宗華麗，秦娜，朱宏

海委信息安全中的等級(jí)保護(hù)與分級(jí)保護(hù)淺析

宗華麗1，秦娜2，朱宏3

（1.海河水利委員會(huì)水利信息網(wǎng)絡(luò)中心，天津300170；2.天津市普迅電力信息技術(shù)有限公司，天津300000；3.海河水利委員會(huì)海河下游管理局，天津300061）

為了保障網(wǎng)絡(luò)中的信息安全，按照國(guó)家保密法規(guī)定，對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)及涉密信息系統(tǒng)的分級(jí)保護(hù)。分別介紹了海委信息系統(tǒng)的等級(jí)保護(hù)情況以及分級(jí)保護(hù)體系，探討了海委的分級(jí)保護(hù)與等級(jí)保護(hù)的關(guān)系。

信息安全；等級(jí)保護(hù)；分級(jí)保護(hù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，我國(guó)的信息化建設(shè)進(jìn)程也在不斷深入，安全問題日益突出，為了促進(jìn)信息化建設(shè)的穩(wěn)定健康發(fā)展，國(guó)家提出了信息安全的等級(jí)保護(hù)以及涉密信息系統(tǒng)的分級(jí)保護(hù)管理，并建立了涉密信息系統(tǒng)分級(jí)保護(hù)制度。信息安全保護(hù)分級(jí)、分區(qū)域、分類、分階段是做好國(guó)家信息安全保護(hù)應(yīng)遵循的準(zhǔn)則。國(guó)家信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)是兩個(gè)既聯(lián)系又有區(qū)別的概念。國(guó)家信息安全信息等級(jí)保護(hù)，重點(diǎn)保護(hù)的對(duì)象是非涉密的涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng)；涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分，是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。

海委的信息化建設(shè)已經(jīng)經(jīng)歷最初的建設(shè)階段，為了確保信息安全，海委已經(jīng)建立了涉密內(nèi)網(wǎng)的分級(jí)保護(hù)系統(tǒng)，正在實(shí)施海委信息系統(tǒng)的等級(jí)保護(hù)改造項(xiàng)目。通過對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)以及涉密信息系統(tǒng)的分級(jí)保護(hù)，以達(dá)到海委信息化建設(shè)的安全平穩(wěn)運(yùn)行的目的。

1 信息系統(tǒng)等級(jí)保護(hù)

信息系統(tǒng)等級(jí)保護(hù)[1]的發(fā)展經(jīng)歷了如下幾個(gè)階段：1999年國(guó)家發(fā)布并于2001年1月1日開始實(shí)施《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859）。2003年，中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》，提出實(shí)行信息安全等級(jí)保護(hù)、建立國(guó)家信息安全保障體系的明確要求。2004年9月17日，公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，明確了信息安全等級(jí)保護(hù)的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實(shí)施計(jì)劃。2006年1月17日，四部門又下發(fā)了《信息安全等級(jí)保護(hù)管理辦法（試行）》，進(jìn)一步確定職責(zé)分工，各司其責(zé)。

由于信息系統(tǒng)是應(yīng)社會(huì)發(fā)展、生活和工作的需求而設(shè)計(jì)建立的，是社會(huì)構(gòu)成、行政組織體系的反映，因此這種信息系統(tǒng)是分層次和分級(jí)別的，而其中的各種系統(tǒng)具有不同的社會(huì)和經(jīng)濟(jì)價(jià)值。系統(tǒng)的基礎(chǔ)資源及信息資源的價(jià)值大小、用戶訪問權(quán)限大小的區(qū)別等級(jí)即是信息系統(tǒng)級(jí)別的客觀體現(xiàn)。信息安全等級(jí)保護(hù)必須符合客觀存在的發(fā)展規(guī)律，其分級(jí)、分區(qū)域、分類和分階段是做好信息安全保護(hù)的重要前提。

信息安全等級(jí)保護(hù)根據(jù)信息在國(guó)家安全、經(jīng)濟(jì)建設(shè)、人們的工作生活中的重要程度而劃分等級(jí)。《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作意見》中明確了建立國(guó)家信息安全保障體系的要求，將信息安全等級(jí)劃分為五級(jí)。

第一級(jí)為用戶自主保護(hù)級(jí)。該級(jí)別完全由用戶自己來判斷如何以及用何種方式對(duì)信息資源進(jìn)行保護(hù)。

第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)。該級(jí)別具有更強(qiáng)的自主保護(hù)能力，特別具有訪問審計(jì)能力。用戶可以收集安全事件發(fā)生的時(shí)間、地點(diǎn)、涉及到的人員、時(shí)間類型等所有與安全相關(guān)的操作都被記錄下來，以便當(dāng)系統(tǒng)發(fā)生安全問題時(shí)，可以根據(jù)審計(jì)記錄，分析追查事故責(zé)任人，以督促所有用戶對(duì)自己的行為和操作負(fù)責(zé)。

第三級(jí)為安全標(biāo)記保護(hù)級(jí)。該級(jí)別除了第二級(jí)的審計(jì)保護(hù)系統(tǒng)外，它將用戶設(shè)置為不同的訪問權(quán)限，通過權(quán)限來限制用戶的訪問范圍和行為，從而保護(hù)信息安全。

第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)。該級(jí)別采用形式化的保護(hù)體系，具有很強(qiáng)的抗?jié)B透能力。它將整個(gè)保護(hù)機(jī)制分為關(guān)鍵部分和非關(guān)鍵部分，并采取不同的保證措施，對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪問者對(duì)訪問對(duì)象的存取。

第五級(jí)為訪問驗(yàn)證保護(hù)級(jí)。與前4個(gè)級(jí)別相比，該級(jí)別具有更強(qiáng)的抗?jié)B透能力，保護(hù)措施更強(qiáng)硬，同時(shí)增加了訪問驗(yàn)證功能。該級(jí)別負(fù)責(zé)管理所有訪問活動(dòng)，并對(duì)訪問對(duì)象實(shí)行?？?，保證信息不被篡改、攻擊。

2 海委信息系統(tǒng)等級(jí)保護(hù)

海委信息化建設(shè)起步比較早，但是隨著信息化產(chǎn)業(yè)的飛速發(fā)展病毒傳播、網(wǎng)絡(luò)攻擊、數(shù)據(jù)破壞等安全風(fēng)險(xiǎn)增加。信息安全登記保護(hù)相關(guān)法規(guī)、政策文件、國(guó)家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)的出臺(tái)，為信息安全等級(jí)保護(hù)工作的開展提供了法律、政策、標(biāo)準(zhǔn)的保障。2009年全國(guó)水利信息化工作座談會(huì)“高度重視信息安全和保密，積極預(yù)防、綜合防范，建立科學(xué)完備的技術(shù)安全體系和嚴(yán)密規(guī)范的安全管理制度，切實(shí)保障網(wǎng)絡(luò)安全、系統(tǒng)運(yùn)行安全和信息安全”的精神及2010年全國(guó)水利信息化工作座談會(huì)關(guān)于2012年底前完成安全保護(hù)等級(jí)三級(jí)及以上信息系統(tǒng)的安全防護(hù)建設(shè)、逐步完善全國(guó)各級(jí)水利部門信息安全防護(hù)體系的要求，加快了水利信息安全整改的步伐。

通過2010年海委信息辦對(duì)海委系統(tǒng)進(jìn)行的信息安全檢查及海委機(jī)關(guān)信息系統(tǒng)安全評(píng)估工作，發(fā)現(xiàn)海委信息安全防護(hù)體系和管理手段相對(duì)落后和匱乏，這就迫切要求進(jìn)行整改，以保證海委水利信息化穩(wěn)步健康發(fā)展。

2013年，海委啟動(dòng)項(xiàng)目建設(shè)，完成海委機(jī)關(guān)與各直屬管理局物理安全及網(wǎng)絡(luò)安全系統(tǒng)建設(shè)以及三級(jí)信息系統(tǒng)整改工作；2014年度，完成身份認(rèn)證系統(tǒng)及主機(jī)、系統(tǒng)安全建設(shè)；2015年，完成安全管理系統(tǒng)建設(shè)及三級(jí)系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作。

2.1 海委等級(jí)保護(hù)整改內(nèi)容

海委機(jī)關(guān)及下屬局機(jī)關(guān)采用1+4模式從政務(wù)外網(wǎng)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、業(yè)務(wù)系統(tǒng)應(yīng)用安全、外網(wǎng)數(shù)據(jù)安全以及安全管理制度5個(gè)方面進(jìn)行整改。

2.2 海委信息系統(tǒng)現(xiàn)狀

海委機(jī)關(guān)申報(bào)批復(fù)的三級(jí)系統(tǒng)3個(gè)，二級(jí)系統(tǒng)8個(gè)。漳衛(wèi)南局申報(bào)三級(jí)系統(tǒng)2個(gè)，二級(jí)系統(tǒng)10個(gè)；引灤局申報(bào)三級(jí)系統(tǒng)2個(gè)，二級(jí)系統(tǒng)5個(gè)；海河下游局申報(bào)三級(jí)系統(tǒng)2個(gè)，二級(jí)系統(tǒng)3個(gè)；漳河上游局申報(bào)三級(jí)系統(tǒng)1個(gè)，二級(jí)系統(tǒng)2個(gè)。海委機(jī)關(guān)數(shù)據(jù)中心機(jī)房基本具備等級(jí)保護(hù)三級(jí)要求，但機(jī)房服務(wù)器設(shè)備數(shù)量較多，維護(hù)手段形式復(fù)雜需要整改。海委直屬四局機(jī)房的地板、布線、UPS供電系統(tǒng)已完全老化，不符合機(jī)房要求。

海委機(jī)關(guān)及委屬四局的網(wǎng)絡(luò)均未按照等級(jí)保護(hù)要求進(jìn)行分區(qū)域防護(hù)，缺少安全審計(jì)、惡意代碼防范等防護(hù)措施；主機(jī)安全方面缺乏主機(jī)安全審計(jì)、漏洞掃描等技術(shù)手段，僅部署網(wǎng)絡(luò)防病毒系統(tǒng)，主要通過密碼管理、手動(dòng)升級(jí)系統(tǒng)補(bǔ)丁等管理手段進(jìn)行防護(hù)；海委機(jī)關(guān)已建立存儲(chǔ)備份系統(tǒng)，但海委離線備份容量小，委屬四局無(wú)存儲(chǔ)備份系統(tǒng)；安全管理方面都制定了部分管理辦法和操作規(guī)程，仍不全面。

2.3 海委信息系統(tǒng)等級(jí)保護(hù)建設(shè)成果

根據(jù)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)要求和《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》，海委對(duì)委機(jī)關(guān)及直屬各局物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)安全、數(shù)據(jù)安全和安全管理6個(gè)方面內(nèi)容進(jìn)行整改，通過國(guó)家信息安全等級(jí)保護(hù)測(cè)評(píng)，進(jìn)一步完善了海委信息安全防護(hù)體系，整體提高了海委機(jī)關(guān)及直屬各局政務(wù)外網(wǎng)信息系統(tǒng)的安全保障能力和防護(hù)水平，確保了網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。

3 海委涉密信息系統(tǒng)的分級(jí)保護(hù)[2]

根據(jù)國(guó)家保密法的規(guī)定，國(guó)家秘密按信息的重要程度分為秘密、機(jī)密、絕密3個(gè)級(jí)別，同樣的涉密信息系統(tǒng)也相應(yīng)地采取分級(jí)管理的方式。隨著《中華人民共和國(guó)保密法》的頒布，我國(guó)建成了完善的涉密信息保密體系和法律依據(jù)。涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù)，不同信息的劃分依據(jù)是信息的重要性、保密程度以及一旦泄露后對(duì)國(guó)家、社會(huì)、個(gè)人或組織造成的危害等。

（1）秘密級(jí)。如果涉密信息系統(tǒng)中包括有國(guó)家秘密，那么對(duì)涉密信息系統(tǒng)的保護(hù)級(jí)別就是秘密級(jí)，對(duì)這些信息的保護(hù)措施至少要達(dá)到國(guó)家信息安全等級(jí)的三級(jí)要求和相應(yīng)的技術(shù)規(guī)范。

（2）機(jī)密級(jí)。如果涉密信息系統(tǒng)中包括有國(guó)家機(jī)密信息，那么對(duì)涉密信息系統(tǒng)的保護(hù)至少要達(dá)到信息安全四級(jí)的要求和相應(yīng)的技術(shù)規(guī)范。當(dāng)出現(xiàn)特殊情況時(shí)，要適當(dāng)提高信息保護(hù)中的級(jí)別，保證信息的安全。

（3）絕密級(jí)。這是級(jí)別最高的一種保護(hù)水平，主要保護(hù)的對(duì)象是絕密級(jí)的秘密信息，對(duì)這些信息的保護(hù)水平至少要達(dá)到等級(jí)保護(hù)的五級(jí)水平和相應(yīng)的技術(shù)規(guī)范。涉密信息按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的原則進(jìn)行管理，嚴(yán)格控制信息的訪問行為，當(dāng)信息泄露時(shí)要追究相關(guān)人員的責(zé)任，并進(jìn)行分級(jí)處理。絕密級(jí)信息系統(tǒng)不能與城域網(wǎng)或廣域網(wǎng)相連，應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi)。

海委于2010年開始建立物理隔離的保密內(nèi)網(wǎng)，以實(shí)現(xiàn)政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)的物理隔離、保證數(shù)據(jù)傳輸?shù)陌踩Ｃ苄浴?010年底建成，2012年經(jīng)過測(cè)評(píng)并獲國(guó)家保密局頒發(fā)的測(cè)評(píng)證書。

4 海委信息系統(tǒng)的等級(jí)保護(hù)與分級(jí)保護(hù)關(guān)系

海委對(duì)涉密信息系統(tǒng)的分級(jí)保護(hù)是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)，也是海委信息安全等級(jí)保護(hù)的重要組成部分?？梢哉f，海委涉密信息系統(tǒng)分級(jí)保護(hù)與海委信息安全等級(jí)保護(hù)是兩個(gè)既有區(qū)別又有聯(lián)系的概念。

海委信息安全等級(jí)保護(hù)的對(duì)象主要是涉及海委安全、穩(wěn)定和工作的信息系統(tǒng)，而不管它是否涉密；而海委涉密信息系統(tǒng)主要保護(hù)的是海河流域水利秘密信息等。

只要是涉密信息，對(duì)其的保護(hù)級(jí)別都不能小于等級(jí)保護(hù)中的三、四、五級(jí)的要求和相應(yīng)的技術(shù)規(guī)范。對(duì)于一些涉及到水利安全和公共利益的信息，還必須增加防護(hù)措施，提高保護(hù)的水平和級(jí)別，確保信息安全。對(duì)涉密信息系統(tǒng)的保護(hù)，既要反對(duì)不從實(shí)際出發(fā)，防護(hù)措施“一刀切”，造成“過保護(hù)”的現(xiàn)象；還要防止出現(xiàn)保護(hù)不到位的現(xiàn)象，造成涉密信息的安全受到威脅，甚至信息泄露的情況，給單位和個(gè)人造成一定的損失。

海委信息安全等級(jí)保護(hù)制度為海委的信息安全提供了保障和具體的保護(hù)措施，指明了涉密信息系統(tǒng)發(fā)展的方向和道路。對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是實(shí)現(xiàn)信息安全的重要途徑和渠道，在一定程度上保護(hù)了信息的安全。由于公開信息和秘密信息在內(nèi)容和特性上有著明顯的區(qū)別，對(duì)涉密信息系統(tǒng)的分級(jí)保護(hù)是海委信息安全等級(jí)保護(hù)在涉密信息系統(tǒng)中的特殊保護(hù)措施與方法，二者在保障安全的方法、原則等方面也有著不同的要求。

5 結(jié)論

海委安全等級(jí)保護(hù)是保障海委信息系統(tǒng)安全的基本要求，對(duì)涉密信息系統(tǒng)進(jìn)行分級(jí)保護(hù)，解決了涉密信息系統(tǒng)建設(shè)使用中網(wǎng)絡(luò)互聯(lián)與安全保密的問題，提高了海委涉密信息的保密性和安全性。

[1]張?jiān)?，劉穎.信息安全等級(jí)保護(hù)的安全技術(shù)分析[J].電子測(cè)試，2013（16）：30-33.

[2]蘇乃鋒.信息安全中的等級(jí)保護(hù)與分級(jí)保護(hù)初探[J].網(wǎng)絡(luò)與信息，2011（12）：31-36.

·環(huán)球水信息·

河北省印發(fā)《河北省省級(jí)河長(zhǎng)工作手冊(cè)》

為深入貫徹《河北省實(shí)行河長(zhǎng)制工作方案》、全面推動(dòng)全省河長(zhǎng)制工作落實(shí)，5月2日，省水利廳、省環(huán)保廳組織編寫的《河北省省級(jí)河長(zhǎng)工作手冊(cè)》正式印發(fā)，主要內(nèi)容包括河長(zhǎng)制政策解讀、全省水系基本情況、水資源保護(hù)、水污染防治、水生態(tài)與水環(huán)境、水域岸線管理與執(zhí)法、設(shè)省級(jí)河長(zhǎng)河湖基本情況七部分，收錄了中央和省推行河長(zhǎng)制的有關(guān)文件，為省級(jí)總河長(zhǎng)、省級(jí)河長(zhǎng)現(xiàn)場(chǎng)調(diào)研、工作調(diào)度提供參考，為各市編寫市級(jí)河長(zhǎng)手冊(cè)提供借鑒。

（摘自2017年5月9日河北水利網(wǎng)）

河北省印發(fā)《河北省河長(zhǎng)名單公告制度（實(shí)行）》和《2017年度河長(zhǎng)制工作督查方案》

為全面推進(jìn)河北省河長(zhǎng)制工作進(jìn)程，5月22日，經(jīng)省政府同意，河北省水利廳會(huì)同河北省環(huán)保廳聯(lián)合印發(fā)了《關(guān)于印發(fā)〈河北省河長(zhǎng)名單公告制度（實(shí)行）〉和〈2017年度河長(zhǎng)制工作督查方案〉的通知》。

《河北省河長(zhǎng)名單公告制度（實(shí)行）》對(duì)公告原則、公告方式、公告時(shí)限、責(zé)任主體、公告要求及經(jīng)費(fèi)進(jìn)行了規(guī)定，對(duì)規(guī)范和推進(jìn)河北省河長(zhǎng)制工作、接受社會(huì)和群眾監(jiān)督、促進(jìn)工作責(zé)任落實(shí)奠定了堅(jiān)實(shí)基礎(chǔ)。

《2017年度河長(zhǎng)制工作督查方案》對(duì)2017年河北省河長(zhǎng)制督查工作進(jìn)行了全面安排部署，方案在督查目的、督查原則、督查對(duì)象、督查時(shí)間、督查方式、督查內(nèi)容、督查意見反饋及督查整改8個(gè)方面做出了詳細(xì)規(guī)定，為進(jìn)一步貫徹落實(shí)好省委省政府關(guān)于河長(zhǎng)制工作的決策部署、推進(jìn)全省各地河長(zhǎng)制工作的落實(shí)、確保2017年底前全面建立河長(zhǎng)制奠定了堅(jiān)實(shí)基礎(chǔ)。

（摘自2017年6月1日水利部網(wǎng)）

TP393.08

A

1004-7328（2017）03-0065-03

10.3969/j.issn.1004-7328.2017.03.021

2017—01—10

宗華麗（1984—），女，碩士，工程師，主要從事水利網(wǎng)絡(luò)管理及信息安全工作。