按等级保护思想构建等级化安全信息系统.pdfVIP

20 z008舵 l墨匮慰墨暖圜圈豳f 按等级保护思想 构建等级化安全信息系统 ■吉增瑞 全方位划分安全等级是实施信息安全等级保护的基本条 安全等级每一级的具体情况。其实，这些规定是在假定所受 件；信息系统等级化安全设计是实施信息安全等级保护的基本 安全威胁相同的情况下，针对不同信息系统对国家安全的不 方法。本文将从这两方面对按照信息安全等级保护的思想进行 同重要性程度(即不同资产价值)规定的五种不同情况的安 等级化安全信息系统的设计和实现的相关问题进行说明，以期 全需求，以指导有关部门和单位根据自身业务情况确定其信 为读者正确认识和实施信息安全等级保护提供帮助。 息系统应具有的安全需求等级。 全方位划分安全等级是实施 信息系统的安全保护等级是信息系统所具有的安全保护 能力的表征，是指采用一系列的安全技术和安全管理措施， 信息安全等级保护的基本条件 使信息系统达到某种安全保护程度的表示。比如，所谓具有 在当前情况下，信息系统一般是指由计算机、网络环境 二级安全保护的信息系统是指，按照信息安全等级保护相关 及在其上运行的业务应用处理软件组成的系统。应该说，信 安全技术和安全管理标准的规定，采用相应等级的安全技术 息安全等级保护实际上是围绕信息系统的安全保护开展工作 和安全管理措施设计和实现的具有二级安全保护能力的信息 的，所以在具体讨论中通常称为信息系统安全等级保护。 系统。一个信息系统的安全需求等级与该信息系统的安全保 1．信息系统的安全等级 护等级应该是统一的。 信息系统的安全是与信息系统的环境和条件有关的。所 谓环境和条件主要是指信息系统所受到的安全威胁和信息系统 2．信息安全技术和信息安全管理的安全等级 所具有的资产价值(重要性程度)。因此，信息系统安全等级 信息安全技术(信息安全产品通常是一个或多个信息 的确定是与信息系统的环境和条件有关的，确切讲是根据对信 安全技术的实现)和信息安全管理是实现信息系统安全的基 息系统的资产价值和信息系统所受到的安全威胁共同确定的。 础。对信息安全技术和信息安全管理进行等级划分是信息系 信息系统的安全等级分为安全需求等级和安全保护等 统安全等级保护的需要，也是对信息安全技术和信息安全管 级。安全需求等级是信息系统需要保护程度的表示，安全保 理进行规范化的需要。对信息安全技术和信息安全管理进行 护等级则是一个信息系统通过具体的安全保护措施实现安全 等级划分能更好地体现和理解信息安全的相对性原理。比 保护程度的表示，不同安全保护等级的信息系统具有不同的 如，当人们讲到某个操作系统是一个安全操作系统时，往往 脆弱性和不同的可接受剩余风险。 不能理解到底有多安全，而如果说某操作系统是Bl级安全的 一般来讲，安全需求等级是根据信息系统的资产价值 操作系统，则会对其所具有的安全性及实现这些安全性的技 (主要是信息资产的价值)、所受到的安全威胁以及(已 术和管理措施有一个基本认识。 有)信息系统自身存在的脆弱性，用风险分析的方法确定 (1)信息安全技术等级 的。对于我国正在实施的信息安