信息安全等级保护定级方法及应用.docVIP

信息安全等级保护定级方法及应用 　　摘要：信息安全等级保护是国家在经济发展和信息技术高度发达的新形势下，为维护国家安全、社会稳定而采取的信息化建设基本制度。实行信息安全等级保护制度，能够全面提高信息安全保障水平。本文结合实际案例，谈一谈信息安全等级保护等级过程及方法。对等级保护对象中客体与主体之间的联系进行分析和论证，目的是提请注意关于定级工作的重点，以利用业务信息安全保护等级矩阵形成的系统为系统安全、定级工作提供保障 关键词：信息安全；等级保护；定级制度 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）03-0045-02 信息安全等级保护制度的建设，是随着经济建设和信息化建设的全面展开而进行的。对国家重要的信息系统等进行定级保护，可以提高信息系统的工作效率，在大数据、云计算的技术支持下，实现全系统的信息安全。为此国家多部门早已出台多项关于信息安全的制度和规定，明确说明国家信息安全保障工作的基本制度之一就是信息安全等级保护制度。其工作流程包含定级、对级别的建设和整改、测评建设整改工作、向主管公安部门备案；监管信息系统。其中首要阶段的定级工作，是作为等级保护的起始，为后面四个阶段的工作奠定基础 1 信息系统安全等级保护政策概述 我国在信息技术的浪潮退推动下，各行各业都在面临信息化、智能化的转型升级带来的冲击和挑战。需要建设的信息化项目不断增多，很多领域的业务都要采用网络信息系统作为载体，因此，信息系统的数量和结构都在增加和复杂化，对信息进行等级保护就被提上了日程 2008年，我国首部信息安全等级保护管理办法由公安部下发，信息系统有了等级的划分，并且对信息系统的保护也有了明确的管理规定。2008年，信息系统安全等级保护定级上升到了国家级别的标准，拥有了定级指南，对于信息系统安全等级定级工作来说，意味着拥有了定级的方法和准则。2009年，关于整改信息安全等级保护工作的指导意见证实下发，要求对信息安全等级保护的整改要按照测评工作的标准展开。这是第一次对信息安全等级保护测评体系的建设进行的规定 2 信息系统的安全定级 在信息安全技术等级定级指南中，对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述，从公共安全、社会利益、公民权益等几个方面，将信息系统的安全等级划分为五个等级： 第一级为当信息安全被侵犯，国家利益、公共安全等合法权益就会被损坏，但是国家安全、社会利益和公共秩序不会受到损害 第二级为当信息安全被侵犯，公民的合法权益就会被侵害，但是国家安全不会受到破坏 第三级为当信息系统受到侵犯后，社会秩序和公共利益被损坏，进而产生对国家安全的损害 第四级是信息系统受到破坏，社会秩序、公共利益、国家安全都会受到特别严重的损伤 第五级是信息系统受到侵犯，国家安全被特别严重地损坏 3 当前信息系统安全定级中存在的问题 1）定级对象不明确是信息系统安全定级中的常见问题。当信息系统在相同的网络环境中被按照独立的系统进行定级时，多个定级对象会重复出现环境和设备。以机房的EPR系统和OA系统以及配套为例，系统中如果使用到网络资源，就有可能产生相同的定级对象同时出现不同的网络设备的情况 2）根据安全信息国家定级指南中对安全保护等级的定级要求。当受侵害客体为国家、社会、公民安全以及组织法人的合法权益时，客体的侵害程度可以分为一般、严重、特别严重。这种分类是比较抽象的。需要进行具体的描述，但是从目前的发函情况看，对于危害程度的描述还是过于倾向于主观判断，因此对客观情况的定级准确率不足，依据不足 3）现有的定级报告皆是从模板中引用格式，参考定价指南，提供定级流程，引导结论的验证。从下表我们可以大概地看到定级要素和安全保护等级的关系： 表1 [受侵害的客体＼一般损害＼严重损害＼特别严重的损害＼公民、法人和组织的合法权益＼第一级＼第二级＼第二级＼社会利益、公共秩序＼第二级＼第三级＼第四级＼国家安全＼第三级＼第四级＼第五级＼] 对于基础数据的描述虽然也能显示出关于信息安全系统定级的重要意义，但是从系统的客观问题以及随时可能出现威胁和侵害的现象角度观察，很多关于信息安全等级定级的新方法还不能保证定级结果的准确性，很多定级报告不完善，缺乏依据，主观判断成分多，无法将信息安全系统的真实情况反映给决策层，对于工作的开展没有好处 4 等级保护流程 等级保护的工作是循环的、动态发展的。将等级保护工作视为循环性强的工作对于工作流程加以分析，最终得到的是等级保护工作的流程图： 定级阶段：系统划分、等级确定；填写表格； 初步备案阶段：上报材料、专家评审，不符合安全等级规定的重新定级，最终进入初备案 测评阶段：选定机构、测评、