引言 随着信息安全等级保护工作的深入开展,全国范围内重要信息系统定级工作已基本完成,各地区、各部门工作的重点转到了已定级备案信息系统的安全建设整改工作上来。等级保护工作中的安全建设整改是按照国家出台的一系列有关等级保护标准规范,从管理和技术两方面开展信息系统安全建设整改工作,将技术和管理措施有机结合,建立信息系统安全防护体系,提高信息系统整体安全保护能力。 近些年来,国家先后发布了《计算机信息安全保护等级划分准则》(GB17859-1999)、《信息系统等级保护安全设计技术要求》(GB/T25070-2010)和《信息系统安全等级保护基本要求》(GB/T22239-2008,以下简称《基本要求》)等有关信息安全等级保护方面的技术标准,并要求按照上述技术标准落实各项技术和管理措施。信息系统的安全建设整改是一项涉及信息系统运行使用单位、安安全服务商和产品提供商等的复杂系统工程,安全建设整改的参与各方正确理解和使用等级保护的标准规范是有效开展等级保护安全建设整改工作的关键。 随着信息安全技术的发展,信息安全行业流行着各种信息安全体系模型,比如OSI 安全体系结构、PDR 安全保护模型、IATF 信息保障技术框架和 WPDRRC 信息安全模型等,如何正确理解等级保护标准规范中的安全要求(以下以《基本要求》为例说明)和流行安全保护模型之间的关系,如何基于等级保护安全要求针对特定的信息系统量身定做合适的安全防护体系,是制定信息安全解决方案和开展等级保护安全建设整改的基础。 1 流行的安全保护模型 1.1 OSI 安全体系结构 国际标准化组织(ISO)在对开放系统互联环境的安全性进行了深入研究后,提出了 OSI 安全体系结构(Open System Interconnection Reference Model),即《信息处理系统——开放系统互连——基本参考模型——第二部分:安全体系结构》(ISO7498-2:1989),该标准被我国等同采用,即GB/T9387.2-1995.该标准是基于OSI 参考模型针对通信网络提出的安全体系架构模型。 该模型提出了安全服务、安全机制、安全管理和安全层次的概念。需要实现的 5 类安全服务,包括鉴别服务、访问控制、数据保密性,数据完整性和抗抵赖性,用来支持安全服务的 8种安全机制,包括加密机制、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制和公证,实施的安全管理分为系统安全管理、安全服务管理和安全机制管理。实现安全服务和安全机制的层面包括物理层、链路层、网络层、传输...
