信息網(wǎng)絡(luò)的全球化使得信息網(wǎng)絡(luò)的安全問題也全球化起來���,任何與互聯(lián)網(wǎng)相連接的信息系統(tǒng)都必須面對世界范圍內(nèi)的網(wǎng)絡(luò)攻擊���、數(shù)據(jù)竊取�、身份假冒等安全問題。發(fā)達(dá)國家普遍發(fā)生的有關(guān)利用計算機(jī)進(jìn)行犯罪的案件�,絕大部分已經(jīng)在我國出現(xiàn)���。
目前,我國進(jìn)口的計算機(jī)系統(tǒng)產(chǎn)品���,其安全功能基本上是最低層次的�����,我國尚沒有自己的配套安全技術(shù)產(chǎn)品����,使用的微機(jī)和網(wǎng)絡(luò)產(chǎn)品從硬件���、固件到軟件����,基本沒有安全保障功能����,在建的一些重要信息系統(tǒng),也缺乏安全技術(shù)防范措施�。這些問題若不加緊解決,會影響國家主權(quán)和安全、信息化社會的政治安定和社會穩(wěn)定���、經(jīng)濟(jì)和現(xiàn)代化建設(shè)順利發(fā)展�����。
但是�,當(dāng)前計算機(jī)信息系統(tǒng)的建設(shè)者����、管理者和使用者都面臨著一個共同的問題,就是他們建設(shè)���、管理或使用的信息系統(tǒng)是否是安全的��?如何評價系統(tǒng)的安全性����?這就需要有一整套用于規(guī)范計算機(jī)信息系統(tǒng)安全建設(shè)和使用的標(biāo)準(zhǔn)和管理辦法��。
一����、等級保護(hù)制度的意義
1994年��,國務(wù)院發(fā)布了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(以下簡稱《條例》),該條例是計算機(jī)信息系統(tǒng)安全保護(hù)的法律基礎(chǔ)����。其中第九條規(guī)定計算機(jī)信息系統(tǒng)實行安全等級保護(hù)。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法����,由公安部會同有關(guān)部門制定。公安部在《條例》發(fā)布實施后便著手開始了計算機(jī)信息系統(tǒng)安全等級保護(hù)的研究和準(zhǔn)備工作����。等級管理的思想和方法具有科學(xué)、合理���、規(guī)范�、便于理解�����、掌握和運(yùn)用等優(yōu)點��,因此�,對計算機(jī)信息系統(tǒng)實行安全等級保護(hù)制度,是我國計算機(jī)信息系統(tǒng)安全保護(hù)工作的重要發(fā)展思路,對于正在發(fā)展中的信息系統(tǒng)安全保護(hù)工作更有著十分重要的意義�����。
為切實加強(qiáng)重要領(lǐng)域信息系統(tǒng)安全的規(guī)范化建設(shè)和管理��,全面提高國家信息系統(tǒng)安全保護(hù)的整體水平���,使公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察工作更加科學(xué)����、規(guī)范�,指導(dǎo)工作更具體、明確�,公安部組織制訂了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(以下簡稱《準(zhǔn)則》)國家標(biāo)準(zhǔn),并于1999年9月13日由國家質(zhì)量技術(shù)監(jiān)督局審查通過并正式批準(zhǔn)發(fā)布�����,已于 2001年1月1日執(zhí)行����。該準(zhǔn)則的發(fā)布為計算機(jī)信息系統(tǒng)安全法規(guī)和配套標(biāo)準(zhǔn)的制定和執(zhí)法部門的監(jiān)督檢查提供了依據(jù),為安全產(chǎn)品的研制提供了技術(shù)支持���,為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)�����,是我國計算機(jī)信息系統(tǒng)安全保護(hù)等級工作的基礎(chǔ)�。
二�、國外等級保護(hù)的發(fā)展歷程
美國國防部早在80年代就針對國防部門的計算機(jī)安全保密開展了一系列有影響的工作,后來成立了所屬的機(jī)構(gòu)--國家計算機(jī)安全中心(NCSC)繼續(xù)進(jìn)行有關(guān)工作����。1983年他們公布了可信計算機(jī)系統(tǒng)評估準(zhǔn)則(TCSEC-TrustedComputerSystemEvaluationCriteria, 俗稱橘皮書),橘皮書中使用了可信計算基礎(chǔ)(TrustedComputingBase,TCB)這一概念�,即計算機(jī)硬件與支持不可信應(yīng)用及不可信用戶的操作系統(tǒng)的組合體。在TCSEC的評價準(zhǔn)則中���,從B級開始就要求具有強(qiáng)制存取控制和形式化模型技術(shù)的應(yīng)用�����。橘皮書論述的重點是通用的操作系統(tǒng)����,為了使它的評判方法適用于網(wǎng)絡(luò)�����,NCSC于1987年出版了一系列有關(guān)可信計算機(jī)數(shù)據(jù)庫、可信計算機(jī)網(wǎng)絡(luò)等的指南等(俗稱彩虹系列)����。該書從網(wǎng)絡(luò)安全的角度出發(fā),解釋了準(zhǔn)則中的觀點�����,從用戶登錄�、授權(quán)管理、訪問控制�����、審計跟蹤�、隱通道分析、可信通道建立�����、安全檢測�����、生命周期保障、文本寫作���、用戶指南均提出了規(guī)范性要求�����,并根據(jù)所采用的安全策略���、系統(tǒng)所具備的安全功能將系統(tǒng)分為四類七個安全級別�。將計算機(jī)系統(tǒng)的可信程度劃分為D、C1����、C2、B1���、B2���、B3和A1七個層次。
TCSEC帶動了國際計算機(jī)安全的評估研究�����,90年代西歐四國(英、法��、荷���、德)聯(lián)合提出了信息技術(shù)安全評估標(biāo)準(zhǔn)(ITSEC)���,ITSEC(又稱歐洲白皮書)除了吸收TCSEC 的成功經(jīng)驗外,首次提出了信息安全的保密性���、完整性����、可用性的概念��,把可信計算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識�。他們的工作成為歐共體信息安全計劃的基礎(chǔ),并對國際信息安全的研究�、實施帶來深刻的影響。
美國為了保持他們在制定準(zhǔn)則方面的優(yōu)勢�����,不甘心TCSEC的影響被ITSEC取代�����,他們采取聯(lián)合其他國家共同提出新評估準(zhǔn)則的辦法體現(xiàn)他們的領(lǐng)導(dǎo)作用。1991年1月宣布了制定通用安全評估準(zhǔn)則(CC)的計劃��。1996年1月出版了1.0版�����。它的基礎(chǔ)是歐洲的ITSEC���,美國的包括TCSEC在內(nèi)的新的聯(lián)邦評估標(biāo)準(zhǔn)�����,加拿大的CTCPEC,以及國際標(biāo)準(zhǔn)化組織 ISO:SC27WG3的安全評估標(biāo)準(zhǔn)��。CC標(biāo)準(zhǔn)吸收了各先進(jìn)國家對現(xiàn)代信息系統(tǒng)信息安全的經(jīng)驗與知識����,將會對未來信息安全的研究與應(yīng)用帶來重大影響。
三�����、中國的等級保護(hù)體系
由于對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和社會安全,任何國家不會輕易相信和接受由別的國家所作的評估結(jié)果��,為保險起見���,要通過本國標(biāo)準(zhǔn)的測試才認(rèn)為可靠�。因此���,沒有一個國家會把事關(guān)國家安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信性建立在別人的評估標(biāo)準(zhǔn)�、評估體系和評估結(jié)果的基礎(chǔ)上�。而是在充分借鑒國際標(biāo)準(zhǔn)的前提下,制定自己的安全評估標(biāo)準(zhǔn)���。1989年公安部開始設(shè)計起草法律和標(biāo)準(zhǔn)�,在起草過程中經(jīng)過長期的對國內(nèi)外廣泛的調(diào)查和研究����,特別是對國外的法律法規(guī)、政府政策�����、標(biāo)準(zhǔn)和計算機(jī)犯罪的研究,使我們認(rèn)識到要從法律����、管理和技術(shù)三個方面著手;采取的措施要從國家制度的角度來看問題�,對信息安全要實行等級保護(hù)制度。
國家標(biāo)準(zhǔn)《準(zhǔn)則》就是要從安全整體上進(jìn)行保護(hù)�����,從整體上�����、根本上���、基礎(chǔ)上來解決等級保護(hù)問題�。要建立良好的國家整體保護(hù)制度�����,標(biāo)準(zhǔn)體系是基礎(chǔ)�����。由國家的統(tǒng)一標(biāo)準(zhǔn)要求對系統(tǒng)進(jìn)行評估��,《準(zhǔn)則》的配套標(biāo)準(zhǔn)分兩類:一是《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則應(yīng)用指南》����,它包括技術(shù)指南、建設(shè)指南和管理指南�����;二是《計算機(jī)信息系統(tǒng)安全保護(hù)等級評估準(zhǔn)則》��,它包括安全操作系統(tǒng)�、安全數(shù)據(jù)庫、網(wǎng)關(guān)����、防火墻、路由器和身份認(rèn)證管理等����。目前,國家正在組織有關(guān)單位完善信息系統(tǒng)安全等級保護(hù)制度的標(biāo)準(zhǔn)體系�����。
《準(zhǔn)則》對計算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了五個等級,計算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級的增高���,逐漸增強(qiáng)����。高級別的安全要求是低級別要求的超集�。
《準(zhǔn)則》將計算機(jī)安全保護(hù)劃分為以下五個級別:
第一級:用戶自主保護(hù)級。它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力��,保護(hù)用戶的信息免受非法的讀寫破壞�。
第二級:系統(tǒng)審計保護(hù)級。除具備第一級所有的安全保護(hù)功能外�,要求創(chuàng)建和維護(hù)訪問的審計跟蹤記錄,是所有的用戶對自己行為的合法性負(fù)責(zé)�����。
第三級:安全標(biāo)記保護(hù)級����。除繼承前一個級別的安全功能外,還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限��,實現(xiàn)對訪問對象的強(qiáng)制訪問�����。
第四級:結(jié)構(gòu)化保護(hù)級��。在繼承前面安全級別安全功能的基礎(chǔ)上���,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分����,對關(guān)鍵部分直接控制訪問者對訪問對象的存取����,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力。
第五級:訪問驗證保護(hù)級�。這一個級別特別增設(shè)了訪問驗證功能,負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動����。
學(xué)校官方微信
學(xué)校官方微博