等保和分保的區(qū)別
在日常工作中和為用戶提供服務(wù)的過程中,什么是信息系統(tǒng)等級(jí)保護(hù)?什么是涉密信息系統(tǒng)分級(jí)保護(hù)?這兩者之間有什么關(guān)系?下面就跟著學(xué)習(xí)啦小編一起來看看吧。
信息系統(tǒng)等級(jí)保護(hù)
1999年國(guó)家發(fā)布并于2001年1月1日開始實(shí)施GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。2003年,中辦、國(guó)辦轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)〔2003〕27號(hào)),提出實(shí)行信息安全等級(jí)保護(hù),建立國(guó)家信息安全保障體系的明確要求。2004年9月17日,公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息辦下發(fā)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》,明確了信息安全等級(jí)保護(hù)的重要意義、原則、基本內(nèi)容、工作職責(zé)分工、要求和實(shí)施計(jì)劃。2006年1月17日,四部門又下發(fā)了《信息安全等級(jí)保護(hù)管理辦法(試行)》,進(jìn)一步確定職責(zé)分工,明確了公安機(jī)關(guān)負(fù)責(zé)全面工作、國(guó)家保密部門負(fù)責(zé)涉密信息系統(tǒng)、國(guó)家密碼管理部門負(fù)責(zé)密碼工作、國(guó)務(wù)院信息辦負(fù)責(zé)的管理職責(zé)和要求。涉及國(guó)家秘密的信息系統(tǒng)應(yīng)當(dāng)依據(jù)國(guó)家信息安全等級(jí)保護(hù)的基本要求,按照國(guó)家保密部門涉密信息系統(tǒng)分級(jí)保護(hù)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),結(jié)合系統(tǒng)實(shí)際情況進(jìn)行保護(hù)。
由于信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會(huì)發(fā)展、社會(huì)生活和工作的需要而設(shè)計(jì)、建立的,是社會(huì)構(gòu)成、行政組織體系的反映,因而這種系統(tǒng)結(jié)構(gòu)是分層次和級(jí)別的,而其中的各種信息系統(tǒng)具有重要的社會(huì)和經(jīng)濟(jì)價(jià)值,不同的系統(tǒng)具有不同的價(jià)值。系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級(jí)別的客觀體現(xiàn)。信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律,其分級(jí)、分區(qū)域、分類和分階段是做好國(guó)家信息安全保護(hù)的前提。
信息系統(tǒng)安全等級(jí)保護(hù)將安全保護(hù)的監(jiān)管級(jí)別劃分為五個(gè)級(jí)別:
第一級(jí):用戶自主保護(hù)級(jí) 完全由用戶自己來決定如何對(duì)資源進(jìn)行保護(hù),以及采用何種方式進(jìn)行保護(hù)。
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí) 本級(jí)的安全保護(hù)機(jī)制受到信息系統(tǒng)等級(jí)保護(hù)的指導(dǎo),支持用戶具有更強(qiáng)的自主保護(hù)能力,特別是具有訪問審計(jì)能力。即能創(chuàng)建、維護(hù)受保護(hù)對(duì)象的訪問審計(jì)跟蹤記錄,記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時(shí)間、用戶和事件類型等信息,所有和安全相關(guān)的操作都能夠被記錄下來,以便當(dāng)系統(tǒng)發(fā)生安全問題時(shí),可以根據(jù)審計(jì)記錄,分析追查事故責(zé)任人,使所有的用戶對(duì)自己行為的合法性負(fù)責(zé)。
第三級(jí):安全標(biāo)記保護(hù)級(jí) 除具有第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)的所有功能外,還它要求對(duì)訪問者和訪問對(duì)象實(shí)施強(qiáng)制訪問控制,并能夠進(jìn)行記錄,以便事后的監(jiān)督、審計(jì)。通過對(duì)訪問者和訪問對(duì)象指定不同安全標(biāo)記,監(jiān)督、限制訪問者的權(quán)限,實(shí)現(xiàn)對(duì)訪問對(duì)象的強(qiáng)制訪問控制。
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí) 將前三級(jí)的安全保護(hù)能力擴(kuò)展到所有訪問者和訪問對(duì)象,支持形式化的安全保護(hù)策略。其本身構(gòu)造也是結(jié)構(gòu)化的,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對(duì)關(guān)鍵部分強(qiáng)制性地直接控制訪問者對(duì)訪問對(duì)象的存取,使之具有相當(dāng)?shù)目節(jié)B透能力。本級(jí)的安全保護(hù)機(jī)制能夠使信息系統(tǒng)實(shí)施一種系統(tǒng)化的安全保護(hù)。
第五級(jí):訪問驗(yàn)證保護(hù)級(jí) 這一個(gè)級(jí)別除了具備前四級(jí)的所有功能外還特別增設(shè)了訪問驗(yàn)證功能,負(fù)責(zé)仲裁訪問者對(duì)訪問對(duì)象的所有訪問活動(dòng),仲裁訪問者能否訪問某些對(duì)象從而對(duì)訪問對(duì)象實(shí)行???,保護(hù)信息不能被非授權(quán)獲取。因此,本級(jí)的安全保護(hù)機(jī)制不易被攻擊、被篡改,具有極強(qiáng)的抗?jié)B透的保護(hù)能力。
在等級(jí)保護(hù)的實(shí)際操作中,強(qiáng)調(diào)從五個(gè)部分進(jìn)行保護(hù),即:
物理部分:包括周邊環(huán)境,門禁檢查,防火、防水、防潮、防鼠、蟲害和防雷,防電磁泄漏和干擾,電源備份和管理,設(shè)備的標(biāo)識(shí)、使用、存放和管理等;
支撐系統(tǒng):包括計(jì)算機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和通信系統(tǒng);
網(wǎng)絡(luò)部分:包括網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的布線和防護(hù)、網(wǎng)絡(luò)設(shè)備的管理和報(bào)警,網(wǎng)絡(luò)攻擊的監(jiān)察和處理;
應(yīng)用系統(tǒng):包括系統(tǒng)登錄、權(quán)限劃分與識(shí)別、數(shù)據(jù)備份與容災(zāi)處理,運(yùn)行管理和訪問控制,密碼保護(hù)機(jī)制和信息存儲(chǔ)管理;
管理制度:包括管理的組織機(jī)構(gòu)和各級(jí)的職責(zé)、權(quán)限劃分和責(zé)任追究制度,人員的管理和培訓(xùn)、教育制度,設(shè)備的管理和引進(jìn)、退出制度,環(huán)境管理和監(jiān)控,安防和巡查制度,應(yīng)急響應(yīng)制度和程序,規(guī)章制度的建立、更改和廢止的控制程序。
由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。
涉密信息系統(tǒng)分級(jí)保護(hù)
1997年《中共中央關(guān)于加強(qiáng)新形勢(shì)下 工作的決定》明確了在新形勢(shì)下 工作的指導(dǎo)思想和基本任務(wù),提出要建立與《保密法》相配套的保密法規(guī)體系和執(zhí)法體系,建立現(xiàn)代化的保密技術(shù)防范體系。中央保密委員會(huì)于2004年12月23日下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。2005年12月28日,國(guó)家保密局下發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》,同時(shí),《保密法》修訂草案也增加了網(wǎng)絡(luò)安全保密管理的條款。隨著《保密法》的貫徹實(shí)施,國(guó)家已經(jīng)基本形成了完善的保密法規(guī)體系。
涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù),先要根據(jù)涉密信息的涉密等級(jí),涉密信息系統(tǒng)的重要性,遭到破壞后對(duì)國(guó)計(jì)民生造成的危害性,以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平來確定信息安全的保護(hù)等級(jí);涉密信息系統(tǒng)分級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)安全進(jìn)行合理分級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家保密局專門對(duì)涉密信息系統(tǒng)如何進(jìn)行分級(jí)保護(hù)制定了一系列的管理辦法和技術(shù)標(biāo)準(zhǔn),目前,正在執(zhí)行的兩個(gè)分級(jí)保護(hù)的國(guó)家保密標(biāo)準(zhǔn)是BMB17《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和BMB20《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》。從物理安全、信息安全、運(yùn)行安全和安全保密管理等方面,對(duì)不同級(jí)別的涉密信息系統(tǒng)有明確的分級(jí)保護(hù)措施,從技術(shù)要求和管理標(biāo)準(zhǔn)兩個(gè)層面解決涉密信息系統(tǒng)的分級(jí)保護(hù)問題。
涉密信息系統(tǒng)安全分級(jí)保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí),可以劃分為秘密級(jí)、機(jī)密級(jí)和機(jī)密級(jí)(增強(qiáng))、絕密級(jí)三個(gè)等級(jí):
秘密級(jí):信息系統(tǒng)中包含有最高為秘密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)三級(jí)的要求,并且還必須符合分級(jí)保護(hù)的保密技術(shù)要求。
機(jī)密級(jí):信息系統(tǒng)中包含有最高為機(jī)密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)四級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求。屬于下列情況之一的機(jī)密級(jí)信息系統(tǒng)應(yīng)選擇機(jī)密級(jí)(增強(qiáng))的要求:
(1)信息系統(tǒng)的使用單位為副省級(jí)以上的黨政首腦機(jī)關(guān),以及國(guó)防、外交、國(guó)家安全、軍工等要害部門;
(2)信息系統(tǒng)中的機(jī)密級(jí)信息含量較高或數(shù)量較多;
(3)信息系統(tǒng)使用單位對(duì)信息系統(tǒng)的依賴程度較高。
絕密級(jí):信息系統(tǒng)中包含有最高為絕密級(jí)的國(guó)家秘密,其防護(hù)水平不低于國(guó)家信息安全等級(jí)保護(hù)五級(jí)的要求,還必須符合分級(jí)保護(hù)的保密技術(shù)要求,絕密級(jí)信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨(dú)立建筑內(nèi),不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。
涉密信息系統(tǒng)分級(jí)保護(hù)的管理過程分為八個(gè)階段,即系統(tǒng)定級(jí)階段、安全規(guī)劃方案設(shè)計(jì)階段、安全工程實(shí)施階段、信息系統(tǒng)測(cè)評(píng)階段、系統(tǒng)審批階段、安全運(yùn)行及維護(hù)階段、定期評(píng)測(cè)與檢查階段和系統(tǒng)隱退終止階段等。在實(shí)際工作中,涉密信息系統(tǒng)的定級(jí)、安全規(guī)劃方案設(shè)計(jì)的實(shí)施與調(diào)整、安全運(yùn)行及維護(hù)三個(gè)階段,尤其要引起重視。
系統(tǒng)定級(jí)決定了系統(tǒng)方案的設(shè)計(jì)實(shí)施、安全措施、運(yùn)行維護(hù)等涉密信息系統(tǒng)建設(shè)的各個(gè)環(huán)節(jié),因此如何準(zhǔn)確地對(duì)涉密信息系統(tǒng)進(jìn)行定級(jí)在涉密信息系統(tǒng)實(shí)施分級(jí)保護(hù)中尤為重要。涉密信息系統(tǒng)定級(jí)遵循“誰(shuí)建設(shè)、誰(shuí)定級(jí)"的原則,可以根據(jù)信息密級(jí)、系統(tǒng)重要性和安全策略劃分為不同的安全域,針對(duì)不同的安全域確定不同的等級(jí),并進(jìn)行相應(yīng)的保護(hù)。在涉密信息系統(tǒng)定級(jí)時(shí),可以綜合考慮涉密信息系統(tǒng)中資產(chǎn)、威脅、受到損害后的影響,以及使用單位對(duì)涉密信息系統(tǒng)的信賴性等因素對(duì)涉密信息系統(tǒng)進(jìn)行整體定級(jí);同時(shí),在同一個(gè)系統(tǒng)里,還允許劃分不同的安全域,在每個(gè)安全域可以分別定級(jí),不同的級(jí)別采取不同的安全措施,更加科學(xué)地實(shí)施分級(jí)保護(hù),在一定程度上可以解決保重點(diǎn),保核心的問題,也可以有效地避免因過度保護(hù)而造成應(yīng)用系統(tǒng)運(yùn)行效能降低以及投資浪費(fèi)等問題。涉密信息系統(tǒng)建設(shè)單位在定級(jí)的同時(shí),必須報(bào)主管部門審批。
涉密信息系統(tǒng)要按照分級(jí)保護(hù)的標(biāo)準(zhǔn),結(jié)合涉密信息系統(tǒng)應(yīng)用的實(shí)際情況進(jìn)行方案設(shè)計(jì)。設(shè)計(jì)時(shí)要逐項(xiàng)進(jìn)行安全風(fēng)險(xiǎn)分析,并根據(jù)安全風(fēng)險(xiǎn)分析的結(jié)果,對(duì)部分保護(hù)要求進(jìn)行適當(dāng)?shù)恼{(diào)整和改造,調(diào)整應(yīng)以不降低涉密信息系統(tǒng)整體安全保護(hù)強(qiáng)度,確保國(guó)家秘密安全為原則。當(dāng)保護(hù)要求不能滿足實(shí)際安全需求時(shí),應(yīng)適當(dāng)選擇采用部分較高的保護(hù)要求,當(dāng)保護(hù)要求明顯高于實(shí)際安全需求時(shí),可適當(dāng)選擇采用部分較低的保護(hù)要求。對(duì)于安全策略的調(diào)整以及改造方案進(jìn)行論證,綜合考慮修改項(xiàng)和其他保護(hù)要求之間的相關(guān)性,綜合分析,改造方案的實(shí)施以及后續(xù)測(cè)評(píng)要按照國(guó)家的標(biāo)準(zhǔn)執(zhí)行,并且要求文檔化。在設(shè)計(jì)完成之后要進(jìn)行方案論證,由建設(shè)使用單位組織有關(guān)的專家和部門進(jìn)行方案設(shè)計(jì)論證,確定總體方案達(dá)到分級(jí)保護(hù)技術(shù)的要求后再開始實(shí)施;在工程建設(shè)實(shí)施過程中注意工程監(jiān)理的要求;建設(shè)完成之后應(yīng)該進(jìn)行審批;審批前由國(guó)家保密局授權(quán)的涉密信息系統(tǒng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行系統(tǒng)測(cè)評(píng),確定在技術(shù)層面是否達(dá)到了涉密信息系統(tǒng)分級(jí)保護(hù)的要求。
運(yùn)行及維護(hù)過程的不可控性以及隨意性,往往是涉密信息系統(tǒng)安全運(yùn)行的重大隱患。通過運(yùn)行管理和控制、變更管理和控制,對(duì)安全狀態(tài)進(jìn)行監(jiān)控,對(duì)發(fā)生的安全事件及時(shí)響應(yīng),在流程上對(duì)系統(tǒng)的運(yùn)行維護(hù)進(jìn)行規(guī)范,從而確保涉密信息系統(tǒng)正常運(yùn)行。通過安全檢查和持續(xù)改進(jìn),不斷跟蹤涉密信息系統(tǒng)的變化,并依據(jù)變化進(jìn)行調(diào)整,確保涉密信息系統(tǒng)滿足相應(yīng)分級(jí)的安全要求,并處于良好安全狀態(tài)。由于運(yùn)行維護(hù)的規(guī)范化能夠大幅度地提高系統(tǒng)運(yùn)行及維護(hù)的安全級(jí)別,所以在運(yùn)行維護(hù)中應(yīng)盡可能地實(shí)現(xiàn)流程固化,操作自動(dòng)化,減少人員參與帶來的風(fēng)險(xiǎn)。還需要注意的是在安全運(yùn)行及維護(hù)中保持系統(tǒng)安全策略的準(zhǔn)確性以及與安全目標(biāo)的一致性,使安全策略作為安全運(yùn)行的驅(qū)動(dòng)力以及重要的制約規(guī)則,從而保持整個(gè)涉密信息系統(tǒng)能夠按照既定的安全策略運(yùn)行。在安全運(yùn)行及維護(hù)階段,當(dāng)局部調(diào)整等原因?qū)е掳踩胧┳兓瘯r(shí),如果不影響系統(tǒng)的安全分級(jí),應(yīng)從安全運(yùn)行及維護(hù)階段進(jìn)入安全工程實(shí)施階段,重新調(diào)整和實(shí)施安全措施,確保滿足分級(jí)保護(hù)的要求;當(dāng)系統(tǒng)發(fā)生重大變更影響系統(tǒng)的安全分級(jí)時(shí),應(yīng)從安全運(yùn)行及維護(hù)階段進(jìn)入系統(tǒng)定級(jí)階段,重新開始一次分級(jí)保護(hù)實(shí)施過程。
隨著我們國(guó)家民主與法制建設(shè)進(jìn)程的不斷推進(jìn),保密的范圍和事項(xiàng)正在逐步減少,致使一些涉密人員保密意識(shí)和敵情觀念淡化,對(duì)保密的必要性和重要性認(rèn)識(shí)不足。雖然長(zhǎng)期處于和平時(shí)期,但并不意味著無(wú)密可保。事實(shí)上,政府部門掌握著大量重要甚至核心的機(jī)密,已成為各種竊密活動(dòng)的重點(diǎn)目標(biāo)。我黨政機(jī)關(guān)和軍工單位也是國(guó)家秘密非常集中的領(lǐng)域,一直是竊密與反竊密,滲透與反滲透的主戰(zhàn)場(chǎng)。據(jù)國(guó)家有關(guān)部門統(tǒng)計(jì),在全國(guó)泄密事件中,軍工系統(tǒng)占有很大比例。境內(nèi)外敵對(duì)勢(shì)力和情報(bào)機(jī)構(gòu)以我黨政軍機(jī)關(guān)和軍工單位為主要目標(biāo)的竊密活動(dòng)更加突出,滲透與反滲透、竊密與反竊密的斗爭(zhēng)更加激烈。由于一些單位涉密信息系統(tǒng)安全保障能力不夠、管理不力,導(dǎo)致涉密信息系統(tǒng)泄密案件的比例逐年上升,安全保密形勢(shì)非常嚴(yán)峻。因此嚴(yán)格按照涉密信息系統(tǒng)分級(jí)保護(hù)的要求,加強(qiáng)涉密信息系統(tǒng)建設(shè)意義重大。
等級(jí)保護(hù)和分級(jí)保護(hù)之間的關(guān)系
國(guó)家信息安全等級(jí)保護(hù)與涉密信息系統(tǒng)分級(jí)保護(hù)是兩個(gè)既有聯(lián)系又有區(qū)別的概念。涉密信息系統(tǒng)分級(jí)保護(hù)是國(guó)家信息安全等級(jí)保護(hù)的重要組成部分,是等級(jí)保護(hù)在涉密領(lǐng)域的具體體現(xiàn)。
國(guó)家安全信息等級(jí)保護(hù)重點(diǎn)保護(hù)的對(duì)象是涉及國(guó)計(jì)民生的重要信息系統(tǒng)和通信基礎(chǔ)信息系統(tǒng),而不論它是否涉密。如:
(1) 國(guó)家事務(wù)處理信息系統(tǒng)(黨政機(jī)關(guān)辦公系統(tǒng));
(2) 金融、稅務(wù)、工商、海關(guān)、能源、交通運(yùn)輸、社會(huì)保障、教育等基礎(chǔ)設(shè)施的信息系統(tǒng);
(3) 國(guó)防工業(yè)企業(yè)、科研等單位的信息系統(tǒng);
(4) 公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的計(jì)算機(jī)信息系統(tǒng);
(5) 互聯(lián)網(wǎng)網(wǎng)絡(luò)管理中心、關(guān)鍵節(jié)點(diǎn)、重要網(wǎng)站以及重要應(yīng)用系統(tǒng);
(6)其他領(lǐng)域的重要信息系統(tǒng)。
國(guó)家實(shí)行信息安全等級(jí)保護(hù)制度,有利于建立長(zhǎng)效機(jī)制,保證安全保護(hù)工作穩(wěn)固、持久地進(jìn)行下去;有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于突出重點(diǎn),加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)和管理監(jiān)督;有利于明確國(guó)家、企業(yè)、個(gè)人的安全責(zé)任,強(qiáng)化政府監(jiān)管職能,共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施;有利于提高安全保護(hù)的科學(xué)性、針對(duì)性,推動(dòng)網(wǎng)絡(luò)安全服務(wù)機(jī)制的建立和完善;有利于采取系統(tǒng)、規(guī)范、經(jīng)濟(jì)有效、科學(xué)的管理和技術(shù)保障措施,提高整體安全保護(hù)水平,保障信息系統(tǒng)安全正常運(yùn)行,保障信息安全,進(jìn)而保障各行業(yè)、部門和單位的職能與業(yè)務(wù)安全、高速、高效地運(yùn)轉(zhuǎn);有利于根據(jù)所保護(hù)的信息的重要程度,決定保護(hù)等級(jí),防止“過保護(hù)”和“欠保護(hù)”的情況發(fā)生;有利于信息安全保護(hù)科學(xué)技術(shù)和產(chǎn)業(yè)化發(fā)展。
涉密信息系統(tǒng)分級(jí)保護(hù)保護(hù)的對(duì)象是所有涉及國(guó)家秘密的信息系統(tǒng),重點(diǎn)是黨政機(jī)關(guān)、軍隊(duì)和軍工單位,由各級(jí)保密部門根據(jù)涉密信息系統(tǒng)的保護(hù)等級(jí)實(shí)施監(jiān)督管理,確保系統(tǒng)和信息安全,確保國(guó)家秘密不被泄漏。國(guó)家秘密信息是國(guó)家主權(quán)的重要內(nèi)容,關(guān)系到國(guó)家的安全和利益,一旦泄露,必將直接危害國(guó)家的政治安全、經(jīng)濟(jì)安全、國(guó)防安全、科技安全和文化安全。沒有國(guó)家秘密的信息安全,國(guó)家就會(huì)喪失信息主權(quán)和信息控制權(quán),所以國(guó)家秘密的信息安全是國(guó)家信息安全保障體系中的重要組成部分。
因?yàn)椴煌悇e、不同層次的國(guó)家秘密信息,對(duì)于維護(hù)國(guó)家安全和利益具有不同的價(jià)值,所以需要不同的保護(hù)強(qiáng)度種措施。對(duì)不同密級(jí)的信息,應(yīng)當(dāng)合理平衡安全風(fēng)險(xiǎn)與成本,采取不同強(qiáng)度的保護(hù)措施,這就是分級(jí)保護(hù)的核心思想。對(duì)涉密信息系統(tǒng)的保護(hù),既要反對(duì)只重應(yīng)用不講安全,防護(hù)措施不到位造成各種泄密隱患和漏洞的“弱保護(hù)”現(xiàn)象;同時(shí)也要反對(duì)不從實(shí)際出發(fā),防護(hù)措施“一刀切”,造成經(jīng)費(fèi)與資源浪費(fèi)的“過保護(hù)”現(xiàn)象。對(duì)涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù),就是要使保護(hù)重點(diǎn)更加突出,保護(hù)方法更加科學(xué),保護(hù)的投入產(chǎn)出比更加合理,從而徹底解決長(zhǎng)期困擾涉密單位在涉密信息系統(tǒng)建設(shè)使用中的網(wǎng)絡(luò)互聯(lián)與安全保密問題。
由上可以看出國(guó)家信息安全等級(jí)保護(hù)是國(guó)家從整體上、根本上解決國(guó)家信息安全問題的辦法, 進(jìn)一步確定了信息安全發(fā)展的主線和中心任務(wù), 提出了總體要求。對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策,是開展信息安全保護(hù)工作的有效辦法,是信息安全保護(hù)工作的發(fā)展方向。而涉密信息系統(tǒng)分級(jí)保護(hù)則是國(guó)家信息安全等級(jí)保護(hù)在涉及國(guó)家秘密信息的信息系統(tǒng)中的特殊保護(hù)措施與方法。由于國(guó)家秘密信息與公開信息在內(nèi)容和特性上有著明顯的區(qū)別,所以涉密信息系統(tǒng)和公眾信息系統(tǒng)在保障安全的原則、系統(tǒng)和方法等方面也有不同的要求。既不能用維護(hù)國(guó)家秘密信息安全的辦法去維護(hù)國(guó)家公眾信息安全,以至于影響信息的合理利用,阻礙信息化的發(fā)展;也不能用維護(hù)公眾信息安全的辦法來維護(hù)國(guó)家的秘密信息安全,以至于竊密、泄密事件的發(fā)生,危害國(guó)家的安全和利益,同樣影響信息化的健康發(fā)展。
猜你喜歡