隨著我國(guó)信息系統(tǒng)建設(shè)的逐步完善,信息安全越來(lái)越得到重視,目前.我國(guó)已提出實(shí)行信息安全等級(jí)保護(hù)管理,并建立了涉密信息系統(tǒng)分級(jí)保護(hù)制度。
1、信息安全等級(jí)保護(hù)
2003年,中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003]27號(hào)),提出實(shí)行信息安全等級(jí)保護(hù),建立國(guó)家信息安全保障體系的明確要求。
信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度,信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。該級(jí)別是用戶自主保護(hù)級(jí)。完全由用戶自已來(lái)決定如何對(duì)資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。該級(jí)別是系統(tǒng)審計(jì)保護(hù)級(jí)。本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo),支持用戶具有更強(qiáng)的自主保護(hù)能力,特別是具有訪問(wèn)審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對(duì)象的訪問(wèn)審計(jì)跟蹤記錄,記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息,所有和安全相關(guān)的操作都能夠被記錄下來(lái),以便當(dāng)系統(tǒng)發(fā)生安全問(wèn)題時(shí).可以根據(jù)審計(jì)記錄,分析追查事故責(zé)任人,使所有的用戶對(duì)自己行為的合法性負(fù)責(zé)。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害.或者對(duì)國(guó)家安全造成損害。該級(jí)別是安全標(biāo)記保護(hù)級(jí)。除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外,它還要求對(duì)訪問(wèn)者和訪問(wèn)對(duì)象實(shí)施強(qiáng)制訪問(wèn)控制,并能夠進(jìn)行記錄。以便事后的監(jiān)督、審計(jì)。通過(guò)對(duì)訪問(wèn)者和訪問(wèn)對(duì)象指定不同安全標(biāo)記,監(jiān)督、限制訪問(wèn)者的權(quán)限,實(shí)現(xiàn)對(duì)訪問(wèn)對(duì)象的強(qiáng)制訪問(wèn)控制。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。該級(jí)別是結(jié)構(gòu)化保護(hù)級(jí)。將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問(wèn)者和訪問(wèn)對(duì)象,支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪問(wèn)者對(duì)訪問(wèn)對(duì)象的存取,使之具有相當(dāng)?shù)目節(jié)B透能力。本級(jí)的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。該級(jí)別是訪問(wèn)驗(yàn)證保護(hù)級(jí)。這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問(wèn)驗(yàn)證功能,負(fù)責(zé)管理訪問(wèn)者對(duì)訪問(wèn)對(duì)象的所有訪問(wèn)活動(dòng),管理訪問(wèn)者能否訪問(wèn)某些對(duì)象從而對(duì)訪問(wèn)對(duì)象實(shí)行?兀Wo(hù)信息不能被非授權(quán)獲取。因此,本級(jí)的安全保護(hù)機(jī)制不易被攻擊、被篡改,具有極強(qiáng)的抗?jié)B透的保護(hù)能力。
2、涉密信息系統(tǒng)分級(jí)保護(hù)
2004年,中保委下發(fā)《關(guān)于加強(qiáng)信息安全保障工作中保密管理的若干意見(jiàn)》(中保委發(fā)〔2004)7號(hào)),明確提出建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。
涉及國(guó)家秘密的信息系統(tǒng)要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)。我國(guó)的國(guó)家秘密分為秘密、機(jī)密、絕密三級(jí),涉密信息系統(tǒng)也按照秘密、機(jī)密、絕密三級(jí)進(jìn)行分級(jí)管理。
秘密級(jí):信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求.并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。
機(jī)密級(jí):信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)按機(jī)密級(jí)(增強(qiáng))要求管理:
(1)信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān),以及國(guó)防、外交、國(guó)家安全、軍工等要害部門;
(2)信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多;
(3)信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高。
絕密級(jí):信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求,絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi),不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。
涉密信息系統(tǒng)的等級(jí)由系統(tǒng)使用單位確定,按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則進(jìn)行管理。實(shí)現(xiàn)對(duì)不同等級(jí)的涉密信息系統(tǒng)進(jìn)行分級(jí)保護(hù),對(duì)涉密信息系統(tǒng)使用的安全保密產(chǎn)品進(jìn)行分級(jí)管理,對(duì)涉密信息系統(tǒng)發(fā)生的泄密事件進(jìn)行分級(jí)處置。
3、等級(jí)保護(hù)與分級(jí)保護(hù)的關(guān)系
國(guó)家信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)既有聯(lián)系又有區(qū)別。
國(guó)家安全信息等級(jí)保護(hù),重點(diǎn)保護(hù)的對(duì)象是非涉密的涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng);涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分,是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。涉密信息分級(jí)是按照信息的密級(jí)進(jìn)行劃分的,保護(hù)水平分別不低于等級(jí)保護(hù)三、四、五級(jí)的要求,除此之外,還必須符合分級(jí)保護(hù)的保密技術(shù)要求。對(duì)于防范網(wǎng)絡(luò)泄密,加強(qiáng)信息化條件下的保密工作,具有十分重要的意義。
不同類別、不同層次的國(guó)家秘密信息,對(duì)于維護(hù)國(guó)家安全和利益具有不同的價(jià)值,因而需要不同的保護(hù)強(qiáng)度和措施。對(duì)不同密級(jí)的信息,應(yīng)當(dāng)合理平衡安全風(fēng)險(xiǎn)與成本,采取不同強(qiáng)度的保護(hù)措施,這就是分級(jí)保護(hù)的核心思想。對(duì)涉密信息系統(tǒng)的保護(hù),既要反對(duì)只重應(yīng)用不講安全.防護(hù)措施不到位造成各種泄密隱患和漏洞的‘.弱保護(hù)”現(xiàn)象;同時(shí)也要反對(duì)不從實(shí)際出發(fā),防護(hù)措施“一刀切”,造成經(jīng)費(fèi)與資源浪費(fèi)的“過(guò)保護(hù)”現(xiàn)象。對(duì)涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù).就是要使保護(hù)重點(diǎn)更加突出。保護(hù)方法更加科學(xué).保護(hù)的投入產(chǎn)出比更加合理,從而徹底解決長(zhǎng)期困擾涉密單位在涉密信息系統(tǒng)建設(shè)使用中網(wǎng)絡(luò)互聯(lián)與安全保密的問(wèn)題。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:信息安全中的等級(jí)保護(hù)與分級(jí)保護(hù)初探
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954639.html