等保和分保的區別
在日常工作中和為使用者提供服務的過程中,什麼是資訊系統等級保護?什麼是涉密資訊系統分級保護?這兩者之間有什麼關係?下面就跟著小編一起來看看吧。
資訊系統等級保護
1999年國家釋出並於2001年1月1日開始實施GB17859《計算機資訊系統安全保護等級劃分準則》。2003年,中辦、國辦轉發《國家資訊化領導小組關於加強資訊保安保障工作的意見》***中辦發〔2003〕27號***,提出實行資訊保安等級保護,建立國家資訊保安保障體系的明確要求。2004年9月17日,公安部、國家保密局、國家密碼管理委員會辦公室、國務院資訊辦下發了《關於資訊保安等級保護工作的實施意見》,明確了資訊保安等級保護的重要意義、原則、基本內容、工作職責分工、要求和實施計劃。2006年1月17日,四部門又下發了《資訊保安等級保護管理辦法***試行***》,進一步確定職責分工,明確了公安機關負責全面工作、國家保密工作部門負責涉密資訊系統、國家密碼管理部門負責密碼工作、國務院資訊辦負責的管理職責和要求。涉及國家祕密的資訊系統應當依據國家資訊保安等級保護的基本要求,按照國家保密工作部門涉密資訊系統分級保護的管理規定和技術標準,結合系統實際情況進行保護。
由於資訊系統結構是應社會發展、社會生活和工作的需要而設計、建立的,是社會構成、行政組織體系的反映,因而這種系統結構是分層次和級別的,而其中的各種資訊系統具有重要的社會和經濟價值,不同的系統具有不同的價值。系統基礎資源和資訊資源的價值大小、使用者訪問許可權的大小、大系統中各子系統重要程度的區別等就是級別的客觀體現。資訊保安保護必須符合客觀存在和發展規律,其分級、分割槽域、分類和分階段是做好國家資訊保安保護的前提。
資訊系統安全等級保護將安全保護的監管級別劃分為五個級別:
第一級:使用者自主保護級 完全由使用者自己來決定如何對資源進行保護,以及採用何種方式進行保護。
第二級:系統審計保護級 本級的安全保護機制受到資訊系統等級保護的指導,支援使用者具有更強的自主保護能力,特別是具有訪問審計能力。即能建立、維護受保護物件的訪問審計跟蹤記錄,記錄與系統安全相關事件發生的日期、時間、使用者和事件型別等資訊,所有和安全相關的操作都能夠被記錄下來,以便當系統發生安全問題時,可以根據審計記錄,分析追查事故責任人,使所有的使用者對自己行為的合法性負責。
第三級:安全標記保護級 除具有第二級系統審計保護級的所有功能外,還它要求對訪問者和訪問物件實施強制訪問控制,並能夠進行記錄,以便事後的監督、審計。通過對訪問者和訪問物件指定不同安全標記,監督、限制訪問者的許可權,實現對訪問物件的強制訪問控制。
第四級:結構化保護級 將前三級的安全保護能力擴充套件到所有訪問者和訪問物件,支援形式化的安全保護策略。其本身構造也是結構化的,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分強制性地直接控制訪問者對訪問物件的存取,使之具有相當的抗滲透能力。本級的安全保護機制能夠使資訊系統實施一種系統化的安全保護。
第五級:訪問驗證保護級 這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能,負責仲裁訪問者對訪問物件的所有訪問活動,仲裁訪問者能否訪問某些物件從而對訪問物件實行專控,保護資訊不能被非授權獲取。因此,本級的安全保護機制不易被攻擊、被篡改,具有極強的抗滲透的保護能力。
在等級保護的實際操作中,強調從五個部分進行保護,即:
物理部分:包括周邊環境,門禁檢查,防火、防水、防潮、防鼠、蟲害和防雷,防電磁洩漏和干擾,電源備份和管理,裝置的標識、使用、存放和管理等;
支撐系統:包括計算機系統、作業系統、資料庫系統和通訊系統;
網路部分:包括網路的拓撲結構、網路的佈線和防護、網路裝置的管理和報警,網路攻擊的監察和處理;
應用系統:包括系統登入、許可權劃分與識別、資料備份與容災處理,執行管理和訪問控制,密碼保護機制和資訊儲存管理;
管理制度:包括管理的組織機構和各級的職責、許可權劃分和責任追究制度,人員的管理和培訓、教育制度,裝置的管理和引進、退出制度,環境管理和監控,安防和巡查制度,應急響應制度和程式,規章制度的建立、更改和廢止的控制程式。
由這五部分的安全控制機制構成系統整體安全控制機制。
涉密資訊系統分級保護
1997年《中共中央關於加強新形勢下保密工作的決定》明確了在新形勢下保密工作的指導思想和基本任務,提出要建立與《保密法》相配套的保密法規體系和執法體系,建立現代化的保密技術防範體系。中央保密委員會於2004年12月23日下發了《關於加強資訊保安保障工作中保密管理若干意見》明確提出要建立健全涉密資訊系統分級保護制度。2005年12月28日,國家保密局下發了《涉及國家祕密的資訊系統分級保護管理辦法》,同時,《保密法》修訂草案也增加了網路安全保密管理的條款。隨著《保密法》的貫徹實施,國家已經基本形成了完善的保密法規體系。
涉密資訊系統實行分級保護,先要根據涉密資訊的涉密等級,涉密資訊系統的重要性,遭到破壞後對國計民生造成的危害性,以及涉密資訊系統必須達到的安全保護水平來確定資訊保安的保護等級;涉密資訊系統分級保護的核心是對資訊系統安全進行合理分級、按標準進行建設、管理和監督。國家保密局專門對涉密資訊系統如何進行分級保護制定了一系列的管理辦法和技術標準,目前,正在執行的兩個分級保護的國家保密標準是BMB17《涉及國家祕密的資訊系統分級保護技術要求》和BMB20《涉及國家祕密的資訊系統分級保護管理規範》。從物理安全、資訊保安、執行安全和安全保密管理等方面,對不同級別的涉密資訊系統有明確的分級保護措施,從技術要求和管理標準兩個層面解決涉密資訊系統的分級保護問題。
涉密資訊系統安全分級保護根據其涉密資訊系統處理資訊的最高密級,可以劃分為祕密級、機密級和機密級***增強***、絕密級三個等級:
祕密級:資訊系統中包含有最高為祕密級的國家祕密,其防護水平不低於國家資訊保安等級保護三級的要求,並且還必須符合分級保護的保密技術要求。
機密級:資訊系統中包含有最高為機密級的國家祕密,其防護水平不低於國家資訊保安等級保護四級的要求,還必須符合分級保護的保密技術要求。屬於下列情況之一的機密級資訊系統應選擇機密級***增強***的要求:
***1***資訊系統的使用單位為副省級以上的黨政首腦機關,以及國防、外交、國家安全、軍工等要害部門;
***2***資訊系統中的機密級資訊含量較高或數量較多;
***3***資訊系統使用單位對資訊系統的依賴程度較高。
絕密級:資訊系統中包含有最高為絕密級的國家祕密,其防護水平不低於國家資訊保安等級保護五級的要求,還必須符合分級保護的保密技術要求,絕密級資訊系統應限定在封閉的安全可控的獨立建築內,不能與都會網路或廣域網相聯。
涉密資訊系統分級保護的管理過程分為八個階段,即系統定級階段、安全規劃方案設計階段、安全工程實施階段、資訊系統測評階段、系統審批階段、安全執行及維護階段、定期評測與檢查階段和系統隱退終止階段等。在實際工作中,涉密資訊系統的定級、安全規劃方案設計的實施與調整、安全執行及維護三個階段,尤其要引起重視。
系統定級決定了系統方案的設計實施、安全措施、執行維護等涉密資訊系統建設的各個環節,因此如何準確地對涉密資訊系統進行定級在涉密資訊系統實施分級保護中尤為重要。涉密資訊系統定級遵循“誰建設、誰定級"的原則,可以根據資訊密級、系統重要性和安全策略劃分為不同的安全域,針對不同的安全域確定不同的等級,並進行相應的保護。在涉密資訊系統定級時,可以綜合考慮涉密資訊系統中資產、威脅、受到損害後的影響,以及使用單位對涉密資訊系統的信賴性等因素對涉密資訊系統進行整體定級;同時,在同一個系統裡,還允許劃分不同的安全域,在每個安全域可以分別定級,不同的級別採取不同的安全措施,更加科學地實施分級保護,在一定程度上可以解決保重點,保核心的問題,也可以有效地避免因過度保護而造成應用系統執行效能降低以及投資浪費等問題。涉密資訊系統建設單位在定級的同時,必須報主管部門審批。
涉密資訊系統要按照分級保護的標準,結合涉密資訊系統應用的實際情況進行方案設計。設計時要逐項進行安全風險分析,並根據安全風險分析的結果,對部分保護要求進行適當的調整和改造,調整應以不降低涉密資訊系統整體安全保護強度,確保國家祕密安全為原則。當保護要求不能滿足實際安全需求時,應適當選擇採用部分較高的保護要求,當保護要求明顯高於實際安全需求時,可適當選擇採用部分較低的保護要求。對於安全策略的調整以及改造方案進行論證,綜合考慮修改項和其他保護要求之間的相關性,綜合分析,改造方案的實施以及後續測評要按照國家的標準執行,並且要求文件化。在設計完成之後要進行方案論證,由建設使用單位組織有關的專家和部門進行方案設計論證,確定總體方案達到分級保護技術的要求後再開始實施;在工程建設實施過程中注意工程監理的要求;建設完成之後應該進行審批;審批前由國家保密局授權的涉密資訊系統測評機構進行系統測評,確定在技術層面是否達到了涉密資訊系統分級保護的要求。
執行及維護過程的不可控性以及隨意性,往往是涉密資訊系統安全執行的重大隱患。通過執行管理和控制、變更管理和控制,對安全狀態進行監控,對發生的安全事件及時響應,在流程上對系統的執行維護進行規範,從而確保涉密資訊系統正常執行。通過安全檢查和持續改進,不斷跟蹤涉密資訊系統的變化,並依據變化進行調整,確保涉密資訊系統滿足相應分級的安全要求,並處於良好安全狀態。由於執行維護的規範化能夠大幅度地提高系統執行及維護的安全級別,所以在執行維護中應儘可能地實現流程固化,操作自動化,減少人員參與帶來的風險。還需要注意的是在安全執行及維護中保持系統安全策略的準確性以及與安全目標的一致性,使安全策略作為安全執行的驅動力以及重要的制約規則,從而保持整個涉密資訊系統能夠按照既定的安全策略執行。在安全執行及維護階段,當局部調整等原因導致安全措施變化時,如果不影響系統的安全分級,應從安全執行及維護階段進入安全工程實施階段,重新調整和實施安全措施,確保滿足分級保護的要求;當系統發生重大變更影響系統的安全分級時,應從安全執行及維護階段進入系統定級階段,重新開始一次分級保護實施過程。
隨著我們國家民主與法制建設程序的不斷推進,保密的範圍和事項正在逐步減少,致使一些涉密人員保密意識和敵情觀念淡化,對保密工作的必要性和重要性認識不足。雖然長期處於和平時期,但並不意味著無密可保。事實上,政府部門掌握著大量重要甚至核心的機密,已成為各種竊密活動的重點目標。我黨政機關和軍工單位也是國家祕密非常集中的領域,一直是竊密與反竊密,滲透與反滲透的主戰場。據國家有關部門統計,在全國洩密事件中,軍工系統佔有很大比例。境內外敵對勢力和情報機構以我黨政軍機關和軍工單位為主要目標的竊密活動更加突出,滲透與反滲透、竊密與反竊密的鬥爭更加激烈。由於一些單位涉密資訊系統安全保障能力不夠、管理不力,導致涉密資訊系統洩密案件的比例逐年上升,安全保密形勢非常嚴峻。因此嚴格按照涉密資訊系統分級保護的要求,加強涉密資訊系統建設意義重大。
等級保護和分級保護之間的關係
國家資訊保安等級保護與涉密資訊系統分級保護是兩個既有聯絡又有區別的概念。涉密資訊系統分級保護是國家資訊保安等級保護的重要組成部分,是等級保護在涉密領域的具體體現。
國家安全資訊等級保護重點保護的物件是涉及國計民生的重要資訊系統和通訊基礎資訊系統,而不論它是否涉密。如:
***1*** 國家事務處理資訊系統***黨政機關辦公系統***;
***2*** 金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的資訊系統;
***3*** 國防工業企業、科研等單位的資訊系統;
***4*** 公用通訊、廣播電視傳輸等基礎資訊網路中的計算機資訊系統;
***5*** 網際網路網路管理中心、關鍵節點、重要網站以及重要應用系統;
***6***其他領域的重要資訊系統。
國家實行資訊保安等級保護制度,有利於建立長效機制,保證安全保護工作穩固、持久地進行下去;有利於在資訊化建設過程中同步建設資訊保安設施,保障資訊保安與資訊化建設相協調;有利於突出重點,加強對涉及國家安全、經濟命脈、社會穩定的基礎資訊網路和重要資訊系統的安全保護和管理監督;有利於明確國家、企業、個人的安全責任,強化政府監管職能,共同落實各項安全建設和安全管理措施;有利於提高安全保護的科學性、針對性,推動網路安全服務機制的建立和完善;有利於採取系統、規範、經濟有效、科學的管理和技術保障措施,提高整體安全保護水平,保障資訊系統安全正常執行,保障資訊保安,進而保障各行業、部門和單位的職能與業務安全、高速、高效地運轉;有利於根據所保護的資訊的重要程度,決定保護等級,防止“過保護”和“欠保護”的情況發生;有利於資訊保安保護科學技術和產業化發展。
涉密資訊系統分級保護保護的物件是所有涉及國家祕密的資訊系統,重點是黨政機關、軍隊和軍工單位,由各級保密工作部門根據涉密資訊系統的保護等級實施監督管理,確保系統和資訊保安,確保國家祕密不被洩漏。國家祕密資訊是國家主權的重要內容,關係到國家的安全和利益,一旦洩露,必將直接危害國家的政治安全、經濟安全、國防安全、科技安全和文化安全。沒有國家祕密的資訊保安,國家就會喪失資訊主權和資訊控制權,所以國家祕密的資訊保安是國家資訊保安保障體系中的重要組成部分。
因為不同類別、不同層次的國家祕密資訊,對於維護國家安全和利益具有不同的價值,所以需要不同的保護強度種措施。對不同密級的資訊,應當合理平衡安全風險與成本,採取不同強度的保護措施,這就是分級保護的核心思想。對涉密資訊系統的保護,既要反對只重應用不講安全,防護措施不到位造成各種洩密隱患和漏洞的“弱保護”現象;同時也要反對不從實際出發,防護措施“一刀切”,造成經費與資源浪費的“過保護”現象。對涉密資訊系統實行分級保護,就是要使保護重點更加突出,保護方法更加科學,保護的投入產出比更加合理,從而徹底解決長期困擾涉密單位在涉密資訊系統建設使用中的網路互聯與安全保密問題。
由上可以看出國家資訊保安等級保護是國家從整體上、根本上解決國家資訊保安問題的辦法, 進一步確定了資訊保安發展的主線和中心任務,
提出了總體要求。對資訊系統實行等級保護是國家法定製度和基本國策,是開展資訊保安保護工作的有效辦法,是資訊保安保護工作的發展方向。而涉密資訊系統分級保護則是國家資訊保安等級保護在涉及國家祕密資訊的資訊系統中的特殊保護措施與方法。由於國家祕密資訊與公開資訊在內容和特性上有著明顯的區別,所以涉密資訊系統和公眾資訊系統在保障安全的原則、系統和方法等方面也有不同的要求。既不能用維護國家祕密資訊保安的辦法去維護國家公眾資訊保安,以至於影響資訊的合理利用,阻礙資訊化的發展;也不能用維護公眾資訊保安的辦法來維護國家的祕密資訊保安,以至於竊密、洩密事件的發生,危害國家的安全和利益,同樣影響資訊化的健康發展。
猜你喜歡
浙江省導遊人員管理辦法