基于等级保护的大型企业安全防护设计与实现.pdfVIP

入 选 论 文 2012年增刊 基于等级保护的 大型企业安全防护设计与实现 曲洁，陈广勇，马力，李明   （公安部信息安全等级保护评估中心  北京  100142） 摘　要：文章通过对信息安全等级保护的核心防护思想分析，结合大型企业网络系统的结构特点、管 理特点以及安全现状，提出“分层纵深防御”的防护思路。通过划分安全域，不同域内的信息系统根据安 全等级不同分别实行相应等级的安全防护，同时明确边界和各域之间的关联关系，分别实行域内、域间以 及边界的安全防护。横向安全防护层面逐渐深入，纵向安全防护力度自下而上逐渐增强，达到了纵深防护 的目的，企业网络系统的防护能力得以加强。 关键词：等级保护;纵深防御；安全域；域间防护；域内防护 中图分类号：TP393.08  文献标识码：A  0 引言 随着我国等级保护工作逐步深入开展，初期确定的重点工作任务已全面实施，并取得阶段性成果。目前，各单位按照国家相 关部门的工作部署和要求，全面开展了安全建设整改和等级测评工作。跨地域大型企业的信息系统具有其自身的特殊性和复杂性， 本文将着重探讨在等级保护下，大型企业的网络系统如何结合自身特点完善对系统的保护，从而提高系统的防护能力。 1 等级保护工作背景及发展历程 等级保护政策体系的发展始于 1994 年，迄今已有十几年的发展历程，1994 年，国务院颁布《中华人民共和国计算机信息系 统安全保护条例》（国务院 147 号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法， 由公安部会同有关部门制定”。在法律和中央授权下，在147号令、27号文的支撑下，相继出台了各类相关文件（即公通字 [2007]861号、 公信安 [2007]1360 号、公信安 [2009]1429 号、公信安 [2010]303 号、公信安 [2008]736 号）。这些文件都对应等级保护的五个规 定动作 ：定级、备案、安全建设整改、等级测评、安全检查（监督检查），支撑等级保护各环节的工作。 在法律法规和部委文件的支撑下，信息安全等级保护标准也有了比较系统的发展，覆盖了等保工作的各个阶段。目 前主要的技术标准如下：《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》 （GB/T22240-2008）、《信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息系统安全等级保护实施指南》（GB/T 25058-2010）、《信息系统安全等级保护测评要求》（送审稿）、《信息系统安全等级保护测评过程指南》（送审稿）等。 随着我国等级保护工作逐步深入开展，初期确定的重点工作任务已全面实施，并取得阶段性成果。目前各单位按照国家相关 部门的工作部署和要求，全面开展了安全建设整改和等级测评工作，有效提高了国家基础设施和重要信息系统的安全保护能力 [1] 。 2 等级保护核心防护思想 信息安全等级保护制度是信息安全保障在管理上的根本制度 [2] 。自 1994 年《中华人民共和国计算机信息系统安全保护条 例》颁布以来，通过对国内外情况和发展趋势的分析，从立法、管理、科学技术等方面做了长期深入的调查研究，逐渐分析总结 出信息安全等级保护制度的主体思想，即 ：国家对信息系统实行五级保护，并逐级加大保护力度 ；优先保护重要领域的高级别的 信息系统，特别要保护国家基础信息网络和重要信息系统安全 ；国家信息安全等级保护实行自我保护与国家保护相结合，国家、 组织、个人共同负责的保护原则，国家制定法律、管理与技术标准规范，各级政府部门负责组织贯彻实施。 作者简介 ： 曲洁（1978-），女，山东，助理研究员，硕士，主要研究方向：信息安全，信息系统等级保护；陈广勇（1973-），男，天津，助理研究员， 硕士，主要研究方向：信息安全、信息系统等级保护；马力（1963-），男，江苏，副研究员，硕士，主要研究方向：信息安全、信息系统等级保护； 李明（1976-），男，山东，副研究员，博士，主要研究方向：信息安全、信息系统等级保护。 68