一、引述
依据GB/T 25069《信息安全技术 术语》及相关标准的定义,信息系统(information system)是指:应用、服务、信息技术资产或其它信息处理组件的组合。信息安全(information security)是指:对信息的保密性、完整性和可用性的保持。信息系统安全(information system security)是指:与定义、获得和维护、保密性、完整性、可用性、可核查性、真实性和可靠性有关的各个方面。关于保密性、完整性、可用性、可核查性、真实性和可靠性的定义汇总于下表1中。网络安全(network security)是指:对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。安全分级(security classification)是指:根据业务信息和系统服务的重要性和受损影响,确定实施某种程度的保护等级。
表 1:相关术语的定义
结合上述相关定义,信息是指在信息系统中存储、传输、处理的数字化信息。那么信息系统是指由计算机及其配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。鉴于此,信息系统也可称信息网络。信息网络安全是指通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及以外事故,使网络处于稳定可靠运行的状态,以及保障网络数据信息的完整性、保密性、可用性的能力。信息系统安全与信息网络安全都是为了要保障信息的安全,只是在信息网络安全中由于网络承载的应用信息不同,使其保护对象变为多元,包括有基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
二、法规等管理要求
1、国家行政法规
为了保护计算机信息系统的安全,促进计算机的应用与发展,保障社会主义现代化建设的顺利进行,在1994年2月18日国务院颁发了《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令第147号)。该《条例》第九条明确规定:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
欲详细了解《中华人民共和国计算机信息系统安全保护条例》的请进入。
2、国家部门管理要求
于是,公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室,分别于2004年9月15日、2006年1月17日和2007年6月22日,联合发布了《关于信息安全等级保护工作的实施意见》(公通字[2004] 66号)、《信息安全等级保护管理办法(试行)》(公通字[2006] 7号)和《信息安全等级保护管理办法》(公通字[2007] 43号)。三个文件持续的对计算机信息系统实行安全等级保护工作做出了不断改进管理规定。并根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,对信息和信息系统的安全保护等级定级为五级。其三个文件定级要求基本类同,但表述上有些差别,尤其是公通字[2007] 43号文件,为此,分别列于下表表2-2-1~表2-2-3中,以供大家了解。但应执行公通字[2007] 43号文件的要求,
表 2-2-1:信息系统安全保护等级的定级与监督要求(公通字[2004] 66号)
表 2-2-2:信息系统安全保护等级的定级与保护及监督要求(公通字[2006] 7号)
表 2-2-3:信息系统安全保护等级的定级与保护及监督要求(公通字[2007] 43号)
在三个文件中还规定了信息系统的运营或使用单位应按安全等级进行保护;国家有关信息安全职能部门对其保护工作进行监督管理的要求,也分贝列入上述表格中。安全等级越高,其保护与监督的要求越高。若要详细了解《管理办法》具体内容的请查阅下附件2。
附件 2:《信息安全等级保护管理办法》(公通字[2007] 43号)
三、国家标准要求
1、信息系统安全等级保护的基础性国家标准:GB 17859-1999
在1999年9月我国专门发布了强制性国家标准GB 17859《计算机信息系统安全保护等级划分准则》。该标准是在国务院颁发《中华人民共和国计算机信息系统安全保护条例》后而专门制定的,它是信息系统安全等级保护标准方面的一个基础性标准。该标准的发布主要有三个目的:一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据(如上述《信息安全等级保护管理办法》等);二是为计算机信息系统安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。
欲详细了解计算机信息系统安全产品分类的请进入。
因此,该基础性标准目前仍然有效,它将计算机信息系统安全保护能力的五个等级划分为:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级共5各等级,其等级名称释义详见下表3-1;同时给出了这些等级的划分准则,其适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
表 3-1:计算机信息系统安全保护能力的五个等级及释义
欲详细了解GB 17859-1999标准具体内容的请进入。
温馨提示:早期往往是称“计算机信息系统”,随着信息通信技术(ICT)的融合发展,现代统称为“信息系统”。其实,仅对计算机信息系统而言,其应是信息系统的重要组成内容。
2、信息系统安全等级保护的扩展性国家标准系列:GB/T 20269等
为了配合GB 17859-1999标准的实施,我国在2006年专门发布了一些其信息系统安全等级保护的扩展性国家标准。它们以GB 17859-1999规定的五个等级,提出了信息系统安全等级保护的管理要求、技术要求等。这些标准有:GB/T 20269-2006《信息安全技术 信息系统安全管理要求》、GB/T 20270-2006《信息安全技术 网络基础安全技术要求》、GB/T 20271-2006《信息安全技术 信息系统通用安全技术要求》和GB/T 20282-2006《信息安全技术 信息系统安全工程管理要求》等。它们所规范的内容汇总于下表3-2中。
表 3-2:信息系统安全等级保护的扩展性国家标准所规范的内容
欲详细了解上述这些国家标准情况和原文内容的请进入。
3、信息系统安全等级保护的细化性国家标准系列:GB/T 22239等
为了配合GB 17859-1999基础性标准及上述扩展性标准的实施,我国从2008年开始又陆续发布了信息系统安全等级保护的细化性国家标准系列,它们是:GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》、GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》、GB/T 25070-2010《信息安全技术 信息系统等级保护安全设计技术要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等六个。它们各自所规范的内容汇总于下表3-3-1中,它们都是依据上述国家的法规与管理文件、GB 17859-1999标准及上述扩展性标准而制定,为信息系统安全等级保护工作的建设和管理提供了有力的技术支撑。
表 3-3-1:信息系统安全等级保护的配套国家标准系列所规范的内容
然而,需要指出的是:上述六个细化性标准都被它们的第1次修订的修订版代替了。特别是,其修订版都将 “信息系统安全等级保护” 名称修订为“网络安全等级保护”,因此修订般的内容变化较大。之所以变化较大,是因为,一是为了配合2017年颁布的《中华人民共和国网络安全法》的开始实施;二是信息通信技术(ICT)的高速发展,使安全等级保护的对象在变化,故将原来的信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。
欲详细了解上述这些国家标准情况(包括版本、构成情况等)和原文内容的请进入。
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,给出的网络安全的不同级别的等级保护对象应具备的基本安全保护能力详见于下表3-3-2(其中第五级省略)。依据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》,将网络安全等级保护仍然定级为五级,同表2-2-3(公通字[2007] 43号),只是将表中的“信息系统”调整为“等级保护对象”。
表 3-3-2:网络安全等级保护的基本安全保护能力
四、特别说明
其一:由上述介绍可知,对于信息系统安全或信息网络安全等级的定级,其管理规定(上述第二项)和国家标准(上述第三项中的基础性标准和扩展性标准)确定的内容是不同的。这是因为:公通字[2007] 43号等文件中安全等级的划分是从管理角度出发而确定;GB 17859-1999等国家标准中安全等级的划分是从技术角度出发而确定。它们的异同点详见于下表4。
表 4:管理规定和国家标准关于信息系统安全或信息网络安全等级的定级方法异同
其二:这里介绍的是信息系统安全或信息网络安全的等级与等级保护的相关要求。信息安全等级保护从与信息系统(或网络)安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。然而,关于分等级安全保护,我国还发布有对于电信网和互联网分等级安全防护的相关要求,也包括法规要求和技术标准要求,其中也是按五个安全等级进行防护要求。它主要是从管理层面对电信网和互联网分等级安全防护提出要求的。
欲进一步了解电信网和互联网安全防护的相关要求的请进入。
527.89KB