1、海委信息平安等级保护分析 1信息系统等级保护 信息系统等级保护1的开展经历了如下几个阶段。1999年国家发布并于2022年1月1日开始实施计算机信息系统平安保护等级划分准那么(gb17859)。2022年,中办、国办转发国家信息化领导小组关于加强信息平安保障工作的意见,提出实行信息平安等级保护、建立国家信息平安保障体系的明确要求。2022年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了关于信息平安等级保护工作的实施意见,明确了信息平安等级保护的重要意义、原那么、根本内容、工作职责分工、要求和实施方案。2023年1月17日,四部门又下发了信息平安等级保护管理方法(试
2、行),进一步确定职责分工,各司其责。由于信息系统是应社会开展、生活和工作的需求而设计建立的,是社会构成、行政组织体系的反映,因此这种信息系统是分层次和分级别的,而其中的各种系统具有不同的社会和经济价值。系统的根底资源及信息资源的价值大小、用户访问权限大小的区别等级即是信息系统级别的客观表达。信息平安等级保护必须符合客观存在的开展规律,其分级、分区域、分类和分阶段是做好信息平安保护的重要前提。信息平安等级保护根据信息在国家平安、经济建设、人们的工作生活中的重要程度而划分等级。国家信息化领导小组关于加强信息平安保障工作意见中明确了建立国家信息平安保障体系的要求,将信息平安等级划分为五级。第一级为用
3、户自主保护级。该级别完全由用户自己来判断如何以及用何种方式对信息资源进行保护。第二级为系统审计保护级。该级别具有更强的自主保护能力,特别具有访问审计能力。用户可以收集平安事件发生的时间、地点、涉及到的人员、时间类型等所有与平安相关的操作都被记录下来,以便当系统发生平安问题时,可以根据审计记录,分析追查事故责任人,以催促所有用户对自己的行为和操作负责。第三级为平安标记保护级。该级别除了第二级的审计保护系统外,它将用户设置为不同的访问权限,通过权限来限制用户的访问范围和行为,从而保护信息平安。第四级为结构化保护级。该级别采用形式化的保护体系,具有很强的抗渗透能力。它将整个保护机制分为关键局部和非关
4、键局部,并采取不同的保证措施,对关键局部强制性地直接控制访问者对访问对象的存取。第五级为访问验证保护级。与前4个级别相比,该级别具有更强的抗渗透能力,保护措施更强硬,同时增加了访问验证功能。该级别负责管理所有访问活动,并对访问对象实行专控,保证信息不被篡改、攻击。 2海委信息系统等级保护 海委信息化建设起步比较早,但是随着信息化产业的飞速开展病毒传播、网络攻击、数据破坏等平安风险增加。信息平安登记保护相关法规、政策文件、国家标准和公共平安行业标准的出台,为信息平安等级保护工作的开展提供了法律、政策、标准的保障。202223年全国水利信息化工作座谈会“高度重视信息平安和保密,积极预防、综合防范,
5、建立科学完备的技术平安体系和严密标准的平安管理制度,切实保障网络平安、系统运行平安和信息平安的精神及202223年全国水利信息化工作座谈会关于2023年底前完成平安保护等级三级及以上信息系统的平安防护建设、逐步完善全国各级水利部门信息平安防护体系的要求,加快了水利信息平安整改的步伐。通过202223年海委信息办对海委系统进行的信息平安检查及海委机关信息系统平安评估工作,发现海委信息平安防护体系和管理手段相对落后和匮乏,这就迫切要求进行整改,以保证海委水利信息化稳步健康开展。2023年,海委启开工程建设,完成海委机关与各直属管理局物理平安及网络平安系统建设以及三级信息系统整改工作;2023年度,
6、完成身份认证系统及主机、系统平安建设;2023年,完成平安管理系统建设及三级系统的等级保护测评工作。 2.1海委等级保护整改内容海委机关及下属局机关采用1+4模式从政务外网物理平安、网络平安、主机平安、业务系统应用平安、外网数据平安以及平安管理制度5个方面进行整改。 2.2海委信息系统现状海委机关申报批复的三级系统3个,二级系统8个。漳卫南局申报三级系统2个,二级系统2023个;引滦局申报三级系统2个,二级系统5个;海河下游局申报三级系统2个,二级系统3个;漳河上游局申报三级系统1个,二级系统2个。海委机关数据中心机房根本具备等级保护三级要求,但机房效劳器设备数量较多,维护手段形式复杂需要整改
7、。海委直属四局机房的地板、布线、ups供电系统已完全老化,不符合机房要求。海委机关及委属四局的网络均未按照等级保护要求进行分区域防护,缺少平安审计、恶意代码防范等防护措施;主机平安方面缺乏主机平安审计、漏洞扫描等技术手段,仅部署网络防病毒系统,主要通过密码管理、手动升级系统补丁等管理手段进行防护;海委机关已建立存储藏份系统,但海委离线备份容量小,委属四局无存储藏份系统;平安管理方面都制定了局部管理方法和操作规程,仍不全面。 2.3海委信息系统等级保护建设成果根据国家信息系统平安等级保护要求和水利网络与信息平安体系建设根本技术要求,海委对委机关及直属各局物理平安、网络平安、主机平安、系统平安、数
8、据平安和平安管理6个方面内容进行整改,通过国家信息平安等级保护测评,进一步完善了海委信息平安防护体系,整体提高了海委机关及直属各局政务外网信息系统的平安保障能力和防护水平,确保了网络与信息系统的平安运行。 3海委涉密信息系统的分级保护 2根据国家保密法的规定,国家秘密按信息的重要程度分为秘密、机密、绝密3个级别,同样的涉密信息系统也相应地采取分级管理的方式。随着中华人民共和国保密法的公布,我国建成了完善的涉密信息保密体系和法律依据。涉密信息系统实行分级保护,不同信息的划分依据是信息的重要性、保密程度以及一旦泄露后对国家、社会、个人或组织造成的危害等。(1)秘密级。如果涉密信息系统中包括有国家秘
9、密,那么对涉密信息系统的保护级别就是秘密级,对这些信息的保护措施至少要到达国家信息平安等级的三级要求和相应的技术标准。(2)机密级。如果涉密信息系统中包括有国家机密信息,那么对涉密信息系统的保护至少要到达信息平安四级的要求和相应的技术标准。当出现特殊情况时,要适当提高信息保护中的级别,保证信息的平安。(3)绝密级。这是级别最高的一种保护水平,主要保护的对象是绝密级的秘密信息,对这些信息的保护水平至少要到达等级保护的五级水平和相应的技术标准。涉密信息按照“谁主管、谁负责的原那么进行管理,严格控制信息的访问行为,当信息泄露时要追究相关人员的责任,并进行分级处理。绝密级信息系统不能与城域网或广域网相
10、连,应限定在封闭的平安可控的独立建筑内。海委于202223年开始建立物理隔离的保密内网,以实现政务内网与政务外网的物理隔离、保证数据传输的平安保密性。202223年底建成,2023年经过测评并获国家保密局颁发的测评证书。 4海委信息系统的等级保护与分级保护关系 海委对涉密信息系统的分级保护是等级保护在涉密领域的具体表达,也是海委信息平安等级保护的重要组成局部。可以说,海委涉密信息系统分级保护与海委信息平安等级保护是两个既有区别又有联系的概念。海委信息平安等级保护的对象主要是涉及海委平安、稳定和工作的信息系统,而不管它是否涉密;而海委涉密信息系统主要保护的是海河流域水利秘密信息等。只要是涉密信息
11、,对其的保护级别都不能小于等级保护中的三、四、五级的要求和相应的技术标准。对于一些涉及到水利平安和公共利益的信息,还必须增加防护措施,提高保护的水平和级别,确保信息平安。对涉密信息系统的保护,既要反对不从实际出发,防护措施“一刀切,造成“过保护的现象;还要防止出现保护不到位的现象,造成涉密信息的平安受到威胁,甚至信息泄露的情况,给单位和个人造成一定的损失。海委信息平安等级保护制度为海委的信息平安提供了保障和具体的保护措施,指明了涉密信息系统开展的方向和道路。对信息系统实行等级保护是实现信息平安的重要途径和渠道,在一定程度上保护了信息的平安。由于公开信息和秘密信息在内容和特性上有着明显的区别,对涉密信息系统的分级保护是海委信息平安等级保护在涉密信息系统中的特殊保护措施与方法,二者在保障平安的方法、原那么等方面也有着不同的要求。 5结论 海委平安等级保护是保障海委信息系统平安的根本要求,对涉密信息系统进行分级保护,解决了涉密信息系统建设使用中网络互联与平安保密的问题,提高了海委涉密信息的保密性和平安性。 参考文献 1张原,刘颖.信息平安等级保护的平安技术分析j.电子测试,2023(16):30-33. 2苏乃锋.信息平安中的等级保护与分级保护初探j.网络与信息,2023(12):31-36. 第7页 共7页