首页|退出
  分类导航
在线杀毒 手动杀毒
远程检测 本地检测
安全应急处置 系统补丁下载
司法鉴定 安全风险评估
相关标准 网络安全建设
安全等级保护评估
网吧综合业务  
数据异地备份  
DDOS防范处理  
安全企业邮箱  
   

一、  背景知识

信息网络的全球化使得信息网络的安全问题日益突出,与互联网相连接的信息系统必须越来越多地面对世界范围内的网络攻击、数据窃取、身份假冒等安全问题。中国作为互联网大国,不可避免也会面临这些问题,而且问题可能更突出。目前,我国现在总体安全形势比较严峻,信息安全法律法规和标准不完善、专业人才还是缺乏,总体技术比较落后,尤其是核心技术严重依赖于外部进口。从安全产业上看,从产业来说,产业安全产业缺乏核心竞争力,竞争也不是很有无序;从威胁角度看来讲,网上病毒、犯罪越来越严重。从用户角度看来说,IT安全实际投入不足,仅占IT投入的0.94%IDC数据),另外安全建设投入的增长率(31.2%)也低于预测(37.6%)

为了解决这些问题,1989年公安部开始设计起草法律和标准,在起草过程中经过长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等级保护制度。

二、  等级保护工作的进展

我国信息安全等级保护工作源于1994年的国务院147号令《中华人民共和国计算机信息系统安全保护条例》,其中规定“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。公安部在《条例》发布实施后便着手开始了计算机信息系统安全等级保护的研究和准备工作。等级管理的思想和方法具有科学、合理、规范、便于理解、掌握和运用等优点,因此,对计算机信息系统实行安全等级保护制度,是我国计算机信息系统安全保护工作的重要发展思路,对于正在发展中的信息系统安全保护工作更有着十分重要的意义。

为切实加强重要领域信息系统安全的规范化建设和管理,全面提高国家信息系统安全保护的整体水平,使公安机关公共信息网络安全监察工作更加科学、规范,指导工作更具体、明确,公安部组织制订了《计算机信息系统安全保护等级划分准则》(以下简称《准则》)国家标准,并于1999913日由国家质量技术监督局审查通过并正式批准发布,已于 2001年1月1执行(即GB17859-1999)。该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。

《准则》对计算机信息系统安全保护能力划分了五个等级,计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。高级别的安全要求是低级别要求的超集。《准则》将计算机安全保护划分为以下五个级别:

第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。

第二级:系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。

第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。

第四级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。

第五级:访问验证保护级。这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。

信息安全等级保护作为一项国家制度的提法出现在2003年。当年722日,温家宝总理主持的国家信息化领导小组第三次会议,讨论并审议了《关于加强信息安全保障工作的意见》(中办、国办发200327号文)。《意见》指出,信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准。

2004年,国家四部委联合颁布了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)。《意见》明确了信息安全等级保护制度的原则、基本内容,以及开展等级保护工作的职责分工。其中重要的一点原则是“依照标准,自行保护”,即“谁主管谁负责,谁运营谁负责”的原则:“国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。”此外,《意见》还明确了等级保护制度保护的信息系统范围“主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。”具体范围如下所示:

- 党政系统(党委、政府)
-
金融系统(银行、保险、证券)
-
财税系统(财政、税务、工商)
-
经贸系统(商业贸易、海关)
-
电信系统(邮电、电信、广播、电视)
-
能源系统(电力、热力、燃气、煤炭、油料)
-
交通运输系统(航空、航天、铁路、公路、水运、海运)
-
供水系统(水利及水源供给)
-
社会应急服务系统(医疗、消防、紧急救援)
-
教育科研系统(教育、科研、尖端科技)
-
国防建设系统

此后,信息安全等级保护相关法规、制度先后出台,在此不一一列举,仅以下图做简要说明:

2-1 信息安全等级保护政策发展进程

就在政策层面的法规、制度出台同时,等级保护的相关技术标准也在广泛制定和征求各方意见,期间有《信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护定级指南》(GB/T 22240-2008)等先后作为国家标准进行颁布。技术标准层面的发展进程如下图所示:

2-2 信息安全等级保护技术标准发展进程

 

 

 

三、  开展信息安全等级保护工作的意义

正如《关于信息安全等级保护工作的实施意见》中提到的一样,开展信息安全等级保护工作对提高我国信息和信息系统安全建设的整体水平有积极作用。对于社会组织,开展信息安全等级保护工作同样具有重大意义。

信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,实施信息安全等级保护制度,组织能按照标准对信息系统进行安全建设、整改,信息系统安全与否也有了一个衡量尺度。

信息安全等级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作,就是要解决组织信息安全面临的威胁和存在的主要问题,有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护重要信息系统安全,有效提高组织信息和信息系统安全建设的整体水平。

建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障关系组织生存发展的重要信息系统的安全;有利于明确组织成员的信息安全责任,加强信息安全管理。

 

在介绍等级保护工作实施方法之前,有必要了解安全等级保护实施过程中涉及的各类角色和职责:

1.      国家管理部门

公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

2.      信息系统主管部门

负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

3.      信息系统运营、使用单位

负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。

4.      信息安全等级测评机构

负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。

下面通过图标简单介绍信息系统实施等级保护的基本流程(如下图4-1):

其中,等级测评是在系统总体安全规划阶段或者系统安全运行维护阶段通过信息安全等级测评机构对信息系统定期进行测评,提出信息系统的安全保护相应等级的安全要求或者找出信息系统的安全保护措施与相应等级保护要求之间的差距,以指导信息安全建设。

五、  网安公司等级保护测评服务介绍

    深圳市网安计算机安全检测技术有限公司于2008年取得广东省安全等级评估服务资质, 公司还和公安部信息安全等级保护评估中心合作,在深圳市开展信息安全等级保护评估服务。

一、测评依据
对信息系统进行等级测评将依据以下标准:

  1. 《关于开展信息安全等级测评工作的通知》深圳市公安局公共信息网络安全监察分局
  2. 《信息安全等级保护管理办法》(公通字[2007]43号)
  3. 《广东省公安厅关于计算机信息系统安全保护的实施办法》(粤公通字〔2008〕228号)
  4. 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
  5. 《信息系统安全保护等级定级指南》(国标)
  6. 《信息系统安全等级保护基本要求》(国标)
  7. 《信息系统安全等级保护测评要求》(国标)
  8. 《信息系统安全等级保护实施指南》(国标)

二、测评目标
    在国家推行信息系统等级保护制度的过程中,强调要重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,其中包括国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统等。
目前各单位的信息系统基本都已经经过多年的建设和完善,在安全方面作了大量的工作,例如合理地使用了网络区域划分技术对网络内部的重点生产区域进行保护、在重要区域的边界或前端使用了防火墙系统进行防护、充分考虑了主要线路、主要设备的冗余来保证系统的可靠性运行等等。
等级测评的主要目的是希望通过对信息系统的安全测评来评判目前信息系统安全保护的程度或水平与国家信息系统安全等级保护要求之间的差距,以便指导对信息系统进行安全方面的调整和改进,确保信息系统的安全防护水平达到国家信息系统安全等级保护的要求。

 





受理表单后,24小时内将与客户进行确认或预约上门服务

技术支持:  深圳市计算机安全应急服务中心
广东安证计算机司法鉴定所
版权所有 2008-2009 © 中国网络安全保障服务网 All Right Reserved
粤ICP备09101699号-1  

粤公网安备 44030502000970号