• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      信息安全等級(jí)保護(hù)定級(jí)的方法與應(yīng)用

      2017-03-27 19:50:01繆彥深
      電腦知識(shí)與技術(shù) 2017年3期
      關(guān)鍵詞:等級(jí)保護(hù)信息安全

      繆彥深

      摘要:信息安全等級(jí)保護(hù)是國(guó)家在經(jīng)濟(jì)發(fā)展和信息技術(shù)高度發(fā)達(dá)的新形勢(shì)下,為維護(hù)國(guó)家安全、社會(huì)穩(wěn)定而采取的信息化建設(shè)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度,能夠全面提高信息安全保障水平。本文結(jié)合實(shí)際案例,談一談信息安全等級(jí)保護(hù)等級(jí)過(guò)程及方法。對(duì)等級(jí)保護(hù)對(duì)象中客體與主體之間的聯(lián)系進(jìn)行分析和論證,目的是提請(qǐng)注意關(guān)于定級(jí)工作的重點(diǎn),以利用業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣形成的系統(tǒng)為系統(tǒng)安全、定級(jí)工作提供保障。

      關(guān)鍵詞:信息安全;等級(jí)保護(hù);定級(jí)制度

      中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2017)03-0045-02

      信息安全等級(jí)保護(hù)制度的建設(shè),是隨著經(jīng)濟(jì)建設(shè)和信息化建設(shè)的全面展開(kāi)而進(jìn)行的。對(duì)國(guó)家重要的信息系統(tǒng)等進(jìn)行定級(jí)保護(hù),可以提高信息系統(tǒng)的工作效率,在大數(shù)據(jù)、云計(jì)算的技術(shù)支持下,實(shí)現(xiàn)全系統(tǒng)的信息安全。為此國(guó)家多部門(mén)早已出臺(tái)多項(xiàng)關(guān)于信息安全的制度和規(guī)定,明確說(shuō)明國(guó)家信息安全保障工作的基本制度之一就是信息安全等級(jí)保護(hù)制度。其工作流程包含定級(jí)、對(duì)級(jí)別的建設(shè)和整改、測(cè)評(píng)建設(shè)整改工作、向主管公安部門(mén)備案;監(jiān)管信息系統(tǒng)。其中首要階段的定級(jí)工作,是作為等級(jí)保護(hù)的起始,為后面四個(gè)階段的工作奠定基礎(chǔ)。

      1 信息系統(tǒng)安全等級(jí)保護(hù)政策概述

      我國(guó)在信息技術(shù)的浪潮退推動(dòng)下,各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級(jí)帶來(lái)的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項(xiàng)目不斷增多,很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體,因此,信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化,對(duì)信息進(jìn)行等級(jí)保護(hù)就被提上了日程。

      2008年,我國(guó)首部信息安全等級(jí)保護(hù)管理辦法由公安部下發(fā),信息系統(tǒng)有了等級(jí)的劃分,并且對(duì)信息系統(tǒng)的保護(hù)也有了明確的管理規(guī)定。2008年,信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)上升到了國(guó)家級(jí)別的標(biāo)準(zhǔn),擁有了定級(jí)指南,對(duì)于信息系統(tǒng)安全等級(jí)定級(jí)工作來(lái)說(shuō),意味著擁有了定級(jí)的方法和準(zhǔn)則。2009年,關(guān)于整改信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)證實(shí)下發(fā),要求對(duì)信息安全等級(jí)保護(hù)的整改要按照測(cè)評(píng)工作的標(biāo)準(zhǔn)展開(kāi)。這是第一次對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)體系的建設(shè)進(jìn)行的規(guī)定。

      2 信息系統(tǒng)的安全定級(jí)

      在信息安全技術(shù)等級(jí)定級(jí)指南中,對(duì)于信息技術(shù)的重要性以及遭到破壞的危害性進(jìn)行了詳細(xì)的闡述,從公共安全、社會(huì)利益、公民權(quán)益等幾個(gè)方面,將信息系統(tǒng)的安全等級(jí)劃分為五個(gè)等級(jí):

      第一級(jí)為當(dāng)信息安全被侵犯,國(guó)家利益、公共安全等合法權(quán)益就會(huì)被損壞,但是國(guó)家安全、社會(huì)利益和公共秩序不會(huì)受到損害。

      第二級(jí)為當(dāng)信息安全被侵犯,公民的合法權(quán)益就會(huì)被侵害,但是國(guó)家安全不會(huì)受到破壞。

      第三級(jí)為當(dāng)信息系統(tǒng)受到侵犯后,社會(huì)秩序和公共利益被損壞,進(jìn)而產(chǎn)生對(duì)國(guó)家安全的損害。

      第四級(jí)是信息系統(tǒng)受到破壞,社會(huì)秩序、公共利益、國(guó)家安全都會(huì)受到特別嚴(yán)重的損傷。

      第五級(jí)是信息系統(tǒng)受到侵犯,國(guó)家安全被特別嚴(yán)重地?fù)p壞。

      3 當(dāng)前信息系統(tǒng)安全定級(jí)中存在的問(wèn)題

      1)定級(jí)對(duì)象不明確是信息系統(tǒng)安全定級(jí)中的常見(jiàn)問(wèn)題。當(dāng)信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨(dú)立的系統(tǒng)進(jìn)行定級(jí)時(shí),多個(gè)定級(jí)對(duì)象會(huì)重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機(jī)房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例,系統(tǒng)中如果使用到網(wǎng)絡(luò)資源,就有可能產(chǎn)生相同的定級(jí)對(duì)象同時(shí)出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。

      2)根據(jù)安全信息國(guó)家定級(jí)指南中對(duì)安全保護(hù)等級(jí)的定級(jí)要求。當(dāng)受侵害客體為國(guó)家、社會(huì)、公民安全以及組織法人的合法權(quán)益時(shí),客體的侵害程度可以分為一般、嚴(yán)重、特別嚴(yán)重。這種分類(lèi)是比較抽象的。需要進(jìn)行具體的描述,但是從目前的發(fā)函情況看,對(duì)于危害程度的描述還是過(guò)于傾向于主觀(guān)判斷,因此對(duì)客觀(guān)情況的定級(jí)準(zhǔn)確率不足,依據(jù)不足。

      3)現(xiàn)有的定級(jí)報(bào)告皆是從模板中引用格式,參考定價(jià)指南,提供定級(jí)流程,引導(dǎo)結(jié)論的驗(yàn)證。從下表我們可以大概地看到定級(jí)要素和安全保護(hù)等級(jí)的關(guān)系:

      表1

      [受侵害的客體\&一般損害\&嚴(yán)重?fù)p害\&特別嚴(yán)重的損害\&公民、法人和組織的合法權(quán)益\&第一級(jí)\&第二級(jí)\&第二級(jí)\&社會(huì)利益、公共秩序\&第二級(jí)\&第三級(jí)\&第四級(jí)\&國(guó)家安全\&第三級(jí)\&第四級(jí)\&第五級(jí)\&]

      對(duì)于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級(jí)的重要意義,但是從系統(tǒng)的客觀(guān)問(wèn)題以及隨時(shí)可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀(guān)察,很多關(guān)于信息安全等級(jí)定級(jí)的新方法還不能保證定級(jí)結(jié)果的準(zhǔn)確性,很多定級(jí)報(bào)告不完善,缺乏依據(jù),主觀(guān)判斷成分多,無(wú)法將信息安全系統(tǒng)的真實(shí)情況反映給決策層,對(duì)于工作的開(kāi)展沒(méi)有好處。

      4 等級(jí)保護(hù)流程

      等級(jí)保護(hù)的工作是循環(huán)的、動(dòng)態(tài)發(fā)展的。將等級(jí)保護(hù)工作視為循環(huán)性強(qiáng)的工作對(duì)于工作流程加以分析,最終得到的是等級(jí)保護(hù)工作的流程圖:

      定級(jí)階段:系統(tǒng)劃分、等級(jí)確定;填寫(xiě)表格;

      初步備案階段:上報(bào)材料、專(zhuān)家評(píng)審,不符合安全等級(jí)規(guī)定的重新定級(jí),最終進(jìn)入初備案。

      測(cè)評(píng)階段:選定機(jī)構(gòu)、測(cè)評(píng)、出具報(bào)告;

      整改階段:制訂方案、專(zhuān)家論證、提出整改措施并實(shí)施;

      復(fù)評(píng)階段:對(duì)定級(jí)方案進(jìn)行復(fù)評(píng),得到最終的備案;

      根據(jù)等級(jí)保護(hù)制度接受監(jiān)管的階段。

      需要說(shuō)明的是,等級(jí)保護(hù)工作的初始階段:定級(jí)工作可以采用自行定級(jí)的方法,也可以委托第三方機(jī)構(gòu)進(jìn)行監(jiān)管和測(cè)評(píng)。定級(jí)工作是所有階段工作的基礎(chǔ)。初備案階段有一個(gè)重新定級(jí)的環(huán)節(jié),主要是如果出現(xiàn)不公平、不公正或者定級(jí)不合格的情況,要對(duì)信息系統(tǒng)的等級(jí)評(píng)定工作進(jìn)行復(fù)評(píng)選,并達(dá)到等級(jí)保護(hù)的要求,才能進(jìn)行最終的備案。

      5 信息安全定級(jí)方法

      1)定級(jí)流程是參照定級(jí)指南進(jìn)行的,包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級(jí)對(duì)象,然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體,以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進(jìn)行客體的侵害程度的評(píng)定,前者得出業(yè)務(wù)信息安全等級(jí),后者得出系統(tǒng)服務(wù)安全等級(jí),最后形成了定級(jí)對(duì)象的安全保護(hù)等級(jí)。

      定級(jí)對(duì)象的選取根據(jù)定級(jí)指南的規(guī)定,具有一些特征,首先是擁有安全責(zé)任單位,第二是信息系統(tǒng)要素,第三是承載單一和獨(dú)立的業(yè)務(wù)。在定級(jí)對(duì)象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機(jī)房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等,這樣就不會(huì)產(chǎn)生重復(fù)出現(xiàn)的定級(jí)對(duì)象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中,形成具有單獨(dú)優(yōu)先定級(jí)權(quán)限的定級(jí)對(duì)象[1]。

      對(duì)于受侵害的客體的損害程度的評(píng)分,要對(duì)危害后果等進(jìn)行權(quán)重分析。參照的依據(jù)包括國(guó)家安全、社會(huì)利益、公眾秩序、公民法人和組織的權(quán)益??腕w的侵害程度在定義和解釋上是簡(jiǎn)單而抽象的,要對(duì)危害程度進(jìn)行具體的描述,就要規(guī)避主觀(guān)判斷、依據(jù)不足的問(wèn)題。對(duì)客體的侵害程度進(jìn)行確定,是需要參考很多元素的,要得到一個(gè)準(zhǔn)確的定量,可以采用評(píng)分表的方法對(duì)危害后果予以打分。

      表2

      [危害后果\&得分\&權(quán)重\&影響工作職能形式\&\&\&降低業(yè)務(wù)能力\&\&\&引起糾紛需要法律介入\&\&\&財(cái)產(chǎn)損失\&\&\&社會(huì)不良影響\&\&\&損害到組織和個(gè)人\&\&\&其他影響\&\&\&]

      根據(jù)對(duì)表格中的打分得到的數(shù)值和權(quán)重的分析,可以得出定級(jí)對(duì)象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0,有危害程度較輕的數(shù)值為1,有危害程度較高的為2,后果嚴(yán)重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對(duì)象上都不同,因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實(shí)際情況。

      確定安全保護(hù)等級(jí)是在所有流程結(jié)束后,得到的結(jié)論。這個(gè)結(jié)論包括客體對(duì)等級(jí)對(duì)象的侵害造成的危害,信息安全的保密性、可用性的情況,系統(tǒng)服務(wù)安全的及時(shí)性、有效性的問(wèn)題等等。當(dāng)業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時(shí),就要在定級(jí)過(guò)程中處理不同的危害后果。

      2)定級(jí)表格的細(xì)化是為定級(jí)報(bào)告模板提供基礎(chǔ)數(shù)據(jù),并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當(dāng)系統(tǒng)內(nèi)部問(wèn)題導(dǎo)致其難以支撐定級(jí)結(jié)果后,采用系統(tǒng)定級(jí)的方法,就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級(jí)表中。定級(jí)表包括了定級(jí)系統(tǒng)的用戶(hù)情況以及定級(jí)系統(tǒng)的業(yè)務(wù)職能等情況,例如在行業(yè)和部門(mén)內(nèi)的地位和作用。定級(jí)系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施,保證定級(jí)系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會(huì)受到數(shù)據(jù)傳遞等的影響。

      6 案例分析

      按照等級(jí)保護(hù)工作測(cè)評(píng)和定級(jí)的規(guī)定,確定信息系統(tǒng)的等級(jí)。某政府網(wǎng)站信息系統(tǒng)包括的板塊為:政務(wù)公開(kāi)、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話(huà)、網(wǎng)上辦事大廳、新聞動(dòng)態(tài)、政府公告、舉報(bào)建議等,還專(zhuān)門(mén)開(kāi)辟了一個(gè)下載板塊,方便下載有用的電子表單加以填報(bào)。

      在這個(gè)政府網(wǎng)站的信息系統(tǒng)中,制訂了符合信息安全等級(jí)保護(hù)定級(jí)指南的流程和標(biāo)準(zhǔn),通過(guò)分析,判斷,研究等流程確定定級(jí)的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專(zhuān)門(mén)的政府網(wǎng)站平臺(tái),由指定部門(mén)確定相關(guān)資料的搜集、采集、整理的過(guò)程方案。在這套流程中,信息生產(chǎn)者為企業(yè),產(chǎn)生的資料是信息,管理信息的手段是利用科學(xué)技術(shù),對(duì)外承擔(dān)政務(wù)信息,擁有獨(dú)立的業(yè)務(wù),如辦事流程、新聞發(fā)布會(huì)等。將各類(lèi)任務(wù)的環(huán)境加以構(gòu)建,就形成了政府網(wǎng)站中具有基本特征和要素的定級(jí)對(duì)象。對(duì)定級(jí)客體的邀請(qǐng),要采取分析的方法,確保信息系統(tǒng)內(nèi)的保密性和可用性。實(shí)際操作中只要能夠保證信息的完整性和通用性,又增強(qiáng)了制作、發(fā)布、管理的職能建設(shè),激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運(yùn)行,并為信息安全系統(tǒng)提供有效的服務(wù),達(dá)到地方網(wǎng)站發(fā)揮在定級(jí)中的作用,幫助提供服務(wù),滿(mǎn)足消費(fèi)者的需求。采用了這種方法,網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運(yùn)用中需要特別加以注意的。

      例如:對(duì)于受侵害的客體,必須說(shuō)明客體的情況,是否受到法律保護(hù),等級(jí)保護(hù)中牽扯到的社會(huì)關(guān)系和合法權(quán)益。尤其是針對(duì)信息系統(tǒng)的客體的先后順序進(jìn)行判斷,結(jié)合政府平臺(tái),實(shí)施政務(wù)信息公開(kāi)。如果做不到政務(wù)信息公開(kāi),政府就要設(shè)置管理界限,發(fā)揮人的主觀(guān)能動(dòng)性,在知情權(quán)、業(yè)務(wù)能力、投訴與批評(píng)等階段加大業(yè)務(wù)辦理力度,最大可能地維護(hù)法人和代表組織的知情權(quán),排棄受到破壞的客體,法人由于難以摻入個(gè)人組織中,直接投訴合法的法律法規(guī),由于業(yè)務(wù)施工的進(jìn)度過(guò)快,環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對(duì)客體的積極主動(dòng)性。方便法人和組織知情、辦理業(yè)務(wù)、舉報(bào)、投訴等。

      對(duì)于客體造成的侵害進(jìn)行后果的分析,無(wú)論是大型門(mén)戶(hù)網(wǎng)站,還是在金融政策引領(lǐng)下,親自感受到客體檢查結(jié)果的影響,如信息安全管理等,都要注重網(wǎng)絡(luò)平臺(tái)的臨時(shí)性。

      7 結(jié)束語(yǔ)

      要做好信息系統(tǒng)的安全保護(hù)等級(jí)的確定,就要采取正確的 (下轉(zhuǎn)第51頁(yè))

      (上接第46頁(yè))

      策略以及方法,對(duì)信息安全管控產(chǎn)生依賴(lài),保護(hù)過(guò)程中采取正確的策略和方法,等等。信息系統(tǒng)、安全等級(jí)保護(hù)不足的問(wèn)題,都要求管理覺(jué)決策層加熬煮。在實(shí)際運(yùn)行中,還要以定級(jí)指南為指導(dǎo),綜合信息系統(tǒng)的業(yè)務(wù)特征,切實(shí)推動(dòng)信息技術(shù)等級(jí)保護(hù)工作的大力發(fā)展。

      參考文獻(xiàn):

      [1] 楊柳,侯立強(qiáng),李紅蓮,等.空調(diào)辦公建筑能耗預(yù)測(cè)回歸模型[J].西安建筑科技大學(xué)學(xué)報(bào):自然科學(xué)版,2015,47(5):707-711.

      [2] 周永戰(zhàn).談第三方支付信息安全等級(jí)保護(hù)定級(jí)方法[C]//首屆銀行和第三方支付行業(yè)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集,2013:69-71.

      猜你喜歡
      等級(jí)保護(hù)信息安全
      《信息安全與通信保密》征稿函
      信息安全專(zhuān)業(yè)人才培養(yǎng)探索與實(shí)踐
      保護(hù)信息安全要滴水不漏
      高校信息安全防護(hù)
      基于等級(jí)保護(hù)的電網(wǎng)云計(jì)算安全防護(hù)分析
      基于信息安全等級(jí)保護(hù)的信息安全綜合實(shí)訓(xùn)教學(xué)研究
      信息安全等級(jí)保護(hù)背景下校園網(wǎng)安全體系建設(shè)初探
      保護(hù)個(gè)人信息安全刻不容緩
      醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)與測(cè)評(píng)方法簡(jiǎn)析
      科技視界(2016年10期)2016-04-26 21:17:09
      信息安全
      江蘇年鑒(2014年0期)2014-03-11 17:10:07
      潮州市| 合川市| 镇江市| 江陵县| 石河子市| 府谷县| 长子县| 时尚| 额济纳旗| 于都县| 荣昌县| 珠海市| 亚东县| 高陵县| 错那县| 南木林县| 锦屏县| 贵阳市| 澄迈县| 博白县| 灵宝市| 衢州市| 兴城市| 清水河县| 安国市| 贺兰县| 桐梓县| 河间市| 拉萨市| 罗田县| 闽清县| 滦平县| 濮阳市| 任丘市| 蚌埠市| 遂川县| 保定市| 渝北区| 天镇县| 涪陵区| 凤翔县|