信息系統(tǒng)等級保護與分級保護實施對比分析

鄭見立 李亞子

(中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所 北京 100020)

?

信息系統(tǒng)等級保護與分級保護實施對比分析

鄭見立 李亞子

(中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所 北京 100020)

從適用范圍、建設(shè)流程、系統(tǒng)定級、方案設(shè)計、系統(tǒng)實施、系統(tǒng)測評與檢查、信息系統(tǒng)中止、招標(biāo)采購方式等角度，對等級保護制度和分級保護制度在系統(tǒng)建設(shè)過程中的異同點進行詳細對比分析，經(jīng)比較這兩種制度在實施客體、主管部門、建設(shè)流程、招標(biāo)采購等多方面存在著不同點。

信息系統(tǒng)安全分級保護；信息系統(tǒng)安全等級保護； 對比

1 引言

隨著互聯(lián)網(wǎng)和信息技術(shù)的快速發(fā)展，我國的信息化進程也在不斷深入，與之而來的信息安全問題也日益凸顯。為促進信息化建設(shè)的健康發(fā)展，我國政府分別于2003和2004年提出了涉密信息系統(tǒng)分級保護制度和信息系統(tǒng)安全等級保護制度，對建立國家信息安全保障體系有了明確的要求。分級保護制度和等級保護制度是兩個既有聯(lián)系又有區(qū)別的概念[1-2]，它們都是國家信息安全體系的重要組成部分，但二者在適用范圍、建設(shè)過程、測評內(nèi)容等方面又各自有側(cè)重點，因此探討等級保護制度和分級保護制度的關(guān)系有助于更好地理解國家信息安全體系，提高信息安全保障能力和水平，在維護國家安全和社會穩(wěn)定、推進國家信息化建設(shè)中具有重要意義[3]。

2 資料與方法

2.1 資料

資料包括：《中華人民共和國保守國家秘密法》;《信息安全等級保護管理辦法》；《中華人民共和國計算機信息系統(tǒng)安全保護條例》；《信息系統(tǒng)安全等級保護定級指南》；《信息系統(tǒng)安全等級保護基本要求》；《信息系統(tǒng)安全等級保護測評要求》；《信息系統(tǒng)安全等級保護實施指南》；《計算機信息系統(tǒng)安全等級保護工程管理要求》；《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》(BMB17—2006)；《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》 (BMB18—2006)；《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》(BMB20—2007)；《涉及國家秘密的信息系統(tǒng)分級保護測評指南》(BMB22—2007)；《涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南》(BMB23—2008)。

2.2 方法

采用對比分析法，從適用范圍、建設(shè)流程、系統(tǒng)定級、方案設(shè)計、系統(tǒng)實施、系統(tǒng)測評與檢查、信息系統(tǒng)中止、招標(biāo)采購方式等角度，對等級保護制度和分級保護制度在系統(tǒng)建設(shè)過程中進行對比分析。

3 分級保護和等級保護在系統(tǒng)建設(shè)中的對比分析

3.1 適用范圍

《信息安全等級保護管理辦法》第六條規(guī)定：信息系統(tǒng)安全等級保護的級別確定應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。因此，信息系統(tǒng)安全等級保護的客體包括。國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益。《中華人民共和國保守國家秘密法》第二十三條規(guī)定：涉及國家秘密的計算機信息系統(tǒng)應(yīng)按照涉密程度實行分級保護。因此，信息系統(tǒng)安全等級保護的客體包括國家安全和利益。通過等級保護和分級保護的客體對比分析，可以發(fā)現(xiàn)：等級保護的范圍比分級保護的

適用范圍更廣，等級保護側(cè)重于社會秩序、公共利益以及公民、法人、組織的合法權(quán)益，而分級保護則僅適用于國家安全和利益。

3.2 建設(shè)流程

3.2.1 等級保護建設(shè)流程 《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》明確規(guī)定了信息系統(tǒng)安全等級保護實施的基本流程，主要包括信息系統(tǒng)定級、總體安全規(guī)劃、安全設(shè)計與實施、安全運行與維護、信息系統(tǒng)中止5個步驟。根據(jù)《信息安全等級保護管理辦法》，對已完成等級保護建設(shè)的信息系統(tǒng)，需進行等級測評，見圖1。

圖1 信息系統(tǒng)安全等級保護實施的基本流程

在安全運行與維護階段，因需求的局部調(diào)整或發(fā)生重大調(diào)整，系統(tǒng)實施流程需重新回到安全設(shè)計或系統(tǒng)定級階段。

3.2.2 分級保護建設(shè)流程 信息系統(tǒng)安全分級保護實施的一般流程包括系統(tǒng)定級、方案設(shè)計、項目預(yù)評測、項目招投標(biāo)、工程實施、系統(tǒng)測評、系統(tǒng)審批、日常管理、測試與檢查、系統(tǒng)廢止等步驟，見圖2。

圖2 信息系統(tǒng)安全分級保護實施的基本流程

通過等級保護和分級保護的實施流程對比分析，可以發(fā)現(xiàn)：二者的實施基本流程大體相同，均包括系統(tǒng)定級、方案設(shè)計(總體規(guī)劃，安全設(shè)計)、實施、測評、審批、運行、測試、系統(tǒng)廢止等步驟；不同的是：信息系統(tǒng)等級保護的定級和測評方為公安部門，而信息系統(tǒng)分級保護的定級和測評方為國家保密局。

3.3 系統(tǒng)定級

主要從備案部門、定級階段、定級要素、客體、級別、等級變更等方面，對等級保護和分級保護的系統(tǒng)定級對比分析，見表1。

表1 等級保護和分級保護的系統(tǒng)定級對比分析

3.4 方案設(shè)計

信息系統(tǒng)安全等級保護的總體安全規(guī)劃和安全方案設(shè)計包括安全需求分析、總體安全設(shè)計、安全建設(shè)項目規(guī)劃和安全方案設(shè)計。信息系統(tǒng)安全分級保護的方案設(shè)計包括選擇方案設(shè)計方、系統(tǒng)風(fēng)險評估、確定保護要求、規(guī)劃設(shè)計方案和設(shè)計方案論證。通過以上內(nèi)容對比分析，可以發(fā)現(xiàn)：總體安全規(guī)劃或方案設(shè)計總體相同，區(qū)別在：(1)依據(jù)的標(biāo)準(zhǔn)規(guī)范不同，等級保護依據(jù)《信息系統(tǒng)安全等級保護實施指南》，分級保護依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護方案設(shè)計指南》(BMB23—2008)；(2)分級保護，需要上報信息系統(tǒng)安全保障體系詳細設(shè)計方案到保密部門，并組織評審專家進行論證；(3)選擇的方案設(shè)計方的資質(zhì)不一樣，等級保護對設(shè)計方資質(zhì)沒有特殊要求，分保系統(tǒng)的方案設(shè)計方需滿足涉密信息系統(tǒng)甲(乙)級資質(zhì)或單項資質(zhì)。

3.5 系統(tǒng)實施

等級保護的系統(tǒng)實施包括管理措施的實施和技術(shù)措施的實施。管理措施包括管理機構(gòu)和人員、管理制度、人員安全培訓(xùn)、安全實施過程管理；技術(shù)措施包括信息安全產(chǎn)品采購、安全控制開發(fā)、安全控制集成、系統(tǒng)驗收。分保系統(tǒng)的系統(tǒng)實施，主要依據(jù)《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》(BMB17—2006)、《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》(BMB20—2007)、《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》 (BMB18—2006)和系統(tǒng)設(shè)計方案進行開發(fā)。等級保護和分級保護在系統(tǒng)實施方面的對比分析：(1)系統(tǒng)實施方資質(zhì)，分級保護的實施方需具備涉密信息系統(tǒng)相應(yīng)的資質(zhì)。等級保護的實施方需要根據(jù)安全保護級別，具備不同等級的系統(tǒng)集成資質(zhì)。(2)依據(jù)的標(biāo)準(zhǔn)規(guī)范不同。

3.6 系統(tǒng)測評與檢查對比

3.6.1 測評機構(gòu)不同 信息系統(tǒng)安全等級保護的系統(tǒng)測評機構(gòu)是公安部門，信息系統(tǒng)安全分級保護的系統(tǒng)測評機構(gòu)是保密局。

3.6.2 測評依據(jù)不同 信息系統(tǒng)安全等級保護的測評依據(jù)是《信息系統(tǒng)安全等級保護測評要求》，信息系統(tǒng)安全分級保護的測評依據(jù)是《涉及國家秘密的信息系統(tǒng)分級保護測評指南》(BMB22—2007)。

3.6.3 測評流程對比 等保系統(tǒng)和分保系統(tǒng)的測評流程見圖3、圖4。

圖3 分級保護制度測評流程[4]

圖4 等級保護的測評流程[5]

3.6.4 測評要求不同 等級保護制度和分級保護制度的測評要求對比分析，見表2。

表2 等保系統(tǒng)和分保系統(tǒng)的測評要求對比

3.7 信息系統(tǒng)中止

分保系統(tǒng)不再使用時，使用單位應(yīng)向保密工作部門提交系統(tǒng)廢止申請備案，并依據(jù)保密規(guī)定對涉密設(shè)備、產(chǎn)品妥善退密處理，銷毀涉密介質(zhì)，確保泄密事件不發(fā)生。等級保護信息系統(tǒng)不再使用時，應(yīng)對系統(tǒng)的信息進行轉(zhuǎn)移、暫存和清除；對設(shè)備進行遷移或廢棄；對存儲介質(zhì)進行清除或銷毀。分級保護和等級保護的信息系統(tǒng)中止基本相同，區(qū)別在于分級保護系統(tǒng)不再使用時，需向保密工作部門提交系統(tǒng)廢止申請備案。

3.8 招標(biāo)采購方式根據(jù)《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》(BMB20-2007)規(guī)定，涉密信息系統(tǒng)的集成與系統(tǒng)服務(wù)、安全保密產(chǎn)品的采購不得進行公開招標(biāo)，應(yīng)在具有資質(zhì)的單位和經(jīng)國家主管部門批準(zhǔn)的范圍內(nèi)，采取邀標(biāo)、競爭性談判、單一來源采購和詢價的方式進行。而信息系統(tǒng)安全等級保護對招標(biāo)采購的方式?jīng)]有限制。

4 結(jié)語

對比分析發(fā)現(xiàn)，信息系統(tǒng)安全等級保護和信息系統(tǒng)分級保護在實施客體、主管部門、建設(shè)流程等方面存在著各自的特點。梳理和總結(jié)這些異同點將有助于更加深入地理解這兩項基本制度，為以后信息系統(tǒng)籌建方在信息系統(tǒng)安全制度的選擇、系統(tǒng)定

級、招標(biāo)方式等系統(tǒng)建設(shè)流程方面起到一定的借鑒作用，為信息系統(tǒng)建設(shè)方的系統(tǒng)方案設(shè)計、系統(tǒng)建設(shè)、系統(tǒng)測評、系統(tǒng)中止等方面提供一定的參考作用。

1 丁全和.淺析信息安全中的等級保護與分級保護[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014,(7):121-123.

2 蘇乃鋒,劉洪雷. 信息安全中的等級保護與分級保護初探[J]. 網(wǎng)絡(luò)與信息,2011,(12):58.

3 楊治華.關(guān)于信息系統(tǒng)等級保護實施的幾點思考[C].合肥：第二屆全國信息安全等級保護技術(shù)大會,2013.

4 孔斌,杜虹,馬朝斌. 涉密信息系統(tǒng)的分級保護測評[C].重慶：第十七屆全國信息保密學(xué)術(shù)會議, 2007.

5 信息系統(tǒng)安全等級測評[EB/OL].[2014-12-09].http://www.bjtec.org.cn/cenep/html/00000000000000001264/160020/ejaqcp.html.

Contrastive Analysis of Information System Grade Protection and Classified Protection

ZHENGJian-li,LIYa-zi，

InstituteofMedicalInformation,ChineseAcademyofMedicalSciences,Beijing100020,China

The paper makes detailed contrastive analysis of the grade protection system and classified protection system in the process of system construction from the applicable scope, construction procedure, system grading, schematic design, system implementation, system evaluation and inspection, information system halt, methods of bidding and purchasing, etc. By comparison, these two systems are different in the implementation object, competent department, construction procedure, bidding and purchasing, etc.

Information system security classification protection; Information system security level protection; Comparison

2015-05-06

鄭見立，碩士，實習(xí)研究員，發(fā)表論文4篇；李亞子，博士，副研究員，發(fā)表論文30余篇。

R-056

A 〔DOI〕10.3969/j.issn.1673-6036.2015.10.005