信息安全等級(jí)保護(hù)的安全技術(shù)分析

張 原，劉 穎

（1.國(guó)家食品藥品監(jiān)督管理總局信息中心，北京，100053；2.新華通訊社技術(shù)局，北京，100053）

近年來(lái),我國(guó)的信息化發(fā)展迅速,對(duì)網(wǎng)絡(luò)環(huán)境尤其是互聯(lián)網(wǎng)的依賴越來(lái)越深。只有信息安全得到保護(hù),信息化才能健康發(fā)展。等級(jí)保護(hù)就是對(duì)信息網(wǎng)絡(luò)系統(tǒng)和重要信息系統(tǒng)按其重要程度及實(shí)際安全需要,合理投入,分級(jí)保護(hù),保障信息安全和信息系統(tǒng)安全、正常運(yùn)行,促進(jìn)信息化建設(shè)健康發(fā)展。

1 信息安全等級(jí)保護(hù)

1.1 信息安全保護(hù)等級(jí)的劃分

影響信息系統(tǒng)安全保護(hù)等級(jí)的確定因素主要取決于信息系統(tǒng)在經(jīng)濟(jì)社會(huì)和國(guó)家安全中的重要程度以及被破壞后對(duì)經(jīng)濟(jì)社會(huì)、組織群眾利益的危害程度。

信息系統(tǒng)安全保護(hù)等級(jí)一共被劃分為以下五個(gè)等級(jí)：

第一級(jí)：用戶自主保護(hù)級(jí) 信息系統(tǒng)受到攻擊破壞，由此導(dǎo)致相關(guān)組織機(jī)構(gòu)以及人民群眾利益受損，但是對(duì)社會(huì)的穩(wěn)定、集體的利益以及國(guó)家的安全沒(méi)有危害。此類信息的重要性以及保護(hù)方式全部取決于用戶自己的選擇。

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) 信息系統(tǒng)受到攻擊破壞，由此不僅導(dǎo)致相關(guān)組織機(jī)構(gòu)以及人民群眾利益受到很大的損傷，同時(shí)還危及到社會(huì)的穩(wěn)定和集體的利益，但是不危及到國(guó)家安全。

第三級(jí)：安全標(biāo)記保護(hù)級(jí) 信息系統(tǒng)受到攻擊破壞后，對(duì)社會(huì)的穩(wěn)定和集體的利益產(chǎn)生了非常大的危害或者對(duì)國(guó)家安全產(chǎn)生嚴(yán)重威脅。此等級(jí)不僅具備系統(tǒng)審計(jì)保護(hù)級(jí)的全部信息保護(hù)功能，同時(shí)還會(huì)強(qiáng)制對(duì)系統(tǒng)的訪問(wèn)者及其訪問(wèn)對(duì)象進(jìn)行控制和記錄，對(duì)其行為進(jìn)行監(jiān)督與審計(jì)。

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) 由此導(dǎo)致相關(guān)組織機(jī)構(gòu)以及人民群眾利益受到極大的損傷或者對(duì)社會(huì)的穩(wěn)定和集體的利益以及國(guó)家安全產(chǎn)生了極大的危害。

第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí) 信息系統(tǒng)受到攻擊破壞，由此導(dǎo)致國(guó)家安全受到極其嚴(yán)重的危害。此級(jí)別功能最全，除具備上述所有級(jí)別功能外，對(duì)系統(tǒng)加設(shè)了訪問(wèn)驗(yàn)證保護(hù)，以此不但記錄訪問(wèn)者對(duì)系統(tǒng)的訪問(wèn)歷史，還對(duì)訪問(wèn)者的訪問(wèn)權(quán)限進(jìn)行設(shè)置，確保信息被安全使用，保障信息不外泄。

1.2 信息安全等級(jí)的劃分

1.2.1 按相關(guān)政策規(guī)定劃分安全保護(hù)等級(jí)

對(duì)于一些需要特殊保護(hù)和隔離的信息系統(tǒng)，如我國(guó)的國(guó)防部、國(guó)家機(jī)關(guān)以及重點(diǎn)科研機(jī)構(gòu)等特殊機(jī)構(gòu)的信息系統(tǒng)，在進(jìn)行信息安全保護(hù)時(shí)，要嚴(yán)格按照國(guó)家頒布的關(guān)于信息安全等級(jí)保護(hù)的相關(guān)政策制度以及法律法規(guī)的規(guī)定要求對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)。

1.2.2 按照保護(hù)數(shù)據(jù)的價(jià)值劃分保護(hù)等級(jí)

根據(jù)需被保護(hù)的信息的類別和價(jià)值的不同，通常其受到保護(hù)的安全等級(jí)也不同。此舉目的為在保護(hù)信息安全的同時(shí)降低運(yùn)作成本。

2 信息安全等級(jí)保護(hù)的基本要求

信息安全等級(jí)保護(hù)的基本要求分為技術(shù)和管理兩大類。技術(shù)部分是要求在信息安全保護(hù)過(guò)程中采取安全技術(shù)措施，使系統(tǒng)具備對(duì)抗外來(lái)威脅和受到破壞后自我修復(fù)的能力，主要涉及到物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用安全和數(shù)據(jù)恢復(fù)功能等技術(shù)的應(yīng)用。

管理部分是要求在信息系統(tǒng)的全部運(yùn)行環(huán)節(jié)中對(duì)各運(yùn)行環(huán)節(jié)采取控制措施。管理過(guò)程要求對(duì)制度、政策、人員和機(jī)構(gòu)都提出要求，涉及到安全保護(hù)等級(jí)管理、工程建設(shè)管理、系統(tǒng)的運(yùn)行與維護(hù)管理以及應(yīng)急預(yù)案管理等管理環(huán)節(jié)。

3 信息安全等級(jí)保護(hù)的方法

3.1 信息安全等級(jí)保護(hù)流程

信息安全等級(jí)保護(hù)涉及到多個(gè)環(huán)節(jié)，需要各相關(guān)部門共同參與，合力完成。安全等級(jí)保護(hù)的環(huán)節(jié)大體上分為以下九步：

（1）確定系統(tǒng)等級(jí)

作為實(shí)現(xiàn)信息等級(jí)保護(hù)的前提，確定信息系統(tǒng)的安全保護(hù)等級(jí)是必不可缺的步驟。用戶要嚴(yán)格按照國(guó)家規(guī)范標(biāo)準(zhǔn)給所使用的信息系統(tǒng)科學(xué)確定等級(jí)。

（2）等級(jí)審批

信息系統(tǒng)主管部門對(duì)信息系統(tǒng)的安全等級(jí)進(jìn)行審批調(diào)整，但調(diào)整時(shí)要按照規(guī)定，只能將等級(jí)調(diào)高。

（3）確定安全需求

信息系統(tǒng)的安全需求可反映出該等級(jí)的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時(shí)要依賴該系統(tǒng)的安全等級(jí)，但因?yàn)樾畔⑾到y(tǒng)普遍存在可變性，因此用戶在確定安全需求時(shí)還要根據(jù)自身實(shí)際情況確定自己系統(tǒng)的安全需求。

（4）制定安保方案

當(dāng)信息系統(tǒng)的等級(jí)和安全需求確定后，針對(duì)已掌握情況制定出包括技術(shù)安全和管理安全在內(nèi)的最佳安全保護(hù)方案。

（5）安全產(chǎn)品選型

安全產(chǎn)品的選擇直接決定了安全保護(hù)工作是否能夠成功實(shí)現(xiàn)。因此在安全產(chǎn)品的選擇過(guò)程中，不僅要對(duì)產(chǎn)品的可信度和功能進(jìn)行認(rèn)真審查，還要求國(guó)家相關(guān)部門監(jiān)管產(chǎn)品的使用情況。

（6）安全測(cè)評(píng)

測(cè)評(píng)的目的在于確定系統(tǒng)安全保護(hù)的實(shí)現(xiàn)，以保證信息安全。若測(cè)評(píng)不能達(dá)到預(yù)期目標(biāo)，要及時(shí)進(jìn)行重新調(diào)整。

（7）等級(jí)備案

安全保護(hù)等級(jí)在三級(jí)以上的信息系統(tǒng)，其用戶和運(yùn)營(yíng)商需要向地市級(jí)以上公安機(jī)關(guān)備案?？绲赜虻男畔⑾到y(tǒng)的備案由其主管部門在當(dāng)?shù)赝?jí)公安機(jī)關(guān)完成，分系統(tǒng)的備案由其用戶和運(yùn)營(yíng)商完成。

（8）監(jiān)督管理

信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產(chǎn)品的使用情況，并對(duì)測(cè)評(píng)機(jī)構(gòu)和信息系統(tǒng)的登記備案進(jìn)行監(jiān)管。

（9）運(yùn)行維護(hù)

該環(huán)節(jié)主要目的在于通過(guò)運(yùn)行確定系統(tǒng)的信息安全，還可以重新確定對(duì)產(chǎn)生變化的信息系統(tǒng)的安全保護(hù)等級(jí)。

以上環(huán)節(jié)在實(shí)現(xiàn)信息系統(tǒng)的安全等級(jí)保護(hù)過(guò)程中極其重要，不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。

3.2 信息安全等級(jí)保護(hù)的方法

信息安全等級(jí)保護(hù)分為物理安全保護(hù)和網(wǎng)絡(luò)系統(tǒng)安全保護(hù)兩類。

3.2.1 物理安全保護(hù)層面

對(duì)于物理安全保護(hù)，又分為必要考慮和需要考慮兩個(gè)安全層面。對(duì)于必要考慮的物理安全方面：對(duì)于主機(jī)房等場(chǎng)所設(shè)施來(lái)說(shuō)，要做好安全防范工作。采用先進(jìn)的技術(shù)設(shè)備做到室內(nèi)監(jiān)控、使用用戶信息登記、以及自動(dòng)報(bào)警系統(tǒng)等。記錄用戶及其訪問(wèn)情況，方便隨時(shí)查看。對(duì)于需要考慮的物理安全方面：對(duì)于主機(jī)房以及重要信息存儲(chǔ)設(shè)備來(lái)說(shuō)，要通過(guò)采用多路電源同時(shí)接入的方式保障電源的可持續(xù)供給，謹(jǐn)防因斷電給入侵者制造入侵的機(jī)會(huì)。

3.2.2 網(wǎng)絡(luò)系統(tǒng)安全保護(hù)層面

根據(jù)安全保護(hù)對(duì)象的不同，有不同的保護(hù)方法。具體方法如下：

（1）已確定安全等級(jí)系統(tǒng)的安全保護(hù)

對(duì)于全系統(tǒng)中同一安全等級(jí)的信息系統(tǒng)，對(duì)于任何部分、任何信息都要按照國(guó)家標(biāo)準(zhǔn)采取統(tǒng)一安全保護(hù)方法給其設(shè)計(jì)完整的安全機(jī)制。對(duì)于不同安全等級(jí)的分系統(tǒng)，對(duì)其上不同的部分及信息按照不同的安全要求設(shè)計(jì)安全保護(hù)。

（2）網(wǎng)絡(luò)病毒的防范方法

計(jì)算機(jī)病毒嚴(yán)重威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全，所以防范病毒的入侵在信息系統(tǒng)安全保護(hù)過(guò)程中是非常重要的步驟。運(yùn)用防火墻機(jī)制阻擋病毒入侵，或者給程序加密、監(jiān)控系統(tǒng)運(yùn)行情況、設(shè)置訪問(wèn)權(quán)限，判斷是否存在病毒入侵，及時(shí)發(fā)現(xiàn)入侵的病毒并予以清除，保障計(jì)算機(jī)信息系統(tǒng)的安全。

（3）漏洞掃描與修復(fù)方法

系統(tǒng)存在漏洞是系統(tǒng)的安全隱患，不法分子常會(huì)利用系統(tǒng)中的漏洞對(duì)系統(tǒng)進(jìn)行攻擊破壞。因此要經(jīng)常對(duì)計(jì)算機(jī)進(jìn)行全面的漏洞掃描，找出系統(tǒng)中存在的漏洞并及時(shí)修復(fù)漏洞，避免給不法分子留下入侵機(jī)會(huì)。漏洞的修復(fù)分為系統(tǒng)自動(dòng)修復(fù)和人工手動(dòng)修復(fù)兩種，由于多種原因，絕對(duì)完善的系統(tǒng)幾乎不存在，因此要定期對(duì)系統(tǒng)進(jìn)行漏洞掃描修復(fù)，確保系統(tǒng)的安全。

4 結(jié)束語(yǔ)

建立信息安全等級(jí)保護(hù)制度旨在為國(guó)家信息安全保護(hù)工作建立起一個(gè)長(zhǎng)久有效的安全機(jī)制，保障信息化建設(shè)的健康發(fā)展。然而目前我國(guó)信息安全等級(jí)保護(hù)政策的實(shí)施處于初步進(jìn)行階段，還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與，為保障信息安全盡最大的努力。同時(shí)伴隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息安全等級(jí)保護(hù)技術(shù)和水平也要不斷優(yōu)化升級(jí)，確保能夠及時(shí)解決安全保護(hù)中遇到的問(wèn)題，讓信息安全等級(jí)保護(hù)政策的實(shí)施暢行無(wú)阻。

[1]王雪莉.淺談信息安全等級(jí)保護(hù)問(wèn)題[J].數(shù)字技術(shù)與應(yīng)用，2012,5:177.

[2]尹智慶，劉維.信息安全等級(jí)保護(hù)面面觀[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，2（3）：8-10.

[3]吉增瑞.信息安全等級(jí)保護(hù)淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005，1（4）：55-57.

[4]景乾元.信息安全等級(jí)保護(hù)[J].權(quán)威視點(diǎn)，2004，2（5）：6-8.