首頁|退出
  分類導航
在線殺毒 手動殺毒
遠程檢測 本地檢測
安全應急處置 系統補丁下載
司法鑒定 安全風險評估
相關標準 網絡安全建設
安全等級保護評估
網吧綜合業務  
數據異地備份  
DDOS防范處理  
安全企業郵箱  
   

一、  背景知識

信息網絡的全球化使得信息網絡的安全問題日益突出,與互聯網相連接的信息系統必須越來越多地面對世界范圍內的網絡攻擊、數據竊取、身份假冒等安全問題。中國作為互聯網大國,不可避免也會面臨這些問題,而且問題可能更突出。目前,我國現在總體安全形勢比較嚴峻,信息安全法律法規和標準不完善、專業人才還是缺乏,總體技術比較落后,尤其是核心技術嚴重依賴于外部進口。從安全產業上看,從產業來說,產業安全產業缺乏核心競爭力,競爭也不是很有無序;從威脅角度看來講,網上病毒、犯罪越來越嚴重。從用戶角度看來說,IT安全實際投入不足,僅占IT投入的0.94%IDC數據),另外安全建設投入的增長率(31.2%)也低于預測(37.6%)

為了解決這些問題,1989年公安部開始設計起草法律和標準,在起草過程中經過長期的對國內外廣泛的調查和研究,特別是對國外的法律法規、政府政策、標準和計算機犯罪的研究,使我們認識到要從法律、管理和技術三個方面著手;采取的措施要從國家制度的角度來看問題,對信息安全要實行等級保護制度。

二、  等級保護工作的進展

我國信息安全等級保護工作源于1994年的國務院147號令《中華人民共和國計算機信息系統安全保護條例》,其中規定“計算機信息系統實行安全等級保護。等級劃分標準和等級管理辦法由公安部會同有關部門制定”。公安部在《條例》發布實施后便著手開始了計算機信息系統安全等級保護的研究和準備工作。等級管理的思想和方法具有科學、合理、規范、便于理解、掌握和運用等優點,因此,對計算機信息系統實行安全等級保護制度,是我國計算機信息系統安全保護工作的重要發展思路,對于正在發展中的信息系統安全保護工作更有著十分重要的意義。

為切實加強重要領域信息系統安全的規范化建設和管理,全面提高國家信息系統安全保護的整體水平,使公安機關公共信息網絡安全監察工作更加科學、規范,指導工作更具體、明確,公安部組織制訂了《計算機信息系統安全保護等級劃分準則》(以下簡稱《準則》)國家標準,并于1999913日由國家質量技術監督局審查通過并正式批準發布,已于 2001年1月1執行(即GB17859-1999)。該準則的發布為計算機信息系統安全法規和配套標準的制定和執法部門的監督檢查提供了依據,為安全產品的研制提供了技術支持,為安全系統的建設和管理提供了技術指導,是我國計算機信息系統安全保護等級工作的基礎。

《準則》對計算機信息系統安全保護能力劃分了五個等級,計算機信息系統安全保護能力隨著安全保護等級的增高,逐漸增強。高級別的安全要求是低級別要求的超集。《準則》將計算機安全保護劃分為以下五個級別:

第一級:用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。

第二級:系統審計保護級。除具備第一級所有的安全保護功能外,要求創建和維護訪問的審計跟蹤記錄,是所有的用戶對自己行為的合法性負責。

第三級:安全標記保護級。除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問權限,實現對訪問對象的強制訪問。

第四級:結構化保護級。在繼承前面安全級別安全功能的基礎上,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統的抗滲透能力。

第五級:訪問驗證保護級。這一個級別特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。

信息安全等級保護作為一項國家制度的提法出現在2003年。當年722日,溫家寶總理主持的國家信息化領導小組第三次會議,討論并審議了《關于加強信息安全保障工作的意見》(中辦、國辦發200327號文)。《意見》指出,信息安全保障工作的要點在于,實行信息安全等級保護制度,建設基于密碼技術的網絡信任體系,建設信息安全監控體系,重視信息安全應急處理工作,推動信息安全技術研發與產業發展,建設信息安全法制與標準。

2004年,國家四部委聯合頒布了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)。《意見》明確了信息安全等級保護制度的原則、基本內容,以及開展等級保護工作的職責分工。其中重要的一點原則是“依照標準,自行保護”,即“誰主管誰負責,誰運營誰負責”的原則:“國家運用強制性的規范及標準,要求信息和信息系統按照相應的建設和管理要求,自行定級、自行保護。”此外,《意見》還明確了等級保護制度保護的信息系統范圍“主要包括:國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的信息系統;教育、國家科研等單位的信息系統;公用通信、廣播電視傳輸等基礎信息網絡中的信息系統;網絡管理中心、重要網站中的重要信息系統和其他領域的重要信息系統。”具體范圍如下所示:

- 黨政系統(黨委、政府)
-
金融系統(銀行、保險、證券)
-
財稅系統(財政、稅務、工商)
-
經貿系統(商業貿易、海關)
-
電信系統(郵電、電信、廣播、電視)
-
能源系統(電力、熱力、燃氣、煤炭、油料)
-
交通運輸系統(航空、航天、鐵路、公路、水運、海運)
-
供水系統(水利及水源供給)
-
社會應急服務系統(醫療、消防、緊急救援)
-
教育科研系統(教育、科研、尖端科技)
-
國防建設系統

此后,信息安全等級保護相關法規、制度先后出臺,在此不一一列舉,僅以下圖做簡要說明:

2-1 信息安全等級保護政策發展進程

就在政策層面的法規、制度出臺同時,等級保護的相關技術標準也在廣泛制定和征求各方意見,期間有《信息系統安全等級保護基本要求》(GB/T 22239-2008)和《信息系統安全等級保護定級指南》(GB/T 22240-2008)等先后作為國家標準進行頒布。技術標準層面的發展進程如下圖所示:

2-2 信息安全等級保護技術標準發展進程

 

 

 

三、  開展信息安全等級保護工作的意義

正如《關于信息安全等級保護工作的實施意見》中提到的一樣,開展信息安全等級保護工作對提高我國信息和信息系統安全建設的整體水平有積極作用。對于社會組織,開展信息安全等級保護工作同樣具有重大意義。

信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法,實施信息安全等級保護制度,組織能按照標準對信息系統進行安全建設、整改,信息系統安全與否也有了一個衡量尺度。

信息安全等級保護是當今發達國家保護關鍵信息基礎設施,保障信息安全的通行做法,也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作,就是要解決組織信息安全面臨的威脅和存在的主要問題,有效體現“適度安全、保護重點”的目的,將有限的財力、物力、人力投入到重要信息系統安全保護中,按標準建設安全保護措施,建立安全保護制度,落實安全責任,有效保護重要信息系統安全,有效提高組織信息和信息系統安全建設的整體水平。

建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障關系組織生存發展的重要信息系統的安全;有利于明確組織成員的信息安全責任,加強信息安全管理。

 

在介紹等級保護工作實施方法之前,有必要了解安全等級保護實施過程中涉及的各類角色和職責:

1.      國家管理部門

公安機關負責信息安全等級保護工作的監督、檢查、指導;國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導;國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導;涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規的規定進行管理;國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協調。

2.      信息系統主管部門

負責依照國家信息安全等級保護的管理規范和技術標準,督促、檢查和指導本行業、本部門或者本地區信息系統運營、使用單位的信息安全等級保護工作。

3.      信息系統運營、使用單位

負責依照國家信息安全等級保護的管理規范和技術標準,確定其信息系統的安全保護等級,有主管部門的,應當報其主管部門審核批準;根據已經確定的安全保護等級,到公安機關辦理備案手續;按照國家信息安全等級保護管理規范和技術標準,進行信息系統安全保護的規劃設計;使用符合國家有關規定,滿足信息系統安全保護等級需求的信息技術產品和信息安全產品,開展信息系統安全建設或者改建工作;制定、落實各項安全管理制度,定期對信息系統的安全狀況、安全保護制度及措施的落實情況進行自查,選擇符合國家相關規定的等級測評機構,定期進行等級測評;制定不同等級信息安全事件的響應、處置預案,對信息系統的信息安全事件分等級進行應急處置。

4.      信息安全等級測評機構

負責根據信息系統運營、使用單位的委托或根據國家管理部門的授權,協助信息系統運營、使用單位或國家管理部門,按照國家信息安全等級保護的管理規范和技術標準,對已經完成等級保護建設的信息系統進行等級測評;對信息安全產品供應商提供的信息安全產品進行安全測評。

下面通過圖標簡單介紹信息系統實施等級保護的基本流程(如下圖4-1):

其中,等級測評是在系統總體安全規劃階段或者系統安全運行維護階段通過信息安全等級測評機構對信息系統定期進行測評,提出信息系統的安全保護相應等級的安全要求或者找出信息系統的安全保護措施與相應等級保護要求之間的差距,以指導信息安全建設。

五、  網安公司等級保護測評服務介紹

    深圳市網安計算機安全檢測技術有限公司于2008年取得廣東省安全等級評估服務資質, 公司還和公安部信息安全等級保護評估中心合作,在深圳市開展信息安全等級保護評估服務。

一、測評依據
對信息系統進行等級測評將依據以下標準:

  1. 《關于開展信息安全等級測評工作的通知》深圳市公安局公共信息網絡安全監察分局
  2. 《信息安全等級保護管理辦法》(公通字[2007]43號)
  3. 《廣東省公安廳關于計算機信息系統安全保護的實施辦法》(粵公通字〔2008〕228號)
  4. 《計算機信息系統安全保護等級劃分準則》(GB17859-1999)
  5. 《信息系統安全保護等級定級指南》(國標)
  6. 《信息系統安全等級保護基本要求》(國標)
  7. 《信息系統安全等級保護測評要求》(國標)
  8. 《信息系統安全等級保護實施指南》(國標)

二、測評目標
    在國家推行信息系統等級保護制度的過程中,強調要重點保護涉及國家安全、經濟命脈、社會穩定的基礎信息網絡和重要信息系統,其中包括國家事務處理信息系統(黨政機關辦公系統);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業等關系到國計民生的信息系統等。
目前各單位的信息系統基本都已經經過多年的建設和完善,在安全方面作了大量的工作,例如合理地使用了網絡區域劃分技術對網絡內部的重點生產區域進行保護、在重要區域的邊界或前端使用了防火墻系統進行防護、充分考慮了主要線路、主要設備的冗余來保證系統的可靠性運行等等。
等級測評的主要目的是希望通過對信息系統的安全測評來評判目前信息系統安全保護的程度或水平與國家信息系統安全等級保護要求之間的差距,以便指導對信息系統進行安全方面的調整和改進,確保信息系統的安全防護水平達到國家信息系統安全等級保護的要求。

 





受理表單后,24小時內將與客戶進行確認或預約上門服務

技術支持:  深圳市計算機安全應急服務中心
廣東安證計算機司法鑒定所
版權所有 2008-2009 © 中國網絡安全保障服務網 All Right Reserved
粵ICP備09101699號-1  

粵公網安備 44030502000970號

   
31选7中奖规则及奖金