張 原，劉 穎

（1.國家食品藥品監(jiān)督管理總局信息中心，北京，100053；2.新華通訊社技術局，北京，100053）

近年來,我國的信息化發(fā)展迅速,對網(wǎng)絡環(huán)境尤其是互聯(lián)網(wǎng)的依賴越來越深。只有信息安全得到保護,信息化才能健康發(fā)展。等級保護就是對信息網(wǎng)絡系統(tǒng)和重要信息系統(tǒng)按其重要程度及實際安全需要,合理投入,分級保護,保障信息安全和信息系統(tǒng)安全、正常運行,促進信息化建設健康發(fā)展。

1 信息安全等級保護

1.1 信息安全保護等級的劃分

影響信息系統(tǒng)安全保護等級的確定因素主要取決于信息系統(tǒng)在經(jīng)濟社會和國家安全中的重要程度以及被破壞后對經(jīng)濟社會、組織群眾利益的危害程度。

信息系統(tǒng)安全保護等級一共被劃分為以下五個等級：

第一級：用戶自主保護級 信息系統(tǒng)受到攻擊破壞，由此導致相關組織機構以及人民群眾利益受損，但是對社會的穩(wěn)定、集體的利益以及國家的安全沒有危害。此類信息的重要性以及保護方式全部取決于用戶自己的選擇。

第二級：系統(tǒng)審計保護級 信息系統(tǒng)受到攻擊破壞，由此不僅導致相關組織機構以及人民群眾利益受到很大的損傷，同時還危及到社會的穩(wěn)定和集體的利益，但是不危及到國家安全。

第三級：安全標記保護級 信息系統(tǒng)受到攻擊破壞后，對社會的穩(wěn)定和集體的利益產(chǎn)生了非常大的危害或者對國家安全產(chǎn)生嚴重威脅。此等級不僅具備系統(tǒng)審計保護級的全部信息保護功能，同時還會強制對系統(tǒng)的訪問者及其訪問對象進行控制和記錄，對其行為進行監(jiān)督與審計。

第四級：結(jié)構化保護級 由此導致相關組織機構以及人民群眾利益受到極大的損傷或者對社會的穩(wěn)定和集體的利益以及國家安全產(chǎn)生了極大的危害。

第五級：訪問驗證保護級 信息系統(tǒng)受到攻擊破壞，由此導致國家安全受到極其嚴重的危害。此級別功能最全，除具備上述所有級別功能外，對系統(tǒng)加設了訪問驗證保護，以此不但記錄訪問者對系統(tǒng)的訪問歷史，還對訪問者的訪問權限進行設置，確保信息被安全使用，保障信息不外泄。

1.2 信息安全等級的劃分

1.2.1 按相關政策規(guī)定劃分安全保護等級

對于一些需要特殊保護和隔離的信息系統(tǒng)，如我國的國防部、國家機關以及重點科研機構等特殊機構的信息系統(tǒng)，在進行信息安全保護時，要嚴格按照國家頒布的關于信息安全等級保護的相關政策制度以及法律法規(guī)的規(guī)定要求對信息系統(tǒng)進行等級保護。

1.2.2 按照保護數(shù)據(jù)的價值劃分保護等級

根據(jù)需被保護的信息的類別和價值的不同，通常其受到保護的安全等級也不同。此舉目的為在保護信息安全的同時降低運作成本。

2 信息安全等級保護的基本要求

信息安全等級保護的基本要求分為技術和管理兩大類。技術部分是要求在信息安全保護過程中采取安全技術措施，使系統(tǒng)具備對抗外來威脅和受到破壞后自我修復的能力，主要涉及到物理、網(wǎng)絡、主機、應用安全和數(shù)據(jù)恢復功能等技術的應用。

管理部分是要求在信息系統(tǒng)的全部運行環(huán)節(jié)中對各運行環(huán)節(jié)采取控制措施。管理過程要求對制度、政策、人員和機構都提出要求，涉及到安全保護等級管理、工程建設管理、系統(tǒng)的運行與維護管理以及應急預案管理等管理環(huán)節(jié)。

3 信息安全等級保護的方法

3.1 信息安全等級保護流程

信息安全等級保護涉及到多個環(huán)節(jié)，需要各相關部門共同參與，合力完成。安全等級保護的環(huán)節(jié)大體上分為以下九步：

（1）確定系統(tǒng)等級

作為實現(xiàn)信息等級保護的前提，確定信息系統(tǒng)的安全保護等級是必不可缺的步驟。用戶要嚴格按照國家規(guī)范標準給所使用的信息系統(tǒng)科學確定等級。

（2）等級審批

信息系統(tǒng)主管部門對信息系統(tǒng)的安全等級進行審批調(diào)整，但調(diào)整時要按照規(guī)定，只能將等級調(diào)高。

（3）確定安全需求

信息系統(tǒng)的安全需求可反映出該等級的信息系統(tǒng)普遍存在的安全需求。信息系統(tǒng)在確定安全需求時要依賴該系統(tǒng)的安全等級，但因為信息系統(tǒng)普遍存在可變性，因此用戶在確定安全需求時還要根據(jù)自身實際情況確定自己系統(tǒng)的安全需求。

（4）制定安保方案

當信息系統(tǒng)的等級和安全需求確定后，針對已掌握情況制定出包括技術安全和管理安全在內(nèi)的最佳安全保護方案。

（5）安全產(chǎn)品選型

安全產(chǎn)品的選擇直接決定了安全保護工作是否能夠成功實現(xiàn)。因此在安全產(chǎn)品的選擇過程中，不僅要對產(chǎn)品的可信度和功能進行認真審查，還要求國家相關部門監(jiān)管產(chǎn)品的使用情況。

（6）安全測評

測評的目的在于確定系統(tǒng)安全保護的實現(xiàn)，以保證信息安全。若測評不能達到預期目標，要及時進行重新調(diào)整。

（7）等級備案

安全保護等級在三級以上的信息系統(tǒng)，其用戶和運營商需要向地市級以上公安機關備案?？绲赜虻男畔⑾到y(tǒng)的備案由其主管部門在當?shù)赝壒矙C關完成，分系統(tǒng)的備案由其用戶和運營商完成。

（8）監(jiān)督管理

信息系統(tǒng)的監(jiān)管工作主要是監(jiān)督安全產(chǎn)品的使用情況，并對測評機構和信息系統(tǒng)的登記備案進行監(jiān)管。

（9）運行維護

該環(huán)節(jié)主要目的在于通過運行確定系統(tǒng)的信息安全，還可以重新確定對產(chǎn)生變化的信息系統(tǒng)的安全保護等級。

以上環(huán)節(jié)在實現(xiàn)信息系統(tǒng)的安全等級保護過程中極其重要，不可跨環(huán)節(jié)、漏環(huán)節(jié)操作。

3.2 信息安全等級保護的方法

信息安全等級保護分為物理安全保護和網(wǎng)絡系統(tǒng)安全保護兩類。

3.2.1 物理安全保護層面

對于物理安全保護，又分為必要考慮和需要考慮兩個安全層面。對于必要考慮的物理安全方面：對于主機房等場所設施來說，要做好安全防范工作。采用先進的技術設備做到室內(nèi)監(jiān)控、使用用戶信息登記、以及自動報警系統(tǒng)等。記錄用戶及其訪問情況，方便隨時查看。對于需要考慮的物理安全方面：對于主機房以及重要信息存儲設備來說，要通過采用多路電源同時接入的方式保障電源的可持續(xù)供給，謹防因斷電給入侵者制造入侵的機會。

3.2.2 網(wǎng)絡系統(tǒng)安全保護層面

根據(jù)安全保護對象的不同，有不同的保護方法。具體方法如下：

（1）已確定安全等級系統(tǒng)的安全保護

對于全系統(tǒng)中同一安全等級的信息系統(tǒng)，對于任何部分、任何信息都要按照國家標準采取統(tǒng)一安全保護方法給其設計完整的安全機制。對于不同安全等級的分系統(tǒng)，對其上不同的部分及信息按照不同的安全要求設計安全保護。

（2）網(wǎng)絡病毒的防范方法

計算機病毒嚴重威脅到計算機網(wǎng)絡安全，所以防范病毒的入侵在信息系統(tǒng)安全保護過程中是非常重要的步驟。運用防火墻機制阻擋病毒入侵，或者給程序加密、監(jiān)控系統(tǒng)運行情況、設置訪問權限，判斷是否存在病毒入侵，及時發(fā)現(xiàn)入侵的病毒并予以清除，保障計算機信息系統(tǒng)的安全。

（3）漏洞掃描與修復方法

系統(tǒng)存在漏洞是系統(tǒng)的安全隱患，不法分子常會利用系統(tǒng)中的漏洞對系統(tǒng)進行攻擊破壞。因此要經(jīng)常對計算機進行全面的漏洞掃描，找出系統(tǒng)中存在的漏洞并及時修復漏洞，避免給不法分子留下入侵機會。漏洞的修復分為系統(tǒng)自動修復和人工手動修復兩種，由于多種原因，絕對完善的系統(tǒng)幾乎不存在，因此要定期對系統(tǒng)進行漏洞掃描修復，確保系統(tǒng)的安全。

4 結(jié)束語

建立信息安全等級保護制度旨在為國家信息安全保護工作建立起一個長久有效的安全機制，保障信息化建設的健康發(fā)展。然而目前我國信息安全等級保護政策的實施處于初步進行階段，還有很多工作需要完成。這需要業(yè)內(nèi)外人士的共同參與，為保障信息安全盡最大的努力。同時伴隨著計算機技術的發(fā)展，信息安全等級保護技術和水平也要不斷優(yōu)化升級，確保能夠及時解決安全保護中遇到的問題，讓信息安全等級保護政策的實施暢行無阻。

[1]王雪莉.淺談信息安全等級保護問題[J].數(shù)字技術與應用，2012,5:177.

[2]尹智慶，劉維.信息安全等級保護面面觀[J].網(wǎng)絡安全技術與應用，2008，2（3）：8-10.

[3]吉增瑞.信息安全等級保護淺析[J].網(wǎng)絡安全技術與應用，2005，1（4）：55-57.

[4]景乾元.信息安全等級保護[J].權威視點，2004，2（5）：6-8.