您好, 访客   登录/注册

信息安全中的等级保护与分级保护初探

来源:用户上传      作者: 苏乃锋 刘洪雷

   摘 要:信息安全等级保护与分级保护是我国信息安全保障的基本制度。本文介绍了我国信息安全等级保护和涉密信息分级保护体系,并对等级保护和分级保护的关系进行了初步探讨。
   关键词:信息安全;等级保护;分级保护
  
   随着我国信息系统建设的逐步完善,信息安全越来越得到重视,目前,我国已提出实行信息安全等级保护管理,并建立了涉密信息系统分级保护制度。
  
   1 信息安全等级保护
   2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。
   信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
   信息系统的安全保护等级分为五级:
   第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
   第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级别是系统审计保护级。本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。
   第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外,它还要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
   第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级别是结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
   第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责管理访问者对访问对象的所有访问活动,管理访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。
  
   2 涉密信息系统分级保护
   2004年,中保委下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号),明确提出建立健全涉密信息系统分级保护制度。
   涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密分为秘密、机密、绝密三级,涉密信息系统也按照秘密、机密、绝密三级进行分级管理。
   秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
   机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属下列情况之一的机密级信息系统应按机密级(增强)要求管理:
   (1) 信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
   (2) 信息系统中的机密级信息含量较高或数量较多;
   (3) 信息系统使用单位对信息系统的依赖程度较高。
   绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
   涉密信息系统的等级由系统使用单位确定,按照“谁主管、谁负责”的原则进行管理。实现对不同等级的涉密信息系统进行分级保护,对涉密信息系统使用的安全保密产品进行分级管理,对涉密信息系统发生的泄密事件进行分级处置。
  
   3 等级保护与分级保护的关系
   国家信息安全等级保护与涉密信息系统分级保护既有联系又有区别。
   国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。涉密信息分级是按照信息的密级进行划分的,保护水平分别不低于等级保护三、四、五级的要求,除此之外,还必须符合分级保护的保密技术要求。对于防范网络泄密,加强信息化条件下的保密工作,具有十分重要的意义。
   不同类别、不同层次的国家秘密信息,对于维护国家安全和利益具有不同的价值,因而需要不同的保护强度和措施。对不同密级的信息,应当合理平衡安全风险与成本,采取不同强度的保护措施,这就是分级保护的核心思想。对涉密信息系统的保护,既要反对只重应用不讲安全,防护措施不到位造成各种泄密隐患和漏洞的“弱保护”现象;同时也要反对不从实际出发,防护措施“一刀切”,造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护,就是要使保护重点更加突出,保护方法更加科学,保护的投入产出比更加合理,从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中网络互联与安全保密的问题。


转载注明来源:https://www.xzbu.com/8/view-44625.htm