海委信息安全中的等級保護與分級保護淺析

宗華麗，秦娜，朱宏

海委信息安全中的等級保護與分級保護淺析

宗華麗1，秦娜2，朱宏3

（1.海河水利委員會水利信息網絡中心，天津300170；2.天津市普迅電力信息技術有限公司，天津300000；3.海河水利委員會海河下游管理局，天津300061）

為了保障網絡中的信息安全，按照國家保密法規定，對信息系統進行等級保護及涉密信息系統的分級保護。分別介紹了海委信息系統的等級保護情況以及分級保護體系，探討了海委的分級保護與等級保護的關系。

信息安全；等級保護；分級保護

隨著互聯網技術的發展，我國的信息化建設進程也在不斷深入，安全問題日益突出，為了促進信息化建設的穩定健康發展，國家提出了信息安全的等級保護以及涉密信息系統的分級保護管理，并建立了涉密信息系統分級保護制度。信息安全保護分級、分區域、分類、分階段是做好國家信息安全保護應遵循的準則。國家信息安全等級保護與涉密信息系統分級保護是兩個既聯系又有區別的概念。國家信息安全信息等級保護，重點保護的對象是非涉密的涉及國計民生的重要信息系統和通信基礎信息系統；涉密信息系統分級保護是國家信息安全等級保護的重要組成部分，是等級保護在涉密領域的具體體現。

海委的信息化建設已經經歷最初的建設階段，為了確保信息安全，海委已經建立了涉密內網的分級保護系統，正在實施海委信息系統的等級保護改造項目。通過對信息系統實行等級保護以及涉密信息系統的分級保護，以達到海委信息化建設的安全平穩運行的目的。

1 信息系統等級保護

信息系統等級保護[1]的發展經歷了如下幾個階段：1999年國家發布并于2001年1月1日開始實施《計算機信息系統安全保護等級劃分準則》（GB17859）。2003年，中辦、國辦轉發《國家信息化領導小組關于加強信息安全保障工作的意見》，提出實行信息安全等級保護、建立國家信息安全保障體系的明確要求。2004年9月17日，公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息辦下發了《關于信息安全等級保護工作的實施意見》，明確了信息安全等級保護的重要意義、原則、基本內容、工作職責分工、要求和實施計劃。2006年1月17日，四部門又下發了《信息安全等級保護管理辦法（試行）》，進一步確定職責分工，各司其責。

由于信息系統是應社會發展、生活和工作的需求而設計建立的，是社會構成、行政組織體系的反映，因此這種信息系統是分層次和分級別的，而其中的各種系統具有不同的社會和經濟價值。系統的基礎資源及信息資源的價值大小、用戶訪問權限大小的區別等級即是信息系統級別的客觀體現。信息安全等級保護必須符合客觀存在的發展規律，其分級、分區域、分類和分階段是做好信息安全保護的重要前提。

信息安全等級保護根據信息在國家安全、經濟建設、人們的工作生活中的重要程度而劃分等級。《國家信息化領導小組關于加強信息安全保障工作意見》中明確了建立國家信息安全保障體系的要求，將信息安全等級劃分為五級。

第一級為用戶自主保護級。該級別完全由用戶自己來判斷如何以及用何種方式對信息資源進行保護。

第二級為系統審計保護級。該級別具有更強的自主保護能力，特別具有訪問審計能力。用戶可以收集安全事件發生的時間、地點、涉及到的人員、時間類型等所有與安全相關的操作都被記錄下來，以便當系統發生安全問題時，可以根據審計記錄，分析追查事故責任人，以督促所有用戶對自己的行為和操作負責。

第三級為安全標記保護級。該級別除了第二級的審計保護系統外，它將用戶設置為不同的訪問權限，通過權限來限制用戶的訪問范圍和行為，從而保護信息安全。

第四級為結構化保護級。該級別采用形式化的保護體系，具有很強的抗滲透能力。它將整個保護機制分為關鍵部分和非關鍵部分，并采取不同的保證措施，對關鍵部分強制性地直接控制訪問者對訪問對象的存取。

第五級為訪問驗證保護級。與前4個級別相比，該級別具有更強的抗滲透能力，保護措施更強硬，同時增加了訪問驗證功能。該級別負責管理所有訪問活動，并對訪問對象實行專控，保證信息不被篡改、攻擊。

2 海委信息系統等級保護

海委信息化建設起步比較早，但是隨著信息化產業的飛速發展病毒傳播、網絡攻擊、數據破壞等安全風險增加。信息安全登記保護相關法規、政策文件、國家標準和公共安全行業標準的出臺，為信息安全等級保護工作的開展提供了法律、政策、標準的保障。2009年全國水利信息化工作座談會“高度重視信息安全和保密，積極預防、綜合防范，建立科學完備的技術安全體系和嚴密規范的安全管理制度，切實保障網絡安全、系統運行安全和信息安全”的精神及2010年全國水利信息化工作座談會關于2012年底前完成安全保護等級三級及以上信息系統的安全防護建設、逐步完善全國各級水利部門信息安全防護體系的要求，加快了水利信息安全整改的步伐。

通過2010年海委信息辦對海委系統進行的信息安全檢查及海委機關信息系統安全評估工作，發現海委信息安全防護體系和管理手段相對落后和匱乏，這就迫切要求進行整改，以保證海委水利信息化穩步健康發展。

2013年，海委啟動項目建設，完成海委機關與各直屬管理局物理安全及網絡安全系統建設以及三級信息系統整改工作；2014年度，完成身份認證系統及主機、系統安全建設；2015年，完成安全管理系統建設及三級系統的等級保護測評工作。

2.1 海委等級保護整改內容

海委機關及下屬局機關采用1+4模式從政務外網物理安全、網絡安全、主機安全、業務系統應用安全、外網數據安全以及安全管理制度5個方面進行整改。

2.2 海委信息系統現狀

海委機關申報批復的三級系統3個，二級系統8個。漳衛南局申報三級系統2個，二級系統10個；引灤局申報三級系統2個，二級系統5個；海河下游局申報三級系統2個，二級系統3個；漳河上游局申報三級系統1個，二級系統2個。海委機關數據中心機房基本具備等級保護三級要求，但機房服務器設備數量較多，維護手段形式復雜需要整改。海委直屬四局機房的地板、布線、UPS供電系統已完全老化，不符合機房要求。

海委機關及委屬四局的網絡均未按照等級保護要求進行分區域防護，缺少安全審計、惡意代碼防范等防護措施；主機安全方面缺乏主機安全審計、漏洞掃描等技術手段，僅部署網絡防病毒系統，主要通過密碼管理、手動升級系統補丁等管理手段進行防護；海委機關已建立存儲備份系統，但海委離線備份容量小，委屬四局無存儲備份系統；安全管理方面都制定了部分管理辦法和操作規程，仍不全面。

2.3 海委信息系統等級保護建設成果

根據國家信息系統安全等級保護要求和《水利網絡與信息安全體系建設基本技術要求》，海委對委機關及直屬各局物理安全、網絡安全、主機安全、系統安全、數據安全和安全管理6個方面內容進行整改，通過國家信息安全等級保護測評，進一步完善了海委信息安全防護體系，整體提高了海委機關及直屬各局政務外網信息系統的安全保障能力和防護水平，確保了網絡與信息系統的安全運行。

3 海委涉密信息系統的分級保護[2]

根據國家保密法的規定，國家秘密按信息的重要程度分為秘密、機密、絕密3個級別，同樣的涉密信息系統也相應地采取分級管理的方式。隨著《中華人民共和國保密法》的頒布，我國建成了完善的涉密信息保密體系和法律依據。涉密信息系統實行分級保護，不同信息的劃分依據是信息的重要性、保密程度以及一旦泄露后對國家、社會、個人或組織造成的危害等。

（1）秘密級。如果涉密信息系統中包括有國家秘密，那么對涉密信息系統的保護級別就是秘密級，對這些信息的保護措施至少要達到國家信息安全等級的三級要求和相應的技術規范。

（2）機密級。如果涉密信息系統中包括有國家機密信息，那么對涉密信息系統的保護至少要達到信息安全四級的要求和相應的技術規范。當出現特殊情況時，要適當提高信息保護中的級別，保證信息的安全。

（3）絕密級。這是級別最高的一種保護水平，主要保護的對象是絕密級的秘密信息，對這些信息的保護水平至少要達到等級保護的五級水平和相應的技術規范。涉密信息按照“誰主管、誰負責”的原則進行管理，嚴格控制信息的訪問行為，當信息泄露時要追究相關人員的責任，并進行分級處理。絕密級信息系統不能與城域網或廣域網相連，應限定在封閉的安全可控的獨立建筑內。

海委于2010年開始建立物理隔離的保密內網，以實現政務內網與政務外網的物理隔離、保證數據傳輸的安全保密性。2010年底建成，2012年經過測評并獲國家保密局頒發的測評證書。

4 海委信息系統的等級保護與分級保護關系

海委對涉密信息系統的分級保護是等級保護在涉密領域的具體體現，也是海委信息安全等級保護的重要組成部分。可以說，海委涉密信息系統分級保護與海委信息安全等級保護是兩個既有區別又有聯系的概念。

海委信息安全等級保護的對象主要是涉及海委安全、穩定和工作的信息系統，而不管它是否涉密；而海委涉密信息系統主要保護的是海河流域水利秘密信息等。

只要是涉密信息，對其的保護級別都不能小于等級保護中的三、四、五級的要求和相應的技術規范。對于一些涉及到水利安全和公共利益的信息，還必須增加防護措施，提高保護的水平和級別，確保信息安全。對涉密信息系統的保護，既要反對不從實際出發，防護措施“一刀切”，造成“過保護”的現象；還要防止出現保護不到位的現象，造成涉密信息的安全受到威脅，甚至信息泄露的情況，給單位和個人造成一定的損失。

海委信息安全等級保護制度為海委的信息安全提供了保障和具體的保護措施，指明了涉密信息系統發展的方向和道路。對信息系統實行等級保護是實現信息安全的重要途徑和渠道，在一定程度上保護了信息的安全。由于公開信息和秘密信息在內容和特性上有著明顯的區別，對涉密信息系統的分級保護是海委信息安全等級保護在涉密信息系統中的特殊保護措施與方法，二者在保障安全的方法、原則等方面也有著不同的要求。

5 結論

海委安全等級保護是保障海委信息系統安全的基本要求，對涉密信息系統進行分級保護，解決了涉密信息系統建設使用中網絡互聯與安全保密的問題，提高了海委涉密信息的保密性和安全性。

[1]張原，劉穎.信息安全等級保護的安全技術分析[J].電子測試，2013（16）：30-33.

[2]蘇乃鋒.信息安全中的等級保護與分級保護初探[J].網絡與信息，2011（12）：31-36.

·環球水信息·

河北省印發《河北省省級河長工作手冊》

為深入貫徹《河北省實行河長制工作方案》、全面推動全省河長制工作落實，5月2日，省水利廳、省環保廳組織編寫的《河北省省級河長工作手冊》正式印發，主要內容包括河長制政策解讀、全省水系基本情況、水資源保護、水污染防治、水生態與水環境、水域岸線管理與執法、設省級河長河湖基本情況七部分，收錄了中央和省推行河長制的有關文件，為省級總河長、省級河長現場調研、工作調度提供參考，為各市編寫市級河長手冊提供借鑒。

（摘自2017年5月9日河北水利網）

河北省印發《河北省河長名單公告制度（實行）》和《2017年度河長制工作督查方案》

為全面推進河北省河長制工作進程，5月22日，經省政府同意，河北省水利廳會同河北省環保廳聯合印發了《關于印發〈河北省河長名單公告制度（實行）〉和〈2017年度河長制工作督查方案〉的通知》。

《河北省河長名單公告制度（實行）》對公告原則、公告方式、公告時限、責任主體、公告要求及經費進行了規定，對規范和推進河北省河長制工作、接受社會和群眾監督、促進工作責任落實奠定了堅實基礎。

《2017年度河長制工作督查方案》對2017年河北省河長制督查工作進行了全面安排部署，方案在督查目的、督查原則、督查對象、督查時間、督查方式、督查內容、督查意見反饋及督查整改8個方面做出了詳細規定，為進一步貫徹落實好省委省政府關于河長制工作的決策部署、推進全省各地河長制工作的落實、確保2017年底前全面建立河長制奠定了堅實基礎。

（摘自2017年6月1日水利部網）

TP393.08

A

1004-7328（2017）03-0065-03

10.3969/j.issn.1004-7328.2017.03.021

2017—01—10

宗華麗（1984—），女，碩士，工程師，主要從事水利網絡管理及信息安全工作。