在日常工作中和為用戶提供服務的過程中，什么是信息系統(tǒng)等級保護?什么是涉密信息系統(tǒng)分級保護?這兩者之間有什么關系?下面就跟著學習啦小編一起來看看吧。

　　信息系統(tǒng)等級保護

　　1999年國家發(fā)布并于2001年1月1日開始實施GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》。2003年，中辦、國辦轉發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。2004年9月17日，公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息辦下發(fā)了《關于信息安全等級保護工作的實施意見》，明確了信息安全等級保護的重要意義、原則、基本內容、工作職責分工、要求和實施計劃。2006年1月17日，四部門又下發(fā)了《信息安全等級保護管理辦法(試行)》，進一步確定職責分工，明確了公安機關負責全面工作、國家保密部門負責涉密信息系統(tǒng)、國家密碼管理部門負責密碼工作、國務院信息辦負責的管理職責和要求。涉及國家秘密的信息系統(tǒng)應當依據國家信息安全等級保護的基本要求，按照國家保密部門涉密信息系統(tǒng)分級保護的管理規(guī)定和技術標準，結合系統(tǒng)實際情況進行保護。

　　由于信息系統(tǒng)結構是應社會發(fā)展、社會生活和工作的需要而設計、建立的，是社會構成、行政組織體系的反映，因而這種系統(tǒng)結構是分層次和級別的，而其中的各種信息系統(tǒng)具有重要的社會和經濟價值，不同的系統(tǒng)具有不同的價值。系統(tǒng)基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級別的客觀體現。信息安全保護必須符合客觀存在和發(fā)展規(guī)律，其分級、分區(qū)域、分類和分階段是做好國家信息安全保護的前提。

　　信息系統(tǒng)安全等級保護將安全保護的監(jiān)管級別劃分為五個級別：

　　第一級：用戶自主保護級 完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。

　　第二級：系統(tǒng)審計保護級 本級的安全保護機制受到信息系統(tǒng)等級保護的指導，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。即能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關的操作都能夠被記錄下來，以便當系統(tǒng)發(fā)生安全問題時，可以根據審計記錄，分析追查事故責任人，使所有的用戶對自己行為的合法性負責。

　　第三級：安全標記保護級 除具有第二級系統(tǒng)審計保護級的所有功能外，還它要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督、審計。通過對訪問者和訪問對象指定不同安全標記，監(jiān)督、限制訪問者的權限，實現對訪問對象的強制訪問控制。

　　第四級：結構化保護級 將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構造也是結構化的，將安全保護機制劃分為關鍵部分和非關鍵部分，對關鍵部分強制性地直接控制訪問者對訪問對象的存取，使之具有相當的抗?jié)B透能力。本級的安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。

　　第五級：訪問驗證保護級 這一個級別除了具備前四級的所有功能外還特別增設了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動，仲裁訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權獲取。因此，本級的安全保護機制不易被攻擊、被篡改，具有極強的抗?jié)B透的保護能力。

　　在等級保護的實際操作中，強調從五個部分進行保護，即：

　　物理部分：包括周邊環(huán)境，門禁檢查，防火、防水、防潮、防鼠、蟲害和防雷，防電磁泄漏和干擾，電源備份和管理，設備的標識、使用、存放和管理等;

　　支撐系統(tǒng)：包括計算機系統(tǒng)、操作系統(tǒng)、數據庫系統(tǒng)和通信系統(tǒng);

　　網絡部分：包括網絡的拓撲結構、網絡的布線和防護、網絡設備的管理和報警，網絡攻擊的監(jiān)察和處理;

　　應用系統(tǒng)：包括系統(tǒng)登錄、權限劃分與識別、數據備份與容災處理，運行管理和訪問控制，密碼保護機制和信息存儲管理;

　　管理制度：包括管理的組織機構和各級的職責、權限劃分和責任追究制度，人員的管理和培訓、教育制度，設備的管理和引進、退出制度，環(huán)境管理和監(jiān)控，安防和巡查制度，應急響應制度和程序，規(guī)章制度的建立、更改和廢止的控制程序。

　　由這五部分的安全控制機制構成系統(tǒng)整體安全控制機制。

　　涉密信息系統(tǒng)分級保護

　　1997年《中共中央關于加強新形勢下 工作的決定》明確了在新形勢下 工作的指導思想和基本任務，提出要建立與《保密法》相配套的保密法規(guī)體系和執(zhí)法體系，建立現代化的保密技術防范體系。中央保密委員會于2004年12月23日下發(fā)了《關于加強信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級保護制度。2005年12月28日，國家保密局下發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》，同時，《保密法》修訂草案也增加了網絡安全保密管理的條款。隨著《保密法》的貫徹實施，國家已經基本形成了完善的保密法規(guī)體系。

　　涉密信息系統(tǒng)實行分級保護，先要根據涉密信息的涉密等級，涉密信息系統(tǒng)的重要性，遭到破壞后對國計民生造成的危害性，以及涉密信息系統(tǒng)必須達到的安全保護水平來確定信息安全的保護等級;涉密信息系統(tǒng)分級保護的核心是對信息系統(tǒng)安全進行合理分級、按標準進行建設、管理和監(jiān)督。國家保密局專門對涉密信息系統(tǒng)如何進行分級保護制定了一系列的管理辦法和技術標準，目前，正在執(zhí)行的兩個分級保護的國家保密標準是BMB17《涉及國家秘密的信息系統(tǒng)分級保護技術要求》和BMB20《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》。從物理安全、信息安全、運行安全和安全保密管理等方面，對不同級別的涉密信息系統(tǒng)有明確的分級保護措施，從技術要求和管理標準兩個層面解決涉密信息系統(tǒng)的分級保護問題。

　　涉密信息系統(tǒng)安全分級保護根據其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機密級和機密級(增強)、絕密級三個等級：

　　秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術要求。

　　機密級：信息系統(tǒng)中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術要求。屬于下列情況之一的機密級信息系統(tǒng)應選擇機密級(增強)的要求：

　　(1)信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關，以及國防、外交、國家安全、軍工等要害部門;

　　(2)信息系統(tǒng)中的機密級信息含量較高或數量較多;

　　(3)信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。

　　絕密級：信息系統(tǒng)中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術要求，絕密級信息系統(tǒng)應限定在封閉的安全可控的獨立建筑內，不能與城域網或廣域網相聯(lián)。

　　涉密信息系統(tǒng)分級保護的管理過程分為八個階段，即系統(tǒng)定級階段、安全規(guī)劃方案設計階段、安全工程實施階段、信息系統(tǒng)測評階段、系統(tǒng)審批階段、安全運行及維護階段、定期評測與檢查階段和系統(tǒng)隱退終止階段等。在實際工作中，涉密信息系統(tǒng)的定級、安全規(guī)劃方案設計的實施與調整、安全運行及維護三個階段，尤其要引起重視。

　　系統(tǒng)定級決定了系統(tǒng)方案的設計實施、安全措施、運行維護等涉密信息系統(tǒng)建設的各個環(huán)節(jié)，因此如何準確地對涉密信息系統(tǒng)進行定級在涉密信息系統(tǒng)實施分級保護中尤為重要。涉密信息系統(tǒng)定級遵循“誰建設、誰定級"的原則，可以根據信息密級、系統(tǒng)重要性和安全策略劃分為不同的安全域，針對不同的安全域確定不同的等級，并進行相應的保護。在涉密信息系統(tǒng)定級時，可以綜合考慮涉密信息系統(tǒng)中資產、威脅、受到損害后的影響，以及使用單位對涉密信息系統(tǒng)的信賴性等因素對涉密信息系統(tǒng)進行整體定級;同時，在同一個系統(tǒng)里，還允許劃分不同的安全域，在每個安全域可以分別定級，不同的級別采取不同的安全措施，更加科學地實施分級保護，在一定程度上可以解決保重點，保核心的問題，也可以有效地避免因過度保護而造成應用系統(tǒng)運行效能降低以及投資浪費等問題。涉密信息系統(tǒng)建設單位在定級的同時，必須報主管部門審批。

　　涉密信息系統(tǒng)要按照分級保護的標準，結合涉密信息系統(tǒng)應用的實際情況進行方案設計。設計時要逐項進行安全風險分析，并根據安全風險分析的結果，對部分保護要求進行適當的調整和改造，調整應以不降低涉密信息系統(tǒng)整體安全保護強度，確保國家秘密安全為原則。當保護要求不能滿足實際安全需求時，應適當選擇采用部分較高的保護要求，當保護要求明顯高于實際安全需求時，可適當選擇采用部分較低的保護要求。對于安全策略的調整以及改造方案進行論證，綜合考慮修改項和其他保護要求之間的相關性，綜合分析，改造方案的實施以及后續(xù)測評要按照國家的標準執(zhí)行，并且要求文檔化。在設計完成之后要進行方案論證，由建設使用單位組織有關的專家和部門進行方案設計論證，確定總體方案達到分級保護技術的要求后再開始實施;在工程建設實施過程中注意工程監(jiān)理的要求;建設完成之后應該進行審批;審批前由國家保密局授權的涉密信息系統(tǒng)測評機構進行系統(tǒng)測評，確定在技術層面是否達到了涉密信息系統(tǒng)分級保護的要求。

　　運行及維護過程的不可控性以及隨意性，往往是涉密信息系統(tǒng)安全運行的重大隱患。通過運行管理和控制、變更管理和控制，對安全狀態(tài)進行監(jiān)控，對發(fā)生的安全事件及時響應，在流程上對系統(tǒng)的運行維護進行規(guī)范，從而確保涉密信息系統(tǒng)正常運行。通過安全檢查和持續(xù)改進，不斷跟蹤涉密信息系統(tǒng)的變化，并依據變化進行調整，確保涉密信息系統(tǒng)滿足相應分級的安全要求，并處于良好安全狀態(tài)。由于運行維護的規(guī)范化能夠大幅度地提高系統(tǒng)運行及維護的安全級別，所以在運行維護中應盡可能地實現流程固化，操作自動化，減少人員參與帶來的風險。還需要注意的是在安全運行及維護中保持系統(tǒng)安全策略的準確性以及與安全目標的一致性，使安全策略作為安全運行的驅動力以及重要的制約規(guī)則，從而保持整個涉密信息系統(tǒng)能夠按照既定的安全策略運行。在安全運行及維護階段，當局部調整等原因導致安全措施變化時，如果不影響系統(tǒng)的安全分級，應從安全運行及維護階段進入安全工程實施階段，重新調整和實施安全措施，確保滿足分級保護的要求;當系統(tǒng)發(fā)生重大變更影響系統(tǒng)的安全分級時，應從安全運行及維護階段進入系統(tǒng)定級階段，重新開始一次分級保護實施過程。

　　隨著我們國家民主與法制建設進程的不斷推進，保密的范圍和事項正在逐步減少，致使一些涉密人員保密意識和敵情觀念淡化，對保密的必要性和重要性認識不足。雖然長期處于和平時期，但并不意味著無密可保。事實上，政府部門掌握著大量重要甚至核心的機密，已成為各種竊密活動的重點目標。我黨政機關和軍工單位也是國家秘密非常集中的領域，一直是竊密與反竊密，滲透與反滲透的主戰(zhàn)場。據國家有關部門統(tǒng)計，在全國泄密事件中，軍工系統(tǒng)占有很大比例。境內外敵對勢力和情報機構以我黨政軍機關和軍工單位為主要目標的竊密活動更加突出，滲透與反滲透、竊密與反竊密的斗爭更加激烈。由于一些單位涉密信息系統(tǒng)安全保障能力不夠、管理不力，導致涉密信息系統(tǒng)泄密案件的比例逐年上升，安全保密形勢非常嚴峻。因此嚴格按照涉密信息系統(tǒng)分級保護的要求，加強涉密信息系統(tǒng)建設意義重大。

　　等級保護和分級保護之間的關系

　　國家信息安全等級保護與涉密信息系統(tǒng)分級保護是兩個既有聯(lián)系又有區(qū)別的概念。涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

　　國家安全信息等級保護重點保護的對象是涉及國計民生的重要信息系統(tǒng)和通信基礎信息系統(tǒng)，而不論它是否涉密。如：

　　(1) 國家事務處理信息系統(tǒng)(黨政機關辦公系統(tǒng));

　　(2) 金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統(tǒng);

　　(3) 國防工業(yè)企業(yè)、科研等單位的信息系統(tǒng);

　　(4) 公用通信、廣播電視傳輸等基礎信息網絡中的計算機信息系統(tǒng);

　　(5) 互聯(lián)網網絡管理中心、關鍵節(jié)點、重要網站以及重要應用系統(tǒng);

　　(6)其他領域的重要信息系統(tǒng)。

　　國家實行信息安全等級保護制度，有利于建立長效機制，保證安全保護工作穩(wěn)固、持久地進行下去;有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調;有利于突出重點，加強對涉及國家安全、經濟命脈、社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)的安全保護和管理監(jiān)督;有利于明確國家、企業(yè)、個人的安全責任，強化政府監(jiān)管職能，共同落實各項安全建設和安全管理措施;有利于提高安全保護的科學性、針對性，推動網絡安全服務機制的建立和完善;有利于采取系統(tǒng)、規(guī)范、經濟有效、科學的管理和技術保障措施，提高整體安全保護水平，保障信息系統(tǒng)安全正常運行，保障信息安全，進而保障各行業(yè)、部門和單位的職能與業(yè)務安全、高速、高效地運轉;有利于根據所保護的信息的重要程度，決定保護等級，防止“過保護”和“欠保護”的情況發(fā)生;有利于信息安全保護科學技術和產業(yè)化發(fā)展。

　　涉密信息系統(tǒng)分級保護保護的對象是所有涉及國家秘密的信息系統(tǒng)，重點是黨政機關、軍隊和軍工單位，由各級保密部門根據涉密信息系統(tǒng)的保護等級實施監(jiān)督管理，確保系統(tǒng)和信息安全，確保國家秘密不被泄漏。國家秘密信息是國家主權的重要內容，關系到國家的安全和利益，一旦泄露，必將直接危害國家的政治安全、經濟安全、國防安全、科技安全和文化安全。沒有國家秘密的信息安全，國家就會喪失信息主權和信息控制權，所以國家秘密的信息安全是國家信息安全保障體系中的重要組成部分。

　　因為不同類別、不同層次的國家秘密信息，對于維護國家安全和利益具有不同的價值，所以需要不同的保護強度種措施。對不同密級的信息，應當合理平衡安全風險與成本，采取不同強度的保護措施，這就是分級保護的核心思想。對涉密信息系統(tǒng)的保護，既要反對只重應用不講安全，防護措施不到位造成各種泄密隱患和漏洞的“弱保護”現象;同時也要反對不從實際出發(fā)，防護措施“一刀切”，造成經費與資源浪費的“過保護”現象。對涉密信息系統(tǒng)實行分級保護，就是要使保護重點更加突出，保護方法更加科學，保護的投入產出比更加合理，從而徹底解決長期困擾涉密單位在涉密信息系統(tǒng)建設使用中的網絡互聯(lián)與安全保密問題。

　　由上可以看出國家信息安全等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發(fā)展的主線和中心任務, 提出了總體要求。對信息系統(tǒng)實行等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效辦法，是信息安全保護工作的發(fā)展方向。而涉密信息系統(tǒng)分級保護則是國家信息安全等級保護在涉及國家秘密信息的信息系統(tǒng)中的特殊保護措施與方法。由于國家秘密信息與公開信息在內容和特性上有著明顯的區(qū)別，所以涉密信息系統(tǒng)和公眾信息系統(tǒng)在保障安全的原則、系統(tǒng)和方法等方面也有不同的要求。既不能用維護國家秘密信息安全的辦法去維護國家公眾信息安全，以至于影響信息的合理利用，阻礙信息化的發(fā)展;也不能用維護公眾信息安全的辦法來維護國家的秘密信息安全，以至于竊密、泄密事件的發(fā)生，危害國家的安全和利益，同樣影響信息化的健康發(fā)展。
猜你喜歡

1.包修與保修的區(qū)別

2.保函和擔保的區(qū)別

3.保稅店和免稅店的區(qū)別

4.保函與保理的區(qū)別

5.擔保和保證的區(qū)別

6.保修跟包修的區(qū)別