信息系统等级保护现状的几点思考
信息系统运营使用单位等级保护工作情况
信息系统运营使用单位等级保护工作情况一、前言大家好,今天我们来聊聊信息系统运营使用单位等级保护工作情况。
我们要明白什么是等级保护。
等级保护是指国家对信息系统安全等级进行分类,根据信息系统的重要程度和安全需求,制定相应的保护措施。
这个听起来有点高大上,其实咱们日常生活中也会遇到很多涉及到信息安全的事情,比如手机银行、网上购物等等。
那么,我们的信息系统运营使用单位在等级保护方面做得怎么样呢?接下来,我们就来详细聊聊。
二、信息系统运营使用单位的等级保护工作1. 了解和掌握等级保护政策我们的信息系统运营使用单位要了解和掌握国家的等级保护政策。
这些政策是国家为了保障信息系统安全而制定的,我们要按照这些政策来开展我们的工作。
比如,我们要知道国家对我们这个行业的信息系统安全有什么要求,我们需要达到哪些等级,才能合法合规地运营我们的信息系统。
2. 建立健全等级保护制度了解了国家的政策之后,我们还要建立健全自己的等级保护制度。
这个制度要包括我们的信息系统安全责任、安全管理措施、安全培训等方面的内容。
我们要把等级保护工作纳入到公司的日常管理中去,确保每个人都能明白自己的职责,知道如何做好信息安全工作。
3. 加强安全技术防护有了完善的等级保护制度之后,我们还要加强安全技术防护。
这包括加强网络安全防护、数据安全防护、系统安全防护等方面。
我们要定期检查和更新我们的安全设备,确保它们能够正常运行。
我们还要加强对员工的安全培训,提高他们的安全意识和技能。
4. 及时应对安全事件我们还要学会及时应对安全事件。
一旦发生安全事件,我们要迅速启动应急预案,尽快控制事态的发展。
我们还要积极配合国家相关部门的工作,共同维护信息系统的安全。
三、总结通过以上的介绍,相信大家对信息系统运营使用单位的等级保护工作有了更深入的了解。
我们要时刻牢记国家的政策要求,切实做好信息安全工作。
只有这样,我们才能在信息化时代立足于不败之地。
好了,今天的分享就到这里,希望大家都能成为信息安全的守护者!谢谢大家!。
2024年信息安全等级保护工作总结
2024年信息安全等级保护工作总结2024年是信息安全等级保护工作的重要一年。
在过去的一年中,我们面临着日益复杂和严峻的信息安全挑战,例如黑客攻击、数据泄露和网络病毒等。
为了提高信息系统的安全性和稳定性,我们采取了一系列措施,取得了一定的成绩。
下面是对2024年信息安全等级保护工作的总结。
一、加强基础设施安全在2024年,我们着重加强了基础设施的安全性。
通过对网络、服务器和数据库等关键系统进行全面的安全检查和漏洞修复,及时消除了可能存在的安全隐患。
定期进行安全评估和风险评估,及时更新防火墙规则和访问控制策略,确保系统的安全运行。
二、加强员工安全意识培训信息安全不仅仅是技术层面的问题,员工的安全意识和行为也起着至关重要的作用。
我们在2024年开展了一系列的员工安全意识培训,包括信息安全政策的宣贯、密码安全知识的培训以及安全演练等。
通过提高员工的安全意识和技能,有效减少了员工的安全漏洞和人为失误,提高了整体的信息安全水平。
三、加强边界安全防护在2024年,我们提升了边界安全的防护能力。
通过建立安全审计和监控系统,实时监测和分析网络流量,及时发现并拦截异常行为和未知威胁。
加强了对外部网络的访问控制和入侵检测系统的部署,有效防止了网络攻击和恶意软件的侵入。
四、强化数据保护措施数据是我们最重要的资产之一,保护数据的安全性和完整性对于业务的稳定和顺利运行至关重要。
在2024年,我们加强了对数据的保护措施。
通过加密、备份和访问控制等手段,确保数据在存储和传输过程中不受到未经授权的访问和篡改。
同时,建立了数据泄露和丢失的事件响应机制,及时处理和报告相关事件,减少了数据风险的发生和影响。
五、加强供应链安全管理供应链安全是信息安全的重要环节之一。
在2024年,我们加强了对供应商和合作伙伴的安全管理。
建立了供应商信息安全评估机制,对供应商的信息安全管理能力进行评估和监督。
同时,加强了对外部供应链的审计和检查,确保外部合作伙伴的信息安全风险可控。
信息系统保护管理的常见问题及解决方法
信息系统保护管理的常见问题及解决方法随着信息技术不断发展,信息系统已经成为现代企业信息化建设的关键。
信息系统的保护管理是保障企业信息安全的重要方面。
然而,信息系统保护管理中存在着许多常见问题,这些问题严重影响了信息系统的安全性。
本文将阐述信息系统保护管理的常见问题及解决方法,以帮助企业更好地保障信息系统的安全性。
一、密码管理不当密码管理是保护信息系统安全的基础。
然而,由于许多企业的员工密码管理意识较低,导致公司信息泄露风险日益增加。
有以下几种解决方法:1. 增加密码复杂度要求:强制要求员工不能使用简单、容易猜测的密码。
应设置密码长度、字符、数字、大小写字母等多项复杂度要求,以加强密码的安全性。
2. 员工密码定期更新:企业应该定期要求员工更换密码,建议每三个月更新一次。
3. 双重验证:通过实行多因素认证方式,如短信验证码、人脸识别、指纹识别等方式进行登录验证,进一步加强保护信息的安全。
二、数据备份不到位数据备份放着是保护信息安全最好的办法。
1. 建立稳定、可靠的数据备份机制:可以利用打印机、光盘机、U盘等方式进行备份,光盘和U盘最好进行加密再备份。
2. 定期测试数据备份和恢复:备份数据并不等于备份了正确的数据,建议定期测试数据备份和恢复操作,以确保备份数据的正确性和可靠性。
三、操作系统和应用程序漏洞未及时修补漏洞是简陋风险的最大原因之一。
新课家不能保证操作系统及应用程序100%正确,但可以在第一时间发布补丁程序。
1. 及时更新补丁程序:对于操作系统和应用程序的漏洞,要及时安装相关补丁程序。
对于需要影响服务器和数据库程序升级,不要担心影响,在更新前备份好数据和相关设置,异常可以随时恢复。
2. 应用防火墙:可以设置IDS/IPS等应用防火墙,对于出现的恶意行为进行拦截和防范,从而有效防止黑客攻击行为,保障信息的安全性。
四、社交工程社交工程指的是黑客利用社交网络构建信任关系,以获取受害者信息的攻击方式。
关于信息安全等级保护的思考
关于信息安全等级保护的思考景乾元为什么要等级保护信息安全保护存在的主要问题与政策:正确的信息安全政策和策略是搞好国家信息安全保护工作的关键,而正确的信息安全保护政策和策略必须依赖于对信息安全问题的正确认识和信息安全保护抉择的正确取向。
社会发展的不同阶段有不同特质的信息安全问题,在社会发展要求网络化信息系统互连互通的信息化时代,信息安全问题的实质直接表现为国家主权、政治、经济、国防、社会安全和公民合法权益保障。
引发信息安全问题的因素有多个方面,有外部因素和内部的,但最主要的因素在于内部。
信息安全政策不确定、信息安全发展方向不明朗;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱与不规范、安全管理与技术规范不统一、没有形成配套体系;信息安全市场和服务混乱、不规范;国家监管机制(执法队伍及其技术支撑体系)不健全,监管手段缺乏等。
因此导致:国家对信息安全状况很信有效把握;信息系统主管、建设、使用者对如何搞好信息系统安全建设和管理,信息系统安全窨存在什么问题、如何改进、需要多少投资等,心中无数;科研单位和企业对开发生产什么样的安全产品心中无数;信息安全专家对安全产品审查不好提出评审结果意见;信息安全职能部门对如何进行有效监督、检查评估、服务指导,如何处罚违规者等,也是心中无数。
进而导致国家信息安全科学技术水平和整体信息安全保护能力很难提高,国家信息安全只好看国外,依赖国外,受国外思潮主导。
对这些问题认识不足,不尽快采取有效的解决办法,势必影响信息化建设、经济发展、社会稳定、国防建设、国家安全。
为此,国家高度重视信息安全保护工作。
经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。
这一重大决定,明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定安全发展主线、中心任务,提出了总要求。
信息系统等级保护现状的几点思考
信息系统等级保护现状的几点思考曹兆泉,徐国爱,杨义先北京邮电大学信息安全中心,北京(100876)E-mail:caozhaoquan100@摘要:文章通过回顾近年来国内外信息系统等级保护的发展,看到我国等级保护工作在取得重大成效的同时,也存在如宣传不足、分级分类不准、行业化不够和测评机构亟待加强等问题,在对这些问题的原因加以思考和总结之后,得出一些改进的启示,可以为信息安全从业人员提供有益的参考。
关键字:等级保护;信息安全;风险评估1 引言信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。
开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现[1]。
2 国外等级保护的发展2.1 可信计算评估准则(TCSEC)在20世纪60年代后期,美国国防部(DOD)开始对计算机安全评估标准进行研究,其中第一个较为成熟、具有较大影响的是1985年发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)[TCSEC85] [2]。
TCSEC是当时美国国防部为适应军事计算机的保密需要、在70年代的基础理论研究成果Bell& La Padula模型[BELL76] [3]基础上提出的由于当时技术和应用的限制性,提出的要求主要针对没有外部连接的多用户操作系统。
安全要求从低到高分为D,C,B,A四类,类下分为D,Cl,C2,B1, B2,B3,Al等7个安全级别,每一级要求涵盖安全策略、责任、保证、文档等四个方面。
TCSEC的初衷是针对操作系统的安全性进行评估,后来DOD又发布了可信数据库解释(TDI)[TDI91]、可信网络解释(TNI)[TNI87]等一系列相关的说明和指南,由于这些文档发行时封面均为不同的颜色,故常被称为“彩虹系列”。
2.2 信息技术安全评估准则(ITSEC)90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC)[ITSEC91],定义了从E0级到E6级的七个安全等级。
2024年信息安全等级保护工作总结(2篇)
2024年信息安全等级保护工作总结一、引言信息安全是当前数字化时代面临的重要挑战之一,对于国家安全、经济发展和社会稳定具有重要意义。
____年,信息安全等级保护工作面临着日益复杂的形势和挑战,需要统筹规划和科学应对。
本文将对____年信息安全等级保护工作进行总结,包括取得的成绩、存在的问题以及改进的方向和建议。
二、成绩总结____年,我国信息安全等级保护工作取得了一系列重要成绩,主要包括以下几个方面:1. 法律法规的完善:根据国家信息安全等级保护工作的需要,政府出台了一系列法律法规,包括《网络安全法》、《信息安全等级保护管理办法》等,为信息安全等级保护工作提供了法律保障。
2. 机构建设的完善:相关部门加大了信息安全等级保护机构建设的力度,设立了更多的研究机构和实验室,提升了信息安全等级保护的技术水平和能力。
3. 人才队伍的培养:加强了信息安全等级保护人才的培养和引进工作,拓宽了人才队伍的来源渠道,提高了人才队伍的素质和能力。
4. 国际合作的加强:加强了与其他国家和国际组织的信息安全等级保护合作,共同应对国际网络安全威胁,促进了信息安全等级保护的国际化进程。
5. 社会意识的提高:通过加强信息安全教育和宣传,提高了社会公众对信息安全的重视和意识,增强了信息安全等级保护的社会基础。
三、存在问题在信息安全等级保护工作取得成绩的同时,也面临着一些问题和挑战,主要包括以下几个方面:1. 法律法规的执行不力:尽管国家已出台了一系列的法律法规,但在实际执行中仍存在一些问题,如执法部门的能力和水平不足,对违法行为的打击力度不够等。
2. 技术水平的不平衡:与发达国家相比,我国在信息安全等级保护技术方面还存在一定的差距,尤其是在关键技术领域和创新能力上有待提高。
3. 人才队伍的匮乏:我国信息安全等级保护人才仍然供不应求,尤其是高层次、应用型人才的缺乏,制约了信息安全等级保护工作的发展。
4. 国际合作的不足:虽然我国在国际间加强了信息安全等级保护合作,但与一些发达国家相比,仍存在一定的差距,需要加大力度加强国际合作。
2023-信息系统安全等级保护整改建议方案V2-1
信息系统安全等级保护整改建议方案V2信息系统安全等级保护是国家对于信息安全的一项重要工作,针对当前信息安全攸关重要的形势,全面提升信息系统安全保护等级就尤为重要。
但是,无论我们如何强调信息安全,仍然不能防止安全漏洞和攻击。
因此,为了进一步提升信息系统的安全等级保护,我们需要制定一定的整改方案。
第一步,加强信息安全意识。
加强员工个人和团体的信息安全教育培训,增强员工和团队信息安全意识,以减少外界安全威胁的同时提高内部安全防范意识。
第二步,改进信息系统结构。
信息安全是一个系统工程,信息系统结构的不合理会导致信息安全缺陷。
通过完善信息系统结构,增强信息系统的安全性和可靠性,提高其防抵抗攻击的能力。
第三步,强化安全管理。
管理是保障安全的前提,明确安全管理职责,并制定相应的实施细则,完善应对紧急情况的预案。
同时,加强对系统、数据、网络的全面监控和实时分析,防止系统漏洞被利用,有效地处理安全事件和安全问题。
第四步,加强技术防范。
通过技术手段,防止和减少信息泄露、攻击行为发生。
技术防范包括完善网络安全设备,防御网络攻击等。
同时,在签订合同时,应加入相关法律夹款,利用法律手段加强信息安全的保障。
第五步,加强安全评估。
对信息系统安全等级保护实施安全评估,识别安全漏洞,并制定相应的整改计划。
在实施方案的过程中,需要定期开展安全评估,以不断完善安全措施和加强安全保护。
以上就是信息系统安全等级保护整改建议方案V2的主要内容,可以看出,保护信息系统安全等级,需要从多个方面入手,全面提升信息安全保护能力,让我们共同努力,建设一个更加安全稳定的信息体系。
信息系统运营使用单位等级保护工作情况
信息系统运营使用单位等级保护工作情况随着信息技术的飞速发展,信息系统已经成为了各个行业的核心基础设施。
信息系统的安全问题也日益凸显,特别是针对信息系统运营使用单位的等级保护工作。
本文将从理论和实践两个方面对信息系统运营使用单位等级保护工作情况进行详细阐述。
一、理论层面1.1 信息系统安全的重要性信息系统安全对于企业和个人来说都是至关重要的。
信息系统安全直接关系到企业的核心竞争力。
一个安全的信息系统可以保障企业的核心数据和业务正常运行,避免因信息泄露、系统瘫痪等事件导致的经济损失。
信息系统安全也是维护国家安全和社会稳定的重要基石。
一旦信息系统被黑客攻击或病毒感染,可能会导致重要信息泄露,进而影响国家的政治、经济、军事等方面的安全。
因此,加强信息系统安全防护,提高信息系统安全水平,是每个企业和个人都应该重视的问题。
1.2 信息系统安全防护体系为了保障信息系统的安全,需要建立一个完善的信息系统安全防护体系。
这个体系包括以下几个方面:(1)安全管理:负责制定信息系统安全政策、规定和操作规程,组织实施安全检查和审计,确保信息系统安全工作的顺利进行。
(2)技术防护:通过采用防火墙、入侵检测系统、安全审计系统等技术手段,对企业的信息系统进行实时监控和防护,防止恶意攻击和非法入侵。
(3)人员防护:加强员工的安全意识培训,提高员工的安全防范能力,防止内部人员的误操作或故意破坏导致信息系统安全事故。
(4)应急响应:建立健全信息系统安全应急响应机制,对突发事件进行及时、有效的处置,降低安全事故的影响。
1.3 信息系统安全等级保护根据国家相关法律法规和标准,信息系统可以分为不同的安全等级。
信息系统运营使用单位需要根据自身的实际情况,选择合适的安全等级,并按照等级保护的要求进行相应的防护工作。
一般来说,信息系统的安全等级越高,其面临的安全威胁就越大,因此需要投入更多的资源进行安全防护。
二、实践层面2.1 信息系统安全管理制度建设信息系统运营使用单位需要建立一套完善的信息系统安全管理制度,明确各项安全管理工作的责任主体和具体要求。
信息系统运营使用单位等级保护工作情况
信息系统运营使用单位等级保护工作情况一、信息系统运营使用单位等级保护工作情况随着信息技术的飞速发展,信息系统已经成为了各行各业的重要组成部分。
随之而来的网络安全问题也日益严重。
为了保障信息系统的安全稳定运行,我国对信息系统运营使用单位实施了等级保护制度。
本文将从理论和实践两个方面,对信息系统运营使用单位等级保护工作情况进行详细分析。
二、理论层面的等级保护工作情况1.1 信息系统安全等级划分根据《信息系统安全等级保护基本要求》(GB/T 22239-2008),信息系统安全等级分为五个等级:一级代表最低安全要求,五级代表最高安全要求。
不同等级的信息系统在安全防护、安全管理、安全审计等方面有不同的要求。
1.2 等级保护工作的实施信息系统运营使用单位在获得等级保护认定后,需要按照国家相关法律法规和标准,制定相应的安全管理制度和技术措施,确保信息系统的安全稳定运行。
还需要定期进行安全检查和评估,对存在的安全隐患进行整改,提高信息系统的安全防护能力。
三、实践层面的等级保护工作情况2.1 企业层面的等级保护工作许多企业都认识到了信息系统安全的重要性,纷纷开展了等级保护工作。
这些企业通常会设立专门的信息安全部门,负责信息系统的安全管理和技术支持。
企业还会加强员工的安全意识培训,提高整个组织的网络安全防范能力。
2.2 政府层面的等级保护工作政府部门作为信息系统的主要用户,对其安全性能的要求非常高。
为此,政府部门在信息系统建设过程中,会严格遵循国家相关法律法规和标准,确保信息系统的安全可靠。
政府部门还会加强对信息系统的监管,确保各个级别的信息系统都能达到相应的安全等级。
2.3 社会层面的等级保护工作随着互联网的普及,越来越多的人开始依赖信息系统获取和传输信息。
这就要求我们必须确保信息系统的安全可靠,防止信息泄露、篡改等安全事件的发生。
因此,社会各界都在积极参与等级保护工作,共同维护信息系统的安全稳定运行。
四、结论信息系统运营使用单位等级保护工作是我国信息安全领域的重要内容。
信息系统安全等级保护实践与思考
案 证明。本文将以湖北省 国土资源厅 电子 系统实施信息安全等级保护过程为例,介
果进行分析 ,根据 定级 指南中所给出的标准,
确 定 侵 害 程 度 的类 型 。
个测评单元 。每个测评单元根据 系统的安全等
i 息系统安全等级保护工作的实施方法和工
素侵害程度 。一般来说 ,系统受到破坏 ,可 能 测 评机构,定期对系统进行测评 ,以确保信 息 造成的危害后果主要包括影响行使工作职 能、 系统 的安 全保 护措施 符合 相应 等 级的 安全 要 导致业务能力下 降、引起法律纠纷 、导致财产 求。根据 《 信 息安全 等级保 护管理办法 》规定, 损失 、造成社会不 良 影 响、对其他组 织和个 人 三级及 以上信息系统应每年开展一次测评 。 造 成损 失 等。在 GB / T 2 2 2 4 0 2 0 0 8《 信 息安 全 2 _ 3 . 1等级测评 内容
键词 】定级 备案 等级测评 安全整改
业务 目标,是否会出现系统瘫痪、拒绝服务等 现象,两者安全等级都是 由定级对象受到破坏 时所 侵害客体以及对客体造成的侵害程度这两
个要 素 决定 。
系统 安全等 级保护备案表 》中的表 一、二 、三 , 信 息安 全等 级保护 制度 是我 国信 息安全 家安全、社会秩序、公共利益 以及公 民、法人 在 系统测 评整改 工作完成后 3 O日内提 交表 四 的一 项基本 制度 ,早在 1 9 9 4年, 国务 院 和其他组织的合法权益 。从这个定义 中,我们 及其 有关 资料 。 公安机关接收全部备案材料后 , { 布了 《 中华人 民共和 国计算机 信息系统安 可 以看出侵害客体是有高低之分 的,在实际定 会对 其进 行审核 。 对于定级准确、 材料齐全 的, } 护 条例 》 ( 国务院令第 1 4 7号),明确规
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统等级保护现状的几点思考曹兆泉,徐国爱,杨义先北京邮电大学信息安全中心,北京(100876)E-mail:caozhaoquan100@摘要:文章通过回顾近年来国内外信息系统等级保护的发展,看到我国等级保护工作在取得重大成效的同时,也存在如宣传不足、分级分类不准、行业化不够和测评机构亟待加强等问题,在对这些问题的原因加以思考和总结之后,得出一些改进的启示,可以为信息安全从业人员提供有益的参考。
关键字:等级保护;信息安全;风险评估1 引言信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。
开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现[1]。
2 国外等级保护的发展2.1 可信计算评估准则(TCSEC)在20世纪60年代后期,美国国防部(DOD)开始对计算机安全评估标准进行研究,其中第一个较为成熟、具有较大影响的是1985年发布的“可信计算机系统评估准则(TCSEC)”(即桔皮书)[TCSEC85] [2]。
TCSEC是当时美国国防部为适应军事计算机的保密需要、在70年代的基础理论研究成果Bell& La Padula模型[BELL76] [3]基础上提出的由于当时技术和应用的限制性,提出的要求主要针对没有外部连接的多用户操作系统。
安全要求从低到高分为D,C,B,A四类,类下分为D,Cl,C2,B1, B2,B3,Al等7个安全级别,每一级要求涵盖安全策略、责任、保证、文档等四个方面。
TCSEC的初衷是针对操作系统的安全性进行评估,后来DOD又发布了可信数据库解释(TDI)[TDI91]、可信网络解释(TNI)[TNI87]等一系列相关的说明和指南,由于这些文档发行时封面均为不同的颜色,故常被称为“彩虹系列”。
2.2 信息技术安全评估准则(ITSEC)90年代初,英、法、德、荷等四国针对TCSEC准则的局限性,提出了包含保密性、完整性、可用性等概念的“信息技术安全评估准则”(ITSEC)[ITSEC91],定义了从E0级到E6级的七个安全等级。
ITSEC作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。
它以超越TCSEC为目的,将安全性要求分为“功能”和“保证”两部分。
其中,“功能”指为满足安全需求而采取的一系列技术安全措施,如访问控制、审计、鉴别和数字签名等;“保证”指确保“功能”正确实现及其有效性的安全措施[4]。
2.3 加拿大可信计算机产品评估标准(CTCPEC)加拿大1988年开始制订《The Canadian Trusted Computer Product Evaluation Criteria》(CTCPEC),1989年5月公布第一版,并在结合TCSEC与ITSEC的基础上,于1993年1月公布了第三版[CTCPEC93] [5]。
2.4 通用准则(CC)在1993年6月,CTCPEC、FC、TCSEC和ITSEC的发起者开始联合起来,将各自独立的准则组合成一个单一的、能被广泛使用的IT安全准则。
这一行动被称为CC项目,它的目的是解决原标准中出现的概念和技术上的差异,并把结果作为国际标准提交给ISO。
这些发起组织包括六国七方:加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA[6]。
2.5 ISO 15408CC 2.1版于1999年发布,并被ISO采纳作为国际标准ISO 15408发布[CC99] [7]。
CC 虽然在ISO行文中的正式名称应为“信息技术安全评估准则”,但出于历史的和连续性的目的,ISO/IEC第一联合技术委员会已经同意在文档中继续使用“通用准则(CC)”这一术语。
国际信息系统主要等级划分标准演进见下图:表1 国际等级保护标准发展时间国家名称基本内容1985年美国 TCSEC(橘皮书)依据访问控制、审计等计算机系统分四类、七个安全级别1991年欧洲ITSEC 提出机密性、完整性和可用性保护目标提高到可信信息技术(不仅是计算机系统)1996年欧美CC 欧美通用的产品和系统安全评估准则将安全分为安全功能和安全保证15408 源于CC1999年ISO ISO/IEC定义了一套能够满足各种需求的IT安全准则3 我国等级保护的现状《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称43号文件)[8]和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)[9](以下简称861号)的出台,标志我国信息安全等级保护工作进入实质的实施阶段。
自从2007年6月份以来,全国范围内的重要系统普遍开展了信息安全等级保护工作,到目前为止,定级工作已经基本结束,将进入整改阶段。
回顾我国的等级保护工作,可以看到:第一,定级保护的定级备案工作成效显著[10]。
全国范围内的重要信息系统安全等级保护定级、备案工作已经基本完成。
通过定级备案工作的开展,掌握了关系国计民生重要信息系统的基本情况,为全面落实信息安全等级保护制度、推动国家信息安全保障工作的深入开展奠定了坚实的基础。
第二,各种政策标准体系日趋完善。
1994年,《中华人民共和国计算机信息系统安全保护条路》(国务院147号令)(以下简称147号令)[11]的出台,第一次提出我国要实行等级保护制度,并确定了公安部牵头制定相关配套标准和法规;1999年,公安部会同有关专家制定了《计算机信息系统安全等级标准划分准则》(GB17859-1999)(以下简称17859标准)[12];为了弥补17859标准的不足,为等级保护的实施提供了较全面的法规上的要求和技术上依据,2002年,公安部又出台了6套有关信息安全等级保护的部标,从操作系统[13]、数据库[14]、网络[15]、终端[16]、管理[17]和工程[18]等方面,提出了对信息系统安全等级保护相应的技术要求;2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称27号文件)[19]的颁布,标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度;2004年9月,公安部、国家保密局、国家密码管理委员会和国家信息办(以下简称四部委)联合出台《信息安全等级保护的实施意见》(公通字 2004第66号)(以下简称66号文件)[20],明确了等级保护原则、内容、要求,等级保护工作的部门分工和实施计划,标志着信息安全等级保护要在我国开始实施;2007年6月,四部委出台的43号文件,规定了定级保护工作实施和管理细节,加快推进步伐;2007年7月,四部委又联合下发了861号文件,就定级范围、定级工作主要内容、定级工作要求等事项进行了通知;为了促进定级工作的进行,公安部又出台了《信息安全等级保护备案实施细则》(公信安[2007]1360号)[21]和《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2007]736号)[22]文件,为定级备案工作提供了有力的规范。
我国政策规范的演进见下图:表2 我国等级保护发展演进表时间名称目标1994 国务院 147号令需要实施分等级保护2003 中发办27号文件需抓紧建立等级保护制度2004 公通字66号文件明确等保原则、内容、要求,等保工作的部门分工、实施计划2007.6 公通字43号文件规定实施、管理细节,加快推进步伐2007.7 公信安 861号文件确定定级范围,给出定级工作的主要内容和要求2007 公信安[2007]1360号为定级备案工作提供了有力的规范2007 公信安[2007]736号目前来看,定级工作已经圆满完成,接下来是建设和整改工作,之后进行一些等级测评工作,工作不断的暴露出一些问题,如果不解决好这些问题,将对我国信息安全等级保护工作带来不利影响,具体表现在以下方面:第一,各级信息系统的负责人和行业负责人对等级保护工作的认识不足,导致某些信息系统等级保护工作定级偏低[23]。
第二,定级过程中,对信息系统缺乏准确的认识,导致某些重要的信息系统分级分类不准。
第三,各个行业的行业标准缺乏,使等级保护无法准确与本行业实际业务相结合,出现了落地难的问题[24]。
第四,各地测评机构数目较少,缺乏有效地监督办法[25],阻碍整改工作的进步一发展。
4 等级保护的几点思考4.1 大力加强等级保护工作的宣传教育工作在2007 年的定级工作中,某些金融、广电用户都曾出现过将本行业重要的信息系统定为二级。
国家及时发现了这些问题,要求重新定级。
仔细分析这些企业的想法,不难发现其中企业中确实存在着一些不愿投资,不愿受监管的思想,认为三级以上的网络投资太大,受限制太多[23]。
可以看到,当前我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。
第一,针对基础信息网络和重要信息系统的违法犯罪持续上升。
第二,基础信息网络和重要信息系统安全隐患严重,第三,我国的信息安全保障工作基础还很薄弱。
等级保护是信息安全保障工作的核心,需要动员社会力量参与到这一工作中来,这就需要加大宣传教育的力度,提高全社会特别是信息系统主管部门对信息安全等级保护工作重要性的认识,积极参与到信息安全等级保护工作中来。
对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任[20]。
4.2 分级分类应该与风险评估相结合分级分类是等级保护的关键。
对信息系统的分级分类十分关键,如果信息系统的分级分类不科学,则安全保障建设将事与愿违,甚至可能使我国的基础信息网络和重要信息系统面临严重安全隐患。
等级保护中的分级实际上涉及了两项工作,不能混为一谈:一是如何将信息系统划归到各个安全级别中,二是为每一级的信息系统规定安全要求[26]。
关于信息系统的分类,应该随时根据需要、需求,这个系统具有什么样的价值,具有什么样的风险,来决定它属于哪一类。
因此,对信息系统的分类过程,就是对信息资产的识别及赋值过程[27]。
这正是风险评估对信息资产进行识别并赋值的过程[28]。
关于分级,就是我们怎么样保护有价值,而且有风险威胁的系统,一个很重要的原则,首先不去考虑它已经采取了什么措施,目前存在哪些漏洞暂时不考虑,从客观来分析这个系统价值怎么样,它客观地存在哪些威胁。
而17859等标准,没有从威胁的角度提出对信息系统的安全要求,而是单纯的从消除脆弱性角度提出了信息系统的安全要求。
对于一个安全事件来说,是威胁利用脆弱性导致的,在没有威胁的情况下,信息系统的脆弱性不会自己导致安全事件的发生。
因此,威胁的分析与识别时等级保护安全要求的基本前提[29]。
5 等级保护需要行业化5.1 等保行业化是等级保护的内在要求66号文的等级划分,明确的指出了信息系统的安全等级与所承载业务是密切相关的,是依据信息系统的重要程度和受到破坏后所导致的后果而确定的。