信息安全等级保护的安全技术分析

张 原，刘 颖

（1.国家食品药品监督管理总局信息中心，北京，100053；2.新华通讯社技术局，北京，100053）

近年来,我国的信息化发展迅速,对网络环境尤其是互联网的依赖越来越深。只有信息安全得到保护,信息化才能健康发展。等级保护就是对信息网络系统和重要信息系统按其重要程度及实际安全需要,合理投入,分级保护,保障信息安全和信息系统安全、正常运行,促进信息化建设健康发展。

1 信息安全等级保护

1.1 信息安全保护等级的划分

影响信息系统安全保护等级的确定因素主要取决于信息系统在经济社会和国家安全中的重要程度以及被破坏后对经济社会、组织群众利益的危害程度。

信息系统安全保护等级一共被划分为以下五个等级：

第一级：用户自主保护级 信息系统受到攻击破坏，由此导致相关组织机构以及人民群众利益受损，但是对社会的稳定、集体的利益以及国家的安全没有危害。此类信息的重要性以及保护方式全部取决于用户自己的选择。

第二级：系统审计保护级 信息系统受到攻击破坏，由此不仅导致相关组织机构以及人民群众利益受到很大的损伤，同时还危及到社会的稳定和集体的利益，但是不危及到国家安全。

第三级：安全标记保护级 信息系统受到攻击破坏后，对社会的稳定和集体的利益产生了非常大的危害或者对国家安全产生严重威胁。此等级不仅具备系统审计保护级的全部信息保护功能，同时还会强制对系统的访问者及其访问对象进行控制和记录，对其行为进行监督与审计。

第四级：结构化保护级 由此导致相关组织机构以及人民群众利益受到极大的损伤或者对社会的稳定和集体的利益以及国家安全产生了极大的危害。

第五级：访问验证保护级 信息系统受到攻击破坏，由此导致国家安全受到极其严重的危害。此级别功能最全，除具备上述所有级别功能外，对系统加设了访问验证保护，以此不但记录访问者对系统的访问历史，还对访问者的访问权限进行设置，确保信息被安全使用，保障信息不外泄。

1.2 信息安全等级的划分

1.2.1 按相关政策规定划分安全保护等级

对于一些需要特殊保护和隔离的信息系统，如我国的国防部、国家机关以及重点科研机构等特殊机构的信息系统，在进行信息安全保护时，要严格按照国家颁布的关于信息安全等级保护的相关政策制度以及法律法规的规定要求对信息系统进行等级保护。

1.2.2 按照保护数据的价值划分保护等级

根据需被保护的信息的类别和价值的不同，通常其受到保护的安全等级也不同。此举目的为在保护信息安全的同时降低运作成本。

2 信息安全等级保护的基本要求

信息安全等级保护的基本要求分为技术和管理两大类。技术部分是要求在信息安全保护过程中采取安全技术措施，使系统具备对抗外来威胁和受到破坏后自我修复的能力，主要涉及到物理、网络、主机、应用安全和数据恢复功能等技术的应用。

管理部分是要求在信息系统的全部运行环节中对各运行环节采取控制措施。管理过程要求对制度、政策、人员和机构都提出要求，涉及到安全保护等级管理、工程建设管理、系统的运行与维护管理以及应急预案管理等管理环节。

3 信息安全等级保护的方法

3.1 信息安全等级保护流程

信息安全等级保护涉及到多个环节，需要各相关部门共同参与，合力完成。安全等级保护的环节大体上分为以下九步：

（1）确定系统等级

作为实现信息等级保护的前提，确定信息系统的安全保护等级是必不可缺的步骤。用户要严格按照国家规范标准给所使用的信息系统科学确定等级。

（2）等级审批

信息系统主管部门对信息系统的安全等级进行审批调整，但调整时要按照规定，只能将等级调高。

（3）确定安全需求

信息系统的安全需求可反映出该等级的信息系统普遍存在的安全需求。信息系统在确定安全需求时要依赖该系统的安全等级，但因为信息系统普遍存在可变性，因此用户在确定安全需求时还要根据自身实际情况确定自己系统的安全需求。

（4）制定安保方案

当信息系统的等级和安全需求确定后，针对已掌握情况制定出包括技术安全和管理安全在内的最佳安全保护方案。

（5）安全产品选型

安全产品的选择直接决定了安全保护工作是否能够成功实现。因此在安全产品的选择过程中，不仅要对产品的可信度和功能进行认真审查，还要求国家相关部门监管产品的使用情况。

（6）安全测评

测评的目的在于确定系统安全保护的实现，以保证信息安全。若测评不能达到预期目标，要及时进行重新调整。

（7）等级备案

安全保护等级在三级以上的信息系统，其用户和运营商需要向地市级以上公安机关备案。跨地域的信息系统的备案由其主管部门在当地同级公安机关完成，分系统的备案由其用户和运营商完成。

（8）监督管理

信息系统的监管工作主要是监督安全产品的使用情况，并对测评机构和信息系统的登记备案进行监管。

（9）运行维护

该环节主要目的在于通过运行确定系统的信息安全，还可以重新确定对产生变化的信息系统的安全保护等级。

以上环节在实现信息系统的安全等级保护过程中极其重要，不可跨环节、漏环节操作。

3.2 信息安全等级保护的方法

信息安全等级保护分为物理安全保护和网络系统安全保护两类。

3.2.1 物理安全保护层面

对于物理安全保护，又分为必要考虑和需要考虑两个安全层面。对于必要考虑的物理安全方面：对于主机房等场所设施来说，要做好安全防范工作。采用先进的技术设备做到室内监控、使用用户信息登记、以及自动报警系统等。记录用户及其访问情况，方便随时查看。对于需要考虑的物理安全方面：对于主机房以及重要信息存储设备来说，要通过采用多路电源同时接入的方式保障电源的可持续供给，谨防因断电给入侵者制造入侵的机会。

3.2.2 网络系统安全保护层面

根据安全保护对象的不同，有不同的保护方法。具体方法如下：

（1）已确定安全等级系统的安全保护

对于全系统中同一安全等级的信息系统，对于任何部分、任何信息都要按照国家标准采取统一安全保护方法给其设计完整的安全机制。对于不同安全等级的分系统，对其上不同的部分及信息按照不同的安全要求设计安全保护。

（2）网络病毒的防范方法

计算机病毒严重威胁到计算机网络安全，所以防范病毒的入侵在信息系统安全保护过程中是非常重要的步骤。运用防火墙机制阻挡病毒入侵，或者给程序加密、监控系统运行情况、设置访问权限，判断是否存在病毒入侵，及时发现入侵的病毒并予以清除，保障计算机信息系统的安全。

（3）漏洞扫描与修复方法

系统存在漏洞是系统的安全隐患，不法分子常会利用系统中的漏洞对系统进行攻击破坏。因此要经常对计算机进行全面的漏洞扫描，找出系统中存在的漏洞并及时修复漏洞，避免给不法分子留下入侵机会。漏洞的修复分为系统自动修复和人工手动修复两种，由于多种原因，绝对完善的系统几乎不存在，因此要定期对系统进行漏洞扫描修复，确保系统的安全。

4 结束语

建立信息安全等级保护制度旨在为国家信息安全保护工作建立起一个长久有效的安全机制，保障信息化建设的健康发展。然而目前我国信息安全等级保护政策的实施处于初步进行阶段，还有很多工作需要完成。这需要业内外人士的共同参与，为保障信息安全尽最大的努力。同时伴随着计算机技术的发展，信息安全等级保护技术和水平也要不断优化升级，确保能够及时解决安全保护中遇到的问题，让信息安全等级保护政策的实施畅行无阻。

[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用，2012,5:177.

[2]尹智庆，刘维.信息安全等级保护面面观[J].网络安全技术与应用，2008，2（3）：8-10.

[3]吉增瑞.信息安全等级保护浅析[J].网络安全技术与应用，2005，1（4）：55-57.

[4]景乾元.信息安全等级保护[J].权威视点，2004，2（5）：6-8.