一、等級保護(hù)和分級保護(hù)的基本思想解讀

1、信息系統(tǒng)等級保護(hù)

等級保護(hù)制度，經(jīng)歷過長達(dá)7年的醞釀和修訂。2006年1月17日，公安部、國家保密局、國家密碼管理委員會辦公室、國務(wù)院信息辦下發(fā)了《信息安全等級保護(hù)管理辦法（試行）》，該項(xiàng)法律明確了信息安全等級保護(hù)的基本思想。等級保護(hù)思想認(rèn)為，信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會發(fā)展、社會生活和工作的需要而設(shè)計(jì)、建立的，是社會構(gòu)成、行政組織體系的反映，因而這種系統(tǒng)結(jié)構(gòu)是分層次和級別的，而其中的各種信息系統(tǒng)具有重要的社會和經(jīng)濟(jì)價(jià)值，不同的系統(tǒng)具有不同的價(jià)值。系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級別的客觀體現(xiàn)。因此，信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律，按照"分級、分區(qū)域、分類和分階段"的基本思路做好國家信息安全保護(hù)。

信息系統(tǒng)安全等級保護(hù)將安全保護(hù)的監(jiān)管級別劃分為五個級別：用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗(yàn)證保護(hù)級。

在等級保護(hù)的實(shí)際操作中，強(qiáng)調(diào)從五個部分進(jìn)行保護(hù)，即：物理部分、支撐系統(tǒng)、網(wǎng)絡(luò)部分、應(yīng)用系統(tǒng)、管理制度。由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。

2、涉密信息系統(tǒng)分級保護(hù)

分級保護(hù)思想，主要是對涉及國際秘密的信息系統(tǒng)進(jìn)行分級保護(hù)。2004年12月23日中央保密委員會下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級保護(hù)制度。2005年12月28日，國家保密局下發(fā)了《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法》，同時(shí)，《保密法》修訂草案也增加了網(wǎng)絡(luò)安全保密管理的條款。隨著《保密法》的貫徹實(shí)施，國家已經(jīng)基本形成了完善的保密法規(guī)體系。

涉密信息系統(tǒng)實(shí)行分級保護(hù)，先要根據(jù)涉密信息的涉密等級，涉密信息系統(tǒng)的重要性，遭到破壞后對國計(jì)民生造成的危害性，以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平來確定信息安全的保護(hù)等級；涉密信息系統(tǒng)分級保護(hù)的核心是對信息系統(tǒng)安全進(jìn)行合理分級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。涉密信息系統(tǒng)安全分級保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級，可以劃分為秘密級、機(jī)密級和機(jī)密級（增強(qiáng)）、絕密級三個等級。

涉密信息系統(tǒng)分級保護(hù)的管理過程分為八個階段，即系統(tǒng)定級階段、安全規(guī)劃方案設(shè)計(jì)階段、安全工程實(shí)施階段、信息系統(tǒng)測評階段、系統(tǒng)審批階段、安全運(yùn)行及維護(hù)階段、定期評測與檢查階段和系統(tǒng)隱退終止階段等。在實(shí)際工作中，涉密信息系統(tǒng)的定級、安全規(guī)劃方案設(shè)計(jì)的實(shí)施與調(diào)整、安全運(yùn)行及維護(hù)三個階段，尤其重要。

2、等級保護(hù)和分級保護(hù)思想的重點(diǎn)

等級保護(hù)和分級保護(hù)的核心思想是一致的，其重點(diǎn)在于定級和分別保護(hù)。

在定級方面，基本依據(jù)是信息系統(tǒng)的重要性。包括：1、信息系統(tǒng)與其對應(yīng)的組織架構(gòu)本身的重要性；2、信息系統(tǒng)遭受破壞之后的危害性。#p#

二、當(dāng)前信息安全建設(shè)的重大缺陷

根據(jù)信息安全等級保護(hù)管理辦法，各個信息安全廠商紛紛推出自己的信息安全等級保護(hù)解決方案。但是，這些解決方案都存在著先天性的缺陷，無法實(shí)現(xiàn)真正的等級保護(hù)和分級保護(hù)。

以北京某公司推出的等級保護(hù)解決方案為例，其主體內(nèi)容如下圖：

上述信息安全體系出自中國最大的信息安全廠商。經(jīng)過分析，可以看出上述的信息安全保障體系存在著重要的缺陷：

1.采用的是傳統(tǒng)的"邊界保護(hù)"理論，使用"筑圍墻"的方式來建立防護(hù)體系，無法做到等級保護(hù)。

傳統(tǒng)信息安全架構(gòu)核心思想是邊界保護(hù)，也就是通過防火墻、VPN、安全網(wǎng)關(guān)等技術(shù)，把自己的信息隔離在一個相對封閉的區(qū)域里，如同在信息周圍筑起一道高圍墻。但是，隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)和信息系統(tǒng)不可避免地對外開放，要越來越多地同外界共享應(yīng)用系統(tǒng)和信息。網(wǎng)絡(luò)邊界阻隔信息流動，從而限制了信息發(fā)揮作用。采用邊界劃分思想來保護(hù)信息安全，是把信息安全當(dāng)做城堡，把信息當(dāng)做城堡里的人，這樣設(shè)計(jì)的信息安全系統(tǒng)只能是粗放的，不能將安全防護(hù)貫穿到信息本身；實(shí)際上，真正要保護(hù)的對象是城堡里的人，而擁有城堡的是城堡的主人，因此需要因人而異，設(shè)定重點(diǎn)保護(hù)對象，而不是一視同仁。

等級保護(hù)就是要把信息資產(chǎn)分為不同等級、根據(jù)信息資產(chǎn)不同的重要等級，采用不能的措施進(jìn)行防護(hù)，它的出發(fā)點(diǎn)就是要突出重點(diǎn)，分級負(fù)責(zé)，分層實(shí)施，是對信息安全細(xì)粒度劃分的體現(xiàn)，打破了傳統(tǒng)信息安全保護(hù)"一刀切"的做法。

2.在安全管理方面采用的是"木桶短板"理論，完全將信息（文檔和數(shù)據(jù)）與信息安全隔離。

"木桶短板理論"是對信息安全實(shí)踐起到重要指導(dǎo)作用的典型信息安全理論。該理論認(rèn)為，信息安全的防護(hù)強(qiáng)度取決于"木桶"中最短的那塊"木板"。以此理論為基礎(chǔ)，必須導(dǎo)致安全管理實(shí)踐上的諸多不足：發(fā)現(xiàn)病毒危害大，就買最好的反病毒軟件，發(fā)現(xiàn)邊界不安全，就部署最強(qiáng)的防火墻，發(fā)現(xiàn)黑客入侵，就采用最先進(jìn)的IDS。從實(shí)質(zhì)上講，這是一種"頭痛醫(yī)頭，腳痛醫(yī)腳"的做法，是治標(biāo)不治本的方法。該理論的隱性的假設(shè)是：信息安全是用來保護(hù)信息的"桶"，信息則是被保護(hù)的"水"。這個理論將信息（文檔和數(shù)據(jù)）和信息安全割裂開來，其結(jié)果必然是信息安全實(shí)踐中，只注重堆積信息安全技術(shù)，而忽視要保護(hù)的對象--信息（文檔和數(shù)據(jù)）。

等級保護(hù)和分級保護(hù)，強(qiáng)調(diào)層次化，立體防護(hù)。按此觀念，信息安全和信息絕不是桶和水的關(guān)系，而是緊密結(jié)合在一起的有機(jī)體。信息安全依存于信息和信息系統(tǒng)中，要做到整體信息安全，不能孤立去研究信息安全技術(shù)，而應(yīng)該將信息、信息系統(tǒng)和信息安全技術(shù)作為一個整體考慮。只有這樣，信息安全建設(shè)才不至于走向偏離。

3.主要考慮物理安全、系統(tǒng)安全、應(yīng)用安全和網(wǎng)絡(luò)安全，忽視了信息自身(文檔和數(shù)據(jù))的安全。

在傳統(tǒng)的信息安全架構(gòu)中，由于采用的邊界保護(hù)和"木桶短板"理論，信息安全技術(shù)的研究重點(diǎn)就放在了邊界的安全性和木桶木板的等高性方面。這種架構(gòu)直接導(dǎo)致的后果是，對信息系統(tǒng)中的信息（文檔和數(shù)據(jù)）放任不理。不做防護(hù)。一旦邊界被攻破，木桶某個木板被鋸短，信息安全就全面失守。

等級保護(hù)和分級保護(hù)不僅要求對信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全進(jìn)行保護(hù)，還要求直接針對信息（文檔和數(shù)據(jù)）自身的安全進(jìn)行保護(hù)。尤其是分級保護(hù)，直接要求將涉及國家秘密的信息分級分類進(jìn)行保護(hù)，這是傳統(tǒng)信息安全保障體系的空白。#p#

三、數(shù)據(jù)泄露防護(hù)(DLP)體系是等級保護(hù)和分級保護(hù)思想的最佳實(shí)踐

近年來，數(shù)據(jù)泄露防護(hù)（DLP）在中國市場上正如火如荼的高速發(fā)展。這是一種全新的產(chǎn)品體系，從設(shè)計(jì)原理、系統(tǒng)架構(gòu)和保護(hù)策略等多方面超越了傳統(tǒng)信息安全產(chǎn)品，與國家正在大力推廣的等級保護(hù)和分級保護(hù)思想具備天然的吻合性，突破了傳統(tǒng)信息安全理論的局限，直接有效地保護(hù)信息安全（文檔和數(shù)據(jù)），是一種革命性的創(chuàng)新產(chǎn)品體系。

為了便于分析，筆者以中國數(shù)據(jù)泄露防護(hù)（DLP）的代表--北京億賽通數(shù)據(jù)泄露防護(hù)（DLP）為例，對數(shù)據(jù)泄露防護(hù)（DLP）體系的特點(diǎn)進(jìn)行簡單介紹。

1.數(shù)據(jù)泄露防護(hù)（DLP）直接針對信息（文檔和數(shù)據(jù)）自身的安全進(jìn)行保護(hù)。

億賽通DLP體系主要功能是防泄密、防止數(shù)據(jù)泄露，是直接針對信息（文檔和數(shù)據(jù)）的安全性進(jìn)行保護(hù)，確保信息（文檔和數(shù)據(jù)）的保密性、完整性和可用性。

2.數(shù)據(jù)泄露防護(hù)（DLP）從源頭上確保信息（文檔和數(shù)據(jù)）安全。

億賽通DLP核心的功能是加密。其核心加密技術(shù)是"智能動態(tài)加解密技術(shù)"。這項(xiàng)技術(shù)能強(qiáng)制透明地對所有核心信息進(jìn)行加密保護(hù)，從源頭上確保信息安全。

3.數(shù)據(jù)泄露防護(hù)（DLP）充分體現(xiàn)了等級保護(hù)和分級保護(hù)的思想。

億賽通DLP體系基于驅(qū)動層透明動態(tài)加解密技術(shù)，采用對應(yīng)客戶需求的安全策略，以透明加密功能為核心，結(jié)合文檔透明加密、文檔權(quán)限管理、文檔外發(fā)控制、文檔備份、業(yè)務(wù)流程審批、磁盤全盤加密、磁盤分區(qū)加密等基本功能，融合身份認(rèn)證、日志審計(jì)、端口管理、移動存儲管控和系統(tǒng)容災(zāi)管理等功能，構(gòu)建完整的數(shù)據(jù)泄露防護(hù)（Data Leakage Prevention，DLP）體系。采用分域安全架構(gòu)，將整個網(wǎng)絡(luò)分為終端、端口、磁盤、服務(wù)器、局域網(wǎng)五大安全域，并以筆記本電腦、移動存儲設(shè)備、數(shù)據(jù)庫為安全域特例，針對各個安全域采取對應(yīng)的安全策略，在確保內(nèi)部網(wǎng)絡(luò)各個節(jié)點(diǎn)數(shù)據(jù)安全的基礎(chǔ)上，實(shí)現(xiàn)整體一致的全面防護(hù)。

4.數(shù)據(jù)泄露防護(hù)（DLP）能與傳統(tǒng)信息安全保障體系兼容，組成真正完整的信息安全架構(gòu)。

億賽通DLP不僅可以作為一個單獨(dú)的產(chǎn)品體系使用，還能結(jié)合傳統(tǒng)信息安全體系，組成一個加強(qiáng)型保護(hù)方案，實(shí)現(xiàn)邊界管理和內(nèi)容管理雙重保護(hù)。

【編輯推薦】

1. 數(shù)據(jù)泄露防范人為因素
2. 疏忽不應(yīng)該等于數(shù)據(jù)泄露
3. 11.4萬iPad用戶數(shù)據(jù)泄露 白宮高管也在其內(nèi)
4. 面對企業(yè)數(shù)據(jù)泄露應(yīng)采取謹(jǐn)慎的安全防護(hù)措施