引言
为了探索信息安全等级保护工作经验,提高我国信息安全保障能力,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号),要求组织开展信息安全等级保护试点工作,其中国家保密局负责在中共中央组织部(以下简称中央组织部)、中共中央对外联络部(以下简称中央联络部)和中国航天科技集团公司(以下简称航天科技集团)组织开展涉密信息系统分级保护试点工作,并于2007年3月底完成。
本次试点工作依据涉密信息系统分级保护的法规与标准,紧密结合试点单位实际,通过系统定级、方案设计、工程实施和系统测评等工作,对落实涉密信息系统分级保护制度的工作模式、技术途径和管理方法进行了探索与实践,并形成了可供推广和借鉴的经验。
一、分级保护的概念
(一)分级保护的含义
涉密信息系统分级保护是指,涉密信息系统的建设使用单位按照“规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督”原则,根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
(二)分级保护的主要内容
1. 系统分级保护
系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
2. 分级测评与检查
分级测评与检查是指通过严格的系统测评,根据分级保护的标准、规范的要求,对涉密信息系统的分级保护情况进行检查,强化对涉密信息系统的监督管理,确保分级保护措施的持续有效。
3. 防护产品分级管理
防护产品分级管理是指按照涉密信息系统分级保护要求,对用于涉密信息系统的安全保密产品实行分级管理,逐步实现不同等级的涉密信息系统配备使用与其安全需求相适应的防护产品。
4. 泄密事件分级处置
泄密事件分级处置是指根据涉密信息系统发生泄密事件对国家安全和利益所造成的危害程度,采取不同的应急处理措施,以便及时上报查处、善后补救、消除隐患。
(三)分级保护与等级保护的关系
涉密信息系统分级保护是国家信息安全等级保护的重要部分。涉密信息系统根据涉密程度,按照秘密级、机密级、绝密级进行分级保护;非涉密信息系统根据重要程度从低到高分为5级进行等级保护。涉密信息系统分级保护与信息安全等级保护制度相衔接,秘密级、机密级、绝密级信息系统的整体防护水平分别不低于非涉密信息系统的第三、四、五级的要求。分级保护与等级保护的不同点如下表所示。
表1 分级保护与等级保护的不同点
(四)分级保护的法规标准体系
2003年9月,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)提出了“实行信息安全等级保护”的要求,并指出“对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护”。2004年12月,中共中央保密委员会下发的《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号)指出:我国的国家秘密分为秘密、机密、绝密三级,涉密信息系统也按照秘密、机密、绝密三级进行分级管理。为了贯彻国家信息安全等级保护制度,落实中央文件精神,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》(国保发〔2005〕16号)(以下简称《分级保护管理办法》),并陆续制定了国家保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》(以下简称《分级保护技术要求》)、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》(以下简称《分级保护管理规范》)、BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》(以下简称《分级保护测评指南》)、《涉及国家秘密的信息系统分级保护方案设计指南》(以下简称《分级保护方案设计指南》),用于指导涉密信息系统的建设、使用和管理。整个涉密信息系统分级保护法规标准体系如图1所示。
图1 涉密信息系统分级保护法规标准体系
二、试点工作情况
根据国家保密局统一部署,涉密信息系统分级保护试点工作由国家保密技术研究所具体组织实施。在各方的共同努力下,中央组织部、中央联络部和航天科技集团于2007年3月底按期完成了试点工作任务。
(一)目标与意义
1. 在中央组织部组织试点工作,为我国党政部门电子政务涉密信息系统的规划和建设提供参考
中央组织部是我国党政重要机关部委的典型代表,组织系统从中央到地方的管理模式与我国大多数党政机关部委的工作模式相似,其涉密信息系统具有涉密程度层次分明、地域纵横分布的特点。选择中央组织部作为“电子政务广域网涉密信息系统”的试点单位,可为我国党政部门跨地域电子政务涉密信息系统的规划和建设提供参考。
2. 在中央联络部组织试点工作,为我国党政核心要害部门保护网络环境下高密级信息的安全保密提供实践经验
中央联络部是我国党政核心部门的典型代表,其信息系统具有信息密级高、使用范围集中的特点。选择中央联络部作为“高密级局域网涉密信息系统”的试点单位,进行纵深防御和细粒度访问控制,研究开发自主可控的国产化软件产品,既可以继续发挥其在通用技术方面的示范作用,又可以为党政要害核心部门解决当前涉密信息系统保密管理中存在的普遍问题拓宽思路,提供实践经验。
3. 在航天科技集团组织试点工作,对整体涉密程度高、使用范围广且应用特殊的军工单位涉密信息系统的安全保密建设进行指导
航天科技集团属于研制、生产和管理国防尖端高技术产品的军工单位,在行政管理上实行集团公司总部、院和厂所三级独立法人负责制,其涉密信息系统具有整体涉密程度高、使用范围广的特点。选择航天科技集团作为“军工广域网涉密信息系统”的试点单位,解决型号项目网上联合设计的安全保密问题,可为业务应用特殊的军工单位涉密信息系统安全保密建设提供指导。
(二)指导思想与原则
1. 突出重点,确保核心
明确系统防护重点,对于信息涉密程度高、数量多、信息集中的区域和部位,要作为重点进行防护,保证涉密信息的安全。
2. 依据标准,建设整改
依据涉密信息系统分级保护标准,按相应级别的保护要求进行安全保密建设。通过系统测评进行全面验证,对存在问题进行整改。
3. 技管并重,全面保障
技术与管理是涉密信息系统分级保护工作的两个方面,二者相辅相成,缺一不可。在分级保护试点工作中,坚持技管并重,以技术促进管理,以管理保障技术。
(三)组织形式与工作机制
1.成立总体组进行总体把握
为了保障试点工作的顺利实施,由国家保密技术研究所会同国家保密局科技处成立试点工作总体组,对试点工作进行总体把握。在试点过程中,还注意充分发挥国内信息安全知名专家作用,进行技术把关。
2. 设立试点组进行组织协调和技术指导
试点工作总体组下设3个试点组,具体负责中央组织部、中央联络部和航天科技集团3个单位试点工作的组织协调和技术指导工作。
3. 组建领导小组加强工作力度
中央组织部、中央联络部和航天科技集团分别成立了以单位主管领导任组长的试点工作领导小组,负责本单位分级保护试点工作的组织领导。
4. 成立工作组扎实推进工作
各试点单位领导小组下设工作组,进行协调、监督、检查和推动工作,负责具体落实试点任务。
(四)任务与范围
在中央组织部开展系统定级和方案设计工作;在中央联络部和航天科技集团开展系统定级、方案设计、工程实施和系统测评工作。
1. 在中央组织部按照“一纵四横”的试点范围开展涉密信息系统分域分级防护安全保密方案设计工作
选择由中央组织部部机关、北京市委组织部和吉林省委组织部组成的机密级电子政务广域网涉密信息系统作为试点范围与对象。在纵向上,建立从中央到县的全国统一组织系统信息化网络;在横向上,实现全国组织部门中央、省、市(地)、县四级网络互联互通,如图2所示。
图2 中央组织部“一纵四横”的试点范围
2. 在中央联络部按照“四层防控”的试点范围,开展系统定级、方案设计、工程实施和系统测评工作
选择中央联络部部机关绝密级局域网和其办公自动化业务应用系统作为试点范围与试点对象,按照物理防控层、外围防控层、内部防控层和核心防控层的“四层防控”方式进行纵深防御和细粒度控制,如图3所示。
图3 中央联络部“四层防控”的试点范围
3. 在航天科技集团按照“三级组织结构、两条业务流程”试点范围,开展系统定级、方案设计、工程实施和系统测评工作
选择由驻地在北京的集团公司总部、院、所(厂、部)构成的机密级军工广域网为试点范围,并选取集成化设计与制造系统和网络办公系统作为业务应用试点对象,按照“三级组织结构、两条业务流程”试点范围进行分域防护和业务应用系统安全改造,如图4所示。
图4 航天科技集团“三级组织结构、两条业务流程”的试点范围
(五)总体工作情况
1. 制定工作方案
2006年9月,涉密信息系统分级保护工作正式启动。总体组制定了总体工作方案,明确了试点工作内容和任务目标,指导各试点单位确定了试点范围和对象。
2. 确立工作流程
2006年9月至10月,总体组根据试点工作的内容与目标,结合《分级保护管理办法》和《分级保护技术要求》制定了详细的工作流程。
3. 宣讲保密标准
2006年10月至11月,各试点组开展国家保密标准宣讲工作,向试点单位有关人员详细讲解《分级保护管理办法》和《分级保护技术要求》等国家保密法规标准,并进行了答疑,使试点单位充分理解掌握了有关保密要求。
4. 指导方案设计
2006年11月至2007年2月,各试点组分别指导试点单位依据《分级保护管理办法》和《分级保护技术要求》,开展系统定级和安全域划分工作,制定出符合实际需求的安全保密方案。
5. 监督实施进度
各试点组定期与试点单位召开工作交流会,对每个阶段完成的试点任务实施监测,并深入现场检查指导,解决遇到的问题,确保按时完成了试点工作任务。
三、成果与经验
此次试点工作成果显著,不仅推动了各个试点单位涉密信息系统安全保密建设和业务应用的发展,而且探索出了一套组织开展涉密信息系统分级保护的工作模式,总结出了一套涉密信息系统分级保护操作流程,形成了三套各具典型代表性、可供指导实践、技管并重、软硬技术结合的涉密信息系统分级保护实施方案。各部门、各单位在涉密信息系统分级保护工作具体实施中应重点做好以下几项工作。
(一)建立分级保护工作组织保障体系
 |
 |
 |
