《信息系统安全等级保护原理与应用》:
1.7分级保护和等级保护
随着信息化的发展,国内各行各业建设了大量的网络信息系统,信息安全问题变得日益突出。为了应对信息安全方面的挑战,国家制定了两种信息系统安全保护制度:信息系统安全等级保护(简称等级保护)制度和涉密信息系统分级保护(简称分级保护)制度,并制定了一系列相关国家技术标准和法律法规。在实际上,准确运用相关标准,正确实施信息安全工程非常重要。
单从文字上理解,分级保护和等级保护似乎有相同之处,容易将两者混淆起来,实际上,这是两种不同的信息安全法规和标准。
1.7.1分级保护
分级保护的对象是涉密信息系统,重点是保障涉密信息安全。涉密信息是指涉及国家秘密的信息,而不是商业秘密和个人隐私信息。涉密信息分为绝密级、机密级和秘密级三个密级。
涉密信息系统是指存储、处理国家秘密的计算机信息系统。对涉密信息系统实行分级保护是国家强制执行的信息安全保密政策。国家制定了相应的法律和标准。
在新修订的《中华人民共和国保守国家秘密法》(2010年10月1日起施行)中,明确规定对涉密信息系统实行分级保护。
为了指导和规范涉密信息系统分级保护工作,国家制定了一系列国家保密标准(BMB)。
(1)BMB17-2006:涉及国家秘密的信息系统分级保护技术要求。
(2)BMB20-2007:涉及国家秘密的信息系统分级保护管理规范。
(3)BMB22-2007:涉及国家秘密的信息系统分级保护测评指南。
(4)BMB23-2007:涉及国家秘密的信息系统分级保护方案设计指南。
BMB标准规定,涉密信息系统分为绝密级、机密级和秘密级三个级别,每个级别可按一般要求或增强要求进行保护,增强要求是对一般要求的进一步增强,其安全防护要求更高一些。
1.7.2等级保护
等级保护的对象主要是非涉密信息系统,重点是保障信息系统安全。等级保护采取自主定级、自主保护的原则,其保护等级主要根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素来确定。
为了指导和规范信息系统安全等级保护工作,国家制定了一系列信息系统等级保护标准。
(1)GB17859-1999:计算机信息系统安全保护等级划分准则。
(2)GB/T22239-2008:信息系统安全等级保护基本要求。
(3)GB/T22240-2008:信息系统安全等级保护定级指南。
(4)GB/T25058-2010:信息系统安全等级保护实施指南。
(5)GB/T25070-2010:信息系统等级保护安全设计技术要求。
(6)GB/T28448-2012:信息系统安全等级保护测评要求。
(7)GB/T28449-2012:信息系统安全等级保护测评过程指南。
等级保护标准规定,信息系统安全保护等级分为以下五级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重的损害。
其中,第一级为最低级,属于基本保护;第五级为最高级。第三、四、五级主要侧重于社会秩序和公共利益的保护,虽然也涉及国家安全,但这类信息系统通常是涉密信息系统,必须实行分级保护,并且是强制执行的,而不是自主保护。
信息系统安全等级保护和分级保护制度为信息安全工程的规范化和标准化提供了法规和标准依据。
1.8本书编写说明
本书主要介绍信息系统安全等级保护的概念、原理和方法,包括信息系统安全等级保护的定级方法、基本要求、安全设计、实施流程、测评要求及应用实例等,主要内容源于信息系统安全等级保护相关标准。由于信息系统安全等级保护相关标准比较多,覆盖了等级保护的各个阶段,并且对每个保护级别都做了详细的规定和描述,阅读起来难免有些眼花缭乱,不易理解和掌握。因此,本书对相关标准进行了梳理,主要以第三级系统安全保护为主线来介绍等级保护的原理和方法,为进一步掌握和运用相关标准打下良好的基础。
本书没有对相关的信息安全技术做详细介绍,读者最好具有一定的信息安全基础知识,这样有助于理解和掌握本书的内容。
……
展开
