企业信息系统安全等级保护体系的建立和实施.pdfVIP

企业信息系统安全等级保护体系的建立和实施 高健 熊宇量 (渤海证券股份有限公司 天津 300381) I摘要】介绍了国家信息安全等级保护的现状及相关的政策，依据国家信息安全等级保护的政策和标准，对企业建立和实施 信息安全等级保护的流程工作进行说明，并指出了企业实施等组保护需要做的主要工作。 【关键词l信息安全 等级保护 安全等级评测 随着网络和电子商务的发展，越来越多的用户信息被应用到 2．2安全规划和设计 各个企业的网络中，例如公民身份证号、手机号码、银行账号等， 安全规划和设计是根据系统定级的结果，对信息系统及其子 一旦外泄会带来巨大风险。而这些企业的安全防护都是自主防 系统制定全套的安全防护解决方案，并根据方案选取相应的软、 护，并未有任何的强制性保护措施。很多企业的信息系统建设是 硬件防护产品进行具体实施的阶段，这个阶段的工作主要可以归 随着自身业务的发展逐步建立起来的，系统建设之初并没有把系 纳为以下三个方面的内容： 统安全放在首要的位置。随着网络技术和电子商务的发展，信息 2．2．1系统对象的分类划分及相应保护框架的确立。 系统逐渐成为企业赖以生存的关键，那么为企业建立起切实有效 企业需要对信息系统进行保护对象进行分类和划分，建立起 的保护体系，就成为了很多企业面临的重要课题和必须完成的任 一个企业信息系统保护的框架，根据系统功能的差异和安全要求 务。下面我们就从几个方面来探讨安全体系的建立和实施。 不同对系统进行分域、分级防护。 1．我国信息安全等级保护制度实施的基本情况 2．2．2选择安全措施并根据需要进行调整。 总的来讲，我们目前对信息系统的安全保障工作处在初级阶 在确定了企业信息系统及各个子系统的安全等级以后，根据 段，主要表现在信息系统安全建设和管理的目标不明确，信息安 需要选择相应的等级安全要求。根据对系统评估的结果，确定出 全保障工作的重点不突出，信息安全监管体系尚待完善。为了实 主系统、子系统和各保护对象的安全措施，并根据项目实施过程 施信息系统的安全保护，我国制定颁布了《计算机信息系统安全 中的需要进行适当的调整。 保护等级划分准则》(GBl7859-1999)和《信息技术安全技术信 2．2．3安全措施规划和安全方案实施。 息技术安全性评估准目U))(GB／T18336-2001)等基本标准，随后又确定需要的安全措施以后。定制相应安全解决方案和运维管 制定了一系列相关的国家标准，对信息等级保护工作的定级、建 理方案，以此为依据采购必要的安全保护软、硬件及安全服务。 设、测评、安全管理等进行规范。 2．3实施、等级评估和改进[4】 信息安全等级保护制度一个很重要的思想就是对各领域的 依照此前确定的安全措施和解决方案，在企业中进行方案实 重要信息系统依照其对国家的重要程度进行分类分级，针对不同 施。实施完毕之后，对照“信息安全等级保护”相关标准，评估所部 的安全等级采取不同的保护措施，以此来指导不同领域的信息安 署的方案是否达到了预想的防护要求，如果评估未能通过，则需 全工作【l】。99年颁布的《等级划分准则》对计算机信息系统安全 对部分安全方案进行改进后再进行评估，直至符合等级保护要 保护能力划分了五个等级【2】，保护能力随着安全保护等级的增 求。 高，逐渐增强。 3．企业信息安全等级保护体系的主要内容 第一级为用户自主保护级。使用户具备自主安全保护的能 3．1安全体系设计的原则及设计目标 力。 信息系统安全体系的设计需要按照合规可行、全局均衡、体 第二级为系统审计保护级。在继承前面安全级别安全功能的 系化和动态发展原则，达到并实现“政策合规、资源可控、数据可 基础上，需要创建和维护访问的审计跟踪记录。 信、持续发展”的生存管理与安全运维目的。系统安全等级保护体