电子政务涉密信息系统的分级保护建设
时间:2021-04-22 16:02:28 来源:雅意学习网 本文已影响 人 
当前,我国电子政务建设取得了显著成效。同时,由于国际国内形势特点,信息安全保密问题日益突出,病毒、木马、网络攻击等越来越多,给国家安全带来威胁。很多单位开始准备涉及国家秘密的信息系统(以下简称涉密信息系统)建设,但由于对政策的不了解,加之建设标准的复杂和操作难度等问题,导致一些单位感到无从下手,建设进度缓慢。本文从涉密信息系统准备、实施、测评、监管等方面作了阐述,供大家参考。
2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,明确提出了开展信息安全等级保护的任务,指出涉密信息系统要按照党和国家的有关保密规定进行保护。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》,明确提出要建立健全涉密信息系统分级保护制度。2006年1月17日,公安部等四部门下发了《信息安全等级保护管理办法(试行)》,其中规定:涉密信息系统应当依据国家信息安全等级保护的基本要求,按照涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。从广义上来讲, 涉密信息系统分级保护是信息安全等级保护的一个重要内容和组成部分,但两者有区别也有联系,从表一可以看出,涉密信息系统分级保护三个等级的防护水平不低于国家等级保护的第三、四、五级要求。
涉密信息系统分级保护是指建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。按照处理信息的最高密级确定,涉密信息系统由低到高划分为秘密、机密和绝密三个等级。绝密级信息系统应限定在封闭、安全可控的独立建筑群内。下面谈下建设过程。
一、涉密信息系统分级保护实施过程
(一)学习相关文件和标准。近年来,由于信息安全技术的快速发展,涉密信息系统的建设标准也不断变化。目前,以下四个文件基本涵盖了建设内容,建议学习掌握,具体如下:《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护测评指南》和《涉及国家秘密的信息系统分级保护方案设计指南》。
(二)规范信息定密。规范信息定密是所有工作的基础,有两层含义:一是定密科学,确定哪些信息是涉密信息,同时明确涉密时限;二是确定涉密信息上网的范围。
(三)确定涉密等级。原则是合理定密,防止过高或者过低,一般根据处理信息的最高等级确定分级保护等级。
(四)方案设计与审核。方案设计必须选择具有相应涉密资质的单位承担,并且需要保密工作部门参加方案审查论证。根据相关要求,方案设计主要包括如下内容:
1、系统分析。含使用单位情况、物理环境、网络平台、软硬件、信息资源与应用系统方面。
2、安全保密分析。包括脆弱性、威胁、风险识别与确定。
3、安全保密需求分析。有技术和管理需求分析,其中技术防护分析,包括机房与重要部位、网络、主机、介质、数据与应用、隔离与信息交换;管理需求分析,包括人员、物理环境和设施、运行和开发、设计与介质、信息保密管理。
4、方案总体设计。目标、原则与依据、防护框架、安全域划分和定级、保护要求调整和确定。
5、方案详细设计。包括物理安全、运行安全、信息安全保密、安全保密管理、产品选型与安全服务、残留风险控制、实施计划、预算。
(五)落实保护措施。根据方案,进行政府采购、项目实施、监理执行。在监理执行阶段,建议了解《涉及国家秘密的信息系统工程监理规范》,可把握质量控制、进度控制、验收等相关环节。
(六)系统测评。建设完成后,必须经过测评,测评机构为国家保密局授权的系统测评机构,一般为涉密信息系统测评中心或各地分中心。测评主要内容如下:
1、技术要求。基本保护要求,物理安全(环境、设备和介质),运行安全(备份与恢复、应急响应和运行管理),信息安全保密要求(身份鉴别、访问控制、密码保护、安全审计、数据库、边界防护等)。
2、管理要求。分级保护管理过程,基本管理要求(策略、机构、制度和人员),系统管理要求。
测评流程主要如下:
1、资料审查,建设单位递交《申请书》。
2、测评机构现场考察,修改《申请书》。
3、根据考察结果,制定测评方案。
4、测评机构现场检测,出测评表。
5、根据检测分析,结果为“合格”、“基本合格”、“不合格”。若“不合格”,建设单位需要整改,返回步骤1。
6、专家评估。专家对结果提出调整,给出完善意见。
7、测评机构得出测评结论,并出具测评报告。
(七)系统审批。保密部门根据测评报告,对涉密信息系统进行审批,经过审批的涉密信息系统方可正式投入运行。
二、涉密信息系统的运行和监管
根据相关要求,保密工作部门需要定期进行保密检查或系统测评:秘密级和机密级信息系统,每两年至少一次;绝密级信息系统,每年至少一次。
三、实际工作中存在问题
由于涉密信息系统建设难度大,标准繁多,在实际执行过程中,我们也发现不少问题,主要如下:
(一)保密技术宣传教育滞后于应用发展。国家下发的保密相关规范、标准几乎都是秘级,有的保密部门自己保留,一般不下发,从而使这些标准不能及时传达到各级政府及涉密承建企业。另外,保密部门平时也很少作建设专题培训,导致有些单位对如何建设非常迷茫,涉密承建企业设计方案时还参照作废的标准和规范,从而阻碍了涉密信息系统建设。
(二)保密技术滞后于应用发展。如隔离交换技术,涉密介质管理技术等,无法跟上应用的发展,说了很多年,具体可操作的产品还是很少。另外,有些保密技术制定出来后,非常苛刻,导致无法与应用结合。
(三)测评方法部分脱离现实。由于现有政务内网全国几乎连在一起,如果按照断网分开测评、合格一个接入一个的方式,所有应用都要中断,时间周期太长,不符合我国国情。建议可考虑分开和整体测评相结合的方式逐步推广涉密信息系统建设。
我国的涉密信息系统分级保护已经进入了建立标准、完善体系的阶段,但还有很长的路要走。由于所涉及技术、管理的复杂性、安全防护与攻击技术存在的非对称性等因素,还有许多问题要待研究,但只要我们坚持科学发展观,实事求是地分析和解决问题,以应用促发展,以安全作保障,就会探索出一条适合我国国情的电子政务涉密信息系统建设道路。
(作者单位:浙江省政府办公厅信息中心)
