- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
大会论文 ·155·
信息安全等级保护标准编制中等级划分的一点体会
陆 臻顾 健
公安部第三研究所
摘 要:本文介绍了风险分析方法在等级保护标准制定中的应用。针对目前等级保护系列标
准编制过程中等级的划分存在过于偏重经验性的特点,提出了一种可以统一度量的
量化方法,使等级内容划分的随意性和不确定性降低。
关键词:等级保护风险分析安全要素
针对各个具体信息安全产品的等级保护标准编制工
_、绪论 作也正在紧锣密鼓的进行着。产品标准是等级保护一
切工作的基础。只有针对产品的标准分好了级,才能
日前,信息安全等级保护工作正在我国如火如 展开对整个系统的等级评估工作。
荼的开展着,我国为了开展等级保护制度,先后制定 产品标准的分级最早是完全按照GBl7859—
了如下主要的法规:
——《中华人民共和国计算机信息系统安全保 领性指导文件,如果硬套在具体的产品标准上,就会
护条例》第二章安全保护制度部分规定: 显得很生硬。于是最近的几个等级保护产品标准都是
“计算机信息系统实行安全等级保护。安全等级
的划分标准和安全等级保护的具体办法,由公安部 分先进思想,按照实际情况来分级,但是问题又随之
会同有关部门制定。” 而来,按实际情况分级,分级的“度”如何来把握呢?新
——《计算机信息系统安全保护等级划分准则》 增加的内容,哪些该放在高等级,哪些该放在低等级
GBl7859—1999(技术法规)规定:国家对信息系统实
呢?这给我们标准制定工作者带来了一些问题。许多
行五级保护。 标准编制组于是直接从经验出发,跟着感觉走,“感
——《国家信息化领导小组关于加强信息安全 觉”这个功能要求比较高,就放在高等级;“感觉”这
保障工作的意见》(中办发[2003127号)重点强调:
个功能要求比较低,就放在低等级。这样完全跟着感
实行信息安全等级保护制度,重点保护基础信 觉走的后果是使我们的分级失去依据,随意性的成分
息网络和重要信息系统。 加大。
——公安部、国家保密局、国家密码管理委员会 我同样作为一名标准编制工作者,这里想提一些
办公室、国务院信息化工作办公室联合文件: 不成熟的想法,供大家探讨。
公通:
关于印发《关于信息安全等级保护工作的实施 二、风险分析与等级的确立
意见》的通知。
由此可见,等级保护制度日益成为我国信息安 由于我们的标准是针对一些具体产品的,因此标
全领域的一项国策。 准内容必须围绕着产品的特点展开。而产品的特点源
与此同时,作为等级保护制度的重要组成部分, 自其安全设计的目标,也就是它能解决哪些安全问
·1s6· 第二十次全国计算机安全学术交流会论文
题,以及为了保障这些安全目标的实现而设计的产 表1
品自身安全措施。不管是现有成熟的产品还是先有 等级 风险度 严重性级数
成熟的标准,都大致需要经过这样一个过程,如图l l 高 1.O一
文档评论(0)