由于信息安全事件频发,国家对信息安全越来越重视,信息安全等级保护的试点工作从去年开始在国家各个重要部门开始实施。虽然信息安全等级保护标准和一些相关要求已经提出多年,但是大部分用户和信息系统管理人员对之了解甚少,这已经成为信息安全等级保护标准推广的难点之一。
事实上,内网安全专家指出,信息安全等级保护的核心思想就是根据不同的信息系统保护需求,构建一个完整的信息安全保护体系。通过分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》可以看出,信息安全等级保护的重点在于内网安全措施的建设和落实,建立一个完整的内网安全体系,是一个信息系统在安全等级保护工作中的重点。本文将通过对安全等级保护和内网安全内涵和关系的分析,探讨内网安全体系建设在信息安全等级保护工作中的重要性。
1.安全等级保护和内网安全关注的对象是相同的
《信息系统安全等级保护基本要求(试用稿)》在各级系统的技术要求中明确指出物理安全、网络安全、主机系统安全、应用安全和数据安全是安全等级保护关注的对象。明朝万达的安全专家分析说,除了物理安全外,其他四个对象,也正是一个完整的内网安全体系应该关注的对象。
主机系统安全是内网安全体系建设的基本点。内网安全理论的提出主要基于两个根本要素,一是企事业单位业务工作的高度信息化,二是内网中主机数量的大量增加。由此可见,内网安全从其诞生之日起,对主机系统安全的关注就从来没有忽略过,采用了包括身份认证、授权管理和系统保护等手段对主机进行了多方面的防护。
数据安全是内网安全体系建设的核心。数据安全从来都是一个完整的内网安全体系关注的核心内容,包括数据的保密性和完整性。当然,对于内网安全来说,数据的保密性是主要的关注重点,例如Chinasec可信网络保密系统,就在数据的存储、传输和使用等整个数据生命周期过程采用了完整的保护手段,来确保数据的保密性。
应用安全和网络安全是一个完整的内网安全体系不可或缺的管理控制对象。明朝万达内网安全专家指出,应用和网络是整个内网信息系统的重要组成部分,应用是内网信息系统的主要体现形式,网络则是内网信息系统的主要数据通道,应用的安全性和网络的安全性与其他内网信息系统的安全性是息息相关的。所以一个完整的内网安全体系,应该对应用和网络采取身份鉴别和授权管理等措施,确保应用和网络的安全性。
由上面的分析可以看出,信息安全等级保护和内网安全关注的对象是一致的,其关心的实际内容也基本是相同的。
2.安全等级保护和内网安全采用的措施是相同的
仔细分析《计算机信息系统安全保护等级划分准则(GB 17859-1999)》和《信息系统安全等级保护基本要求(试用稿)》可以看到,对于各种等级保护对象,主要采用了身份鉴别、访问控制、数据加密、安全审计、逻辑划分和资源控制等技术措施来实现,这与完善的内网安全体系实现的技术措施是相一致的。
Chinasec内网安全专家指出,一个完整的内网安全系统,应该是以身份认证(身份鉴别)为基础、以数据安全(数据加密)和授权管理(访问控制)为核心,以监控审计(安全审计)为辅助的完整管理体系,这跟信息安全等级保护的思想和要求是不约而同的。
3.内网安全体系的建设是落实等级保护工作的关键
综合上面的分析可以看出,内网安全体系的建设理论,跟信息安全等级保护的思想非常一致,究其根本,是因为两者都是基于信息化程度越来越高和信息系统关系越来越复杂这样一个背景下,需要提出一个完整和系统的信息安全解决方案,以建立一个完整有效的信息安全保障体系。
当然,信息安全等级保护标准和工作,主要是从信息系统安全管理的高度出发,对整个信息系统的安全提出要求;而内网安全理论则从技术角度出发,提出构建一个完整的内网信息安全体系的实现方法。可以看出,内网安全体系的建设是信息安全等级保护工作的技术实现,也是落实信息安全等级保护工作的关键。
明朝万达作为国内优秀的内网安全厂商,将继续以推动国家信息安全建设为己任,基于成熟先进的Chinasec可信网络安全平台和专业的安全知识经验,为国家信息安全等级保护工作的落实和推进提供技术支撑。
(T003)
