欢迎来到天天文库
浏览记录
ID:22906384
大小:23.20 KB
页数:7页
时间:2018-11-01
《等级保护与分级保护》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、等级保护与分级保护一、信息系统等级保护1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一
2、步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客
3、观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。信息系统安全等级保护将安全保护的监管级别划分为五个级别:第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户
4、对自己行为的合法性负责。第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。第五级:访问验证保护级这一个级别除了
5、具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。在等级保护的实际操作中,强调从五个部分进行保护,即:物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;支撑系统:包括计算机系统、操作系统、数据库系统和通信系统;网络部分:包括网络的拓扑结构、网络的布线和防护、网络设备的管理和报警,网络攻击的监察和处理;应用系统:包括系统登
6、录、权限划分与识别、数据备份与容灾处理,运行管理和访问控制,密码保护机制和信息存储管理;管理制度:包括管理的组织机构和各级的职责、权限划分和责任追究制度,人员的管理和培训、教育制度,设备的管理和引进、退出制度,环境管理和监控,安防和巡查制度,应急响应制度和程序,规章制度的建立、更改和废止的控制程序。由这五部分的安全控制机制构成系统整体安全控制机制。二、涉密信息系统分级保护1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日
7、下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的
此文档下载收益归作者所有