从PDR和CIA角度看等级保护.pdfVIP

2011年增刊入 选 论 文 陶源，张宇翔，王宁，任卫红，张晓丽 （公安部信息安全等级保护评估中心，北京 100142） 摘　要：文章通过对等级保护的相关政策法规和标准进行分析，指出等级保护不仅是PDR安全管理 模型的落脚点，而且也是C.I.A安全保护目标的最佳实践，并且保证信息系统得到了有效的保护，避免了 过度投资，而且建立了政府机构、工业界和学术界之间的信息共享渠道，可以持续地收集整理分析重要信 息系统的安全状况，分析和总结重要安全事件的过程、根源以及经验教训，为国家关键信息基础设施保护 奠定坚实的基础。 关键词：PDR；C.I.A；等级保护 中图分类号：TP393.08 文献标识码：A 0 引言 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息 系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 国内外信息安全业界为了发挥现有信息安全技术手段和设备的最大效能，研究内容主要集中在信息安全整体解决方案的设计与 和信息安全目标（C.I.A三性）的角度出发，对等级保护进行一些探讨和分析，即从PDR和C.I.A角度来解读等级保护。 1 信息安全管理 1.1 PDR模型 在PDR模型中，保护（P）：提供了安全策略、流程和技术控制的对策，用于防范针对资产的攻击行为。检测（D）：监视是否 有削弱保护措施并可能导致安全性受损的情况。响应（R）：通常需要人工参与，是指针对安全破坏行为的响应措施，以阻止攻 击行为，避免造成破坏。因此，在PDR模型中，信息安全保护是一个不断循环的过程，即防御、检测和响应是不断循环的，在 不断的循环防御中，不断地加强自身的保护，降低被攻破的风险，维护自身的信息安全。 无论是早期的信息安全保护“老三样”（即反病毒、防火墙、入侵检测和漏洞评估），还是现在围绕安全管理中心和AAAA（即 以划分到PDR模型中。从纵深防御的角度来看，保护、检测和响应构成了完整的安全概念。 然而网络和信息系统是由许多不同的人和组织利用各式信息技术及各种机能一个个建设起来的，很少有网络和系统在设计 和实现时着重考虑安全保障。由于在信息安全方面的投资不会有直接回报，网络和信息系统面市时间的压力也会阻止落实安全 措施，并且信息安全机制往往会对网络和信息信息系统的可用性有负面的影响，这些实质性的障碍阻碍着信息安全的落实。 从技术层面上说，信息安全不会自然实现的，也不会仅仅在自由市场力量的推动下实现，因为上述的实质性障碍阻碍着信息 安全管理无法得到有效的落实。因此，仅靠自由市场力量的推动和技术层面的研究，无法实现完整的信息安全。 1.2 等级保护政策法规 一项新技术早在它的有害副作用问题被系统化解决之前就会因其带来的便利而大行其道，这已经是一种司空见惯的现象， 并且这种历史的教训值得汲取。目前，国内很多重要业务依赖于基础网络和重要信息系统的平稳、可靠和不间断运行，并且没有 实现完整的信息安全，这样的“便利之上”情况已经持续了很长时间，这种做法可能会引发太大的危险。 基金项目： 安全专项项目（发改办高技[2008]1736） 作者简介：陶源（1981-），男，江苏，博士，主要研究方向：信息安全、等级保护；张宇翔（1968-），男，江苏，副主任，副研究员，硕士， 主要研究方向：信息安全；王宁（1979-），女，黑龙江，研究实习员，本科，主要研究方向：等级测评机构质量管理体系建设；任卫红（1963-）， 女，辽宁，副研究员，硕士，研究方向：网络信息安全技术、安全评估；张晓丽（1977-），女，山西，硕士，主要研究方向：人力资源。 209 入 选 论 文 2011年增刊 为了从国家宏观层面推动信息安全管理的有效落实，公 息系统在未被破坏状态下执行规定功能时的质量，不会被未 安部会同相关国家部委发布了一系列政策法规，加强了政策和 经授权控制）。 法规层面的力度，以便基础网络和重要信息系