基于等級(jí)保護(hù)和分級(jí)保護(hù),實(shí)現(xiàn)數(shù)據(jù)泄露防護(hù)
一、等級(jí)保護(hù)和分級(jí)保護(hù)的基本思想解讀
1、信息系統(tǒng)等級(jí)保護(hù)
等級(jí)保護(hù)制度,經(jīng)歷過(guò)長(zhǎng)達(dá)7年的醞釀和修訂。2006年1月17日,公安部、國(guó)家保密局、國(guó)家密碼管理委員會(huì)辦公室、國(guó)務(wù)院信息辦下發(fā)了《信息安全等級(jí)保護(hù)管理辦法(試行)》,該項(xiàng)法律明確了信息安全等級(jí)保護(hù)的基本思想。等級(jí)保護(hù)思想認(rèn)為,信息系統(tǒng)結(jié)構(gòu)是應(yīng)社會(huì)發(fā)展、社會(huì)生活和工作的需要而設(shè)計(jì)、建立的,是社會(huì)構(gòu)成、行政組織體系的反映,因而這種系統(tǒng)結(jié)構(gòu)是分層次和級(jí)別的,而其中的各種信息系統(tǒng)具有重要的社會(huì)和經(jīng)濟(jì)價(jià)值,不同的系統(tǒng)具有不同的價(jià)值。系統(tǒng)基礎(chǔ)資源和信息資源的價(jià)值大小、用戶訪問(wèn)權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)重要程度的區(qū)別等就是級(jí)別的客觀體現(xiàn)。因此,信息安全保護(hù)必須符合客觀存在和發(fā)展規(guī)律,按照"分級(jí)、分區(qū)域、分類和分階段"的基本思路做好國(guó)家信息安全保護(hù)。
信息系統(tǒng)安全等級(jí)保護(hù)將安全保護(hù)的監(jiān)管級(jí)別劃分為五個(gè)級(jí)別:用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)、訪問(wèn)驗(yàn)證保護(hù)級(jí)。
在等級(jí)保護(hù)的實(shí)際操作中,強(qiáng)調(diào)從五個(gè)部分進(jìn)行保護(hù),即:物理部分、支撐系統(tǒng)、網(wǎng)絡(luò)部分、應(yīng)用系統(tǒng)、管理制度。由這五部分的安全控制機(jī)制構(gòu)成系統(tǒng)整體安全控制機(jī)制。
2、涉密信息系統(tǒng)分級(jí)保護(hù)
分級(jí)保護(hù)思想,主要是對(duì)涉及國(guó)際秘密的信息系統(tǒng)進(jìn)行分級(jí)保護(hù)。2004年12月23日中央保密委員會(huì)下發(fā)了《關(guān)于加強(qiáng)信息安全保障工作中保密管理若干意見》明確提出要建立健全涉密信息系統(tǒng)分級(jí)保護(hù)制度。2005年12月28日,國(guó)家保密局下發(fā)了《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理辦法》,同時(shí),《保密法》修訂草案也增加了網(wǎng)絡(luò)安全保密管理的條款。隨著《保密法》的貫徹實(shí)施,國(guó)家已經(jīng)基本形成了完善的保密法規(guī)體系。
涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù),先要根據(jù)涉密信息的涉密等級(jí),涉密信息系統(tǒng)的重要性,遭到破壞后對(duì)國(guó)計(jì)民生造成的危害性,以及涉密信息系統(tǒng)必須達(dá)到的安全保護(hù)水平來(lái)確定信息安全的保護(hù)等級(jí);涉密信息系統(tǒng)分級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)安全進(jìn)行合理分級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。涉密信息系統(tǒng)安全分級(jí)保護(hù)根據(jù)其涉密信息系統(tǒng)處理信息的最高密級(jí),可以劃分為秘密級(jí)、機(jī)密級(jí)和機(jī)密級(jí)(增強(qiáng))、絕密級(jí)三個(gè)等級(jí)。
涉密信息系統(tǒng)分級(jí)保護(hù)的管理過(guò)程分為八個(gè)階段,即系統(tǒng)定級(jí)階段、安全規(guī)劃方案設(shè)計(jì)階段、安全工程實(shí)施階段、信息系統(tǒng)測(cè)評(píng)階段、系統(tǒng)審批階段、安全運(yùn)行及維護(hù)階段、定期評(píng)測(cè)與檢查階段和系統(tǒng)隱退終止階段等。在實(shí)際工作中,涉密信息系統(tǒng)的定級(jí)、安全規(guī)劃方案設(shè)計(jì)的實(shí)施與調(diào)整、安全運(yùn)行及維護(hù)三個(gè)階段,尤其重要。
2、等級(jí)保護(hù)和分級(jí)保護(hù)思想的重點(diǎn)
等級(jí)保護(hù)和分級(jí)保護(hù)的核心思想是一致的,其重點(diǎn)在于定級(jí)和分別保護(hù)。
在定級(jí)方面,基本依據(jù)是信息系統(tǒng)的重要性。包括:1、信息系統(tǒng)與其對(duì)應(yīng)的組織架構(gòu)本身的重要性;2、信息系統(tǒng)遭受破壞之后的危害性。#p#
二、當(dāng)前信息安全建設(shè)的重大缺陷
根據(jù)信息安全等級(jí)保護(hù)管理辦法,各個(gè)信息安全廠商紛紛推出自己的信息安全等級(jí)保護(hù)解決方案。但是,這些解決方案都存在著先天性的缺陷,無(wú)法實(shí)現(xiàn)真正的等級(jí)保護(hù)和分級(jí)保護(hù)。
以北京某公司推出的等級(jí)保護(hù)解決方案為例,其主體內(nèi)容如下圖:
上述信息安全體系出自中國(guó)最大的信息安全廠商。經(jīng)過(guò)分析,可以看出上述的信息安全保障體系存在著重要的缺陷:
1.采用的是傳統(tǒng)的"邊界保護(hù)"理論,使用"筑圍墻"的方式來(lái)建立防護(hù)體系,無(wú)法做到等級(jí)保護(hù)。
傳統(tǒng)信息安全架構(gòu)核心思想是邊界保護(hù),也就是通過(guò)防火墻、VPN、安全網(wǎng)關(guān)等技術(shù),把自己的信息隔離在一個(gè)相對(duì)封閉的區(qū)域里,如同在信息周圍筑起一道高圍墻。但是,隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)和信息系統(tǒng)不可避免地對(duì)外開放,要越來(lái)越多地同外界共享應(yīng)用系統(tǒng)和信息。網(wǎng)絡(luò)邊界阻隔信息流動(dòng),從而限制了信息發(fā)揮作用。采用邊界劃分思想來(lái)保護(hù)信息安全,是把信息安全當(dāng)做城堡,把信息當(dāng)做城堡里的人,這樣設(shè)計(jì)的信息安全系統(tǒng)只能是粗放的,不能將安全防護(hù)貫穿到信息本身;實(shí)際上,真正要保護(hù)的對(duì)象是城堡里的人,而擁有城堡的是城堡的主人,因此需要因人而異,設(shè)定重點(diǎn)保護(hù)對(duì)象,而不是一視同仁。
等級(jí)保護(hù)就是要把信息資產(chǎn)分為不同等級(jí)、根據(jù)信息資產(chǎn)不同的重要等級(jí),采用不能的措施進(jìn)行防護(hù),它的出發(fā)點(diǎn)就是要突出重點(diǎn),分級(jí)負(fù)責(zé),分層實(shí)施,是對(duì)信息安全細(xì)粒度劃分的體現(xiàn),打破了傳統(tǒng)信息安全保護(hù)"一刀切"的做法。
2.在安全管理方面采用的是"木桶短板"理論,完全將信息(文檔和數(shù)據(jù))與信息安全隔離。
"木桶短板理論"是對(duì)信息安全實(shí)踐起到重要指導(dǎo)作用的典型信息安全理論。該理論認(rèn)為,信息安全的防護(hù)強(qiáng)度取決于"木桶"中最短的那塊"木板"。以此理論為基礎(chǔ),必須導(dǎo)致安全管理實(shí)踐上的諸多不足:發(fā)現(xiàn)病毒危害大,就買最好的反病毒軟件,發(fā)現(xiàn)邊界不安全,就部署最強(qiáng)的防火墻,發(fā)現(xiàn)黑客入侵,就采用最先進(jìn)的IDS。從實(shí)質(zhì)上講,這是一種"頭痛醫(yī)頭,腳痛醫(yī)腳"的做法,是治標(biāo)不治本的方法。該理論的隱性的假設(shè)是:信息安全是用來(lái)保護(hù)信息的"桶",信息則是被保護(hù)的"水"。這個(gè)理論將信息(文檔和數(shù)據(jù))和信息安全割裂開來(lái),其結(jié)果必然是信息安全實(shí)踐中,只注重堆積信息安全技術(shù),而忽視要保護(hù)的對(duì)象--信息(文檔和數(shù)據(jù))。
等級(jí)保護(hù)和分級(jí)保護(hù),強(qiáng)調(diào)層次化,立體防護(hù)。按此觀念,信息安全和信息絕不是桶和水的關(guān)系,而是緊密結(jié)合在一起的有機(jī)體。信息安全依存于信息和信息系統(tǒng)中,要做到整體信息安全,不能孤立去研究信息安全技術(shù),而應(yīng)該將信息、信息系統(tǒng)和信息安全技術(shù)作為一個(gè)整體考慮。只有這樣,信息安全建設(shè)才不至于走向偏離。
3.主要考慮物理安全、系統(tǒng)安全、應(yīng)用安全和網(wǎng)絡(luò)安全,忽視了信息自身(文檔和數(shù)據(jù))的安全。
在傳統(tǒng)的信息安全架構(gòu)中,由于采用的邊界保護(hù)和"木桶短板"理論,信息安全技術(shù)的研究重點(diǎn)就放在了邊界的安全性和木桶木板的等高性方面。這種架構(gòu)直接導(dǎo)致的后果是,對(duì)信息系統(tǒng)中的信息(文檔和數(shù)據(jù))放任不理。不做防護(hù)。一旦邊界被攻破,木桶某個(gè)木板被鋸短,信息安全就全面失守。
等級(jí)保護(hù)和分級(jí)保護(hù)不僅要求對(duì)信息系統(tǒng)的物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全進(jìn)行保護(hù),還要求直接針對(duì)信息(文檔和數(shù)據(jù))自身的安全進(jìn)行保護(hù)。尤其是分級(jí)保護(hù),直接要求將涉及國(guó)家秘密的信息分級(jí)分類進(jìn)行保護(hù),這是傳統(tǒng)信息安全保障體系的空白。#p#
三、數(shù)據(jù)泄露防護(hù)(DLP)體系是等級(jí)保護(hù)和分級(jí)保護(hù)思想的最佳實(shí)踐
近年來(lái),數(shù)據(jù)泄露防護(hù)(DLP)在中國(guó)市場(chǎng)上正如火如荼的高速發(fā)展。這是一種全新的產(chǎn)品體系,從設(shè)計(jì)原理、系統(tǒng)架構(gòu)和保護(hù)策略等多方面超越了傳統(tǒng)信息安全產(chǎn)品,與國(guó)家正在大力推廣的等級(jí)保護(hù)和分級(jí)保護(hù)思想具備天然的吻合性,突破了傳統(tǒng)信息安全理論的局限,直接有效地保護(hù)信息安全(文檔和數(shù)據(jù)),是一種革命性的創(chuàng)新產(chǎn)品體系。
為了便于分析,筆者以中國(guó)數(shù)據(jù)泄露防護(hù)(DLP)的代表--北京億賽通數(shù)據(jù)泄露防護(hù)(DLP)為例,對(duì)數(shù)據(jù)泄露防護(hù)(DLP)體系的特點(diǎn)進(jìn)行簡(jiǎn)單介紹。
1.數(shù)據(jù)泄露防護(hù)(DLP)直接針對(duì)信息(文檔和數(shù)據(jù))自身的安全進(jìn)行保護(hù)。
億賽通DLP體系主要功能是防泄密、防止數(shù)據(jù)泄露,是直接針對(duì)信息(文檔和數(shù)據(jù))的安全性進(jìn)行保護(hù),確保信息(文檔和數(shù)據(jù))的保密性、完整性和可用性。
2.數(shù)據(jù)泄露防護(hù)(DLP)從源頭上確保信息(文檔和數(shù)據(jù))安全。
億賽通DLP核心的功能是加密。其核心加密技術(shù)是"智能動(dòng)態(tài)加解密技術(shù)"。這項(xiàng)技術(shù)能強(qiáng)制透明地對(duì)所有核心信息進(jìn)行加密保護(hù),從源頭上確保信息安全。
3.數(shù)據(jù)泄露防護(hù)(DLP)充分體現(xiàn)了等級(jí)保護(hù)和分級(jí)保護(hù)的思想。
億賽通DLP體系基于驅(qū)動(dòng)層透明動(dòng)態(tài)加解密技術(shù),采用對(duì)應(yīng)客戶需求的安全策略,以透明加密功能為核心,結(jié)合文檔透明加密、文檔權(quán)限管理、文檔外發(fā)控制、文檔備份、業(yè)務(wù)流程審批、磁盤全盤加密、磁盤分區(qū)加密等基本功能,融合身份認(rèn)證、日志審計(jì)、端口管理、移動(dòng)存儲(chǔ)管控和系統(tǒng)容災(zāi)管理等功能,構(gòu)建完整的數(shù)據(jù)泄露防護(hù)(Data Leakage Prevention,DLP)體系。采用分域安全架構(gòu),將整個(gè)網(wǎng)絡(luò)分為終端、端口、磁盤、服務(wù)器、局域網(wǎng)五大安全域,并以筆記本電腦、移動(dòng)存儲(chǔ)設(shè)備、數(shù)據(jù)庫(kù)為安全域特例,針對(duì)各個(gè)安全域采取對(duì)應(yīng)的安全策略,在確保內(nèi)部網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)數(shù)據(jù)安全的基礎(chǔ)上,實(shí)現(xiàn)整體一致的全面防護(hù)。
4.數(shù)據(jù)泄露防護(hù)(DLP)能與傳統(tǒng)信息安全保障體系兼容,組成真正完整的信息安全架構(gòu)。
億賽通DLP不僅可以作為一個(gè)單獨(dú)的產(chǎn)品體系使用,還能結(jié)合傳統(tǒng)信息安全體系,組成一個(gè)加強(qiáng)型保護(hù)方案,實(shí)現(xiàn)邊界管理和內(nèi)容管理雙重保護(hù)。
【編輯推薦】
