等级保护
发布时间:2008-01-17   录入:启明星辰

    国家高度重视信息安全保护工作。经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。这一重大决定,明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务,提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。


一、等级保护是什么


(一)等级保护概念:对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,拉动信息安全和基础信息科学技术发展与产业化,进而牵动经济发展,提高综合国力。


 国家实行信息系统安全等级保护的型式:国家意志、政府行为、科研单位、企业、社会广泛参与。国家意志:国家必须有统一的信息系统安全保护的法律规范、技术规范。政府行为:在国家信息化领导小组的统一领导,在国务院信息化工作办公室的统一组织、协调下,各级政府及其内部各部门应当对其信息系统安全建设与管理负责,开展信息系统安全等级保护工作。首先,各级政府在信息化建设过程中,应该按照等级保护政策法规规定、管理与技术规范,组织进行信息系统安全等级保护建设、管理。其次,信息安全保护职能部门要当严格依法行政,履行职责,做好安全等级保护工作。法律、法规和标准确定之后,政府信息安全保护职能部门的监督管理是推进和保障信息安全保护的关键。如果没有有效贯彻推进措施,再好的法律和标准也发挥不了其应有的效力。第三,信息系统安全涉及到社会的方方面面,有关科研机构和企业应积极开发市场所需等级保护安全技术和产品。全社会要提高信息安全保护意识,职业道德,自觉遵守有关法律、法规,创造和维护良好的信息安全保护社会环境。

 

信息安全等级保护要贯彻突出重点(国家保护重点和基础信息网络与重要信息系统内分区重点)、兼顾一般的原则。等级保护制度要求落实各级安全责任。国家重点保护下列基础信息网络和重要信息系统:1.国家事务处理信息系统(党政机关办公系统);2.金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;3.国防工业、国家科研等单位的信息系统; 4.公用通信、广播电视传输等基础信息网络中的计算机信息系统;5.互联网网络管理中心、关键节点、重要网站以及重要应用系统;6.其他领域的重要信息系统。

(二)为什么要实行等级保护?网络信息系统与现实社会的组织体系构成是对应的。信息系统是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映。这种体系是分层次和级别的,这种组织体系中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律。信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护必须遵循的客观规律。

(三)实行等级保护制度目的是统一信息安全保护工作,推进规范化、法制化建设,保障安全,促进发展。


二、等级保护做什么


(一) 信息系统的安全保护等级分为以下五级:

1.第一级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。

2.第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全。

 

3.第三级为监督保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害。


4.第四级为强制保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害。

5.第五级为专控保护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。


政府信息安全保护职能部门应当逐级加大安全保护力度。系统主管部门也应按级加强自管、自查、自评力度。


(二) 国家已发布实施《计算机信息系统安全保护等级划分准则》GB17859-1999。这是一部强制性国家标准,是技术法规。2006年1月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了公通字[2006]7号文“关于印发《信息安全等级保护管理办法(试行)》的通知”,要求2006年3月1日开始执行。该管理办法中明确的五个保护级,安全保护能力从第一级到第五级逐级增强。以此为基础,有关部门已经研究提出了信息安全等级保护管理与技术标准体系,目前已发布了一些重要标准,并完成该标准体系的实施指南。各部门、各单位应当依照等级保护实施指南及相关标准,根据实际安全需求,按照等级的确定原则、要求和方法,确定本部门所属信息系统的安全保护等级,制定各自的安全等级保护解决方案,组织对现有信息系统进行加固改造,逐步开展新建系统的安全等级保护工作。


(三)安全等级保护制度实行五个关键环节控制:1.法律规范:国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系。2.管理与技术规范:制定符合国情的标准,建立等级保护体系。3.实施过程控制:明确落实系统拥有者的安全责任制系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理,并承担应急管理责任,在信息系统生命周期内进行自管、自查、自评,建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。4.结果控制:建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系,使用统一标准和工具开展系统安全等级保护检查评估工作。5.监督管理:公安机关依法行政,督促安全等级保护责任制的落实,以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管,对监测评估机构实施监管。政府其他职能部门应当认真履行职责,依法行政,按职责开展信息安全等级保护专项制度建设工作,完善信息安全监督体系。这五个关键控制环节,构成了国家信息安全等级保护长效运行机制。国家通过控制这五个关键环节,就能够从宏观上把握信息安全等级保护制度建设。


(四)信息系统安全等级保护整体要求-PDRM模型:


    第一,防范与保护:由系统五个层面(物理、支撑系统、网络、应用、管理)分的安全控制机制构系统整体安全控制机制,包括内部防范、国家保护。对于大网络系统可引入安全域和边界的概念,即大域和子域。为了便于实现纵深分级防护,大型网络可以分解为最小网络单元,重要信息系统应当分解为最小子系统单元,简化基本模型为:安全计算环境、安全终端系统、安全集中控制管理中心、安全通信线路、最小安全防护边界。由小到大、从里到外实现多级纵深防范。对重点区域、重点部位应当采用综合措施进行重点防范。不同安全等级系统之间应当本着"知所必需、用所必需、共享必需、公开必需、互联通信必需"的信息系统安全控制管理原则,进行互联互通。系统安全集中控制管理中心应当向系统主管部门负责,并接受国家信息安全保护职能部门监督、指导,协助并支持国家信息安全保护职能部门安全等级保护工作。


第二,监控与检查:包括对系统的安全等级保护状况的监控和检查,对服务器、路由器、防火墙等网络部件、系统安全运行状态、信息(包括有害信息和数据)的监控和检查。系统主管部门和国家信息安全职能部门都有职责和权力实施安全监控和检查。


第三,响应与处置:事件发现、响应、处置、应急恢复。系统主管部门和国家信息安全职能部门都有职责和权力实施响应与处置。


(五)信息系统安全管理方面应当建立和完善各项安全管理制度,特别要建立完善组织责任管理、系统资源的管理、信息资源的管理、用户管理、密码管理、保密信息管理、事件管理等。


(六)不同安全等级网络系统之间应当按访问控制等防范控制措施尽可能实现纵横互连互通,符合信息安全等级保护和共享要求。


三、等级保护如何实施 


等级保护如何实施应当在国家信息化领导小组的统一领导下,在国务院信息化工作办公室的统一组织、协调下,各级党部门及其各单位对其信息系统安全等级保护建设与管理负责。开展信息系统安全等级保护工作要坚持实行谁主管谁负责,谁运营谁负责,谁使用谁负责,谁提供安全服务谁负责。信息安全职能部门负责监督、检查、指导,并提供安全保护服务。


(一)各部门、各单位应当适用法律和有关标准,确定其系统安全保护等级,报其主管部门领导批准,并报当地同级信息安全职能部门备案。


(二)各部门、各单位应当适用有关标准规定, 制定本系统安全等级保护解决方案,进行安全建设、使用、管理。


(三)安全等级保护产品研发、系统承建单位、安全服务等单位应当按标准和法规规定,提供产品满足市场需求,提供安全服务。


(四)安全等级保护评估机构按标准和法规规定提供评估服务。


(五)政府职能部门依法按标准进行监督、检查、指导、提供服务。


(六)安全等级保护技术产品政策。信息安全等级保护产品是信息系统等级保护的基础,重要、关键的信息安全技术和产品是国家信息安全之安全。国家对信息技术安全产品应当分政府用、军用、商用三类实行特别安全管理政策(国外早就实行了这种政策)。


政府用安全等级保护技术产品:为保障重要信息系统安全、国家安全和利益,高级别的安全保护技术产品应当由政府信息安全职能部门从研发、生产、销售、采购、使用等诸环节进行有效指导和管理。对高级别技术产品出口应当纳入审批制度。

 

军用信息安全等级保护技术产品由军队有关部门进行管理。商用信息安全技术产品可以实行市场化管理,可以进行国际交流。


四、实施准备


目前,在国家信息化领导小组的领导下,在国务院信息办的组织协调下,公安部正在联合有关部门,有关信息安全保护职能部门正在积极开展信息安全等级保护以及实施准备工作:信息系统安全等级保护办法、实施指南等有关重要标准、系统安全等级保护技术集成、检查评估手段、执法队伍和技术支撑队伍建设等工作。
总之,依据国家推行的等级保护要求,与该要求相配套的合规性管理要求也将是个企事业机构将要面临的一个挑战。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号