随着我国信息化发展的逐步深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常的运行直接关系到国家安全、经济命脉、社会秩序,信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,已引起党和国家领导同志和社会各界的关注。由于信息系统的安全保障系统建设是一个极为复杂的工作,为信息系统组织设计一套完整和有效的安全体系一直是个很大的难题。行业性机构、企事业单位的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多,建设起来困难重重,信息系统安全一直停留在网络安全的建设,但对于来自应用层面的攻击、内部有意无意带来的攻击没有很好的解决技术和方案提出。
信息安全是国家主权、政治、经济、国防、社会安全和公民合法权益保障的重要保证,经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实现信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。对信息系统实现等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实现信息安全等级保护的决定具有重大的现实和战略意义。
为此,国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》,要求涉及国计民生的信息系统应达到一定的安全等级。
等级划分
依据《计算机信息系统安全保护等级划分准则》将信息系统划分为以下五个级别。
图:等级保护五级标准
基本要求
等级保护基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
定级范围
1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
2)铁路、银行、海关、税务、民航、电力、证券、保险、科技、医院、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;
3)市(地)级以上党政机关的重要网站和办公信息系统;
4)涉及国家秘密的信息系统。
解决方案
针对等级保护的技术要求和管理要求中的标准逐条进行分析,以安全管理为着眼点,针对等级保护标准中网络及信息安全的要求,通过防火墙、入侵检测、UTM网关、网络审计系统、各业务应用系统自身安全等设备或功能来加以实现。最终针对等级保护建设形成一套完整的解决方案。