網路信息安全等級保護制度
信息網路的全球化使得信息網路的安全問題也全球化起來,任何與互聯網相連接的信息系統都必須面對世界範圍內的網路攻擊、數據竊取、身份假冒等安全問題。發達國家普遍發生的有關利用計算機進行犯罪的案件,絕大部分已經在我國出現。
目前,我國進口的計算機系統產品,其安全功能基本上是最低層次的,我國尚沒有自己的配套安全技術產品,使用的微機和網路產品從硬體、固件到軟體,基本沒有安全保障功 能,在建的一些重要信息系統,也缺乏安全技術防範措施。這些問題若不加緊解決,會影響國家主權和安全、信息化社會的政治安定和社會穩定、經濟和現代化建設順利發展。
但是,當前計算機信息系統的建設者、管理者和使用者都面臨著一個共同的問題,就是他們建設、管理或使用的信息系統是否是安全的?如何評價系統的安全性?這就需要有一整套用於規範計算機信息系統安全建設和使用的標準和管理辦法。
一、等級保護制度的意義
1994年,國務院發布了《中華人民共和國計算機信息系統安全保護條例》(以下簡稱《條例》),該條例是計算機信息系統安全保護的法律基礎。其中第九條規定計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。公安部在《條例》發布實施後便著手開始了計算機信息系統安全等級保護的研究和準備工作。等級管理的思想和方法具有科學、合理、規範、便於理解、掌握和運用等優點,因此,對計算機信息系統實行安全等級保護制度,是我國計算機信息系統安全保護工作的重要發展思路,對於正在發展中的信息系統安全保護工作更有著十分重要的意義。
為切實加強重要領域信息系統安全的規範化建設和管理,全面提高國家信息系統安全保護的整體水平,使公安機關公共信息網路安全監察工作更加科學、規範,指導工作更具體、明確,公安部組織制訂了《計算機信息系統安全保護等級劃分準則》(以下簡稱《準則》)國家標準,並於1999年9月13日由國家質量技術監督局審查通過並正式批准發布,已於 2001年1月1日執行。該準則的發布為計算機信息系統安全法規和配套標準的制定和執法部門的監督檢查提供了依據,為安全產品的研製提供了技術支持,為安全系統的建設和管理提供了技術指導,是我國計算機信息系統安全保護等級工作的基礎。
二、國外等級保護的發展歷程
美國國防部早在80年代就針對國防部門的計算機安全保密開展了一系列有影響的工作,後來成立了所屬的機構--國家計算機安全中心(NCSC)繼續進行有關工作。1983年他們公佈了可信計算機系統評估準則(TCSEC-TrustedComputerSystemEvaluationCriteria, 俗稱橘皮書),橘皮書中使用了可信計算基礎(TrustedComputingBase,TCB)這一概念,即計算機硬體與支持不可信應用及不可信用戶的操作系統的組合體。在TCSEC的評價準則中,從B級開始就要求具有強制存取控制和形式化模型技術的應用。橘皮書論述的重點是通用的操作系統,為了使它的評判方法適用於網路,NCSC於1987年出版了一系列有關可信計算機資料庫、可信計算機網路等的指南等(俗稱彩虹系列)。該書從網路安全的角度出發,解釋了準則中的觀點,從用戶登錄、授權管理、訪問控制、審計跟蹤、隱通道分析、可信通道建立、安全檢測、生命週期保障、文本寫作、用戶指南均提出了規範性要求,並根據所採用的安全策略、系統所具備的安全功能將系統分為四類七個安全級別。將計算機系統的可信程度劃分為D、C1、C2、B1、B2、B3和A1七個層次。
TCSEC帶動了國際計算機安全的評估研究,90年代西歐四國(英、法、荷、德)聯合提出了信息技術安全評估標準(ITSEC),ITSEC(又稱歐洲白皮書)除了吸收TCSEC 的成功經驗外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信計算機的概念提高到可信信息技術的高度上來認識。他們的工作成為歐共體信息安全計劃的基礎,並對國際信息安全的研究、實施帶來深刻的影響。
美國為了保持他們在制定準則方面的優勢,不甘心TCSEC的影響被ITSEC取代,他們採取聯合其他國家共同提出新評估準則的辦法體現他們的領導作用。1991年1月宣佈了制定通用安全評估準則(CC)的計劃。1996年1月出版了1.0版。它的基礎是歐洲的ITSEC,美國的包括TCSEC在內的新的聯邦評估標準,加拿大的CTCPEC,以及國際標準化組織 ISO:SC27WG3的安全評估標準。CC標準吸收了各先進國家對現代信息系統信息安全的經驗與知識,將會對未來信息安全的研究與應用帶來重大影響。
三、中國的等級保護體系
由於對信息系統和安全產品的安全性評估事關國家安全和社會安全,任何國家不會輕易相信和接受由別的國家所作的評估結果,為保險起見,要通過本國標準的測試才認為可靠。因此,沒有一個國家會把事關國家安全利益的信息安全產品和系統的安全可信性建立在別人的評估標準、評估體系和評估結果的基礎上。而是在充分借鑒國際標準的前提下,制定自己的安全評估標準。1989年公安部開始設計起草法律和標準,在起草過程中經過長期的對國內外廣泛的調查和研究,特別是對國外的法律法規、政府政策、標準和計算機犯罪的研究,使我們認識到要從法律、管理和技術三個方面著手;採取的措施要從國家制度的角度來看問題,對信息安全要實行等級保護制度。
國家標準《準則》就是要從安全整體上進行保護,從整體上、根本上、基礎上來解決等級保護問題。要建立良好的國家整體保護制度,標準體系是基礎。由國家的統一標準要求對系統進行評估,《準則》的配套標準分兩類:一是《計算機信息系統安全保護等級劃分準則應用指南》,它包括技術指南、建設指南和管理指南;二是《計算機信息系統安全保護等級評估準則》,它包括安全操作系統、安全資料庫、網關、防火牆、路由器和身份認證管理等。目前,國家正在組織有關單位完善信息系統安全等級保護制度的標準體系。
《準則》對計算機信息系統安全保護能力劃分了五個等級,計算機信息系統安全保護能力隨著安全保護等級的增高,逐漸增強。高級別的安全要求是低級別要求的超集。
《準則》將計算機安全保護劃分為以下五個級別:
第一級:用戶自主保護級。它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。
第二級:系統審計保護級。除具備第一級所有的安全保護功能外,要求創建和維護訪問的審計跟蹤記錄,是所有的用戶對自己行為的合法性負責。
第三級:安全標記保護級。除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問許可權,實現對訪問對象的強制訪問。
第四級:結構化保護級。在繼承前面安全級別安全功能的基礎上,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統的抗滲透能力。
第五級:訪問驗證保護級。這一個級別特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。
需要實施安全等級保護的信息系統為:
- 黨政系統(黨委、政府);
- 金融系統(銀行、保險、證券);
- 財稅系統(財政、稅務、工商);
- 經貿系統(商業貿易、海關);
- 電信系統(郵電、電信、廣播、電視);
- 能源系統(電力、熱力、燃氣、煤炭、油料);
- 交通運輸系統(航空、航天、鐵路、公路、水運、海運);
- 供水系統(水利及水源供給);
- 社會應急服務系統(醫療、消防、緊急救援);
- 教育科研系統(教育、科研、尖端科技);
- 國防建設系統
四、等級保護制度建設
國家實行計算機信息系統安全等級保護制度建設主要由以下幾部分構成:
1.計算機信息系統安全等級保護標準體系。
2.計算機信息系統安全等級保護管理的行政法規體系。
3.信息系統安全等級保護所需的系統設備技術體系。
4.安全等級系統的建設和管理機制。
5.計算機信息系統安全監督管理體系。
建立計算機信息系統安全等級保護制度,是我國計算機信息系統安全保護工作中的一件大事,它直接關係到各行各業的計算機信息系統建設和管理,是一項複雜的社會化的系統工程,需要社會各界的共同參與。在當前全社會信息化發展達到一定水平和階段的情況下,雖然存在一些客觀困難,但只要我們抓住機遇,下大力氣,採取有力措施,就一定能夠在不太長的時間內,將我國的計算機信息系統安全保護的整體水平迅速提高。推薦閱讀:
