資源描述:
《從PDR和CIA角度看等級(jí)保護(hù)》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)���。
1���、2011年增刊入選論文從PDR和C.I.A角度看等級(jí)保護(hù)陶源�����,張宇翔�,王寧���,任衛(wèi)紅��,張曉麗(公安部信息安全等級(jí)保護(hù)評(píng)估中心����,北京100142)摘 要:文章通過(guò)對(duì)等級(jí)保護(hù)的相關(guān)政策法規(guī)和標(biāo)準(zhǔn)進(jìn)行分析�,指出等級(jí)保護(hù)不僅是PDR安全管理模型的落腳點(diǎn),而且也是C.I.A安全保護(hù)目標(biāo)的最佳實(shí)踐���,并且保證信息系統(tǒng)得到了有效的保護(hù)���,避免了過(guò)度投資,而且建立了政府機(jī)構(gòu)��、工業(yè)界和學(xué)術(shù)界之間的信息共享渠道��,可以持續(xù)地收集整理分析重要信息系統(tǒng)的安全狀況,分析和總結(jié)重要安全事件的過(guò)程���、根源以及經(jīng)驗(yàn)教訓(xùn)��,為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)奠定堅(jiān)實(shí)的基礎(chǔ)�。關(guān)鍵詞:PDR�;C.I.A
2、��;等級(jí)保護(hù)中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A0引言信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息�、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)����、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)���,對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理���,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置�。國(guó)內(nèi)外信息安全業(yè)界為了發(fā)揮現(xiàn)有信息安全技術(shù)手段和設(shè)備的最大效能,研究?jī)?nèi)容主要集中在信息安全整體解決方案的設(shè)計(jì)與分析���,其中最著名的整體解決方案為PDR模型(即Protection保護(hù)���、Detection檢測(cè)和Response響應(yīng))�����;而信息安全保護(hù)的核心是數(shù)據(jù)的安全�����,安
3����、全業(yè)界通常用C.I.A三性(即Confidentiality保密性����、Integrity完整性及Availability可用性)來(lái)描述數(shù)據(jù)安全屬性。因此�����,通過(guò)合適的PDR安全管理來(lái)達(dá)到預(yù)定的保護(hù)C.I.A安全目標(biāo)是安全業(yè)界的最佳安全實(shí)踐����。因此��,文章從信息安全管理(PDR模型)和信息安全目標(biāo)(C.I.A三性)的角度出發(fā)����,對(duì)等級(jí)保護(hù)進(jìn)行一些探討和分析�,即從PDR和C.I.A角度來(lái)解讀等級(jí)保護(hù)。1信息安全管理1.1PDR模型在PDR模型中����,保護(hù)(P):提供了安全策略、流程和技術(shù)控制的對(duì)策��,用于防范針對(duì)資產(chǎn)的攻擊行為����。檢測(cè)(D):監(jiān)視是否有削弱保護(hù)措施并可
4�、能導(dǎo)致安全性受損的情況。響應(yīng)(R):通常需要人工參與����,是指針對(duì)安全破壞行為的響應(yīng)措施,以阻止攻擊行為��,避免造成破壞�����。因此,在PDR模型中���,信息安全保護(hù)是一個(gè)不斷循環(huán)的過(guò)程��,即防御���、檢測(cè)和響應(yīng)是不斷循環(huán)的,在不斷的循環(huán)防御中��,不斷地加強(qiáng)自身的保護(hù)�,降低被攻破的風(fēng)險(xiǎn),維護(hù)自身的信息安全�����。無(wú)論是早期的信息安全保護(hù)“老三樣”(即反病毒�����、防火墻�、入侵檢測(cè)和漏洞評(píng)估),還是現(xiàn)在圍繞安全管理中心和AAAA(即Authentication認(rèn)證、Account賬號(hào)����、Authorization授權(quán)、Audit審計(jì))為代表的安全運(yùn)維實(shí)踐��,都是信息安全管理的一種形式����,可
5、以劃分到PDR模型中�����。從縱深防御的角度來(lái)看�����,保護(hù)����、檢測(cè)和響應(yīng)構(gòu)成了完整的安全概念�����。然而網(wǎng)絡(luò)和信息系統(tǒng)是由許多不同的人和組織利用各式信息技術(shù)及各種機(jī)能一個(gè)個(gè)建設(shè)起來(lái)的,很少有網(wǎng)絡(luò)和系統(tǒng)在設(shè)計(jì)和實(shí)現(xiàn)時(shí)著重考慮安全保障�����。由于在信息安全方面的投資不會(huì)有直接回報(bào)����,網(wǎng)絡(luò)和信息系統(tǒng)面市時(shí)間的壓力也會(huì)阻止落實(shí)安全措施,并且信息安全機(jī)制往往會(huì)對(duì)網(wǎng)絡(luò)和信息信息系統(tǒng)的可用性有負(fù)面的影響�����,這些實(shí)質(zhì)性的障礙阻礙著信息安全的落實(shí)��。從技術(shù)層面上說(shuō)���,信息安全不會(huì)自然實(shí)現(xiàn)的��,也不會(huì)僅僅在自由市場(chǎng)力量的推動(dòng)下實(shí)現(xiàn)��,因?yàn)樯鲜龅膶?shí)質(zhì)性障礙阻礙著信息安全管理無(wú)法得到有效的落實(shí)�����。因此�����,僅靠
6���、自由市場(chǎng)力量的推動(dòng)和技術(shù)層面的研究��,無(wú)法實(shí)現(xiàn)完整的信息安全����。1.2等級(jí)保護(hù)政策法規(guī)一項(xiàng)新技術(shù)早在它的有害副作用問(wèn)題被系統(tǒng)化解決之前就會(huì)因其帶來(lái)的便利而大行其道�����,這已經(jīng)是一種司空見慣的現(xiàn)象�,并且這種歷史的教訓(xùn)值得汲取。目前�,國(guó)內(nèi)很多重要業(yè)務(wù)依賴于基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的平穩(wěn)、可靠和不間斷運(yùn)行�����,并且沒(méi)有實(shí)現(xiàn)完整的信息安全���,這樣的“便利之上”情況已經(jīng)持續(xù)了很長(zhǎng)時(shí)間,這種做法可能會(huì)引發(fā)太大的危險(xiǎn)?���;痦?xiàng)目:國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863計(jì)劃)專題課題(2006AA01Z450)、國(guó)家信息安全專項(xiàng)項(xiàng)目(發(fā)改辦高技[2007]2035)�����、國(guó)家信息安全專項(xiàng)項(xiàng)目
7�、(發(fā)改辦高技[2008]1736)作者簡(jiǎn)介:陶源(1981-),男�,江蘇,博士��,主要研究方向:信息安全����、等級(jí)保護(hù);張宇翔(1968-)���,男�����,江蘇�����,副主任���,副研究員�����,碩士�����,主要研究方向:信息安全����;王寧(1979-)�����,女���,黑龍江�,研究實(shí)習(xí)員�����,本科�����,主要研究方向:等級(jí)測(cè)評(píng)機(jī)構(gòu)質(zhì)量管理體系建設(shè)����;任衛(wèi)紅(1963-),女�,遼寧,副研究員���,碩士�,研究方向:網(wǎng)絡(luò)信息安全技術(shù)����、安全評(píng)估;張曉麗(1977-)�����,女�,山西�,碩士����,主要研究方向:人力資源。209入選論文2011年增刊為了從國(guó)家宏觀層面推動(dòng)信息安全管理的有效落實(shí)���,公息系統(tǒng)在未被破壞狀態(tài)下執(zhí)行規(guī)定功能時(shí)的質(zhì)
8���、量,不會(huì)被未安部會(huì)同相關(guān)國(guó)家部委發(fā)布了一系列政策法規(guī)���,加強(qiáng)了政策和經(jīng)授權(quán)控制)����。法規(guī)層面的力度�,以便基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的運(yùn)營(yíng)、主管3
