网络安全 频道

基于等级和分级保护 实现数据泄露防护

  一、 等级保护和分级保护的基本思想解读

  1、信息系统等级保护

  等级保护制度,经历过长达7年的酝酿和修订。2006年1月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《信息安全等级保护管理办法(试行)》,该项法律明确了信息安全等级保护的基本思想。等级保护思想认为,信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。因此,信息安全保护必须符合客观存在和发展规律,按照“分级、分区域、分类和分阶段”的基本思路做好国家信息安全保护。

  信息系统安全等级保护将安全保护的监管级别划分为五个级别:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

  在等级保护的实际操作中,强调从五个部分进行保护,即:物理部分、支撑系统、网络部分、应用系统、管理制度。由这五部分的安全控制机制构成系统整体安全控制机制。

  2、涉密信息系统分级保护

  分级保护思想,主要是对涉及国际秘密的信息系统进行分级保护。2004年12月23日中央保密委员会下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。

  涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。

  涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其重要。

  2、等级保护和分级保护思想的重点

  等级保护和分级保护的核心思想是一致的,其重点在于定级和分别保护。

  在定级方面,基本依据是信息系统的重要性。包括方面:1、信息系统与其对应的组织架构本身的重要性;2、信息系统遭受破坏之后的危害性

0
相关文章