等级保护制度与信息系统安全,本文主要内容关键词为:等级论文,制度论文,信息系统安全论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
原生文献专栏(第75期) 中国人民大学图书馆/书报资料中心 联合主办
我们知道,信息系统安全已得到普遍的关注,各国政府、各大商业机构、组织等都投入了巨大的人力、财力来解决日益恶化的安全问题,并有多项成熟或正在成熟的安全技术如防火墙、入侵检测、安全审计和安全扫描等投放市场,但是据计算机研究组织SANS发布的2005年“20大互联网安全隐患”排行榜显示:Web应用、杀毒软件、微软产品以及思科网络产品所存在的漏洞均被列入20大威胁之列。据不完全统计,2005年平均每天有30个病毒出现,除传统的病毒、垃圾邮件外,危害更大的间谍软件、广告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列,间谍软件的危害甚至超越传统病毒,成为互联网安全最大的威胁。2005年中国有近90%的用户遭受间谍软件的袭击,病毒造成的危害主要是网络瘫痪,占所调查总数的20%。据有关反病毒专家预测,2006年网络安全危害的发展势头还会表现得更为强烈。因此建立健全信息系统安全等级保护制度来保障信息系统的安全是非常必要的。
1 信息系统安全与等级保护制度
从广义上讲,信息系统安全就是网络信息在人们确立的规则下、在人们输入命令的驱动下稳定地运行,整个过程中没有任何不可预测的事情发生。它包含两个含义:一是网络信息没有因人无意识的行为而破坏,没有因网络设备不可预测的故障而引起网络功能紊乱和性能下降;二是防止某些人有意识侵犯和破坏网络信息系统,避免网络信息的合法使用者遭受损失。
从狭义的角度讲,也是人们对信息安全的直观认识,信息安全不是为已建成的网络信息打补丁,也不是信息系统的二次建设或升级,而是信息建设的重要组成部分,自始至终伴随着信息系统的发展。在网络信息系统建设的规划、设计、实施、运行和升级阶段都有充分的体现。
信息系统安全保护就是通过信息系统本身的安全,达到保护信息系统中信息安全的目的。信息系统安全的内涵是实现系统正常运行,保障信息的完整性(保护信息及处理方法的准确性和完备性)、可用性(确保已授权用户可以访问到系统)、保密性(确保信息只能够由被授权的人访问,信息的内容不被泄漏)、不可否认性(在网络环境下,信息的发送者不可否认其发送行为,信息的接收者不可否认其已经接收信息的行为)、可控性(信息处理是可以监督和管理)等,其中保密性、完整性、可用性为基本安全特性要求。信息系统安全的外延表现为部门职能和业务的正常运转,在网络互连互通的信息时代,信息系统安全问题的实质是国家主权、政治、经济、国防、社会安全。
信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度和实际安全需求,结合系统面临的风险、应对风险的安全保护要求和成本开销等因素,分级、分类、纵深采取保护措施,以保障信息系统安全正常运行和信息的安全。
2
国内外信息系统安全等级保护制度的发展历程
2.1 国外(以美国为例)
美国国防部在80年代针对国防部门的计算机安全保密就开展了一系列有影响的工作,后来成立了所属的机构——国家计算机安全中心(简称NCSC)继续进行有关工作。1983年他们又公布了可信计算机系统评估准则(简称TCSEC,俗称橘皮书),橘皮书中使用了可信计算基础(简称TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。在评价准则中,从B级开始就要求具有强制存取控制和形式化模型技术的应用。1998年5月,美国政府发布了总统令——《保护美国关键基础设施》,对其关键的信息技术设施进行强制管理,相继又制定了《信息保护技术框架》,对以前的总统保护委员会进行了改组,重新任命以Richard A.Clark作为总统网络安全顾问,制定安全的保障法规,加强对安全的监控,用立法强化对网络的管理,且成立了国土安全部,将网络安全纳入反恐怖的范畴,又在第一版的基础上进行修订,制定出了第二版网络安全的国家战略,从全方位规划美国网络与信息化安全的方向,再联合政府和社会的力量强化美国的信息系统安全化的社会防线。采取的措施主要是:在实行等级保护标准的基础上,进一步完善等级保护程序,严格控制政府信息资源访问;加强信息发布审查及控制机制,清理政府网站上的有害信息等;开发网络预警系统,加强网络自制防护和生存能力;提高网络的攻击能力,完善信息安全法律体系等。
2.2 中国
我国早在1994年2月国务院就发布了《中华人民共和国计算机信息系统安全保护条例》,以国家法律的形式规定“重点保护国家事务、国家经济建设、国家建设、国家尖端科学技术等重要领域的信息系统的安全。”同时规定“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”1998年12月,公安部会同国家密码管理委员会、信息产业部等部门就国家信息化建设中的诸多问题起草了《计算机信息系统安全保护等级制度建设纲要》,确立了安全保护等级制度的主要适用范围、建设目标、建设原则、建设任务、实施步骤及措施等主要问题。1999年9月经国家质量技术监督局又发布了强制性国标——《计算机信息系统安全保护等级划分准则》GB17859-1999,将信息系统划分为五个安全保护等级,安全保护能力从第一级到五级逐级增强。2000年11月,国家计委又下达了由公安部主持开展的项目建设—— 《计算机信息系统安全保护等级评估认证体系及互联网络电子身份认证管理与安全保护平台试点》,且已取得了一定的成果:第一组织起草了《信息系统安全保护等级管理办法》草案;第二发布了一批项目成果,应用推广所需的重要标准,并提出了比较完整的安全保护标准体系——《计算机信息系统安全保护等级通用技术要求》、《计算机信息系统网络安全保护等级技术要求》、《计算机信息系统操作系统安全保护等级技术要求》、《计算机信息系统数据库管理系统安全保护等级技术要求》、《计算机信息系统安全保护等级管理要求》;第三推出安全保护等级评估工具(包括2套系统评估工具和9套产品评估工具);第四基本完成上海安全产品等级检测中心建设、北京信息系统安全保护等级评估中心的筹建;第五“郑州粮食交易市场网络电子身份认证示范工程”(电子设备环境下的身份认证)的顺利完成。近几年又相继出台了几种管理办法和实施意见,如《计算机信息网络国际联网安全保护管理办法》[2003—11—18]、《计算机病毒防治管理办法》[2003—11—18]、《信息安全等级保护管理办法》公通字[2006]7号(试行)、《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号、《关于信息安全等级保护工作的实施意见》公通字[2004]66号。这些文件的发布为今后信息系统安全等级保护制度的建立与实施提供了可靠的依据。
3
进一步完善信息系统安全等级保护制度,保障信息系统安全
信息安全等级保护是一项社会性的系统工程,国家必须从客观上把握关键环节,建立有效的保护机制,从五个安全保护级别,从信息系统整体方面全面考虑信息系统安全保护。
国家实行信息系统安全等级保护必须从总体战略角度考虑问题,把握以下关键环节,建立长效安全保障体系和机制。第一,等级保护总体控制:按照等级保护行政法规、技术法规,进一步明确国家信息系统安全等级保护总的体系结构、等级保护的目标、等级保护政策和策略、等级系统模型、网络系统边界与互联安全等,把住总体关;第二,标准化控制:以《计算机信息系统安全保护等级划分准则》为指导,建立等级保护标准体系,实现安全保护工作等级化、规范化、法制化;第三,安全等级实现过程控制:有关科研开发单位、企业按标准对信息系统及产品的安全等级的实现把关;第四,实现安全等级结果控制:产品和信息系统安全保护等级评估机构标准并运用专门的测评工具检测安全产品、评估系统,对信息系统及产品的安全保护等级的实现结果把关;第五,系统安全状况监督检查:要求各地执法部门依法按标准并运用专门检测工具,对重要领域的信息系统、互联网管理中心及重要网站等安全保护状况初稿监督检查。
根据国家强制性标准《计算机信息系统安全保护等级划分准则》GB17859-1999的规定,对我国信息系统安全保护实行五级保护制度,以第一级为基础,依次逐级增强保护能力。第一用户自主保护级:它实施的是自主访问控制,系统中的用户或用户组可通过系统访问控制功能,由资源所有者自行确定对其数据的访问授权。第二系统审计保护级:该级实施的是自主访问控制和客体的安全受用。系统对安全相关的事件提供审计记录并提供客体受用的安全机制。第三安全标记保护级:在前两级的基础上,对系统资源实施强制访问控制。系统以敏感标记的方法,为主体和客体指定其安全等级并按主、客体标记的级别和范围实施主体对客体的强制访问控制。第四结构化保护级:它的特征是以明确定义形式化的安全保护策略,增强对系统安全核心部分的保护,并将强制访问控制扩展到所有主体和客体,引入针对隐蔽信道控制概念,系统具有相当的抗渗透能力。第五访问验证保护级:该级的主要特征是系统通过访问验证器控制所有从主体到客体的访问,并必须对从主体到客体的每一次访问活动进行验证,提供系统可信恢复机制,系统具有很高的抗渗透能力。
我国信息系统安全技术管理标准体系已经基本形成,从1986年开始我国颁布信息安全等级的技术标准,如:
计算机机房用活动地板技术条件(GB6650-1986)
计算机站场地安全要求(GB9361-88)
计算机站场地技术条件(GB2887-89)
信息技术设备的无线电干扰极限值和测量方法(GB9254-88)
信息技术设备(包括电气事务设备)的安全(IEC950)
计算机信息系统保安器(GA173-1998)
基于DOS的信息安全产品评级准则(GA174-1998)
军用计算机安全评估准则(GJB2646-96)
计算机信息系统安全保护等级划分准则(GB17859)
计算机信息系统安全等级保护网络技术要求(GA/T387-2002)
计算机信息系统安全等级保护操作系统技术要求(GA/T387-2002)
计算机信息系统安全等级保护数据库管理系统技术要求(GA/T387-2002)
计算机信息系统安全等级保护通用技术要求(GA/T387-2002)
计算机信息系统安全等级保护管理要求(GA/T387-2002)
中华人民共和国计算机系统安全保护条例[2003—11—18]
计算机信息网络国际联网安全保护管理办法[2003—11—18]
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2006]7号)(试行)
据最新信息透露,我国2006年将出台更新的信息安全等级保护标准,它包括定级规则、基本管理要求、基本技术要求等一系列的标准和管理办法,从国家监管角度将我国的信息安全保护分为五个等级,一级最低,是对操作系统的基本保护,如防病毒、防入侵等。标准出台以后,民用计算机操作系统达到一二级就可以了,而对于涉及到国家安全、社会稳定的重要部门将实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。我国国家信息安全等级保护标准的出台,标志着国家信息安全等级保护基本制度的正式实施,信息安全保护工作将更加有层次、更加规范化。
总之,信息是社会发展的重要战略资源,信息安全是维护国家安全、经济安全和社会稳定的一个焦点,也是关系国家大局和长远利益的重要组成部分。实施信息安全等级保护制度将基本保证信息系统安全的防护,因此等级保护制度是信息安全的重要保障,我国政府对信息安全要切实重视起来,把信息安全和政治安全、经济安全、文化安全放在同等重要的位置,用国家政策、法治法规来强制执行和管理,只有这样才能保证我国信息安全的稳定性。
标签:信息安全论文; 计算机信息系统安全保护等级划分准则论文; 计算机安全论文; 信息安全标准论文; 信息系统规划论文; 网络标准论文; 网络安全论文; 访问控制论文; 等级保护论文;