信息安全等级保护中的两大基本问题研究.docxVIP

??

?

??

信息安全等级保护中的两大基本问题研究

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

?

?

导读：详细分析了业务信息安全和系统服务安全在信息系统定级中的作用，同时，说明了如何应用二者在特定信息系统中实施分等级保护，并对业务信息和系统服务的安全属性进行了解释说明。

信息安全等级保护中的两大基本问题研究

陈雪秀，任卫红，谢朝海

(公安部信息安全等级保护评估中心，北京?100142)

【摘??要】文章从信息系统的社会价值出发，指出业务信息和系统服务是信息系统的两大关键社会功能要素，二者的安全既是信息系统安全等级保护的保护对象，也是保护目标。详细分析了业务信息安全和系统服务安全在信息系统定级中的作用，同时，说明了如何应用二者在特定信息系统中实施分等级保护，并对业务信息和系统服务的安全属性进行了解释说明。

【关键词】信息安全等级保护；业务信息安全；系统服务安全；定级；安全属性

Two?Basic?Problems?to?Information?Classified?Security?Protection

CHEN?Xue-xiu,?REN?Wei-hong,?XIE?Chao-hai

(MPS?Information?Classified?Security?Protection?Evaluation?Center,?Beijing?100142,?China)

【Abstract】Thispaper,basedonthesocialvalueofinformationsystem,pointsoutthatbusinessinformationsystemserviceweretwoelementsofsocialfunctionandthatthesecurityofbusinessinformationsystemserviceisnotonlytheprotectionobjectsoftheinformationsystemclassifiedprotection,butalsotheprotectionobjectives.Then,thefunctionsofthebusinessinformationsecurityandsystemservicesecurityintheinformationsystemclassificationareanalyzedindetail.Meanwhile,howtoimplementtheclassificationprotectionbyusingthebusinessinformationsecuritysystemservicesecurityinspecifiedinformationsystemisdiscussed.Finally,thesecurityattributesofbusinessinformationandsystemservicearedescribed.

【Keywords】informationclassifiedsecurityprotection;businessinformationsecurity;systemservicesecurity;?classification;securityattribute

0??引言

在我国国民经济和社会信息化全面加快的过程中，网络与信息系统的基础性、全局性作用日益增强，信息网络

已成为国家和社会发展新的重要战略资源，相应地，信息系统的安全问题也越来越突出。我国政府非常重视信息安全问题，明确要求信息安全保障工作要“实行信息安全等

级保护”［１］。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策，实行信息安全等级保护具有重大的现实和战略意义。

对信息系统分等级进行安全保护，存在两个关键性的基础问题—如何定级和如何保护。国内外已对此进行了一定的研究和实践工作。２００３年，美国ＮＩＳＴ?ＦＩＰＳ１９９提出了依据信息系统所处理信息的机密性、完整性和可用性被破坏的影响来分类分级保护的思路［２］，ＩＡＴＦ根据信息价值与威胁确定系统强健度等级［３］。在国内，ＧＢ１７８５９－１９９９提出了适用于计算机信息系统安全保护技术能力等级的划分准则。该标准指出，计算机信息系统安全保护能力随着安全保护技术等级的增高，逐渐增强［４］。为满足我国实行信息安全等级保护的工作需求，在借鉴这些标准、框架分等级保护的思路和方法基础上，还应进一步突出等级保护以业务应用为主，兼