信息安全等级保护与分级认证
信息安全等级保护解决方案
整体方案保证
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
防火墙策略
USG防火墙
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
辅助防火墙设备部署QOS策略
USG防火墙、ASG
主机身份鉴别设定+堡垒机辅助
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
加密管理,对服务器的远程管理采用SSH、SSL等加密协议,可由堡垒机辅助实现
主机身份鉴别设定+堡垒机辅助
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
g) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
第一层次基于IP的访问控制,基本防火墙能力
第二层次基于用户身份的访问控制,下一代防火墙支持,配合AAA系统使用
USG防火墙
h) 应限制具有拨号访问权限的用户数量。
拨号接入设备控制(可能包括PPTP等VPN方式)
要点:管理用户权限分离敏感标记的设置
要点:审计记录审计报表审计记录的保护
要点:空间释放信息清除
要点:记录、报警、阻断
要点:记录、报警、阻断与网络恶意代码库分离
要点:监控重要服务器最小化服务检测告警
在云计算环境中,除以上必要的保护措施外,还需考虑不同租户存储空间的隔离、对外提供API的访问控制、虚拟资源占用控制以及杀毒风暴的避免等措施
THE BUSENESS PLAN
信息安全等级保护解决方案
等级保护背景介绍发展历程
信息安全等级保护体系解读
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指
况
导
分
安全要求
析
信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)
信息安全等级保护2.0标准
信息安全等级保护2.0标准
信息安全等级保护2.0 标准是中国国家标准,用于指导信息系统的安全保护工作。
以下是信息安全等级保护 2.0 标准的一些主要方面:
1. 安全等级划分:标准将信息系统的安全等级划分为五个等级,从一级到五级,等级越高,安全要求越高。
2. 安全要求:标准规定了不同等级信息系统的安全要求,包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。
3. 安全管理:标准强调了安全管理的重要性,包括安全策略、安全组织、人员管理、安全培训等方面。
4. 安全评估:标准要求对信息系统进行定期的安全评估,以确保信息系统的安全等级符合要求。
5. 安全监测:标准要求对信息系统进行实时的安全监测,及时发现和处理安全事件。
6. 应急响应:标准要求建立应急响应机制,及时处理安全事件,降低安全事件的影响。
信息安全等级保护2.0 标准是信息系统安全保护的重要指导文件,它可以帮助信息系统管理者提高信息系统的安全等级,保障信息系统的安全和稳定运行。
信息安全等级保护制度
信息安全等级保护制度信息安全等级保护制度是指通过对信息系统进行安全评估,根据其安全风险等级的不同,对相关信息进行分级保护的制度。
该制度的目的是保护信息系统的安全,防止信息泄露、被篡改或被破坏,确保关键信息的机密性、完整性和可用性。
下面将重点介绍信息安全等级保护制度的主要内容。
首先,信息安全等级保护制度的制定需要明确的技术和管理标准。
技术标准包括基础设施、网络安全、加密算法等方面的标准,用于评估信息系统的安全风险等级。
管理标准包括组织安全管理、风险管理、安全培训等方面的要求,用于规范信息系统的安全保护工作。
其次,制度还需要包括信息安全等级评估的程序和方法。
评估的程序主要包括评估前准备、信息收集、风险分析、等级划定、评估报告等环节。
评估的方法可以采用定性分析、定量分析或综合分析等不同的方法,根据实际情况选择合适的方法进行评估。
接着,制度还需要明确不同等级的信息安全保护要求。
根据评估结果,将信息系统划分为不同的安全等级,每个等级都有相应的安全保护要求。
例如,高等级的信息系统需要采取更加严格的措施来保护其安全,如加密通信、身份认证、访问控制等。
而低等级的信息系统则可以采取相对简单的措施来保护其安全。
最后,制度还需要明确信息安全等级的监督和管理机制。
监督和管理机制应包括对信息系统安全保护措施的检查和评估,对违规行为的处罚和处置,对信息系统安全事件的处理等。
此外,还需要建立相关的培训和宣传制度,提高员工对信息安全的认识和意识。
总之,信息安全等级保护制度是一项非常重要的制度,对于保护信息系统的安全起着关键的作用。
通过制定明确的技术和管理标准,并采用合适的评估方法,明确不同等级的安全保护要求,建立监督和管理机制,可以有效地提高信息系统的安全性,保护信息的机密性、完整性和可用性。
信息安全三级等保认证要求
信息安全三级等保认证要求信息安全是现代社会中一项非常重要的任务。
为了确保关键信息系统的安全性,国家对涉及国家安全和公共利益的信息系统进行了等级划分。
三级等保认证是指对关键信息系统进行认证的最高等级,其要求非常严格和繁琐。
首先,三级等保认证要求关键信息系统拥有严格的保密性。
该系统的数据必须具备严格的密级管理,确保关键数据的机密性和安全性。
同时,对系统的物理设备和存储介质也要采取相应的防护措施,以防止信息泄露的风险。
其次,三级等保认证要求关键信息系统具备高度的完整性。
系统必须能够对数据进行准确、完整地记录、存储和传输,以保证数据的完整性和可靠性。
系统还需要具备完善的审计和日志功能,用于记录系统的操作日志和事件,以便进行溯源和识别异常行为。
第三,三级等保认证要求关键信息系统具备可靠的可用性。
系统必须具备高度的稳定性和可靠性,以保证在面临各种攻击和恶意行为时,系统能够继续正常运行和提供服务。
系统需要进行灾备和容灾的规划,并建立相应的备份和恢复机制,以应对各种可能的故障和灾难。
此外,三级等保认证还要求对关键信息系统进行全面的安全防护。
包括但不限于安全管理制度的建立和实施、安全技术措施的应用和运用、安全操作规范的制定和执行等。
必须对系统的网络安全、数据安全、系统安全等方面进行综合的保护,以防止各种网络攻击和安全威胁。
综上所述,信息安全三级等保认证是对关键信息系统进行认证的最高等级,其要求非常严格和繁琐。
在实施认证过程中,需要对系统的保密性、完整性、可用性以及全面的安全防护进行严格的要求和考核。
只有通过三级等保认证的关键信息系统才能够得到国家的认可和信任,从而确保信息安全的可靠性和稳定性。
信息安全等级保护实施方案
信息安全等级保护实施方案根据国家相关法律法规和政策要求,结合公司实际情况,为保障信息系统和重要信息资产的安全,提出以下信息安全等级保护实施方案:一、信息安全等级保护的基本原则1. 可追溯性原则:所有信息系统的访问和操作行为都应该被记录并可追溯。
2. 有权限访问原则:对不同信息系统中的重要信息资产,应该设定不同的访问权限。
3. 安全传输原则:对于重要的信息传输,应该采用加密等安全技术,保障传输过程的安全。
4. 安全审计原则:对信息系统进行定期的安全审计,发现和解决安全问题。
二、信息安全等级保护的实施步骤1. 划分信息安全等级:对公司的信息资产进行调查和评估,划分出不同的安全等级,确定不同等级的保护要求。
2. 制定安全策略:根据不同等级的保护要求,制定信息安全相关的策略和规定,包括权限管理、加密传输、安全审计等。
3. 技术保障措施:对信息系统进行技术加固,包括设立防火墙、入侵检测系统、安全补丁等。
4. 培训和教育:对公司员工进行信息安全教育,提高员工的信息安全意识,减少安全漏洞产生的可能。
三、信息安全等级保护的监督管理1. 设立信息安全管理部门:专门负责信息安全管理的部门,负责信息安全等级保护的制定和执行。
2. 分级管理:根据信息安全等级的要求,对各个部门的信息系统进行分级管理,并进行监督检查。
3. 安全事件处理:对于发生的安全事件,及时进行处理,并进行安全事件的分析和总结,防止类似事件再次发生。
以上就是信息安全等级保护的实施方案,希望能够有效保障公司的信息资产安全。
信息安全等级保护是任何企业都需要高度重视的重要工作。
通过制定严格的保护措施和实施方案,可以有效地防范各类安全风险,保护企业的核心机密信息不被泄露、篡改或丢失。
在实施方案中,重要的是要明确责任分工,确保每个环节都得到有效的监管和跟踪。
首先,在信息安全等级保护的实施过程中,需要建立健全的安全管理体系,明确各级管理人员的安全责任,确保安全政策得到全面贯彻执行。
it产品信息安全认证 分类分级标准
it产品信息安全认证分类分级标准"IT产品信息安全认证分类分级标准"是当今信息技术领域中备受关注的一个话题。
信息安全问题已经成为各行各业不可忽视的重要议题,特别是随着互联网和大数据时代的到来,对IT产品信息安全认证的需求更加迫切。
在这篇文章中,我们将从简单到复杂,由浅入深地探讨这一主题,以帮助读者全面领会IT产品信息安全认证分类分级标准的重要性和复杂性。
1. 背景介绍让我们先从IT产品信息安全认证的背景介绍开始。
随着信息技术的不断发展和普及,人们对个人隐私安全和数据保护的关注度越来越高。
网络安全事件的频发也使人们对IT产品信息安全认证的需求日益增加。
信息安全认证是指对IT产品在设计、研发、生产、销售和使用中,对信息安全性能、漏洞和缺陷进行评估、测试、鉴定和认证的活动。
在这一背景下,各国纷纷制定了一系列的信息安全认证标准和分类分级标准,以保障IT产品的安全性和可信度。
2. IT产品信息安全认证分类分级标准的重要性我们需要了解IT产品信息安全认证分类分级标准的重要性。
信息安全认证的分类分级标准不仅可以帮助企业和消费者选择具有高度可信度和安全性的IT产品,还可以指导IT企业开展信息安全保护工作,规范和促进信息化产品在安全性方面的发展。
信息安全认证分类分级标准还可以提升国家信息安全管理和监管的效能,防范和化解网络安全风险,维护国家和社会的信息安全和稳定。
对IT产品信息安全认证分类分级标准的重要性不言而喻。
3. IT产品信息安全认证分类分级标准的内容和体系接下来,让我们深入了解IT产品信息安全认证分类分级标准的内容和体系。
各国或地区在信息安全认证方面都制定了各自的标准和分类分级体系。
国际上比较知名的包括ISO/IEC 27001信息安全管理体系认证、ISO/IEC 15408计算机系统信息安全性标准等。
而在中国,信息安全认证标准包括了GB/T 20250信息安全技术等级保护系统、GB/T 22239信息安全技术安全等级评定等。
信息安全技术网络安全等级保护基本要求
信息安全技术网络安全等级保护基本要求随着信息技术的迅猛发展,网络安全问题日益凸显。
为了有效保障信息系统和网络的安全性,建立科学合理的安全等级保护体系成为一项重要任务。
本文将探讨信息安全技术网络安全等级保护的基本要求,并提供一套适用的基本保护措施。
1. 系统安全性要求为确保信息系统的安全性,首先需要对系统进行合理的安全性评估和划分等级。
根据实际情况,信息系统可以划分为不同的安全等级,例如高、中、低三个等级。
各个等级的系统应满足以下基本要求:1.1 认证与授权:系统应具备严格的身份认证和授权机制,确保只有合法的用户可以访问系统的各项资源,并设置相应的权限层级。
1.2 信息保密性:系统应采用加密技术来保障信息的传输和存储安全,确保敏感信息不被未授权的人员获得。
1.3 安全审计:系统应具备完善的安全审计机制,记录所有安全事件和操作行为,以便追溯和分析。
1.4 异常检测与响应:系统应能够及时发现异常行为,并作出相应的响应措施,以保障网络环境的安全运行。
2. 网络安全性要求除了系统安全性的要求,网络安全性也是网络安全等级保护的重要方面。
以下为几项基本的网络安全性要求:2.1 用户身份鉴别:网络应具备可靠的用户身份鉴别机制,确保网络资源仅对合法用户开放。
2.2 访问控制:网络应设置适当的访问控制策略,限制对敏感资源的访问。
同时,应定期检查和更新授权策略,保证网络安全性。
2.3 网络流量监控:网络应配备网络流量监控系统,实时监测网络流量,及时发现并应对异常访问和攻击。
2.4 防火墙设置:网络安全级别较高的区域应设置防火墙,并定期检查更新其规则,以协助抵御外部攻击。
3. 密码与加密要求密码与加密技术是信息安全的重要支撑手段。
建立完善的密码与加密管理体系能够更好地保护信息安全。
以下是该方面的基本要求:3.1 密码安全性:系统应要求用户使用足够复杂的密码,并定期更换密码,以增加密码的安全性。
3.2 数据加密:对于敏感信息,应在传输和存储过程中采用可靠的加密算法,确保信息不会被窃取和篡改。
信息安全等保等级
信息安全等保等级信息安全等保等级是指对信息系统的安全性进行评估和等级划分的一种方法。
根据信息系统的重要性和敏感程度,将其划分为不同的等级,并为每个等级制定不同的安全措施和管理要求。
本文将从不同等级的定义和特点、等级划分的依据和方法、等级保护的措施和管理要求等方面进行阐述。
一、不同等级的定义和特点信息安全等保等级分为四个等级,即一级、二级、三级和四级。
不同等级之间的主要区别在于信息系统的重要性和敏感程度。
一级等保是对国家重要信息系统的保护,主要面向国家安全和国家利益;二级等保是对重要信息系统的保护,主要面向国家安全和社会公共利益;三级等保是对较重要信息系统的保护,主要面向社会公共安全和社会公共利益;四级等保是对一般信息系统的保护,主要面向社会公共利益和个人权益。
不同等级之间的特点也有所不同。
一级等保的特点是安全性要求极高,需要采用最严格的安全措施和管理要求;二级等保的特点是安全性要求较高,需要采用较严格的安全措施和管理要求;三级等保的特点是安全性要求一般,需要采用一般的安全措施和管理要求;四级等保的特点是安全性要求较低,需要采用较宽松的安全措施和管理要求。
二、等级划分的依据和方法信息安全等保等级的划分主要依据是信息系统的重要性和敏感程度。
划分等级的方法可以采用定性和定量相结合的方法。
定性方法是根据信息系统的功能、用途、数据类型等进行判断和划分;定量方法是通过对信息系统的安全风险进行评估和量化,然后根据评估结果进行划分。
在等级划分的过程中,需要考虑的因素包括信息系统的功能、用途、数据类型、对外联网情况、系统规模、关键业务流程等。
同时,还需要参考相关的法律法规、标准规范和行业要求,以确保等级划分的准确性和合理性。
三、等级保护的措施和管理要求不同等级的信息安全等保有不同的措施和管理要求。
一级等保需要采取最高级别的安全措施,包括安全审计、安全监控、安全漏洞修复、安全事件响应等;同时,还需要建立完善的安全管理制度,包括安全策略、安全规范、安全培训等。
信息安全等级保护的5个级别
信息安全等级保护的5个级别信息安全是当今社会中不可忽视的重要问题,随着互联网技术的发展和普及,信息安全问题也日益凸显。
为了更好地保护信息安全,不同的信息系统需要根据其特点和重要性采取不同的安全等级保护措施。
在我国,信息安全等级保护分为5个级别,分别是一级、二级、三级、四级和五级。
下面将逐级介绍这5个级别的信息安全等级保护标准。
一级信息安全等级保护是指对一般信息系统的保护要求,主要针对一般的商业信息系统和政府信息系统。
在一级保护中,主要的安全措施包括对系统的基本管理、网络安全防护、数据备份和恢复等方面的要求。
一级信息安全等级保护要求相对较低,适用于一般的商业和政府信息系统。
二级信息安全等级保护是在一级的基础上进一步提高了安全保护的要求,主要针对一些重要的商业信息系统和政府信息系统。
在二级保护中,除了满足一级保护的要求外,还需要加强对系统的访问控制、数据加密、安全审计等方面的保护措施。
二级信息安全等级保护适用于一些对信息安全要求较高的商业和政府信息系统。
三级信息安全等级保护是在二级的基础上进一步提高了安全保护的要求,主要针对一些非常重要的商业信息系统和政府信息系统。
在三级保护中,除了满足二级保护的要求外,还需要加强对系统的身份认证、安全通信、安全管理等方面的保护措施。
三级信息安全等级保护适用于一些对信息安全要求非常高的商业和政府信息系统。
四级信息安全等级保护是在三级的基础上进一步提高了安全保护的要求,主要针对一些非常重要的商业信息系统和政府信息系统。
在四级保护中,除了满足三级保护的要求外,还需要加强对系统的安全审计、安全管理、应急响应等方面的保护措施。
四级信息安全等级保护适用于一些对信息安全要求非常高的商业和政府信息系统。
五级信息安全等级保护是在四级的基础上进一步提高了安全保护的要求,主要针对一些绝对重要的商业信息系统和政府信息系统。
在五级保护中,除了满足四级保护的要求外,还需要加强对系统的安全评估、安全认证、安全监控等方面的保护措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护与分级认证中国信息安全产品测评认证中心陈晓桦一、走近我国信息安全测评认证什么是信息安全测评认证?首先我们需要了解测试、评估、认证这三个相互关联却实质各异的概念。
测试是一种技术操作,它按规定的程序对给定的产品、材料、设备等一种或多种特性进行判定;评估是对测试/检验产生的数据进行分析,形成结论的一种技术活动,由于目前计算机技术和自动化工具的发展,测试和评估往往是合为一体的。
认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平。
认证以标准和测试、检验、评估的结果为依据。
具体到信息安全测评认证,测评是指专门的机构根据一定的标准,通过对信息安全产品和信息系统进行测试和评估,确定产品或者系统能够达到安全级别可信程度。
测评包括生产商自我测试与评估、用户测试、专家鉴定会、第三方测评等多种类型,是检验产品好坏和是否安全的根本手段。
相对来说,来自第三方的测评是比较科学和客观的。
信息安全的认证是代表国家对达到评价标准和标准要求的产品和系统进行的一种独立于用户和厂商之间的第三方的认可活动,表明其特点和功能达到了规定的要求。
信息安全测评认证具有重要的意义,它能促进信息技术产业的进步与成熟;提高信息技术产品的市场竞争力,帮助厂家发现问题,用更高更严的标准来要求制作,提升厂家的开发能力;有利于国家对信息安全产业和市场准入进行管理,合格产品的市场进入与流通,以及政府采购中产品安全性的保证;推动信息安全技术和标准化的进程。
在我国,经中央批准成立、国家质量监督检验检疫总局授权,中国信息安全产品测评认证中心代表国家开展信息安全测评认证工作,并依据国家有关产品质量认证和信息安全管理的法律法规,管理和运行国家信息安全测评认证体系。
目前,中国信息安全产品测评认证中心开展的认证业务主要包括以下四个方面:信息安全产品认证,信息系统安全认证、信息安全服务资质认证和注册信息安全专业人员资质认证。
主要的技术依据和方法包括:信息技术安全性评估准则(也称为通用评估准则,简称CC,等同于国际标准 ISO/IEC15408)、信息技术安全通用评估方法(CEM)、信息系统安全等级保障评估标准(SCC)、信息安全服务资质评估标(SPC)、信息安全专业人员注册准则,以及国家认证认可管理委员会批准的与安全技术、规范等相关的技术要求文件及其它国内外相关标准等。
产品认证:信息安全产品认证主要分为型号认证和分级认证两种。
其中分级认证根据相应的标准又分成7个级别。
中国信息安全产品测评认证中心目前开展的是1到5级的认证。
其中,对电信智能卡的认证已达到5级,其他安全产品目前最高达到3级。
系统安全认证:系统安全认证的技术标准分为5个级别,目前,我们从技术、工程、管理和综合等方面开展了两个级别的系统认证工作。
在实施过程中,主要分为方案评审、系统测评、系统认证等三个方面。
其中,方案评审是为确定特定信息系统是否达到标准的安全性设计要求;系统测评是对运行中的信息系统的安全功能的技术测试、对信息系统安全技术和管理体系的调查取证和对特定系统运行情况是否达到标准的安全要求的评估;最后进行的系统的认证是对运行系统的组织管理体系的审核。
信息安全服务资质认证:信息安全服务资质认证主要是对信息安全系统服务提供商的资格状况、技术实力和实施安全工程过程质量保证能力等进行具体衡量和评价。
服务资质认证的技术标准最高为五级,目前认证中心已开展1级和2级两个级别的认证。
信息安全人员资质认证:信息安全人员资格认证(简称CISP),是中国信息安全产品认证中心创立的一个品牌,它是对国家信息安全测评认证机构、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的对信息系统的安全提供技术保障的专业岗位人员——“注册信息安全专业人员”的一种认证,是我国信息安全界的一种权威性的人员认证,主要包括CISO(管理者)、CISE(工程师)、CISA(审核员)等。
多年来,中国信息安全产品测评认证中心在国内信息安全人员资质认证、人员培训方面开展了大量工作,目前,已授权12家企事业单位开展培训工作,有600多人先后获得CISP资格的称号。
统计显示,截至2004年12月30日,中国信息安全产品测评认证中心对国内外进行的信息安全产品认证共计300多项;对信息系统的测评认证共计100多项;开展的信息安全专业人员认证共计600多人;对服务厂商的服务资质认证共计60多家。
二、信息安全等级保护等级保护指信息和信息系统要实行等级保护,并根据业务重要程度和实际的安全需求进行保护。
其中包括对相应信息安全产品和安全性进行分级测评认证,对信息安全服务资质、信息安全从业人员进行分级管理,对信息系统中发生的信息安全事件分等级响应处置。
等级保护以“对信息安全分等级、按标准进行建设、管理和监督”为核心,通过分级保护、分类指导、分阶段实施、合理的投入等予以实施。
中办发[2003]27号文《国家信息化领导小组关于加强信息安全保障工作的意见》中强调要实行信息安全等级保护制度。
最近,由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部委联合签发了一个关于信息安全等级保护工作的实施意见,又再次强调实行信息安全等级保护制度的重要性。
等级保护的必要性主要体现在两个方面:其一,对信息安全分级保护是客观需求。
信息系统的建立目标是满足社会发展、社会生活的需要,是社会构成、行政组织体系及其业务体系的反映,这种体系在客观上需要分层次和分级别。
其二,等级化保护符合信息安全发展规律。
按组织结构和业务分布,分层、分类、分级进行保护和管理,分阶段推进等级保护建设,是做好国家信息安全保障工作必须遵循的客观规律。
在国家有关的宣传中,用了7个“有利于”来重点阐述等级保护的重要性:实行信息安全产品与系统、服务的等级保护,有利于建立长效机制,保证信息安全工作稳固、持久地进行;有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于突出重点,加强对涉及国家安全、经济命脉、社会为拟定的基础信息网络和重要信息系统的安全保护和管理监督;有利于明确国家、企业、个人的安全责任,强化政府监督职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、针对性,推动网络安全服务机制的建立和完善;有利于采取系统、规范、经济有效、科学的管理和技术保障措施,提高整体安全技术和管理水平,保障信息系统安全正常运行;有利于信息安全保障技术和产业化的发展,真正做到“兴利除弊”,维护国家安全和社会公共利益,保护公民合法权益的信息网络安全总目标。
中办发[2003] 27号文提出了“积极防御,综合防范”的八字方针,这表明了目前我国信息安全保障工作的重点是在“防护”方面。
等级保护主要是“保护”再加上“等级评定”。
在等级保护里面,除了保护以外,还要加上等级的评定,从而使定级更加科学、保护更加有针对性。
在等级保护的具体措施上包括以下几个步骤:首先,对信息安全等级制定相应的保护制度,从政策的层面、法律法规的层面制定措施;其次,对等级保护制定相应的标准,等级保护有自主保护、指导保护、监督保护、强制保护、专控保护等五种保护,是一种行政意义上的保护,但实际上,具体保护的强度和级别却需要靠客观的技术和标准来测评,因此,制定等级保护的技术标准是基础;另外,信息安全产品和信息系统的分级认证是科学定级的技术手段,技术认证和用户与官方的认可制度是信息系统等级保护持续性的保证。
说到技术标准,国内外专家有不同的看法,我认为,我们的技术标准应该是客观的。
技术标准就像量身高的尺子一样,不会随着人的高矮而改变;也像小时、分、秒等计量单位一样,不会随着时间的变化而改变其计量的长度,多少年都不会发生变化。
一个系统需要采用什么等级来保护,可以由领导来决定,但它的保护强度,是否达到相应的安全具体级别,则需要靠技术来测评。
所以我们讲,制定等级保护的技术标准是基础。
行政性的、或根据实际需要采取的保护等级如何与技术标准相对应,是需要我们研究的重点内容。
当然,我们现有的一些技术标准,并不都是基础性标准,也需要与时俱进,作必要的修订。
对基础性技术标准的制定和修定,应该是一件很严肃的工作。
这是我们对技术标准的理解,也是对等级保护对应关系的一种理解。
三、信息安全分级测评认证为什么要进行信息安全分级测评与认证?首先,这是为等级保护提供技术手段,落实国家等级保护政策的有效体现;其次是为保护用户的利益。
分级测评认证为政府提供信息技术安全产品、服务的采购依据,为各行业用户提供安全信心的保证;第三是为保护厂家的利益。
通过信息安全分级测评认证,提升厂家的信息安全科研生产水平,使产品的研制和生产过程逐步走向规范化和标准化。
国际上信息安全分级测评认证标准的发展大致经历了以下过程:1985年美国国防部颁布了可信计算机的安全评估准则(TCSEC);在此基础上,1990年欧洲和加拿大分别制定了信息技术安全性评价准则(ITSEC)和可信计算机产品评价准则(CTCPEC);1991年美国制定联邦政府评价准则(FC);1995年,在前期的国际信息安全分级测评认证标准的基础上,由六国七方开始制定国际通用准则(CC),1999年CC成为国际标准(ISO/IEC 15408)。
信息安全等级保护需要对产品、系统、服务和人员等方面进行科学的级别评定。
对信息安全分等级进行保护是测评认证工作的共同宗旨和方式。
综观国际,各国都非常重视信息安全分级测评认证工作,美国1985年开始依据TCSEC评估,已进行20年的信息安全分级测评认证,其国家信息安全分级认证由国家安全局与国家标准研究所联合实施;在测评认证方法上,早期为TCSEC,现在为CC 和CEM;目前与国际上十几个国家互认的级别达到四级;英国1991年开始依据ITSEC评估与认证,从1999年ISO/IEC 15408正式发布起,同时开始依据CC 评估与认证。
经过10多年的发展,信息安全分级测评认证工作已趋成熟。
德国、法国、澳大利亚、加拿大、荷兰等国家也先后建立起国家信息安全测评认证体系,而且一开始就采用了分级认证;芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效,积极开展信息安全测评认证工作。
从认证模式看,目前国际上通行的认证模式有8种:第一种是型式检验,以来样为主;第二种是型式试验+认证后监督——市场抽样检验;第三种是型式检验+认证后监督——工厂抽样检验;第四种是型式检验+认证后监督——市场和工厂抽样检验;第五是型式检验+工厂质量体系评定+认证后监督——质量体系复查+工厂和市场抽样检验;第六种是评定供方的质量体系;第七种是批量试验;第八种是全数试验。