收藏
下载资源

等级保护制度

上传人:公**** 文档编号:547554181 上传时间:2023-10-17 格式:DOCX 页数:13 大小:32.80KB
返回 下载 相关 举报
等级保护制度_第1页
第1页 / 共13页
等级保护制度_第2页
第2页 / 共13页
等级保护制度_第3页
第3页 / 共13页
等级保护制度_第4页
第4页 / 共13页
等级保护制度_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《等级保护制度》由会员分享,可在线阅读,更多相关《等级保护制度(13页珍藏版)》请在金锄头文库上搜索。

1、等级保护制度等级保护制度已经被列入国务院关于加强信息安全保障工作的意见之中。如何对信 息系统实行分等级保护一直是社会各方关注的热点。美国,作为一直走在信息安全研究前列 的大国,近几年来在计算机信息系统安全方面,突出体现了系统分类分级实施保护的发展思 路,并根据有关的技术标准、指南,对国家一些重要的信息系统实现了安全分级、采用不同 管理的工作模式,并形成了体系化的标准和指南性文件。一、美国信息系统分级的思路从目前的资料上看,美国在计算机信息系统的分级存在多样性,但基本的思路是一致的,只不过分级的方法不同而已,已在不同分级方法中出现的作为划分信息系统安全等级 的因素主要包括: 资产(包括有形资产和

2、无形资产)(使用资产等级作为判断系统等级 重要因素的文件如FIPS199, IATF, DITSCAP, NIST800-37等); 威胁(使用威胁等 级作为判断系统等级重要因素的文件如IATF等);破坏后对国家、社会公共利益和单位或个人的影响(使用影响等级作为判断系统等级重要因素的文件如FIPS199,IATF等); 单位业务对信息系统的依赖程度(DITSCAP);根据对上述因素的不同合成方式,分别可以确定:系统强健度等级(IATF):由信息影响与威胁等级决定;系统认证级(DITSCAP):由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值 决定;系统影响等级(FIPS199)

3、:根据信息三性的影响确定;安全认证级(NIST800-37):根据系统暴露程度与保密等级确定。由于不同的信息系统所隶属的机构不同,美国两大类主要信息系统:联邦政府机构的信息系统及国防部信息系统所参照的 分级标准不尽相同,即:所有联邦政府机构按照美国国家标准与技术研究所(NIST)有关 标准和指南的分级方法和技术指标;而国防部考虑到本身信息系统及所处理信息的特殊性, 则是按照DoD 8500.2的技术方法进行系统分级。下面重点介绍美国联邦政府和国防部的有 关标准和指南性文件。美国联邦信息处理标准(FIPS)是(NIST)制定的一类安全出版物,多为强制性标准。FIPS 199联邦信息和信息系统安全

4、分类标准(2003年12月最 终版)描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、 传输、存储的所有信息类型的重要性。信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之 上。具体以信息和信息系统的三类安全目标(保密性、完整性和可用性)来表现,即,丧失 了保密性、完整性或可用性,对机构运行、机构资产和个人产生的影响。FIPS 199定义了三 种影响级:低、中、高。FIPS 199按照“确定信息类型确定信息的安全类别确定系统的安全类别”三个步骤进行系统最终的定级。首先,确定系统内的所有信息类

5、型。FIPS 199指出,一个信息系统内可能包含不止一种类型的信息(例如隐私信息、合同商敏感 信息、专属信息、系统安全信息等)其次,根据三类安全目标,确定不同信息类型的潜在影响级别(低、中、高)。 最后,整合系统内所有信息类型的潜在影响级,按照“取 高”原则,即选择较高影响级别作为系统的影响级(低、中、高)。最终,系统安全类别(SC) 的通用表达式为: SC需求系统=(保密性,影响级),(完整性,影响级),(可用性, 影响级)为配合FIPS 199的实施,NIST分别于2004年6月推出了 SP 80060第一、二部分,将信息和信息系统映射到安全类别的指南及其附件。其中详细的介绍了联邦信 息系

6、统中可能运行的所有信息类型;并针对每一种信息类型,介绍了如何去选择其影响级别, 并给出了推荐采用的级别。这样,系统在确定等级的第一步一确认信息类型,并确定其影响 级别时,有了很好的参考意见。而美国国防部对信息系统的分级与联邦政府有所不同,主要把信息系统的信息分类为业务保障类和保密类,同时对这两类进行了分级的要求,该分级要求发布在2003年2月的信息保障实施指导书(8500.2)中。总的来讲,8500.2也采用了三性:完整性、可用性和保密性对国防部的信息系统进行级别划分。需要特别提出的 是,考虑到完整性和可用性在很多时候是相互联系的,无法完全分出,故在8500.2中将二 者合为一体,提出一个新概

7、念“业务保障类”。同时考虑到国防部信息系统所处理的信息的特 殊性,故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度,分别分为三个 等级。 保密类级别根据系统处理信息的保密类型:机密类、敏感类和公开类来确定级 别(高、中、基本)。业务保障级别和保密级别是相互独立的,也就是说业务保障类I可以 处理公共信息,而业务保障类III可以处理机密信息。不同级别的业务保障类和保密类相互 组合,形成九种组合,体现不同系统的等级要求。综上所述,无论是联邦政府还是国防部,在考虑系统分级因素的时候,都给予了信息系统所处理、传输和存储的信息以很大的 权重。NIST的系统影响级是完全建立在信息影响级基础之上的

8、;而国防部考虑到其所处理 的信息的密级,故将信息的保密性单独作为一项指标。可见,系统所处理的信息的重要性可 作为我们划分等级时的重要依据。二、安全措施的选择信息系统的保护等级确定后,有一整套的标准和指南规定如何为其选择相应的安全措施。NIST的SP 800-53联邦信息系统推荐安全控制为不同级别的系统推荐了不同强度的安全控制集(包括管理、 技术和运行类)。为帮助机构对它们的信息系统选择合适的安全控制集,该指南提出了基线 这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。针对 三类系统影响级,800 53列出三套基线安全控制集(基本、中、高),分别对应于系统的 影

9、响等级。800 53中提出了三类安全控制:管理、技术和运行。每类又分若干个族(共18个),每个族又由不同的安全控制组成(共390个)。集合了美国各方面的控制措施 的要求,来源包括:FISCAM (联邦信息系统控制审计手册);DOD 8500 (信息保障实施指导书);SP 800-26(信息技术系统安全自评估指南);CMS (公共健康和服务部,医疗保障和公共医疗补助,核心安全需求);DCID 6/3 (保护信息系统的敏感隔离信息);ISO 17799 (信息系统安全管理实践准则)。来源的广泛性,体现了安全控制措施的适用性和恰当性。需要指出的是,80053只是作为选择最小安全控制的临 时性指南,N

10、IST将于2005年12月推出FIPS 200联邦信息系统最小安全控制标准,以 进一步完善信息系统的安全控制。区别于SP 800-53中“类”的概念,国防部8500.2提出了“域”的概念,八个主题域分别为:安全设计与配置、标识与鉴别、飞地与计算环境、飞 地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全 控制。对应系统的业务保障类级别和保密类级别,安全控制也分为业务保障类安全控制I、 II、III级和保密类安全控制三级。机构可根据自身对业务保障类和保密类安全要求,选择相 应的安全控制。由以上介绍可以看出,美国在推行系统分级实施不同安全措施方面,虽然只是近几年才开展

11、,但已经积累了一些成熟的经验,并形成了一套完整的体系。尤其是 联邦政府的信息系统,根据2002年联邦信息安全管理法案(FISMA)(公共法律107 347),赋予了 NIST以法定责任开发一系列的标准和指南。因此,从系统信息类型定义,到 如何确定影响级,到安全控制的选择,直至最终的系统安全验证和授权,NIST都给出了配 套的指南或标准来支持。这些都为我国推行等级保护铺垫了良好的基础,提供了有效的经验。 温家宝总理在国家信息化领导小组第三次会议上曾经指出,信息安全的保障工作要坚持积极 防御、综合方法的方针重点保障基础网络和重要系统的安全,并完善信息安全监控体系, 建立信息安全的有效机制和应急处理

12、机制。因此,如何使计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是今后我国信息安全建 设的重点。为此,公安部公共信息网络安全监察局局长李昭就等级保护制度进行了解释。 计算机信息网络安全等级保护的主要内容和基本思路 答:1994年国务院颁布的计算 机信息系统安全保护条例中已经规定:我国的“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定。等级保护的主要内容可以从五个方面来概括。首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信 息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络

13、安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对 不同信息网络确定不同安全保护等级和实施不同的监督管理措施。公安机关作为计算机信息 网络安全保护工作的主管部门,要代表国家依法履行对计算机信息网络安全等级保护工作的 监督管理和服务保障职能,依据管理规定和技术标准的具体等级,对单位、企业、个人计算 机信息网络的安全保护状况进行监督和检查,并为落实等级保护制度提供指导和服务保障。 国家保密、密码管理、技术监督、信息产业等部门也要根据各自职能,在等级保护中各自发 挥重要作用。其次,等级保护坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则。计算

14、机信息网络的建设和使用单位要依照等级保护管理规定 和香港技术标准,根据其单位在国民经济和社会发展中的地位作用、信息网络依赖程度和重 要程度、信息内容或数据的重要程度、系统遭到攻击破坏后造成的危害程度等因素,科学、 准确地设定其安全保护等级,开展安全等级波阿訇设施和制度建设,落实安全管理措施和相 关责任。重要领域和重点要害信息网络的上级主管部门要对所属信息网络的安全负起领导和 管理责任,提高自主管理、自我保护能力。第三,等级保护实行“国家主导、重点单位强制、一般单位自愿;高保护级别强制、低保护级别自愿”的监管原则。计算机信息网络安 全涉及国家安全、国家利益和社会稳定,信息网络安全等级保护是国家安

15、全战略的重要组成 部分。国家根据信息网络的重要程度和保护价值实行分等级逐步加重的保护措施。涉及国家 安全和利益的重要信息网络,必须按照管理规定设定相应的安全保护制度,并由国家主管部 门予以核准;其他信息网络自行设定安全等级,报国家主管部门备案。重要信息网络要按照 国家有关法规和技术标准建设安全保护设施和进行安全保护管理,国家主管部门依法对其进 行监督和检查;一般使用单位可以自愿按照国家制度的标准,在国家主管部门的制度或帮助 下,实施自我保护和共同保护。第四,信息网络安全状况等级的技术检测是等级保护的重点。信息网络的技术安全等级是信息网络安全状况等级的主要指标,由国家授权的技术 检测机构通过技术

16、检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权 后,方可从事信息网络安全等级保护的技术检测。同时,鼓励重点使用单位和主管部门自行 建立评估机构,在取得国家主管部门的技术资质和授权后,对本单位、部门的信息网络自行 检测。技术检测的结果应报送国家主管部门。国家主管部门根据技术检测和其他安全检查的 结果对信息网络的安全保护进行监督管理,并对技术检测机构进行监管。第五,等级保护制度为信息网络安全产品的普及使用提供了广阔的市场和发展空间。通过等级保护,引 导国内外信息技术和信息安全产品研发企业根据国家有关法规和技术标准,积极研发和推广 使用适合不同安全保护等级的产品。由于国家强制采用符合安全等级的产品,特别是重要领 域要求采用我国自主开发的安全产品,必将带动和促进自主信息网络安全产品的开发、研制、 生产和使用,使我国

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号