CA安全等级保护解决方案v015.docVIP

技术白皮书 CA解决方案帮助实现安全等级保护 2006年5月 CA中国 1 安全风险与等级保护 互联网技术获得了广泛的应用，甚至成为了国家经济稳定和基础设施不可分割的一部分。在提高生产效率和促进各种创新业务的同时，互联网技术也为国家、社会、宏观经济、企业、公众等带来了越来越严重的安全威胁。为此，安全风险越来越多地受到了政府、企业和公众的关注，针对网络信息安全的投入也迅速增加。 但是，我们应该看到，各个组织单位的信息技术（IT）环境千差万别，安全技术和管理水平也参差不齐，投资和实际保护效果很难保证。 为此，国家信息化领导小组明确提出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”并要求 “抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”（参见《国家信息化领导小组关于加强信息安全保障工作的意见》，中办发[2003]27号，以下简称“27号文件”）。另外，2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。 安全等级保护 大型组织和企业的信息系统规模庞大，结构复杂，系统之间的差异性很大，各种安全属性和保护需求也各不相同。从信息安全保护投资经济性方面的考虑，需要具体设备、具体系统来具体考虑。而从安全管理有效性上看，需要相对规范、标准的体系结构。为此，国际、国家、主要行业都制定了若干的标准规范，来指导约束针对大型信息系统安全保护体系的设计和建设。 安全等级保护根据信息系统针对企业的关键性和具体的安全属性，划分等级，建立起等级化的保护框架和相应的对策体系，可以帮助在经济性和规范性、安全性方面取得平衡，优化安全投入和资源利用。 表格一：安全保护等级的划分 保护等级 等级名称 基本描述 安全保护要求 第一级 自主保护级 主要对象为一般的信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序和公共利益。 参照国家标准自主进行保护。 第二级 指导保护级 主要对象为一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。 在主管部门的指导下，按照国家标准自主进行保护 第三级 监督保护级 主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。 第四级 强制保护级 主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。 第五级 专控保护级 主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 根据安全需求，由主管部门和运营单位对相应信息系统进行专门控制和保护。 信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。同时，保证合理性原则才能做到突出重点，适度保护。 安全等级保护要求不同等级的信息系统需要具备不同的、相应级别的安全保护措施和能力。具体的实施过程包括下面三个步骤： 等级划分：把作为保护对象的信息系统按照资产价值、业务重要性、威胁程度、所需安全特性等赋予相应的安全等级 评估设计等级化的安全保护措施：参照国家实施指南和技术要求，以及业界的最佳实践，针对每个保护等级的信息资产设计定制相应的保护措施 体系化并实施：综合考虑各等级系统的保护措施，有计划、分步骤地实施落地各保护措施，并根据实际效果进行等级保护调优。 CA解决方案 CA公司是国际领先的安全管理解决方案供应商，不仅将国际上在安全管理方面的最佳实践带到国内，还积极参与了国家在网络信息安全方面的标准规范建设和实施。CA公司认识到，安全等级保护的重大意义，但是实际实施过程可能会遇到相当的困难，包括