隨著我國信息系統(tǒng)建設(shè)的逐步完善,信息安全越來越得到重視,目前.我國已提出實行信息安全等級保護(hù)管理,并建立了涉密信息系統(tǒng)分級保護(hù)制度。
1、信息安全等級保護(hù)
2003年,中辦、國辦轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003]27號),提出實行信息安全等級保護(hù),建立國家信息安全保障體系的明確要求。
信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。
信息系統(tǒng)的安全保護(hù)等級分為五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護(hù)級。完全由用戶自已來決定如何對資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對社會秩序和公共利益造成損害,但不損害國家安全。該級別是系統(tǒng)審計保護(hù)級。本級的安全保護(hù)機制受到信息系統(tǒng)等級保護(hù)的指導(dǎo),支持用戶具有更強的自主保護(hù)能力,特別是具有訪問審計能力。即能創(chuàng)建、維護(hù)受保護(hù)對象的訪問審計跟蹤記錄,記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息,所有和安全相關(guān)的操作都能夠被記錄下來,以便當(dāng)系統(tǒng)發(fā)生安全問題時.可以根據(jù)審計記錄,分析追查事故責(zé)任人,使所有的用戶對自己行為的合法性負(fù)責(zé)。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害.或者對國家安全造成損害。該級別是安全標(biāo)記保護(hù)級。除具有第二級系統(tǒng)審計保護(hù)級的所有功能外,它還要求對訪問者和訪問對象實施強制訪問控制,并能夠進(jìn)行記錄。以便事后的監(jiān)督、審計。通過對訪問者和訪問對象指定不同安全標(biāo)記,監(jiān)督、限制訪問者的權(quán)限,實現(xiàn)對訪問對象的強制訪問控制。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害。該級別是結(jié)構(gòu)化保護(hù)級。將前三級的安全保護(hù)能力擴展到所有訪問者和訪問對象,支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的,將安全保護(hù)機制劃分為關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分強制性地直接控制訪問者對訪問對象的存取,使之具有相當(dāng)?shù)目節(jié)B透能力。本級的安全保護(hù)機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護(hù)。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴(yán)重?fù)p害。該級別是訪問驗證保護(hù)級。這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能,負(fù)責(zé)管理訪問者對訪問對象的所有訪問活動,管理訪問者能否訪問某些對象從而對訪問對象實行專控,保護(hù)信息不能被非授權(quán)獲取。因此,本級的安全保護(hù)機制不易被攻擊、被篡改,具有極強的抗?jié)B透的保護(hù)能力。
2、涉密信息系統(tǒng)分級保護(hù)
2004年,中保委下發(fā)《關(guān)于加強信息安全保障工作中保密管理的若干意見》(中保委發(fā)〔2004)7號),明確提出建立健全涉密信息系統(tǒng)分級保護(hù)制度。
涉及國家秘密的信息系統(tǒng)要按照黨和國家有關(guān)保密規(guī)定進(jìn)行保護(hù)。我國的國家秘密分為秘密、機密、絕密三級,涉密信息系統(tǒng)也按照秘密、機密、絕密三級進(jìn)行分級管理。
秘密級:信息系統(tǒng)中包含有最高為秘密級的國家秘密,其防護(hù)水平不低于國家信息安全等級保護(hù)三級的要求.并且還必須符合分級保護(hù)的保密技術(shù)要求。
機密級:信息系統(tǒng)中包含有最高為機密級的國家秘密,其防護(hù)水平不低于國家信息安全等級保護(hù)四級的要求,還必須符合分級保護(hù)的保密技術(shù)要求。屬下列情況之一的機密級信息系統(tǒng)應(yīng)按機密級(增強)要求管理:
(1)信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關(guān),以及國防、外交、國家安全、軍工等要害部門;
(2)信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多;
(3)信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。
絕密級:信息系統(tǒng)中包含有最高為絕密級的國家秘密,其防護(hù)水平不低于國家信息安全等級保護(hù)五級的要求,還必須符合分級保護(hù)的保密技術(shù)要求,絕密級信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨立建筑內(nèi),不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。
涉密信息系統(tǒng)的等級由系統(tǒng)使用單位確定,按照“誰主管、誰負(fù)責(zé)”的原則進(jìn)行管理。實現(xiàn)對不同等級的涉密信息系統(tǒng)進(jìn)行分級保護(hù),對涉密信息系統(tǒng)使用的安全保密產(chǎn)品進(jìn)行分級管理,對涉密信息系統(tǒng)發(fā)生的泄密事件進(jìn)行分級處置。
3、等級保護(hù)與分級保護(hù)的關(guān)系
國家信息安全等級保護(hù)與涉密信息系統(tǒng)分級保護(hù)既有聯(lián)系又有區(qū)別。
國家安全信息等級保護(hù),重點保護(hù)的對象是非涉密的涉及國計民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng);涉密信息系統(tǒng)分級保護(hù)是國家信息安全等級保護(hù)的重要組成部分,是等級保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。涉密信息分級是按照信息的密級進(jìn)行劃分的,保護(hù)水平分別不低于等級保護(hù)三、四、五級的要求,除此之外,還必須符合分級保護(hù)的保密技術(shù)要求。對于防范網(wǎng)絡(luò)泄密,加強信息化條件下的保密工作,具有十分重要的意義。
不同類別、不同層次的國家秘密信息,對于維護(hù)國家安全和利益具有不同的價值,因而需要不同的保護(hù)強度和措施。對不同密級的信息,應(yīng)當(dāng)合理平衡安全風(fēng)險與成本,采取不同強度的保護(hù)措施,這就是分級保護(hù)的核心思想。對涉密信息系統(tǒng)的保護(hù),既要反對只重應(yīng)用不講安全.防護(hù)措施不到位造成各種泄密隱患和漏洞的‘.弱保護(hù)”現(xiàn)象;同時也要反對不從實際出發(fā),防護(hù)措施“一刀切”,造成經(jīng)費與資源浪費的“過保護(hù)”現(xiàn)象。對涉密信息系統(tǒng)實行分級保護(hù).就是要使保護(hù)重點更加突出。保護(hù)方法更加科學(xué).保護(hù)的投入產(chǎn)出比更加合理,從而徹底解決長期困擾涉密單位在涉密信息系統(tǒng)建設(shè)使用中網(wǎng)絡(luò)互聯(lián)與安全保密的問題。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:信息安全中的等級保護(hù)與分級保護(hù)初探
本文網(wǎng)址:http://m.hanmeixuan.com/html/consultation/1083954639.html
相關(guān)文章
