基于等级和分级保 护 实现数据泄露防护

多宝阁手游 2019-06-19 16:1858http://www.029web.com/admin

  一、 等级保护和分级保护的基本思想解读

  1、信息系统等级保护

  等级保护制度,经历过长达7年的酝酿和修订。2006年1月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《信息安全等级保护管理办法(试行)》,该项法律明确了信息安全等级保护的基本思想。等级保护思想认为,信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。因此,信息安全保护必须符合客观存在和发展规律,按照“分级、分区域、分类和分阶段”的基本思路做好国家信息安全保护。

  信息系统安全等级保护将安全保护的监管级别划分为五个级别:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

  在等级保护的实际操作中,强调从五个部分进行保护,即:物理部分、支撑系统、网络部分、应用系统、管理制度。由这五部分的安全控制机制构成系统整体安全控制机制。

  2、涉密信息系统分级保护

  分级保护思想,主要是对涉及国际秘密的信息系统进行分级保护。2004年12月23日中央保密委员会下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。

  涉密信息系统实行分级保护,先要根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级;涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级。

  涉密信息系统分级保护的管理过程分为八个阶段,即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中,涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段,尤其重要。

  2、等级保护和分级保护思想的重点

  等级保护和分级保护的核心思想是一致的,其重点在于定级和分别保护。

  在定级方面,基本依据是信息系统的重要性。包括方面:1、信息系统与其对应的组织架构本身的重要性;2、信息系统遭受破坏之后的危害性

  二、 当前信息安全建设的重大缺陷

  根据信息安全等级保护管理办法,各个信息安全厂商纷纷推出自己的信息安全等级保护解决方案。但是,这些解决方案都存在着先天性的缺陷,无法实现真正的等级保护和分级保护。

  以北京某公司推出的等级保护解决方案为例,其主体内容如下图:

二、当前信息安全建设的重大缺陷


  上述信息安全体系出自中国最大的信息安全厂商。经过分析,可以看出上述的信息安全保障体系存在着重要的缺陷:

  1. 采用的是传统的“边界保护”理论,使用“筑围墙”的方式来建立防护体系,无法做到等级保护。

  传统信息安全架构核心思想是边界保护,也就是通过防火墙、VPN、安全网关等技术,把自己的信息隔离在一个相对封闭的区域里,如同在信息周围筑起一道高围墙。但是,随着互联网的普及,网络和信息系统不可避免地对外开放,要越来越多地同外界共享应用系统和信息。网络边界阻隔信息流动,从而限制了信息发挥作用。采用边界划分思想来保护信息安全,是把信息安全当做城堡,把信息当做城堡里的人,这样设计的信息安全系统只能是粗放的,不能将安全防护贯穿到信息本身;实际上,真正要保护的对象是城堡里的人,而拥有城堡的是城堡的主人,因此需要因人而异,设定重点保护对象,而不是一视同仁。

快乐十分_多宝阁手游:基于等级和分级保 护 实现数据泄露防护

Copyright © 2002-2017 快乐十分_多宝阁手游 版权所有 备案号:鄂ICP备12013435号-2 鄂公网安备61032703000297