2023年信息系統(tǒng)安全威脅及等級(jí)保護(hù)

2023年信息系統(tǒng)安全威脅及等級(jí)保護(hù)隨著信息化水平的不斷提高，各單位對(duì)其依賴程度前所未有的加大，然而隨著各種攻擊技術(shù)的發(fā)展，沒有防御的系統(tǒng)則顯得不堪一擊。針對(duì)此，每個(gè)單位信息系統(tǒng)的安全運(yùn)行都相應(yīng)的加大了信息安全的關(guān)注與投入。鑒于此，研究不同等級(jí)的信息系統(tǒng)所需的安全措施就變得很有意義。主要說明了信息系統(tǒng)的不同等級(jí)及其安全防護(hù)水平。

信息化；風(fēng)險(xiǎn)；等級(jí)保護(hù)；安全

1信息化發(fā)展背景

1.1全球背景

信息化是充分利用信息技術(shù)，開發(fā)利用信息資源，促進(jìn)信息交流和知識(shí)共享，提高經(jīng)濟(jì)增長質(zhì)量，推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展轉(zhuǎn)型的歷史進(jìn)程。隨著信息技術(shù)發(fā)展，信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的影響更加深刻。信息資源日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會(huì)財(cái)富。與此同時(shí)，信息安全的重要性也與日俱增，成為各國面臨的共同挑戰(zhàn)。

1.2我國目標(biāo)

我國信息化發(fā)展戰(zhàn)略概括為：以信息化促進(jìn)工業(yè)化，以工業(yè)化帶動(dòng)信息化，走出中國特色的信息化道路。信息化是當(dāng)今世界發(fā)展的大趨勢(shì)，是推動(dòng)經(jīng)濟(jì)社會(huì)變革的重要力量。到2023年，我國信息化發(fā)展的戰(zhàn)略目標(biāo)是：綜合信息基礎(chǔ)設(shè)施基本普及，信息技術(shù)自主創(chuàng)新能力顯著增強(qiáng)，信息產(chǎn)業(yè)結(jié)構(gòu)全面優(yōu)化，國家信息安全保障水平大幅提高，國民經(jīng)濟(jì)和社會(huì)信息化取得明顯成效，新型工業(yè)化發(fā)展模式初步確立，國家信息化發(fā)展的制度環(huán)境和政策體系基本完善，國民信息技術(shù)應(yīng)用能力顯著提高，為邁向信息社會(huì)奠定堅(jiān)實(shí)基礎(chǔ)。

2等級(jí)保護(hù)標(biāo)準(zhǔn)及其具體范圍

信息安全等級(jí)保護(hù)是指對(duì)國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

2.1美國可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)

美國可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)（TrustedComputerSystemEvaluationCriteria，TCSEC），該標(biāo)準(zhǔn)是世界范圍內(nèi)計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)，具有劃時(shí)代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會(huì)提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn)，后來延至民用領(lǐng)域。TCSEC將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)、7個(gè)級(jí)別。

D類安全等級(jí)：D類安全等級(jí)只包括D1一個(gè)級(jí)別。D1的安全等級(jí)最低。

C類安全等級(jí)：該類安全等級(jí)能夠提供審計(jì)的保護(hù)，并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。C類安全等級(jí)可劃分為C1和C2兩類。

B類安全等級(jí)：B類安全等級(jí)可分為B1、B2和B3三類。B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。

A類安全等級(jí)：A系統(tǒng)的安全級(jí)別最高。目前，A類安全等級(jí)只包含A1一個(gè)安全類別。A1系統(tǒng)的顯著特征是，系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)。

2.2歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)

歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)ITSEC（InformationTechnologySecurityEvaluationCriteria）是英國、法國、德國和荷蘭制定的IT安全評(píng)估準(zhǔn)則，是歐洲多國安全評(píng)價(jià)方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評(píng)估兩部分。功能準(zhǔn)則從F1～F10共分10級(jí)。1～5級(jí)對(duì)應(yīng)于TCSEC的D到A。F6至F10級(jí)分別對(duì)應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機(jī)密性和完整性的網(wǎng)絡(luò)安全。

與TCSEC不同，它并不把保密措施直接與計(jì)算機(jī)功能相聯(lián)系，而是只敘述技術(shù)安全的要求，把保密作為安全增強(qiáng)功能。另外，TCSEC把保密作為安全的重點(diǎn)，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(jí)（不滿足品質(zhì)）到E6級(jí)（形式化驗(yàn)證）的7個(gè)安全等級(jí)，對(duì)于每個(gè)系統(tǒng)，安全功能可分別定義。

2.3我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

我國根據(jù)世界范圍內(nèi)信息安全及計(jì)算機(jī)系統(tǒng)安全評(píng)估等技術(shù)的發(fā)展，并結(jié)合我國自身情況，制定并頒發(fā)了我國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999），在該準(zhǔn)則中將信息系統(tǒng)分為下面五個(gè)等級(jí)：

第一級(jí)：用戶自主保護(hù)級(jí)；

第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；

第三級(jí)：安全標(biāo)記保護(hù)級(jí)；

第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；

第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。

3風(fēng)險(xiǎn)分析和安全保護(hù)措施

3.1漏洞、威脅、風(fēng)險(xiǎn)

在實(shí)際中，計(jì)算機(jī)信息系統(tǒng)在確定保護(hù)等級(jí)之前，首先要對(duì)該計(jì)算機(jī)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)是構(gòu)成安全基礎(chǔ)的基本觀念，風(fēng)險(xiǎn)是丟失需要保護(hù)的資產(chǎn)的可能性。如果沒有風(fēng)險(xiǎn)就不需要安全。威脅是可能破壞信息系統(tǒng)環(huán)境安全的行動(dòng)或事件。漏洞是各種攻擊可能的途徑。風(fēng)險(xiǎn)是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險(xiǎn)，沒有威脅的漏洞也沒有風(fēng)險(xiǎn)。識(shí)別風(fēng)險(xiǎn)除了識(shí)別漏洞和威脅之外，還應(yīng)考慮已有的策略和預(yù)防措施。識(shí)別漏洞應(yīng)尋找系統(tǒng)和信息的所有入口及分析如何通過這些入口訪問系統(tǒng)和信息。識(shí)別威脅是對(duì)目標(biāo)、動(dòng)機(jī)及事件的識(shí)別。一旦對(duì)漏洞、威脅以及預(yù)防措施進(jìn)行了識(shí)別，就可確定該計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)。綜合這些信息，開發(fā)相應(yīng)的風(fēng)險(xiǎn)管理項(xiàng)目。風(fēng)險(xiǎn)永遠(yuǎn)不可能完全去除，風(fēng)險(xiǎn)必須管理。

風(fēng)險(xiǎn)分析是對(duì)需要保護(hù)的資產(chǎn)及其受到的潛在的安全威脅的鑒別過程。風(fēng)險(xiǎn)是威脅和漏洞的組合。正確的風(fēng)險(xiǎn)分析是保證計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境及其信息安全及其重要的一步。風(fēng)險(xiǎn)分析始于對(duì)需要保護(hù)的資產(chǎn)（物理資源、知識(shí)資源、時(shí)間資源、信譽(yù)資源等）的鑒別以及對(duì)資產(chǎn)威脅的潛在攻擊源的分析。采用等級(jí)保護(hù)策略可以有效的降低各種資產(chǎn)受危害的潛在代價(jià)以及由于采取安全措施付出的操作代價(jià)。一個(gè)性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái)，可以以低的安全代價(jià)換取高的安全強(qiáng)度。

3.2一種保護(hù)重要秘密安全的方法

在具體實(shí)施過程中，根據(jù)計(jì)算機(jī)信息系統(tǒng)不同的安全等級(jí)要求，制定不同的等級(jí)保護(hù)策略，用最小的代價(jià)來保證計(jì)算機(jī)信息系統(tǒng)安全。在一些重要情況下，為了確保安全與萬無一失，都必須由兩人或多人同時(shí)參與才能生效，這時(shí)就需要將秘密分給多人掌管，并且必須有一定數(shù)目的掌管秘密的相關(guān)人員同時(shí)到場才能恢復(fù)這一秘密。針對(duì)這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。

設(shè)秘密m被分成n個(gè)部分的信息，每一部分信息稱為一個(gè)子密鑰，由一個(gè)參與者持有，使得：

①由k（k<n）個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)該消息m；

②由少于k個(gè)參與者所持有的部分信息無法重構(gòu)消息m；

稱這種方案為（k，n）秘密分割門限方案，k稱為方案的門限值。

如果一個(gè)參與者或一組未經(jīng)授權(quán)的參與者在猜測(cè)秘密m時(shí)，并不比局外人猜測(cè)該秘密m時(shí)有優(yōu)勢(shì)。

③由少于k個(gè)參與者所持有的部分信息得不到秘密m的任何信息。

則稱這個(gè)方案是完整的，即（k，n）秘密分割門限方案是完整的。

其中最具代表性和廣泛應(yīng)用的門限方案是基于中國剩余定理的門限方案。

通過這種秘密分割的方法就能達(dá)到秘密多人共享，多人共同掌管的局面，確保該信息安全。這種方案也可以用于特別的（下轉(zhuǎn)第73頁）（上接第78頁）重要部位和場所的出入控制等方面。

3.3具體措施

針對(duì)企業(yè)信息系統(tǒng)，應(yīng)當(dāng)健全針對(duì)各單位或業(yè)務(wù)部門在日常工作中產(chǎn)生和接觸的信息的敏感程度不同，區(qū)分等級(jí)，分門別類，堅(jiān)持積極防御、綜合防范，探索和把握信息化與信息安全的內(nèi)在規(guī)律，主動(dòng)應(yīng)對(duì)信息安全挑戰(zhàn)，力爭做到辦公方便與安全保密同時(shí)兼顧，實(shí)現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展，保證企業(yè)信息安全。

加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。建設(shè)和完善信息安全監(jiān)控體系，提高對(duì)網(wǎng)絡(luò)安全事件應(yīng)對(duì)和防范能力，防止有害信息傳播。高度重視信息安全應(yīng)急處置工作，健全完善信息安全應(yīng)急指揮和安全通報(bào)制度，不斷完善信息安全應(yīng)急處置預(yù)案。從實(shí)際出發(fā)，促進(jìn)資源共享，重視災(zāi)難備份建設(shè)，增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力。

4結(jié)束語

隨著信息安全事件的頻繁曝光，信息安全越來越受到人們的重視。為此，越來越多的工作人員投身到安全領(lǐng)域的研究之中。然而當(dāng)今的現(xiàn)狀卻是各種各樣的不安全事件層出不窮，各類攻擊及其變種也在不斷發(fā)展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對(duì)一些已經(jīng)出現(xiàn)且危害較大的一些安全問題提出相應(yīng)的解決方案，還應(yīng)該站在安全領(lǐng)域的前沿，積極地投身去防御各種可能會(huì)引發(fā)安全問題的漏洞及脆弱點(diǎn)。只有這樣我們才能更好地保障人們放心的使用信息技術(shù)的發(fā)展帶來的便捷。

[1]胡道元，閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2023.

[2]http：///view/488431.htm.TCSEC全稱與安全等級(jí)分類[OL].

[3]http：///view/488448.htm.ITSEC[