隨著我國信息系統建設的逐步完善,信息安全越來越得到重視,目前.我國已提出實行信息安全等級保護管理,并建立了涉密信息系統分級保護制度。
1、信息安全等級保護
2003年,中辦、國辦轉發《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003]27號),提出實行信息安全等級保護,建立國家信息安全保障體系的明確要求。
信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
信息系統的安全保護等級分為五級:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自已來決定如何對資源進行保護,以及采用何種方式進行保護。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。該級別是系統審計保護級。本級的安全保護機制受到信息系統等級保護的指導,支持用戶具有更強的自主保護能力,特別是具有訪問審計能力。即能創建、維護受保護對象的訪問審計跟蹤記錄,記錄與系統安全相關事件發生的日期、時間、用戶和事件類型等信息,所有和安全相關的操作都能夠被記錄下來,以便當系統發生安全問題時.可以根據審計記錄,分析追查事故責任人,使所有的用戶對自己行為的合法性負責。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害.或者對國家安全造成損害。該級別是安全標記保護級。除具有第二級系統審計保護級的所有功能外,它還要求對訪問者和訪問對象實施強制訪問控制,并能夠進行記錄。以便事后的監督、審計。通過對訪問者和訪問對象指定不同安全標記,監督、限制訪問者的權限,實現對訪問對象的強制訪問控制。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。該級別是結構化保護級。將前三級的安全保護能力擴展到所有訪問者和訪問對象,支持形式化的安全保護策略。其本身構造也是結構化的,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分強制性地直接控制訪問者對訪問對象的存取,使之具有相當的抗滲透能力。本級的安全保護機制能夠使信息系統實施一種系統化的安全保護。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能,負責管理訪問者對訪問對象的所有訪問活動,管理訪問者能否訪問某些對象從而對訪問對象實行專控,保護信息不能被非授權獲取。因此,本級的安全保護機制不易被攻擊、被篡改,具有極強的抗滲透的保護能力。
2、涉密信息系統分級保護
2004年,中保委下發《關于加強信息安全保障工作中保密管理的若干意見》(中保委發〔2004)7號),明確提出建立健全涉密信息系統分級保護制度。
涉及國家秘密的信息系統要按照黨和國家有關保密規定進行保護。我國的國家秘密分為秘密、機密、絕密三級,涉密信息系統也按照秘密、機密、絕密三級進行分級管理。
秘密級:信息系統中包含有最高為秘密級的國家秘密,其防護水平不低于國家信息安全等級保護三級的要求.并且還必須符合分級保護的保密技術要求。
機密級:信息系統中包含有最高為機密級的國家秘密,其防護水平不低于國家信息安全等級保護四級的要求,還必須符合分級保護的保密技術要求。屬下列情況之一的機密級信息系統應按機密級(增強)要求管理:
(1)信息系統的使用單位為副省級以上的黨政首腦機關,以及國防、外交、國家安全、軍工等要害部門;
(2)信息系統中的機密級信息含量較高或數量較多;
(3)信息系統使用單位對信息系統的依賴程度較高。
絕密級:信息系統中包含有最高為絕密級的國家秘密,其防護水平不低于國家信息安全等級保護五級的要求,還必須符合分級保護的保密技術要求,絕密級信息系統應限定在封閉的安全可控的獨立建筑內,不能與城域網或廣域網相聯。
涉密信息系統的等級由系統使用單位確定,按照“誰主管、誰負責”的原則進行管理。實現對不同等級的涉密信息系統進行分級保護,對涉密信息系統使用的安全保密產品進行分級管理,對涉密信息系統發生的泄密事件進行分級處置。
3、等級保護與分級保護的關系
國家信息安全等級保護與涉密信息系統分級保護既有聯系又有區別。
國家安全信息等級保護,重點保護的對象是非涉密的涉及國計民生的重要信息系統和通信基礎信息系統;涉密信息系統分級保護是國家信息安全等級保護的重要組成部分,是等級保護在涉密領域的具體體現。涉密信息分級是按照信息的密級進行劃分的,保護水平分別不低于等級保護三、四、五級的要求,除此之外,還必須符合分級保護的保密技術要求。對于防范網絡泄密,加強信息化條件下的保密工作,具有十分重要的意義。
不同類別、不同層次的國家秘密信息,對于維護國家安全和利益具有不同的價值,因而需要不同的保護強度和措施。對不同密級的信息,應當合理平衡安全風險與成本,采取不同強度的保護措施,這就是分級保護的核心思想。對涉密信息系統的保護,既要反對只重應用不講安全.防護措施不到位造成各種泄密隱患和漏洞的‘.弱保護”現象;同時也要反對不從實際出發,防護措施“一刀切”,造成經費與資源浪費的“過保護”現象。對涉密信息系統實行分級保護.就是要使保護重點更加突出。保護方法更加科學.保護的投入產出比更加合理,從而徹底解決長期困擾涉密單位在涉密信息系統建設使用中網絡互聯與安全保密的問題。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:信息安全中的等級保護與分級保護初探
本文網址:http://www.guhuozai8.cn/html/consultation/1083954639.html