信息系統等級保護與分級保護實施對比分析

鄭見立 李亞子

(中國醫學科學院醫學信息研究所 北京 100020)

?

信息系統等級保護與分級保護實施對比分析

鄭見立 李亞子

(中國醫學科學院醫學信息研究所 北京 100020)

從適用范圍、建設流程、系統定級、方案設計、系統實施、系統測評與檢查、信息系統中止、招標采購方式等角度，對等級保護制度和分級保護制度在系統建設過程中的異同點進行詳細對比分析，經比較這兩種制度在實施客體、主管部門、建設流程、招標采購等多方面存在著不同點。

信息系統安全分級保護；信息系統安全等級保護； 對比

1 引言

隨著互聯網和信息技術的快速發展，我國的信息化進程也在不斷深入，與之而來的信息安全問題也日益凸顯。為促進信息化建設的健康發展，我國政府分別于2003和2004年提出了涉密信息系統分級保護制度和信息系統安全等級保護制度，對建立國家信息安全保障體系有了明確的要求。分級保護制度和等級保護制度是兩個既有聯系又有區別的概念[1-2]，它們都是國家信息安全體系的重要組成部分，但二者在適用范圍、建設過程、測評內容等方面又各自有側重點，因此探討等級保護制度和分級保護制度的關系有助于更好地理解國家信息安全體系，提高信息安全保障能力和水平，在維護國家安全和社會穩定、推進國家信息化建設中具有重要意義[3]。

2 資料與方法

2.1 資料

資料包括：《中華人民共和國保守國家秘密法》;《信息安全等級保護管理辦法》；《中華人民共和國計算機信息系統安全保護條例》；《信息系統安全等級保護定級指南》；《信息系統安全等級保護基本要求》；《信息系統安全等級保護測評要求》；《信息系統安全等級保護實施指南》；《計算機信息系統安全等級保護工程管理要求》；《涉及國家秘密的信息系統分級保護技術要求》(BMB17—2006)；《涉及國家秘密的信息系統工程監理規范》 (BMB18—2006)；《涉及國家秘密的信息系統分級保護管理規范》(BMB20—2007)；《涉及國家秘密的信息系統分級保護測評指南》(BMB22—2007)；《涉及國家秘密的信息系統分級保護方案設計指南》(BMB23—2008)。

2.2 方法

采用對比分析法，從適用范圍、建設流程、系統定級、方案設計、系統實施、系統測評與檢查、信息系統中止、招標采購方式等角度，對等級保護制度和分級保護制度在系統建設過程中進行對比分析。

3 分級保護和等級保護在系統建設中的對比分析

3.1 適用范圍

《信息安全等級保護管理辦法》第六條規定：信息系統安全等級保護的級別確定應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。因此，信息系統安全等級保護的客體包括。國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益。《中華人民共和國保守國家秘密法》第二十三條規定：涉及國家秘密的計算機信息系統應按照涉密程度實行分級保護。因此，信息系統安全等級保護的客體包括國家安全和利益。通過等級保護和分級保護的客體對比分析，可以發現：等級保護的范圍比分級保護的

適用范圍更廣，等級保護側重于社會秩序、公共利益以及公民、法人、組織的合法權益，而分級保護則僅適用于國家安全和利益。

3.2 建設流程

3.2.1 等級保護建設流程 《信息安全技術信息系統安全等級保護實施指南》明確規定了信息系統安全等級保護實施的基本流程，主要包括信息系統定級、總體安全規劃、安全設計與實施、安全運行與維護、信息系統中止5個步驟。根據《信息安全等級保護管理辦法》，對已完成等級保護建設的信息系統，需進行等級測評，見圖1。

圖1 信息系統安全等級保護實施的基本流程

在安全運行與維護階段，因需求的局部調整或發生重大調整，系統實施流程需重新回到安全設計或系統定級階段。

3.2.2 分級保護建設流程 信息系統安全分級保護實施的一般流程包括系統定級、方案設計、項目預評測、項目招投標、工程實施、系統測評、系統審批、日常管理、測試與檢查、系統廢止等步驟，見圖2。

圖2 信息系統安全分級保護實施的基本流程

通過等級保護和分級保護的實施流程對比分析，可以發現：二者的實施基本流程大體相同，均包括系統定級、方案設計(總體規劃，安全設計)、實施、測評、審批、運行、測試、系統廢止等步驟；不同的是：信息系統等級保護的定級和測評方為公安部門，而信息系統分級保護的定級和測評方為國家保密局。

3.3 系統定級

主要從備案部門、定級階段、定級要素、客體、級別、等級變更等方面，對等級保護和分級保護的系統定級對比分析，見表1。

表1 等級保護和分級保護的系統定級對比分析

3.4 方案設計

信息系統安全等級保護的總體安全規劃和安全方案設計包括安全需求分析、總體安全設計、安全建設項目規劃和安全方案設計。信息系統安全分級保護的方案設計包括選擇方案設計方、系統風險評估、確定保護要求、規劃設計方案和設計方案論證。通過以上內容對比分析，可以發現：總體安全規劃或方案設計總體相同，區別在：(1)依據的標準規范不同，等級保護依據《信息系統安全等級保護實施指南》，分級保護依據《涉及國家秘密的信息系統分級保護方案設計指南》(BMB23—2008)；(2)分級保護，需要上報信息系統安全保障體系詳細設計方案到保密部門，并組織評審專家進行論證；(3)選擇的方案設計方的資質不一樣，等級保護對設計方資質沒有特殊要求，分保系統的方案設計方需滿足涉密信息系統甲(乙)級資質或單項資質。

3.5 系統實施

等級保護的系統實施包括管理措施的實施和技術措施的實施。管理措施包括管理機構和人員、管理制度、人員安全培訓、安全實施過程管理；技術措施包括信息安全產品采購、安全控制開發、安全控制集成、系統驗收。分保系統的系統實施，主要依據《涉及國家秘密的信息系統分級保護技術要求》(BMB17—2006)、《涉及國家秘密的信息系統分級保護管理規范》(BMB20—2007)、《涉及國家秘密的信息系統工程監理規范》 (BMB18—2006)和系統設計方案進行開發。等級保護和分級保護在系統實施方面的對比分析：(1)系統實施方資質，分級保護的實施方需具備涉密信息系統相應的資質。等級保護的實施方需要根據安全保護級別，具備不同等級的系統集成資質。(2)依據的標準規范不同。

3.6 系統測評與檢查對比

3.6.1 測評機構不同 信息系統安全等級保護的系統測評機構是公安部門，信息系統安全分級保護的系統測評機構是保密局。

3.6.2 測評依據不同 信息系統安全等級保護的測評依據是《信息系統安全等級保護測評要求》，信息系統安全分級保護的測評依據是《涉及國家秘密的信息系統分級保護測評指南》(BMB22—2007)。

3.6.3 測評流程對比 等保系統和分保系統的測評流程見圖3、圖4。

圖3 分級保護制度測評流程[4]

圖4 等級保護的測評流程[5]

3.6.4 測評要求不同 等級保護制度和分級保護制度的測評要求對比分析，見表2。

表2 等保系統和分保系統的測評要求對比

3.7 信息系統中止

分保系統不再使用時，使用單位應向保密工作部門提交系統廢止申請備案，并依據保密規定對涉密設備、產品妥善退密處理，銷毀涉密介質，確保泄密事件不發生。等級保護信息系統不再使用時，應對系統的信息進行轉移、暫存和清除；對設備進行遷移或廢棄；對存儲介質進行清除或銷毀。分級保護和等級保護的信息系統中止基本相同，區別在于分級保護系統不再使用時，需向保密工作部門提交系統廢止申請備案。

3.8 招標采購方式根據《涉及國家秘密的信息系統分級保護管理規范》(BMB20-2007)規定，涉密信息系統的集成與系統服務、安全保密產品的采購不得進行公開招標，應在具有資質的單位和經國家主管部門批準的范圍內，采取邀標、競爭性談判、單一來源采購和詢價的方式進行。而信息系統安全等級保護對招標采購的方式沒有限制。

4 結語

對比分析發現，信息系統安全等級保護和信息系統分級保護在實施客體、主管部門、建設流程等方面存在著各自的特點。梳理和總結這些異同點將有助于更加深入地理解這兩項基本制度，為以后信息系統籌建方在信息系統安全制度的選擇、系統定

級、招標方式等系統建設流程方面起到一定的借鑒作用，為信息系統建設方的系統方案設計、系統建設、系統測評、系統中止等方面提供一定的參考作用。

1 丁全和.淺析信息安全中的等級保護與分級保護[J].網絡安全技術與應用，2014,(7):121-123.

2 蘇乃鋒,劉洪雷. 信息安全中的等級保護與分級保護初探[J]. 網絡與信息,2011,(12):58.

3 楊治華.關于信息系統等級保護實施的幾點思考[C].合肥：第二屆全國信息安全等級保護技術大會,2013.

4 孔斌,杜虹,馬朝斌. 涉密信息系統的分級保護測評[C].重慶：第十七屆全國信息保密學術會議, 2007.

5 信息系統安全等級測評[EB/OL].[2014-12-09].http://www.bjtec.org.cn/cenep/html/00000000000000001264/160020/ejaqcp.html.

Contrastive Analysis of Information System Grade Protection and Classified Protection

ZHENGJian-li,LIYa-zi，

InstituteofMedicalInformation,ChineseAcademyofMedicalSciences,Beijing100020,China

The paper makes detailed contrastive analysis of the grade protection system and classified protection system in the process of system construction from the applicable scope, construction procedure, system grading, schematic design, system implementation, system evaluation and inspection, information system halt, methods of bidding and purchasing, etc. By comparison, these two systems are different in the implementation object, competent department, construction procedure, bidding and purchasing, etc.

Information system security classification protection; Information system security level protection; Comparison

2015-05-06

鄭見立，碩士，實習研究員，發表論文4篇；李亞子，博士，副研究員，發表論文30余篇。

R-056

A 〔DOI〕10.3969/j.issn.1673-6036.2015.10.005