等级保护与关键基础设施防护的融合研究.doc

等级保护与关键基础设施防护的融 合 研 究曲洁，朱建平（公安部信息安全等级保护中心，北京 100142）摘 等级保护与关键基础设施防护的 融 合 研 究 曲洁，朱建平 （公安部信息安全等级保护中心，北京 100142） 摘 要 ：文章通过对信息安全等级保护工作思路和关键基础设施防护思路对比分析，认为二者在最终防 护目的上基本是一致的，都要求重点保护对于机构或国家来讲都是非常重要的信息系统。在此基础上，文章 分析了二者在各个环节可能的融合点，包括系统定级、分级保护、系统保障、部门合作以及法律问题等。通 过分析二者的相似点和不同点，文章认为等级保护工作可以充分吸收关键基础设施防护的精髓，不断完善， 从而使等级保护工作达到全面地保护信息系统的目的。 关键词 ：等级保护 ；关键基础设施防护 ；关键信息基础设施防护 ；关键部门 ；重要性分析 中图分类号 ：TP393.08 文献标识码 ：A 文章编号 ：1671-1122（2011）12-0084-05 The Research of Combination of Classified Protection and Critical Infrastructure Protection QU Jie, ZHU Jian-ping ( MPS Information Classified Security Protection Evaluation Center, Beijing 100142, China ) Abstract: After the analysis of two main thoughts about information classified protection and critical infrastructure protection, the conclusion is that the final object of the two kinds of protections is the same, that is ,the most important information systems are should be protected. On this basis, this paper analyzed the combinations , which are classification, classified protection, system assurance, co-operations and laws etc. The classified protection can be perfected through the combination , and make information systems are more safety. Key words: classified protection; critical infrastructure protection; critical information infrastructure protection; critical organization; importance analysis 0 引言 随着我国信息安全等级保护工作的逐步深入开展，初期确定的重点工作任务已全面实施，并取得了阶段性成果。等级保护工 作已经深入到我国各行各业的重要信息系统中。目前，各单位按照国家相关部门的工作部署和要求，全面开展安全建设整改和等 级测评工作 [1]。关键基础设施保护（CIP）以及关键信息基础设施保护（CIIP）正在各国开展的如火如荼，如何将其与等级保护相 结合，吸收 CIP 的精华部分，使等级保护工作既具有中国特色又顺应国际发展趋势是本文的主旨。 1 国内外信息安全现状和发展趋势 1.1 我国等级保护工作背景、发展历程及展望 我国的等级保护政策体系的发展始于 1994 年，迄今已有十几年的发展历程，在法律法规和部委文件的支撑下，信息安全等 级保护标准也有了比较系统的发展，覆盖了等级保护工作的各个阶段。目前在实施的技术标准主要有《计算机信息系统安全保护 等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》（GB/T22240-2008）、《信息系统安全等级保护基本要求》 （GB/T22239-2008）、《信息系统安全等级保护实施指南》（GB/T 25058-2010）、《信息系统安全等级保护测评要求》（报批稿）、《信 息系统安全等级保护测评过程指南》（报批稿）。 随着我国等级保护工作逐步深入开展，初期确定的重点工作任务已全面实施，并取得阶段性成果。我国已经制定和实施了一 收稿时间 ：2011-11-15 作者简介 ：曲洁（1978-），女，山东，助理