打造等级保护解决方案,完善你的网络安全
信息安全等级保护是国家信息安全保障的基本制度,等级保护的整体实施工作包括系统定级、系统安全建设与整改、系统安全运维、等级测评等几个阶段。定级是等级保护实施的基础性工作,是进行相应等级安全建设的依据。用户完成定级工作之后,更主要的是依据等级保护基本要求,进行等级化安全体系的设计与建设,最终符合国家等级保护的基本要求。用户必须在深入理解定级的根本要求、充分调查评估信息资产价值和安全风险的基础上才能完成准确定级,形成整改初步方案,最终顺利通过专家评审。
等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,上锋信安推出了等级保护专栏,通过向用户提供相关的政策文件、技术要求、解决方案以及成功案例介绍,为用户等级保护建设提供有力帮助,为您的安全体系建设贡献力量。
国家等级保护相关事件背景:
◆2006年6月,公安部公共信息网络安全监察局、国家保密局主办,公安部科学技术信息研究所和中国电子信息产业发展研究院共同承办的第七届中国国际计算机网络和信息安全展览会在北京成功召开。
◆2007年7月20,公安部、国务院信息办等4部门在北京联合召开 “全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
◆2007年底在山东公安厅和各行政事业单位的共同努力下,已经初步完成信息安全等级保护自评工作。
◆按照公安部的有关要求,2008年各行政事业单位需加强信息安全保护工作,达到国家信息安全等级保护制度的相关标准。
按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。
第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。
第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级;具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。为此,本级的安全保护机制不能被攻击、被篡改的,具有极强的抗渗透能力。
计算机信息系统安全等级保护标准体系包括:信息系统安全保护等级划分标准、等级设备标准、等级建设标准、等级管理标准等,是实行等级保护制度的重要基础。
相关资料链接:
|
首页 > 等保专栏
