全国服务热线 13382035157

信息安全双“盾”—— 等级保护与分级保护

更新时间:2024-12-21 07:08:00
价格:请来电询价
联系电话:4009992068
联系手机: 13382035157
联系人:贯标客服
让卖家联系我
详细介绍

国防动员及人民防空作为国防建设的重要组成部分,安全保密是保打赢的重要保障。在国防动员及人民防空信息化、数字化、智慧化建设不断深入推进过程中,信息安全越来越得到重视。我国提出并建立了涉密信息系统分级保护制度和信息系统安全等级保护制度为国家信息安全保驾护航,也铸成了两面信息安全保护之“盾”。


一、信息安全等级保护


2003 年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27 号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级:


第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。


第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级别是系统审计保护级。本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。


第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外,它还要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。


第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级别是结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。


第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责管理访问者对访问对象的所有访问活动,管理访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。



二、涉密信息系统分级保护


2004 年,中保委下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7 号),明确提出建立健全涉密信息系统分级保护制度。涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密分为秘密、机密、绝密三级,涉密信息系统也按照秘密、机密、绝密三级进行分级管理。

1、秘密级:信息系统中包含有Zui高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。


2、机密级:信息系统中包含有Zui高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属下列情况之一的机密级信息系统应按机密级(增强)要求管理:


(1) 信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、jungong等要害部门;

(2) 信息系统中的机密级信息含量较高。或数量较多;

(3) 信息系统使用单位对信息系统的依赖程度较高。


3、绝密级:信息系统中包含有Zui高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。


涉密信息系统的等级由系统使用单位确定,按照“谁主管、谁负责”的原则进行管理。实现对不同等级的涉密信息系统进行分级保护,对涉密信息系统使用的安全保密产品进行分级管理,对涉密信息系统发生的泄密事件进行分级处置。



三、等级保护与分级保护的关系


国家信息安全等级保护与涉密信息系统分级保护既有联系又有区别。

国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。涉密信息分级是按照信息的密级进行 划分的,保护水平分别不低于等级保护三、四、五级的要求,除此之外,还必须符合分级保护的保密技术要求。对于防范网络泄密,加强信息化条件下的保密工作,具有十分重要的意义。

项目

等级保护

分级保护

主管部门

公安部门

国家保密部门

定级阶段

在方案设计前

在方案设计前

定级要素

等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程序

分级保护对象的客体受到侵害的程度

客体

1. 公民、法人和其他组织的合法权益;

2. 社会秩序、公共利益;

3. 国家安全;

国家安全和利益

级别

第一级、第二级、第三级、第四纪、第五级;

秘密、机密、绝密‘

等级变更

表1 等级保护和分级保护的对比分析

相关产品

联系方式

  • 地址:南京市仙林大道10号三宝科技园1号楼B座6层
  • 电话:4009992068
  • 联系人:贯标客服
  • 手机:13382035157
  • 微信:13382035157
  • Email:ha1009@sina.com
产品分类
其他资质
高企认定
产品认证
许可证
实验室
军工类
IT类
体系类
站内搜索
关键字:
栏目: