(信息安全有法可依.docVIP

信息安全有法可依 　　2006年的上半年，公安部出台了一系列针对信息安全领域的管理办法，《信息安全等级保护管理办法(试行)》(以下简称《等级保护》)引起了特别关注。 　　该文件对信息系统进行了等级划分，并界定了不同等级信息系统在安全管理、测评、审核等方面的要求，同时指导性的阐述如何保护不同等级的信息内容，以及响应不同等级的安全事件。 　　高屋建瓴 意义重大 　　《等级保护》从最高层次对信息系统进行了安全角度的划分，对全国的信息安全规范工作有着重要的指导意义。尽管对于信息系统的分级、评审、管理和响应都存在很多现行的规范和技术标准，但是缺乏统一性使得这些规范标准的实施存在很多障碍，无法发挥出足够的效力。 　　信息系统特有的开放性特征，使得封闭式的保护方式无法成行，而《等级保护》正是以国家的角度对一个更大范畴的信息体系开展管理，从而为我国的信息安全工作建立起统一的参照标准。 　　更加引人关注的是，《等级保护》起到了一个“粘合”的作用，除了划分信息系统等级并赋予其不同的管理细则之外，该文件还明确地将信息安全管理工作与必威体育官网网址法、密码保护条例等国家规定联系在了一起，不过在该文件中尚没有对违反规定情况下的处罚标准进行界定。 　　覆盖全面 重点突出 　　《等级保护》将信息系统分为了五个不同的级别，其中除了最低的一级“自主保护级”之外，其它四个级别的划分都包含了一些“非自主要素”，也即《等级保护》中对于信息系统的划分基于这些系统出现安全问题后会对社会利益乃至国家秩序造成何种程度的威胁。 　　这意味着虽然《等级保护》覆盖了所有安全等级的信息系统，但是其规范的重点仍然是可能给整个信息体系带来威胁的系统。对于承担着国家经济发展和生产力建设的信息系统来说，从安全保护上确实具有较高的优先级。 　　“自主保护级”所覆盖的信息系统，主要在于消费者层面，也就是说目前《等级保护》对于普通用户市场的关注较少。从实际应用的角度来说，各种信息安全产品和解决方案关注的焦点恰恰是《等级保护》中只提出一个层级的“自主保护级”，而且业内有关信息内容等级、安全评估、风险管理等范畴的产品也并不涉及其它四个等级的问题。 　　除了信息安全系统检验方面的资质认定，厂商短期之内还无法以《等级保护》作为开展工作的指导，例如进行产品和解决方案的规范及验证。 　　提高层次 超越责任 　　等级保护在很大程度上突出了信息系统，与基础设施在整个信息社会中的扩展责任，从上面谈到的基于“安全影响”的划分方式来看，一个信息系统的安全性问题由用户自己的损失问题，提升到了一个更高的层次。 　　也就是说，如果一个信息系统出现安全问题，意味着拥有这个系统的组织或个人不但要承担自己的损失，还对那些由于自己系统问题受到波及的系统负有责任。 　　对于建立信息社会的共荣体系和信任体制有很大的好处，包括垃圾邮件和网络钓鱼在内的很多流行安全威胁已经远非“自扫门前雪”能够解决，可以说《等级保护》带来了一组可以遵循的规章政策。 　　逐项对单位的信息系统进行类型指定 一个企业的“橘皮书” 　　二十一世纪是不折不扣的信息时代，信息安全是主旋律，无硝烟般地延伸到社会的各个角落。企业是社会组织元素的一个重要子集，其信息资产的重要性不言而喻。国家“信息安全等级保护管理办法”中一些条款，具体到某企业，就产生了个体的“橘皮书”。 　　When? 　　“橘皮书”是一个发明自美国的词汇，早在1985年，其国家计算机安全中心(NCSC)发布可信计算机系统评估标准(TCSEC)时，以此名闻于世，TCSEC在1996年发展为CC(通用准则)。今且借该词，用以简单阐述该企业对于等级保护实施的体验。 　　Why? 　　企业为什么要实施安全保护？显而易见，企业实施安全保护，是在社会信息化发展过程中，通过技术及管理手段，提高自身信息安全保障能力，能够维护自身经济利益，进而维系社会稳定，并有助于维持国家信息化建设的正常秩序。 　　What? 　　一个企业究竟该实行哪种级别？在实践中，根据信息资产的稀缺或重要程度，应该划分不同级别的等级保护。目前我国已初步制定了相关等级保护划分细则，企业有规可依。根据实际状况，自主或与公安部门合作对安全要素(硬件、软件、操作者或联合体)进行评估，制定本单位信息资产的具体等级保护。 　　第一级：自主保护级 　　第一级由企业用户全权把握，企业通过隔离信息安全要素，达到使用户具备自主安全保护的能力。通过管理和技术手段，对用户实施访问控制，为用户提供一些实际方法，保护单体或工作组信息，避免非法用户对资产的非法访问与破坏。 　　如采用最普遍的口令访问、一次登录方式，对资源的访问都必须有自己的身份；IT部门对用户群进行基本技术和安全意识培训；网络管理员对文件完整性作了基本的保护；建立信息物理设备用户负责制，由信息资产主要使用者自主管理(公用设备