家信息安全等級保護(hù)的基本要求,按照國家保密工作部門涉密信息系統(tǒng)分級保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會發(fā)展、社會生活和工作的需要而設(shè)計、建立的,是社會構(gòu)成、行政組織體系的反映,因而這種系統(tǒng)結(jié)構(gòu)是分層次和級別的,而其中的各種信息系統(tǒng)具有重要的社會和經(jīng)濟(jì)價值,不同的系統(tǒng)具有不同的價值。系統(tǒng)
5、基礎(chǔ)資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律,其分級、分區(qū)域、分類和分階段是做好國家信息安全保護(hù)的前提。信息系統(tǒng)安全等級保護(hù)將安全保護(hù)的監(jiān)管級別劃分為五個級別:第一級:用戶自主保護(hù)級完全由用戶自己來決定如何對資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。第二級:系統(tǒng)審計保護(hù)級本級的安全保護(hù)機(jī)制受到信息系統(tǒng)等級保護(hù)的指導(dǎo),支持用戶具有更強(qiáng)的自主保護(hù)能
6、力,特別是具有訪問審計能力。即能創(chuàng)建、維護(hù)受保護(hù)對象的訪問審計跟蹤記錄,記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息,所有和安全相關(guān)的操作都能夠被記錄下來,以便當(dāng)系統(tǒng)發(fā)生安全問題時,可以根據(jù)審計記錄,分析追查事故責(zé)任人,使所有的用戶對自己行為的合法性負(fù)責(zé)。第三級:安全標(biāo)記保護(hù)級除具有第二級系統(tǒng)審計保護(hù)級的所有功能外,還它要求對徐蘇:如何理解信息安全等級保護(hù)與分級保護(hù)3全等級保護(hù)三級的要求,并且還必須符合分級保護(hù)的保密技術(shù)
7、要求。機(jī)密級:信息系統(tǒng)中包含有最高為機(jī)密級的國家秘密,其防護(hù)水平不低于國家信息安全等級保護(hù)四級的要求,還必須符合分級保護(hù)的保密技術(shù)要求。屬于下列情況之一的機(jī)密級信息系統(tǒng)應(yīng)選擇機(jī)密級(增強(qiáng))的要求:(1)信息系統(tǒng)的使用單位為副省級以上的黨政首腦機(jī)關(guān),以及國防、外交、國家安全、軍工等要害部門;(2)信息系統(tǒng)中的機(jī)密級信息含量較高或數(shù)量較多;(3)信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。絕密級:信息系統(tǒng)中包含有最高為絕密級的國家秘密,其防護(hù)
8、水平不低于國家信息安全等級保護(hù)五級的要求,還必須符合分級保護(hù)的保密技術(shù)要求,絕密級信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi),不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。涉密信息系統(tǒng)分級保護(hù)的管理過程分為八個階段,即系統(tǒng)定級階段、安全規(guī)劃方案設(shè)計階段、安全工程實(shí)施階段、信息系統(tǒng)測評階段、系統(tǒng)審批階段、安全運(yùn)行及維護(hù)階段、定期評測與檢查階段和系統(tǒng)隱退終止階段等。在實(shí)際工作中,涉密信息系統(tǒng)的定級、安全規(guī)劃方案設(shè)計的實(shí)施與調(diào)整、安全運(yùn)行及維護(hù)三個階段,尤其要引
9、起重視。系統(tǒng)定級決定了系統(tǒng)方案的設(shè)計實(shí)施、安全措施、運(yùn)行維護(hù)等涉密信息系統(tǒng)建設(shè)的各個環(huán)節(jié),因此如何準(zhǔn)確地對涉密信息系統(tǒng)進(jìn)行定級在涉密信息系統(tǒng)實(shí)施分級保護(hù)中尤為重要。涉密信息系統(tǒng)定級遵循“誰建設(shè)、誰定級“的原則,可以根據(jù)信息密級、系統(tǒng)重要性和安全策略劃分為不同的安全域,針對不同的安全域確定不同的等級,并進(jìn)行相應(yīng)的保護(hù)。在涉密信息系統(tǒng)定級時,可以綜合考慮涉密信息系統(tǒng)中資產(chǎn)、威脅、受到損害后的影響,以及使用單位對涉密信息系統(tǒng)的信賴性等因素對涉
10、密信息系統(tǒng)進(jìn)行整體定級同時,在同一個系統(tǒng)里,還允許劃分不同的安全域,在每個安全域可以分別定級,不同的級別采取不同的安全措施,更加科學(xué)地實(shí)施分級保護(hù),在一定程度上可以解決保重點(diǎn),保核心的問題,也可以有效地避免因過度保護(hù)而造成應(yīng)用系統(tǒng)運(yùn)行效能降低以及投資浪費(fèi)等問題。涉密信息系統(tǒng)建設(shè)單位在定級的同時,必須報主管部門審批。涉密信息系統(tǒng)要按照分級保護(hù)的標(biāo)準(zhǔn),結(jié)合涉密信息系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行方案設(shè)計。設(shè)計時要逐項進(jìn)行安全風(fēng)險分析,并根據(jù)安全風(fēng)險分
11、析的結(jié)果,對部分保護(hù)要求進(jìn)行適當(dāng)?shù)恼{(diào)整和改造,調(diào)整應(yīng)以不降低涉密信息系統(tǒng)整體安全保護(hù)強(qiáng)度,確保國家秘密安全為原則。當(dāng)保護(hù)要求不能滿足實(shí)際安全需求時,應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求,當(dāng)保護(hù)要求明顯高于實(shí)際安全需求時,可適當(dāng)選擇采用部分較低的保護(hù)要求。對于安全策略的調(diào)整以及改造方案進(jìn)行論證,綜合考慮修改項和其他保護(hù)要求之間的相關(guān)性,綜合分析,改造方案的實(shí)施以及后續(xù)測評要按照國家的標(biāo)準(zhǔn)執(zhí)行,并且要求文檔化。在設(shè)計完成之后要進(jìn)行方案論證,由建
12、設(shè)使用單位組織有關(guān)的專家和部門進(jìn)行方案設(shè)計論證,確定總體方案達(dá)到分級保護(hù)技術(shù)的要求后再開始實(shí)施;在工程建設(shè)實(shí)施過程中注意工程監(jiān)理的要求;建設(shè)完成之后應(yīng)該進(jìn)行審批;審批前由國家保密局授權(quán)的涉密信息系統(tǒng)測評機(jī)構(gòu)進(jìn)行系統(tǒng)測評,確定在技術(shù)層面是否達(dá)到了涉密信息系統(tǒng)分級保護(hù)的要求。運(yùn)行及維護(hù)過程的不可控性以及隨意性,往往是涉密信息系統(tǒng)安全運(yùn)行的重大隱患。通過運(yùn)行管理和控制、變更管理和控制,對安全狀態(tài)進(jìn)行監(jiān)控,對發(fā)生的安全事件及時響應(yīng),在流程上對系
13、統(tǒng)的運(yùn)行維護(hù)進(jìn)行規(guī)范,從而確保涉密信息系統(tǒng)正常運(yùn)行。通過安全檢查和持續(xù)改進(jìn),不斷跟蹤涉密信息系統(tǒng)的變化,并依據(jù)變化進(jìn)行調(diào)整,確保涉密信息系統(tǒng)滿足相應(yīng)分級的安全要求,并處于良好安全狀態(tài)。由于運(yùn)行維護(hù)的規(guī)范化能夠大幅度地提高系統(tǒng)運(yùn)行及維護(hù)的安全級別,所以在運(yùn)行維護(hù)中應(yīng)盡可能地實(shí)現(xiàn)流程固化,操作自動化,減少人員參與帶來的風(fēng)險。還需要注意的是在安全運(yùn)行及維護(hù)中保持系統(tǒng)安全策略的準(zhǔn)確性以及與安全目標(biāo)的一致性,使安全策略作為安全運(yùn)行的驅(qū)動力以及重要
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 如何理解信息安全等級保護(hù)與分級保護(hù)
- 信息安全等級保護(hù)
- 信息安全等級保護(hù)
- 信息安全等級保護(hù)制度
- 信息安全等級保護(hù)體系設(shè)計
- 信息安全等級保護(hù)安全建設(shè)整改工作
- 信息安全等級保護(hù)管理辦法
- 信息安全等級保護(hù)各級對比表
- 信息安全等級保護(hù)培訓(xùn)試題集
- 信息安全等級保護(hù)備案表實(shí)例
- 信息系統(tǒng)安全等級保護(hù)測評
- 信息系統(tǒng)安全等級保護(hù)測評
- 信息系統(tǒng)安全等級保護(hù)測評
- 信息系統(tǒng)安全等級保護(hù)檢查
- 信息安全等級保護(hù)管理辦法 1
- 信息安全等級保護(hù)監(jiān)督檢查記錄單
- 信息系統(tǒng)安全等級保護(hù)定級報告-中國網(wǎng)絡(luò)安全等級保護(hù)網(wǎng)
- 信息系統(tǒng)安全等級保護(hù)物理安全方案
- 安全等級保護(hù)建設(shè)方案
- 《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》
評論
0/150
提交評論