隨著我國信息系統(tǒng)建設的逐步完善，信息安全越來越得到重視，目前.我國已提出實行信息安全等級保護管理，并建立了涉密信息系統(tǒng)分級保護制度。

　　1、信息安全等級保護

　　2003年，中辦、國辦轉(zhuǎn)發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)〔2003]27號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。

　　信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

　　信息系統(tǒng)的安全保護等級分為五級:

　　第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自已來決定如何對資源進行保護，以及采用何種方式進行保護。

　　第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級別是系統(tǒng)審計保護級。本級的安全保護機制受到信息系統(tǒng)等級保護的指導，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。即能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關的操作都能夠被記錄下來，以便當系統(tǒng)發(fā)生安全問題時.可以根據(jù)審計記錄，分析追查事故責任人，使所有的用戶對自己行為的合法性負責。

　　第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害.或者對國家安全造成損害。該級別是安全標記保護級。除具有第二級系統(tǒng)審計保護級的所有功能外，它還要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄。以便事后的監(jiān)督、審計。通過對訪問者和訪問對象指定不同安全標記，監(jiān)督、限制訪問者的權限，實現(xiàn)對訪問對象的強制訪問控制。

　　第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該級別是結構化保護級。將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構造也是結構化的，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分強制性地直接控制訪問者對訪問對象的存取，使之具有相當?shù)目節(jié)B透能力。本級的安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。

　　第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責管理訪問者對訪問對象的所有訪問活動，管理訪問者能否訪問某些對象從而對訪問對象實行專控，保護信息不能被非授權獲取。因此，本級的安全保護機制不易被攻擊、被篡改，具有極強的抗?jié)B透的保護能力。

　　2、涉密信息系統(tǒng)分級保護

　　2004年，中保委下發(fā)《關于加強信息安全保障工作中保密管理的若干意見》(中保委發(fā)〔2004)7號)，明確提出建立健全涉密信息系統(tǒng)分級保護制度。

　　涉及國家秘密的信息系統(tǒng)要按照黨和國家有關保密規(guī)定進行保護。我國的國家秘密分為秘密、機密、絕密三級，涉密信息系統(tǒng)也按照秘密、機密、絕密三級進行分級管理。

　　秘密級:信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求.并且還必須符合分級保護的保密技術要求。

　　機密級:信息系統(tǒng)中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術要求。屬下列情況之一的機密級信息系統(tǒng)應按機密級(增強)要求管理:

　　(1)信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關，以及國防、外交、國家安全、軍工等要害部門;

　　(2)信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多;

　　(3)信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。

　　絕密級:信息系統(tǒng)中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術要求，絕密級信息系統(tǒng)應限定在封閉的安全可控的獨立建筑內(nèi)，不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

　　涉密信息系統(tǒng)的等級由系統(tǒng)使用單位確定，按照“誰主管、誰負責”的原則進行管理。實現(xiàn)對不同等級的涉密信息系統(tǒng)進行分級保護，對涉密信息系統(tǒng)使用的安全保密產(chǎn)品進行分級管理，對涉密信息系統(tǒng)發(fā)生的泄密事件進行分級處置。

　　3、等級保護與分級保護的關系

　　國家信息安全等級保護與涉密信息系統(tǒng)分級保護既有聯(lián)系又有區(qū)別。

　　國家安全信息等級保護，重點保護的對象是非涉密的涉及國計民生的重要信息系統(tǒng)和通信基礎信息系統(tǒng);涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現(xiàn)。涉密信息分級是按照信息的密級進行劃分的，保護水平分別不低于等級保護三、四、五級的要求，除此之外，還必須符合分級保護的保密技術要求。對于防范網(wǎng)絡泄密，加強信息化條件下的保密工作，具有十分重要的意義。

　　不同類別、不同層次的國家秘密信息，對于維護國家安全和利益具有不同的價值，因而需要不同的保護強度和措施。對不同密級的信息，應當合理平衡安全風險與成本，采取不同強度的保護措施，這就是分級保護的核心思想。對涉密信息系統(tǒng)的保護，既要反對只重應用不講安全.防護措施不到位造成各種泄密隱患和漏洞的‘.弱保護”現(xiàn)象;同時也要反對不從實際出發(fā)，防護措施“一刀切”，造成經(jīng)費與資源浪費的“過保護”現(xiàn)象。對涉密信息系統(tǒng)實行分級保護.就是要使保護重點更加突出。保護方法更加科學.保護的投入產(chǎn)出比更加合理，從而徹底解決長期困擾涉密單位在涉密信息系統(tǒng)建設使用中網(wǎng)絡互聯(lián)與安全保密的問題。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：信息安全中的等級保護與分級保護初探

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083954639.html