信息系统安全威胁及等级保护.pdf

科技探·索·争鸣Sc科ience技Tech视nologyPVision

．-

信息系统安全威胁及等级保护

苏博

(中国电子科技集团公司第二十研究所，陕西西安710068)

【摘要】随着信息化水平的不断提高，各单位对其依赖程度前所未有的加大，然而随着各种攻击技术的发展，没有防御的系统则显得不堪

一击。针对此，每个单位信息系统的安全运行都相应的加大了信息安全的关注与投入。鉴于此，研究不同等级的信息系统所需的安全措施就变

得很有意义。主要说明了信息系统的不同等级及其安全防护水平。

关【键词】信息化；风险；等级保护；安全

1信息化发展背景我国根据世界范围内信息安全及计算机系统安全评估等技术的

发展．并结合我国自身情况．制定并颁发了我国计算机信息系统安全

1．1全球背景

保护等级划分准则(GB17859—1999)．在该准则中将信息系统分为下

信息化是充分利用信息技术．开发利用信息资源．促进信息交流

面五个等级：

和知识共享，提高经济增长质量。推动经济社会发展转型的历史进程。

第一级：用户自主保护级：

随着信息技术发展，信息化对经济社会发展的影响更加深刻信息资

第二级：系统审计保护级：

源日益成为重要生产要素、无形资产和社会财富。与此同时，信息安全

第三级：安全标记保护级：

的重要性也与日俱增．成为各国面临的共同挑战第四级：结构化保护级：

1，2我国目标

第五级：访问验证保护级

我国信息化发展战略概括为：以信息化促进工业化．以工业化带

动信息化，走出中国特色的信息化道路信息化是当今世界发展的大3风险分析和安全保护措施

趋势．是推动经济社会变革的重要力量到2020年．我国信息化发展

3．1漏洞、威胁、风险

的战略目标是：综合信息基础设施基本普及．信息技术自主创新能力

在实际中．计算机信息系统在确定保护等级之前．首先要对该计

显著增强．信息产业结构全面优化．国家信息安全保障水平大幅提高．

算机信息系统进行风险分析风险是构成安全基础的基本观念．风险

国民经济和社会信息化取得明显成效．新型工业化发展模式初步确

是丢失需要保护的资产的可能性如果没有风险就不需要安全威胁

立．国家信息化发展的制度环境和政策体系基本完善．国民信息技术

是可能破坏信息系统环境安全的行动或事件漏洞是各种攻击可能的

应用能力显著提高．为迈向信息社会奠定坚实基础。

途径。风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险。没有

2等级保护标准及其具体范围威胁的漏洞也没有风险识别风险除了识别漏洞和威胁之外．还应考

虑已有的策略和预防措施识别漏洞应寻找系统和信息的所有人口及

信息安全等级保护是指对国家安全、法人和其他组织及公民的专