隨著我國(guó)信息系統(tǒng)建設(shè)的逐步完善，信息安全越來(lái)越得到重視，目前.我國(guó)已提出實(shí)行信息安全等級(jí)保護(hù)管理，并建立了涉密信息系統(tǒng)分級(jí)保護(hù)制度。

　　1、信息安全等級(jí)保護(hù)

　　2003年，中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003]27號(hào))，提出實(shí)行信息安全等級(jí)保護(hù)，建立國(guó)家信息安全保障體系的明確要求。

　　信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

　　信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):

　　第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶自主保護(hù)級(jí)。完全由用戶自已來(lái)決定如何對(duì)資源進(jìn)行保護(hù)，以及采用何種方式進(jìn)行保護(hù)。

　　第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo)，支持用戶具有更強(qiáng)的自主保護(hù)能力，特別是具有訪問(wèn)審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對(duì)象的訪問(wèn)審計(jì)跟蹤記錄，記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類(lèi)型等信息，所有和安全相關(guān)的操作都能夠被記錄下來(lái)，以便當(dāng)系統(tǒng)發(fā)生安全問(wèn)題時(shí).可以根據(jù)審計(jì)記錄，分析追查事故責(zé)任人，使所有的用戶對(duì)自己行為的合法性負(fù)責(zé)。

　　第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害.或者對(duì)國(guó)家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外，它還要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制，并能夠進(jìn)行記錄。以便事后的監(jiān)督、審計(jì)。通過(guò)對(duì)訪問(wèn)者和訪問(wèn)對(duì)象指定不同安全標(biāo)記，監(jiān)督、限制訪問(wèn)者的權(quán)限，實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)控制。

　　第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問(wèn)者和訪問(wèn)對(duì)象，支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的，將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分，對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取，使之具有相當(dāng)?shù)目節(jié)B透能力。本級(jí)的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。

　　第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪問(wèn)驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能，負(fù)責(zé)管理訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng)，管理訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行專(zhuān)控，保護(hù)信息不能被非授權(quán)獲取。因此，本級(jí)的安全保護(hù)機(jī)制不易被攻擊、被篡改，具有極強(qiáng)的抗?jié)B透的保護(hù)能力。

　　2、涉密信息系統(tǒng)分級(jí)保護(hù)

　　2004年，中保委下發(fā)《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)》(中保委發(fā)〔2004)7號(hào))，明確提出建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。

　　涉及國(guó)家秘密的信息系統(tǒng)要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)。我國(guó)的國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí)，涉密信息系統(tǒng)也按照秘密、機(jī)密、絕密三級(jí)進(jìn)行分級(jí)管理。

　　秘密級(jí):信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求.并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。

　　機(jī)密級(jí):信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求，還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)按機(jī)密級(jí)(增強(qiáng))要求管理:

　　(1)信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān)，以及國(guó)防、外交、國(guó)家安全、軍工等要害部門(mén);

　　(2)信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多;

　　(3)信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高。

　　絕密級(jí):信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密，其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求，還必須符合分級(jí)保護(hù)的保密技術(shù)要求，絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi)，不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

　　涉密信息系統(tǒng)的等級(jí)由系統(tǒng)使用單位確定，按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則進(jìn)行管理。實(shí)現(xiàn)對(duì)不同等級(jí)的涉密信息系統(tǒng)進(jìn)行分級(jí)保護(hù)，對(duì)涉密信息系統(tǒng)使用的安全保密產(chǎn)品進(jìn)行分級(jí)管理，對(duì)涉密信息系統(tǒng)發(fā)生的泄密事件進(jìn)行分級(jí)處置。

　　3、等級(jí)保護(hù)與分級(jí)保護(hù)的關(guān)系

　　國(guó)家信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)既有聯(lián)系又有區(qū)別。

　　國(guó)家安全信息等級(jí)保護(hù)，重點(diǎn)保護(hù)的對(duì)象是非涉密的涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng);涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分，是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。涉密信息分級(jí)是按照信息的密級(jí)進(jìn)行劃分的，保護(hù)水平分別不低于等級(jí)保護(hù)三、四、五級(jí)的要求，除此之外，還必須符合分級(jí)保護(hù)的保密技術(shù)要求。對(duì)于防范網(wǎng)絡(luò)泄密，加強(qiáng)信息化條件下的保密工作，具有十分重要的意義。

　　不同類(lèi)別、不同層次的國(guó)家秘密信息，對(duì)于維護(hù)國(guó)家安全和利益具有不同的價(jià)值，因而需要不同的保護(hù)強(qiáng)度和措施。對(duì)不同密級(jí)的信息，應(yīng)當(dāng)合理平衡安全風(fēng)險(xiǎn)與成本，采取不同強(qiáng)度的保護(hù)措施，這就是分級(jí)保護(hù)的核心思想。對(duì)涉密信息系統(tǒng)的保護(hù)，既要反對(duì)只重應(yīng)用不講安全.防護(hù)措施不到位造成各種泄密隱患和漏洞的‘.弱保護(hù)”現(xiàn)象;同時(shí)也要反對(duì)不從實(shí)際出發(fā)，防護(hù)措施“一刀切”，造成經(jīng)費(fèi)與資源浪費(fèi)的“過(guò)保護(hù)”現(xiàn)象。對(duì)涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù).就是要使保護(hù)重點(diǎn)更加突出。保護(hù)方法更加科學(xué).保護(hù)的投入產(chǎn)出比更加合理，從而徹底解決長(zhǎng)期困擾涉密單位在涉密信息系統(tǒng)建設(shè)使用中網(wǎng)絡(luò)互聯(lián)與安全保密的問(wèn)題。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：信息安全中的等級(jí)保護(hù)與分級(jí)保護(hù)初探

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083954639.html