信息系統安全保護技術論文(2)

　　信息系統安全保護技術論文二：信息系統安全威脅及等級保護

　　【摘 要】隨著信息化水平的不斷提高，各單位對其依賴程度前所未有的加大，然而隨著各種攻擊技術的發展，沒有防御的系統則顯得不堪一擊。針對此，每個單位信息系統的安全運行都相應的加大了信息安全的關注與投入。鑒于此，研究不同等級的信息系統所需的安全措施就變得很有意義。主要說明了信息系統的不同等級及其安全防護水平。

　　【關鍵詞】信息化;風險;等級保護;安全

　　1 信息化發展背景

　　1.1 全球背景

　　信息化是充分利用信息技術，開發利用信息資源，促進信息交流和知識共享，提高經濟增長質量，推動經濟社會發展轉型的歷史進程。隨著信息技術發展，信息化對經濟社會發展的影響更加深刻。信息資源日益成為重要生產要素、無形資產和社會財富。與此同時，信息安全的重要性也與日俱增，成為各國面臨的共同挑戰。

　　1.2 我國目標

　　我國信息化發展戰略概括為：以信息化促進工業化，以工業化帶動信息化，走出中國特色的信息化道路。信息化是當今世界發展的大趨勢，是推動經濟社會變革的重要力量。到2020年，我國信息化發展的戰略目標是：綜合信息基礎設施基本普及，信息技術自主創新能力顯著增強，信息產業結構全面優化，國家信息安全保障水平大幅提高，國民經濟和社會信息化取得明顯成效，新型工業化發展模式初步確立，國家信息化發展的制度環境和政策體系基本完善，國民信息技術應用能力顯著提高，為邁向信息社會奠定堅實基礎。

　　2 等級保護標準及其具體范圍

　　信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

　　2.1 美國可信計算機安全評價標準

　　美國可信計算機安全評價標準(Trusted Computer System Evaluation Criteria，TCSEC)，該標準是世界范圍內計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準，后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別。

　　D類安全等級：D類安全等級只包括D1一個級別。D1的安全等級最低。

　　C類安全等級：該類安全等級能夠提供審計的保護，并為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。

　　B類安全等級：B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。

　　A類安全等級：A系統的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1系統的顯著特征是，系統的設計者必須按照一個正式的設計規范來分析系統。

　　2.2 歐洲的安全評價標準

　　歐洲的安全評價標準ITSEC(Information Technology Security Evaluation Criteria)是英國、法國、德國和荷蘭制定的IT安全評估準則，是歐洲多國安全評價方法的綜合產物，應用領域為軍隊、政府和商業。該標準將安全概念分為功能與評估兩部分。功能準則從F1～F10共分10級。1～5級對應于TCSEC的D到A。F6至F10級分別對應數據和程序的完整性、系統的可用性、數據通信的完整性、數據通信的保密性以及機密性和完整性的網絡安全。

　　與TCSEC不同，它并不把保密措施直接與計算機功能相聯系，而是只敘述技術安全的要求，把保密作為安全增強功能。另外，TCSEC把保密作為安全的重點，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級，對于每個系統，安全功能可分別定義。

　　2.3 我國計算機信息系統安全保護等級劃分準則

　　我國根據世界范圍內信息安全及計算機系統安全評估等技術的發展，并結合我國自身情況，制定并頒發了我國計算機信息系統安全保護等級劃分準則(GB 17859-1999)，在該準則中將信息系統分為下面五個等級：

　　第一級：用戶自主保護級;

　　第二級：系統審計保護級;

　　第三級：安全標記保護級;

　　第四級：結構化保護級;

　　第五級：訪問驗證保護級。

　　3 風險分析和安全保護措施

　　3.1 漏洞、威脅、風險

　　在實際中，計算機信息系統在確定保護等級之前，首先要對該計算機信息系統進行風險分析。風險是構成安全基礎的基本觀念，風險是丟失需要保護的資產的可能性。如果沒有風險就不需要安全。威脅是可能破壞信息系統環境安全的行動或事件。漏洞是各種攻擊可能的途徑。風險是威脅和漏洞的綜合結果。沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅之外，還應考慮已有的策略和預防措施。識別漏洞應尋找系統和信息的所有入口及分析如何通過這些入口訪問系統和信息。識別威脅是對目標、動機及事件的識別。一旦對漏洞、威脅以及預防措施進行了識別，就可確定該計算機信息系統的風險。綜合這些信息，開發相應的風險管理項目。風險永遠不可能完全去除，風險必須管理。

　　風險分析是對需要保護的資產及其受到的潛在的安全威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證計算機信息系統的網絡環境及其信息安全及其重要的一步。風險分析始于對需要保護的資產(物理資源、知識資源、時間資源、信譽資源等)的鑒別以及對資產威脅的潛在攻擊源的分析。采用等級保護策略可以有效的降低各種資產受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統結構和安全系統平臺，可以以低的安全代價換取高的安全強度。 　　3.2 一種保護重要秘密安全的方法

　　在具體實施過程中，根據計算機信息系統不同的安全等級要求，制定不同的等級保護策略，用最小的代價來保證計算機信息系統安全。在一些重要情況下，為了確保安全與萬無一失，都必須由兩人或多人同時參與才能生效，這時就需要將秘密分給多人掌管，并且必須有一定數目的掌管秘密的相關人員同時到場才能恢復這一秘密。針對這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。

　　設秘密m被分成n個部分的信息，每一部分信息稱為一個子密鑰，由一個參與者持有，使得：

　?、儆蒶(k 　?、谟缮儆趉個參與者所持有的部分信息無法重構消息m;

　　稱這種方案為(k，n)秘密分割門限方案，k稱為方案的門限值。

　　如果一個參與者或一組未經授權的參與者在猜測秘密m時，并不比局外人猜測該秘密m時有優勢。

　?、塾缮儆趉個參與者所持有的部分信息得不到秘密m的任何信息。

　　則稱這個方案是完整的，即(k，n)秘密分割門限方案是完整的。

　　其中最具代表性和廣泛應用的門限方案是基于中國剩余定理的門限方案。

　　通過這種秘密分割的方法就能達到秘密多人共享，多人共同掌管的局面，確保該信息安全。這種方案也可以用于特別的(下轉第73頁)(上接第78頁)重要部位和場所的出入控制等方面。

　　3.3 具體措施

　　針對企業信息系統，應當健全針對各單位或業務部門在日常工作中產生和接觸的信息的敏感程度不同，區分等級，分門別類，堅持積極防御、綜合防范，探索和把握信息化與信息安全的內在規律，主動應對信息安全挑戰，力爭做到辦公方便與安全保密同時兼顧，實現信息化與信息安全協調發展，保證企業信息安全。

　　加強信息安全風險評估工作。建設和完善信息安全監控體系，提高對網絡安全事件應對和防范能力，防止有害信息傳播。高度重視信息安全應急處置工作，健全完善信息安全應急指揮和安全通報制度，不斷完善信息安全應急處置預案。從實際出發，促進資源共享，重視災難備份建設，增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。

　　4 結束語

　　隨著信息安全事件的頻繁曝光，信息安全越來越受到人們的重視。為此，越來越多的工作人員投身到安全領域的研究之中。然而當今的現狀卻是各種各樣的不安全事件層出不窮，各類攻擊及其變種也在不斷發展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對一些已經出現且危害較大的一些安全問題提出相應的解決方案，還應該站在安全領域的前沿，積極地投身去防御各種可能會引發安全問題的漏洞及脆弱點。只有這樣我們才能更好地保障人們放心的使用信息技術的發展帶來的便捷。

　　【參考文獻】

　　[1]胡道元，閔京華.網絡安全[M].清華大學出版社，2007.

　　[2]TCSEC全稱與安全等級分類[OL].

　　[3] [4]楊波.現代秘密學[M].2版.清華大學出版社，2007.

　　[5]CC國際通用標準[OL].

　　[6]2006-2020年國家信息化發展戰略[OL].

　　
看了“信息系統安全保護技術論文”的人還看：

1.淺談計算機網絡信息系統安全問題的分析與對策論文

2.計算機系統的安全防范論文

3.計算機信息安全防護論文

4.淺談計算機信息安全論文

5.網絡安全技術論文三篇