我国信息安全等级保护制度的创新与发展
来源:用户上传
作者:
建立等级保护制度就是要保护国家的网络空间安全,要抵御攻击。
“安全等级”溯源
我国的等级保护制度的建立,学习和借鉴了发达国家的一些内容和经验,但是,我们国家也根据国情进行了一定的创新。在20世纪80年代,美国国防部就推行“安全等级划分准则”,率先推出了等级保护TCSEC标准。在2003年,美国制定了第一个网络空间安全战略――《保护网络空间国家战略》,提出了按重要程度不同,分为五个等级的保护制度,并通过了《联邦信息安全管理法案》(FISMA),要求NIST制定分类分级标准。2005年这个标准变成了强制性标准(FIPS200),要求联邦机构无条件地执行。尤其是2013年,在奥巴马上任后发布了《增强关键基础设施网络安全》行政令,按此令NIST于2014年2月12日提出了《美国增强关键基础设施网络安全框架》,要求按风险程度不同,分为四个等级进行保护,并实行了识别、保护、监测、响应、恢复全过程的风险管理。
我国等级保护工作有序推进
我国等级保护制度的发展是领先于世界进程的,按照系统进行等级保护,我国走在了前面,因为美国和欧洲都是基于部件安保。在1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号),同时为我国信息系统实行等级划分和保护提供了法律依据。在1999年依据国务院第147号令制定发布了强制性国家标准《计算机信息体统安全保护等级划分准则》,为等级划分和保护奠定了技术基础。2003年国家又出台制订了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),进一步明确要求“抓紧建立信息安全等级保护制度”,明确了抓紧建立信息安全等保制度。
国家有关部委多次联合发文,明确了等级保护的原则、基本内容、工作流程和方法、实施要求和计划等。目前国家各部委都按照信息系统定级备案、整改建设和测评进行推进,国家重点工程的验收,要求必须通过信息安全等级保护的测评。最近公布的《网络安全法》,进一步明确了国家实行网络安全等级保护制度。
等保制度是科学定级、全面建设
创新有前瞻性,首先看定级。定级很重要,在体系保障里,首先感知分析危险何在,创新何在。在定级指南或者定级实施的时候,准确划分定级系统,从保护信息和计算两维资源出发,根据在国家安全、经济建设、社会生活中的重要程度,以及系统遭受破坏后的危害程度等因素确定等级。
定级的时候要填写两张表,第一张表是业务信息等级,第二张表叫系统服务等级。也就是说,对于数据信息,即完成计算任务的硬件设施,等级保护制度提出了要求。在提出了网络空间概念之后,这些数据信息可以是全球的,也可以是互联互通的数据信息,以及处理传输数据信息的系统设备平台部件。可见,我国很早就确立了用两维来确定定级,这是非常科学的。
那么,我们从两维看云计算、大数据,对一个系统的定级,云计算定级系统又是什么样的?它应该具有四个特征:第一,业务处理流程完整;第二,硬件设备相对独立;第三,安全管理责权的统一性;第四,多级互联隔离性,云计算里用了好多不同级别的系统,这个系统之间要隔离。现在有了具体的设计要求,可以非常明确地指导我们的建设工作。
同时,要开展好等级测评工作,既要选择好等级测评机构,又要制定测评方案,开展测评工作,要出具测评报告,邀请专家进行评审,通过测评工作可以进一步完善系统,找出问题并整改。在完善系统之后,不仅有了防护能力,而且还是全过程的,这样我们就可以是主动应对,积极防御。
主动应对,积极防御
设计原则要求从技术和管理两个方面进行安全设计,要做到三个“可”:第一,可信,针对计算资源(软硬件)构建保护环境,以可信计算基(TCB)为基础,层层扩充,对计算资源进行保护,对应的系统服务,设备要可靠,不被破坏,持续系统运行;第二,可控,针对信息资源(数据和应用)构建业务应用流程控制链,以访问控制为核心,实行主体(用户)按策略规则访问客体(信息资源),要求设备支持下数据处理要可控,严格地控制;第三,可管,保证资源安全必须实行科学管理,强调最小权限管理,尤其是三等级系统实行三权分离管理体系,不允许设超级用户。
整体防御、分区隔离。加强定级对象信息系统整体防护,建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构,实施多层隔离和保护,以防止某些薄弱环节影响整体安全。
等级保护标准修改就是按照这个框架来修改其它标准的,其中的核心技术就是用等级保护来解决以前被动防御问题。在进入等级保护2.0时代,更重要是要将以前的被动防御,即防火墙、杀病毒、IDS上升到主动防护,要求高等级三级以上不许设超级用户。实现等级保护2.0,就是要实现被动防御变成主动防御的变化。在可信计算技术支持下做到:病毒染不了、木马注不上、黑客进不来。
总的来说,等级保护做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
等保的宾馆服务模式
我国等级保护制度提出来的比较早,但是将其运用到云计算中行不行?我认为没问题。云计算是将信息系统云化,是指信息处理流程在云计算中心完成,因此云计算中心是负责安全保障任务,承担着信息系统用户的行为安全责任,这是一个系统服务工程。硬件和软件系统等级是由云计算中心负责,业务信息系统等级任务是由用户负责,所以这是一种宾馆服务模式。原来各个行业用户都开设了自己的招待所,每家每户都有自己的办公自动化,企业有CRP,这样的系统是小规模的,资源是浪费的,但我们将这些可以集中到云平台上进行服务。
云计算中心可以同时运行多个不同安全级别的信息系统,云计算中心的安全级别不低于承运最高等级信息系统的级别。云计算中心跟原来的计算中心是一模一样的,计算任务也是通过外界的网络线、终端来实现,云计算中心资源完成计算任务。云计算跟原来的设备组成没区别,但是服务方式就不同了。每一个应用,每个计算任务是用来满足用户终端需求,通过网络计算环境完成计算任务;云计算一样要有系统管理、安全管理。但是,这个模式是有一定的区别,同样是三重架构,但云计算中心要解决资源的虚拟化,若要用来满足计算的话,要有信任体系保障,要保证分配的技术设备不仅能满足计算,而且是符合技术要求的,保持可信。现在宾馆有了,谁都可以进,原来自己家家户户的计算中心由自己负责。但是,现在是由两家负责,比如系统资源保证可信,这就是计算中心负责;应用程序怎么运行,业务信息怎么处理,还是由用户自己制定策略,定义自己的角色,管理中心还是自己的。
还有一点也是非常重要的,那就是要有审计,要有汇总,这可能会出现纠纷扯皮现象。因此,云计算环境下,可信支撑技术条件下,有了等级保护制度的保护,就能确保家家户户的应用安全,顺利完成计算任务。这就是信息安全等级保护制度应用在云安全领域上的创新与发展。
[摘自“2016首届中国行业(私有)云安全技术论坛”上演讲]
转载注明来源:https://www.xzbu.com/1/view-11078080.htm
