等级保护在信息安全中的应用研究.docVIP

等级保护在信息安全中的应用研究 　　摘要：信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。本文介绍了等级保护重要性和划分原理，以及等级保护在一些行业中的应用。 　　关键词：等级保护；信息安全；风险评估 　　中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 13-0000-01 　　Applied Research of Classified Protection in Information Security 　　Lv Chunmei,Han Shuai,Hu Chaoju 　　(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China) 　　Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries. 　　Keywords:Classified protection;Information security;Risk assessment 　　随着信息化的快速发展，计算机网络与信息技术在各个行业都得到了广泛应用，对信息系统进行风险分析和等级评估，找出信息系统中存在的问题，对其进行控制和管理，己成为信息系统安全运行的重点。 　　一、信息系统安全 　　信息安全的发展大致为以下几个阶段，20世纪40-70年代，人们通过密码技术解决通信保密，保证数据的保密性和完整性；到了70-90年代，为确保信息系统资产保密性、完整性和可用性的措施和控制，采取安全操作系统设计技术；90年代后，要求综合通信安全和信息系统安全，确保信息在存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务，以及包括检测、记录和对抗此类威胁的措施，代表是安全评估保障CC；今天，要保障信息和信息系统资产，保障组织机构使命的执行，综合技术、管理、过程、人员等，需要更加完善的管理机制和更加先进的技术，出台的有BS7799/ISO17799管理文件[1]。 　　二、信息安全等级保护 　　信息安全等级保护是指对信息系统分等级实行安全保护，对信息系统中发生的信息安全事件等分等级响应、处置，对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算，同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理，国内2007年下发《信息安全等级保护管理办法》，规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会发布的一个关于信息安全管理的标准[2]。 　　三、等级保护划分 　　完整正确地理解安全保护等级的安全要求，并合理地确定目标系统的保护等级，是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》（GB 17859）将我国信息系统安全等级分为5个级别，以第1级用户自主保护级为基础，各级逐渐增强。 　　第一级：用户自主保护级，通过隔离用户和数据，实施访问控制，以免其他用户对数据的非法读写和破坏。 　　第二级：系统审计保护级，使用机制来鉴别用户身份，阻止非授权用户访问用户身份鉴别数据。 　　第三级：安全标记保护级，提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。 　　第四级：结构化保护级，将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制，系统具有相当的抗渗透能力。 　　第五级：访问验证保护级，访问监控器仲裁主体对客体的全部访问，具有极强的抗渗透能力。 　　四、信息系统定级 　　为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4]，定级范围包含： 　　1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要