海委信息安全等级保护分析

1信息系统等级保护

信息系统等级保护[1]的发展经历了如下几个阶段：1999年国家并于2001年1月1日开始实施《计算机信息系统安全保护等级划分准则》（GB17859）。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》，提出实行信息安全等级保护、建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，各司其责。由于信息系统是应社会发展、生活和工作的需求而设计建立的，是社会构成、行政组织体系的反映，因此这种信息系统是分层次和分级别的，而其中的各种系统具有不同的社会和经济价值。系统的基础资源及信息资源的价值大小、用户访问权限大小的区别等级即是信息系统级别的客观体现。信息安全等级保护必须符合客观存在的发展规律，其分级、分区域、分类和分阶段是做好信息安全保护的重要前提。信息安全等级保护根据信息在国家安全、经济建设、人们的工作生活中的重要程度而划分等级。《国家信息化领导小组关于加强信息安全保障工作意见》中明确了建立国家信息安全保障体系的要求，将信息安全等级划分为五级。第一级为用户自主保护级。该级别完全由用户自己来判断如何以及用何种方式对信息资源进行保护。第二级为系统审计保护级。该级别具有更强的自主保护能力，特别具有访问审计能力。用户可以收集安全事件发生的时间、地点、涉及到的人员、时间类型等所有与安全相关的操作都被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，以督促所有用户对自己的行为和操作负责。第三级为安全标记保护级。该级别除了第二级的审计保护系统外，它将用户设置为不同的访问权限，通过权限来限制用户的访问范围和行为，从而保护信息安全。第四级为结构化保护级。该级别采用形式化的保护体系，具有很强的抗渗透能力。它将整个保护机制分为关键部分和非关键部分，并采取不同的保证措施，对关键部分强制性地直接控制访问者对访问对象的存取。第五级为访问验证保护级。与前4个级别相比，该级别具有更强的抗渗透能力，保护措施更强硬，同时增加了访问验证功能。该级别负责管理所有访问活动，并对访问对象实行专控，保证信息不被篡改、攻击。

2海委信息系统等级保护

海委信息化建设起步比较早，但是随着信息化产业的飞速发展病毒传播、网络攻击、数据破坏等安全风险增加。信息安全登记保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准的保障。2009年全国水利信息化工作座谈会“高度重视信息安全和保密，积极预防、综合防范，建立科学完备的技术安全体系和严密规范的安全管理制度，切实保障网络安全、系统运行安全和信息安全”的精神及2010年全国水利信息化工作座谈会关于2012年底前完成安全保护等级三级及以上信息系统的安全防护建设、逐步完善全国各级水利部门信息安全防护体系的要求，加快了水利信息安全整改的步伐。通过2010年海委信息办对海委系统进行的信息安全检查及海委机关信息系统安全评估工作，发现海委信息安全防护体系和管理手段相对落后和匮乏，这就迫切要求进行整改，以保证海委水利信息化稳步健康发展。2013年，海委启动项目建设，完成海委机关与各直属管理局物理安全及网络安全系统建设以及三级信息系统整改工作；2014年度，完成身份认证系统及主机、系统安全建设；2015年，完成安全管理系统建设及三级系统的等级保护测评工作。2.1海委等级保护整改内容海委机关及下属局机关采用1+4模式从政务外网物理安全、网络安全、主机安全、业务系统应用安全、外网数据安全以及安全管理制度5个方面进行整改。2.2海委信息系统现状海委机关申报批复的三级系统3个，二级系统8个。漳卫南局申报三级系统2个，二级系统10个；引滦局申报三级系统2个，二级系统5个；海河下游局申报三级系统2个，二级系统3个；漳河上游局申报三级系统1个，二级系统2个。海委机关数据中心机房基本具备等级保护三级要求，但机房服务器设备数量较多，维护手段形式复杂需要整改。海委直属四局机房的地板、布线、UPS供电系统已完全老化，不符合机房要求。海委机关及委属四局的网络均未按照等级保护要求进行分区域防护，缺少安全审计、恶意代码防范等防护措施；主机安全方面缺乏主机安全审计、漏洞扫描等技术手段，仅部署网络防病毒系统，主要通过密码管理、手动升级系统补丁等管理手段进行防护；海委机关已建立存储备份系统，但海委离线备份容量小，委属四局无存储备份系统；安全管理方面都制定了部分管理办法和操作规程，仍不全面。2.3海委信息系统等级保护建设成果根据国家信息系统安全等级保护要求和《水利网络与信息安全体系建设基本技术要求》，海委对委机关及直属各局物理安全、网络安全、主机安全、系统安全、数据安全和安全管理6个方面内容进行整改，通过国家信息安全等级保护测评，进一步完善了海委信息安全防护体系，整体提高了海委机关及直属各局政务外网信息系统的安全保障能力和防护水平，确保了网络与信息系统的安全运行。

3海委涉密信息系统的分级保护

[2]根据国家保密法的规定，国家秘密按信息的重要程度分为秘密、机密、绝密3个级别，同样的涉密信息系统也相应地采取分级管理的方式。随着《中华人民共和国保密法》的颁布，我国建成了完善的涉密信息保密体系和法律依据。涉密信息系统实行分级保护，不同信息的划分依据是信息的重要性、保密程度以及一旦泄露后对国家、社会、个人或组织造成的危害等。（1）秘密级。如果涉密信息系统中包括有国家秘密，那么对涉密信息系统的保护级别就是秘密级，对这些信息的保护措施至少要达到国家信息安全等级的三级要求和相应的技术规范。（2）机密级。如果涉密信息系统中包括有国家机密信息，那么对涉密信息系统的保护至少要达到信息安全四级的要求和相应的技术规范。当出现特殊情况时，要适当提高信息保护中的级别，保证信息的安全。（3）绝密级。这是级别最高的一种保护水平，主要保护的对象是绝密级的秘密信息，对这些信息的保护水平至少要达到等级保护的五级水平和相应的技术规范。涉密信息按照“谁主管、谁负责”的原则进行管理，严格控制信息的访问行为，当信息泄露时要追究相关人员的责任，并进行分级处理。绝密级信息系统不能与城域网或广域网相连，应限定在封闭的安全可控的独立建筑内。海委于2010年开始建立物理隔离的保密内网，以实现政务内网与政务外网的物理隔离、保证数据传输的安全保密性。2010年底建成，2012年经过测评并获国家保密局颁发的测评证书。

4海委信息系统的等级保护与分级保护关系

海委对涉密信息系统的分级保护是等级保护在涉密领域的具体体现，也是海委信息安全等级保护的重要组成部分。可以说，海委涉密信息系统分级保护与海委信息安全等级保护是两个既有区别又有联系的概念。海委信息安全等级保护的对象主要是涉及海委安全、稳定和工作的信息系统，而不管它是否涉密；而海委涉密信息系统主要保护的是海河流域水利秘密信息等。只要是涉密信息，对其的保护级别都不能小于等级保护中的三、四、五级的要求和相应的技术规范。对于一些涉及到水利安全和公共利益的信息，还必须增加防护措施，提高保护的水平和级别，确保信息安全。对涉密信息系统的保护，既要反对不从实际出发，防护措施“一刀切”，造成“过保护”的现象；还要防止出现保护不到位的现象，造成涉密信息的安全受到威胁，甚至信息泄露的情况，给单位和个人造成一定的损失。海委信息安全等级保护制度为海委的信息安全提供了保障和具体的保护措施，指明了涉密信息系统发展的方向和道路。对信息系统实行等级保护是实现信息安全的重要途径和渠道，在一定程度上保护了信息的安全。由于公开信息和秘密信息在内容和特性上有着明显的区别，对涉密信息系统的分级保护是海委信息安全等级保护在涉密信息系统中的特殊保护措施与方法，二者在保障安全的方法、原则等方面也有着不同的要求。

5结论

海委安全等级保护是保障海委信息系统安全的基本要求，对涉密信息系统进行分级保护，解决了涉密信息系统建设使用中网络互联与安全保密的问题，提高了海委涉密信息的保密性和安全性。

作者:宗华丽 秦娜 朱宏 单位:海河水利委员会水利信息网络中心

参考文献

[1]张原，刘颖.信息安全等级保护的安全技术分析[J].电子测试，2013（16）：30-33.

[2]苏乃锋.信息安全中的等级保护与分级保护初探[J].网络与信息，2011（12）：31-36.