460
數據中心信息安全的等保與分保
數據中心中的信息安全問題已經成為人們關注的焦點中的焦點,如何讓人們安心地將自己的私密信息放到數據中心中去,消除心中疑慮,仍有很多工作要做。從數據中心角度來講,隻能不斷地加強對自身信息安全的管理,保護數據中心的各類信息不受泄露或損壞。在這裏,在國家層麵也製定了相應的標準做參考,強製性地要求各信息中心單位能夠遵守各項信息安全規定,提升整體的信息安全防護措施。8月16日,安徽網警依法查處一起違反網絡安全等級保護製度的案件,因蚌埠懷遠縣教師進修學校網站因網絡安全等級保護製度落實不到位,遭黑客攻擊入侵,安徽省公安廳對學校進行了處罰,同時約談了當地分管的副縣長。這件事情之所以受到廣泛關注在於處罰力度,以往這類事件也偶有發生,但並沒有相應的處罰,大家總是覺得這類事情不算個事兒。實際上,國家早就頒布了相關法案,隻是在執行上多采用警告、約談的方式,實際進行處罰的並不多,這次顯然國家加大了處罰力度,對不符合安全要求的就要堅決處理。說到這兒,數據中心信息安全處罰依據有兩個方麵國家製度:等級保護和分級保護,從事信息交互的單位要遵守這些製度,觸犯了就要受到處罰。
等級保護全稱是信息安全等級保護,2003年由中辦、國辦轉發《國家信息化領導小組關於加強信息安全保障工作的意見》提出實行信息安全等級保護、建立國家信息安全保障體係的明確要求,公安部又頒布了《信息安全等級保護管理辦法》。在2009年,公安部聯合國家保密局、國家密碼管理局、國務院信息化工作辦公室發布《關於組織開展2009年度本市重要信息係統等級保護工作的通知》,可見國家層麵對信息安全是非常重視了,不斷加強健全信息安全方麵的法律法規,加強信息安全方麵的管理。等級保護按照破壞性、影響力分為五級:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強製保護)、五級(專控保護)。其中,一二級一般不影響國家安全,但三級及以上就有可能對國家安全造成損害。等級保護的對象是涉及國計民生的重要信息係統和通信基礎信息係統,自然包括那些中大型數據中心,而不論它是否涉密。公安機關是等級保護工作的主管部門,負責信息安全等級保護工作的監督、檢查、指導。我們打開一個正規的網站,在網站的下方都會有“X公網安備XXXX號”的字樣,證明此網站經過了公關機關的審核,已經頒發了等級保護備案證明,大家可以放心使用和訪問,對於那些沒有經過公關機關備案的,多半是釣魚網站或黑網站,不要訪問和使用這類網站。國家保密工作部門、國家密碼管理部門負責等級保護工作中有關保密工作和密碼工作的監督、檢查、指導,國信辦及地方信息化領導小組辦事機構負責等級保護工作部門間的協調,涉及國家秘密信息係統的等級保護監督管理工作由國家保密工作部門負責。
分級保護是中央保密委員會於2004年12月下發的《關於加強信息安全保障工作中保密管理若幹一件》明確提出要建立健全涉密信息係統分級保護製度,2005年12月國家保密局下發了《涉及國家秘密的信息係統分級保護管理辦法》,同時,《保密法》修訂草案也增加了網絡安全保密管理的條款。分級保護分為秘密級、機密級和機密級(增強)、絕密級三個等級。三個等級對應等級保護的三四五級。分級保護由國家保密局來管理,推廣帶有強製性。分級保護定級是依據信息的重要性,以信息最高密級確定受保護的級別。涉密數據中心建設使用單位將涉密信息定級和建設使用情況,上報業務主管部門和保密工作機構和負責數據中心審批的保密工作部門備案,並接受保密部門的監督、檢查和指導。定級要素是數據中心內處理的最高密級的數據。簡單地講,如果數據中心存在機密級和秘密級文件,那麼數據中心為機密級。另外,還有一個規定是,如果機密級數據中心中處理的數據涉及軍工,國防等領域,需要按機密增強進行防護。由保密局檢查監督。
從以上介紹中不難發現,等級保護和分級保護具有明顯不同。主管單位不同、等級定義也不同、依據標準不同等等。大部分的數據中心都要經過等級保護,而隻有很少的數據中心需要分級保護審核備案。等級保護是國家從整體上、根本上解決國家信息安全問題的辦法, 進一步確定了信息安全發展的主線和中心任務, 提出了總體要求。對數據中心實行等級保護是國家法定製度和基本國策,是開展信息安全保護工作的有效辦法,是信息安全保護工作的發展方向。而分級保護則是國家信息安全等級保護在涉及國家秘密信息的數據中心中特殊保護措施與方法。由於國家秘密信息與公開信息在內容和特性上有著明顯的區別,所以涉密的數據中心和公眾信息的數據中心在保障安全的原則、係統和方法等方麵也有不同的要求。既不能用維護國家秘密信息安全的辦法去維護國家公眾信息安全,以至於影響信息的合理利用,阻礙信息化的發展;也不能用維護公眾信息安全的辦法來維護國家的秘密信息安全,以至於竊密、泄密事件的發生,危害國家的安全和利益,同樣影響信息化的健康發展。說到底,還是兩種保護標準的出發點不同,麵向的對象也不同,數據中心要根據自己處理信息的安全去考慮做等級保護還是分級保護的審核和備案,公安機關和保密局也會根據數據中心的實際情況考慮做哪種信息安全的保護備案。
本文轉自d1net(轉載)
最後更新:2017-09-06 18:02:23