第4章信息安全工程與等級保護

第4章信息安全工程與等級保護4.1概述4.2等級保護的發(fā)展4.3等級保護與信息保障各環(huán)節(jié)的關系4.4實行信息安全等級保護的意義4.5信息系統(tǒng)安全等級保護的4.6信息系統(tǒng)的安全保護等級4.7信息系統(tǒng)安全等級保護體系4.8有關部門信息安全等級保護工作經(jīng)驗本章小結(jié)

信息系統(tǒng)安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。4.1概述信息系統(tǒng)安全等級保護的核心觀念是保護重點、適度安全，即分級別、按需要重點保護重要信息系統(tǒng)，綜合平衡安全成本和風險，提高保護成效。信息安全等級保護是國際通行的做法，其思想源頭可以追溯到美國的軍事保密制度。自20世紀60年代以來，這一思想不斷發(fā)展，日益完善。

等級保護原本是美軍的文件保密制度，即著名的“多級安全”MLS(MultilevelSecurity)體系，即人員授權(quán)和文件都分為絕密、機密、秘密和公開4個從高到低的安全等級，低安全等級的操作人員不能獲取高安全等級的文件。

20世紀60年代，正在大力進行信息化的美軍發(fā)現(xiàn)，使用計算機系統(tǒng)無法實現(xiàn)這一真實世界中的體系，當不同安全等級的數(shù)據(jù)存放于同一個計算機系統(tǒng)中時，低密級的人員總能找到辦法獲取高密級的文件。原因在于計算機系統(tǒng)的分時性(Time-Sharing)，因為從計算角度來看，使用多道程序(Multi-Programming)意味著多個作業(yè)同時駐留在計算機的內(nèi)存中，而從存儲方面看，各用戶的數(shù)據(jù)都存儲在同一個計算機中，因此一個用戶的作業(yè)有可能會讀取其他用戶的信息。

1970年，蘭德公司W(wǎng)·威爾(W.Ware)指出，要把真實世界的等級保護體系映射到計算機中，在計算機系統(tǒng)中建立等級保護體系，必須重新設計現(xiàn)有的計算機系統(tǒng)。1973年，數(shù)學家D.E.Bell和L.J.LaPadula提出第一個形式化的安全模型—Bell-LaPadula模型(簡稱BLP模型)，從數(shù)學上證明在計算機中實現(xiàn)等級保護是可行的?；贐LP模型，美國霍尼韋爾(Honeywell)公司開發(fā)出了第一個完全符合BLP模型的安全信息系統(tǒng)—SCOMP多級保密系統(tǒng)。實踐證明該系統(tǒng)可以建立起符合等級保護要求的工作環(huán)境。自此以后，世界各國在信息安全等級保護方面開始投入巨大的精力，并對信息安全技術的發(fā)展產(chǎn)生了深遠的影響。作為信息安全領域的重要內(nèi)容之一，信息安全工程同樣置于等級保護制度的指導之下。等級保護與信息安全的評估，以及建立在此基礎上的信息安全測評認證制度密切相關。等級保護首先在信息安全的測評、評估方面得到了快速發(fā)展。

4.2.1信息安全評估準則的發(fā)展

1.《可信計算機系統(tǒng)評估準則》TCSEC

TCSEC是計算機系統(tǒng)安全評估的第一個正式標準，它的制定確立了計算機安全的概念，對其后的信息安全的發(fā)展具有劃時代的意義。4.2等級保護的發(fā)展該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部作為國防部標準(DoD5200.28)公布(由于采用了橘色封皮書，人們通常稱其為“橘皮書”)。

TCSEC將計算機系統(tǒng)的安全劃分為4個等級、7個級別，如表4-1所示，由低到高分別為D、C1、C2、B1、B2、B3和A1。

表4-1

TCSEC的安全級別隨著安全等級的升高，系統(tǒng)要提供更多的安全功能，每個高等級的需求都是建立在低等級的需求基礎上。在7個級別中，B1級與B1級以下的安全測評級別，其安全策略模型是非形式化定義的，從B2級開始，則為更加嚴格的形式化定義，甚至引用形式化驗證方法。

TCSEC最初只是軍用標準，后來延至民用領域。第一個通過A1級測評的信息系統(tǒng)是SCOMP，此后有數(shù)十個信息系統(tǒng)通過測評。通過這些信息系統(tǒng)的開發(fā)，訪問控制、身份鑒別、安全審計、可信路徑、可信恢復和客體重用等安全機制的研究取得了巨大進展，結(jié)構(gòu)化、層次化及信息隱藏等先進的軟件工程設計理念也得到極大的推動，今天所使用的Windows、Linux、Oracle與DB2等軟件都從中受益。但當時也存在限制TCSEC及其測評產(chǎn)品發(fā)展的因素，例如：

·美國對信息安全產(chǎn)品出口的限制影響了這些產(chǎn)品的市場拓展。

·

為了達到高安全目標，這些信息系統(tǒng)不得不在性能、兼容性和易用性等方面做出犧牲。

·TCSEC自身不夠完備，它主要是從主機的需求出發(fā)，不針對網(wǎng)絡安全要求。

盡管美國此后又推出了包括TCSEC面向可信網(wǎng)絡解釋(TNI，TrustedNetworkInterpretation)、可信數(shù)據(jù)庫解釋(TDI，TrustedDatabaseInterpretation)等30多個補充解釋性文件，但仍不能很好地測評網(wǎng)絡應用安全軟件。此外，該標準偏重于測評安全功能，不重視安全保證。

2.《信息技術安全評估準則》ITSEC

1990年，由德國信息安全局(GISA，GermanyInformationSecurityAgency)發(fā)出號召，由英國、德國、法國和荷蘭等國共同制定了歐洲統(tǒng)一的安全評估標準—《信息技術安全評估準則》(ITSEC，InformationTechnologySecurityEvaluationCriteria)，較美國軍方制定的TCSEC準則，在功能的靈活性和有關評估技術方面均有很大的進步。

ITSEC是歐洲多國安全評價方法的綜合產(chǎn)物，應用于軍隊、政府和商業(yè)等領域。該標準將安全概念分為功能與評估兩部分。功能準則從F1至F10共分10級。1～5級對應于TCSEC的D到A，F(xiàn)6至F10級分別對應數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及網(wǎng)絡安全的保密性和完整性。

與TCSEC不同，ITSEC并不把保密措施直接與計算機功能相聯(lián)系，而是只敘述技術安全的要求，把保密作為安全增強功能。另外，TCSEC把保密作為安全的重點，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質(zhì))到E6級(形式化驗證)的7個安全等級，對于每個系統(tǒng)，安全功能可分別定義。在相同的時期，加拿大也制定了《加拿大計算機產(chǎn)品評估準則》第一版(CTCPEC，CanadianTrustedComputerProductEvaluationCriteria)，第三版于1993年公布，它吸取了ITSEC和TCSEC的長處。此外，美國政府也進一步發(fā)展了對評估標準的研究，于1991年公布了《信息技術安全性評價組合聯(lián)邦準則》的1.0版草案(FC)，其目的是提供TCSEC的升級版本，它只是一個過渡標準。FC的主要貢獻是定義了保護框架(PP，ProtectionProfile)和安全目標(ST，SecurityTarget)，用戶負責書寫保護框架，以詳細說明其系統(tǒng)的保護需求，而產(chǎn)品廠商定義產(chǎn)品的安全目標，闡述產(chǎn)品安全功能及信任度，并與用戶的保護框架相對比，以證明該產(chǎn)品滿足用戶的需要。于是在FC的架構(gòu)下，安全目標成為評價的基礎。安全目標必須用具體的語言和有力的證據(jù)來說明保護框架中的抽象描述是如何逐條地在所評價的產(chǎn)品中得到滿足的。

3.《信息技術安全評價通用準則》CC

1993年6月，美國政府同加拿大及歐共體共同起草單一的通用準則(CC標準)并將其推到國際標準。制定CC標準的目的是建立一個各國都能接受的通用信息安全產(chǎn)品和系統(tǒng)的安全性評估準則。在美國的TCSEC、歐洲的ITSEC、加拿大的CTCPEC、美國的FC等信息安全準則的基礎上，由6個國家7方(美國國家安全局和國家技術標準研究所、加、英、法、德、荷)共同提出了《信息技術安全評價通用準則》(CC，TheCommonCriteriaforInformationTechnologysecurityEvaluation)，它綜合了已有的信息安全準則和標準，形成了一個更全面的框架。

CC標準是信息技術安全性評估的標準，主要用來評估信息系統(tǒng)、信息產(chǎn)品的安全性。CC標準的評估分為兩個方面：安全功能需求和安全保證需求，這兩個方面分別繼承了TCSEC和ITSEC的特征。CC標準根據(jù)安全保證要求的不同，建立了從功能性測試到形式化驗證設計和測試的7級評估體系。

從等級保護的思想上來說，CC標準比TCSEC更認同實現(xiàn)安全渠道的多樣性，從而擴充了測評的范圍。TCSEC對各類信息系統(tǒng)規(guī)定統(tǒng)一的安全要求，認為必須具備若干功能的系統(tǒng)才算得上某個等級的可信系統(tǒng)，而CC標準則承認各類信息系統(tǒng)具有靈活多樣的信息安全解決方案，安全產(chǎn)品無需具備很多的功能，而只需證明自己確實能夠提供某種功能即可。

1996年CC標準1.0版本出版，2.0版本在1998年正式公行。1999年12月CC2.0版被ISO批準為國際標準，即ISO/IEC15408《信息產(chǎn)品通用測評準則》。我國于2001年將CC標準等同采用為國家標準，即GB/T18336《信息技術安全性評估準則》。

圖4-1信息安全評估準則的國際發(fā)展目前已經(jīng)有17個國家簽署了互認協(xié)議，即一個產(chǎn)品在英國通過CC評估之后，在美國就不需要再進行評估了，反之亦然。我國目前尚未加入互認協(xié)議。

在用戶的安全需求和安全技術、管理安全及架構(gòu)安全各方面進步的推動下，等級保護思想不斷豐富和完善，等級保護體系迎來了一個新的綜合時代。

2003年12月，美國通過了《聯(lián)邦信息和信息系統(tǒng)安全分類標準》(FIPS199)，描述了如何確定一個信息系統(tǒng)的安全類別。這里安全類別就是一個等級保護概念，其定義建立在事件的發(fā)生對機構(gòu)產(chǎn)生潛在影響的基礎上，分為高、中、低3個影響等級，并按照系統(tǒng)所處理、傳輸和存儲的信息的重要性確定系統(tǒng)的級別。為配合FIPS199的實施，NIST分別于2004年6月推出了SP800-60第一、第二部分《將信息和信息系統(tǒng)映射到安全類別的指南》及其附件，詳細介紹了聯(lián)邦信息系統(tǒng)中可能運行的所有信息類型，針對每一種信息類型，介紹了如何去選擇其影響級別，并給出了推薦采用的級別。信息系統(tǒng)的保護等級確定后，需要有一整套的標準和指南規(guī)定如何為其選擇相應的安全措施。NIST的SP800-53《聯(lián)邦信息系統(tǒng)推薦安全控制》為不同級別的系統(tǒng)推薦了不同強度的安全控制集(包括管理、技術和運行類)。SP800-53還提出了3類安全控制(包括管理、技術和運行)，它匯集了美國各方面的控制措施的要求，包括FISCAM《聯(lián)邦信息系統(tǒng)控制審計手冊》、SP800-26《信息技術系統(tǒng)安全自評估指南》和ISO17799《信息系統(tǒng)安全管理實踐準則》等等。無論從思想上、架構(gòu)上還是行文上，SP800系列標準都對我國《信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)等標準有直接的影響。4.2.2中國等級保護的發(fā)展

表4-2給出了我國開展信息安全等級保護工作的簡要歷程。

表4-2開展信息安全等級保護工作的國家政策和依據(jù)1994年2月18日，國務院發(fā)布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。這份條例被視為我國實施等級保護的法律基礎，標志著我國的信息安全建設開始走上規(guī)范化、法制化的道路。

1999年9月13日，國家質(zhì)量技術監(jiān)督局發(fā)布了強制性國家標準GB17859—1999：《計算機信息系統(tǒng)安全保護等級劃分準則》，將我國計算機信息系統(tǒng)安全保護劃分為5個等級。這是我國等級保護的技術基礎和依據(jù)，它參照TCSEC，取消了D級和A1級，保留5個定級，保留TCSEC的全部安全功能，并增加了少量有關數(shù)據(jù)完整性和網(wǎng)絡信息傳輸?shù)囊?。與TCSEC一樣，GB17859用于對計算機信息系統(tǒng)安全保護技術能力等級的劃分，安全保護能力隨著安全保護等級的增高逐漸增強，構(gòu)成金字塔結(jié)構(gòu)，低等級要求是高等級要求的真子集。如上節(jié)所述，2001年我國引入CC2.0的ISO/IEC15408，并作為國家標準，即《信息技術安全性評估準則》(GB/T18336—2001)。已經(jīng)有一些測評中心使用該標準測評信息系統(tǒng)。此外，一批參照國外安全管理標準制定的標準相繼出臺。

2003年9月7日，中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實行信息安全等級保護”，“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。

2004年9月15日，由公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯(lián)合下發(fā)了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)，明確了實施等級保護的基本做法。

2007年6月22日，上述四單位又聯(lián)合下發(fā)了《信息安全等級保護管理辦法》(公通字[2007]43號)，規(guī)范了信息安全等級保護的管理，并于同年7月20日，在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”，開始部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護定級工作，中國信息安全等級保護建設進入一個新階段。作為一個標志性的國標，《信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)的發(fā)布為信息安全等級測評提供了具體的標尺，是等級保護的一個路標。該標準以信息安全的5個屬性為基本內(nèi)容，從實現(xiàn)信息安全的5個層面，按照信息安全5個等級的不同要求，分別對安全信息系統(tǒng)的構(gòu)建過程、測評過程和運行過程進行控制和管理，實現(xiàn)對不同信息類別按不同要求進行分等級安全保護的總體目標。GB/T22239結(jié)構(gòu)清晰，要點清楚，可操作性強，為標準的實施打下了良好基礎。這也表明，中國的等級保護思想已經(jīng)從信息產(chǎn)品的安全性和可信度測評轉(zhuǎn)向信息系統(tǒng)的安全保護能力測評，這是一個包含物理環(huán)境、安全技術、安全管理和人員安全等各個方面的全面、綜合、動態(tài)的測評。與GB/T22239配套國家標準還有《信息系統(tǒng)安全保護等級定級指南》(GB/T22240—2008)、《信息系統(tǒng)等級保護安全設計技術要求》(GB/T25070—2010)等。經(jīng)過多年的發(fā)展，中國的等級保護相關標準體系已蔚為大觀。

2009年10月27日，由公安部發(fā)出了《關于開展信息安全等級保護安全建設整改工作的指導意見》的函件(公信安[2009]1429號)，進一步貫徹落實了國家信息安全等級保護制度，指導各地區(qū)、各部門在信息安全等級保護定級工作基礎上，開展已定級信息系統(tǒng)(不包括涉及國家秘密信息系統(tǒng))安全建設整改工作。

目前，我國計算機信息系統(tǒng)安全等級保護建設工作已全面展開，得到了長足的發(fā)展，等級保護制度已初步得到確立。在立足本國國情，引進CC方法學，與國際先進標準接軌的過程中，正在加強理論研究，吸收TCSEC、ITSEC等方法學，大膽創(chuàng)新，走適合于中國國情的道路。

等級保護，以及風險評估、應急處理和災難恢復是信息安全保障的主要環(huán)節(jié)，對等于PDRR安全模型中的保護、檢測、響應和恢復等要素。各環(huán)節(jié)前后連接、融為一體。4.3等級保護與信息保障各環(huán)節(jié)的關系等級保護是以制度的方式確定保護對象的重要程度和要求，風險評估是檢測評估是否達到保護要求的量度工具，應急處理是將剩余風險因突發(fā)事件引起的損失降低到可接受程度的對應手段，而災難恢復是針對發(fā)生災難性破壞時所采取的由備份進行恢復的措施。它們都是為使一個確定的保護對象的資產(chǎn)少受或不受損失所進行的各個保障環(huán)節(jié)，缺一不可，必須從總體進行統(tǒng)一部署和保障。

等級保護應根據(jù)信息系統(tǒng)的綜合價值和綜合能力保證的要求不同以及安全性破壞造成的損失大小來確定其相應的保護等級。等級保護并不是信息安全保障的唯一環(huán)節(jié)。等級保護、風險評估、應急處理和災難恢復在信息安全保障的風險管理中一個都不能少，它們對確保信息安全都有至關重要的意義。科學合理地確定安全保護等級是實施全程的風險管理的需求和目標，而其他環(huán)節(jié)是為信息系統(tǒng)提供有效的風險管理手段。

等級保護不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級，更重要的是，等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作，它是貫穿于信息安全保障各環(huán)節(jié)工作的大過程，而不是一個具體的措施。

信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是實現(xiàn)國家對重要信息系統(tǒng)重點保護的重大措施。通過開展信息安全等級保護工作，可以有效解決我國信息安全面臨的威脅和存在的主要問題，4.4實行信息安全等級保護的意義充分體現(xiàn)“適度安全、保護重點”的目的，將有限的財力、物力、人力投入到重要的信息系統(tǒng)安全保護中，按標準建設安全保護措施，建立安全保護制度，落實安全責任，有效地保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。

信息安全等級保護是當今發(fā)達國家保護關鍵信息基礎設施，保障信息安全的通行做法，也是我國多年來信息安全工作經(jīng)驗的總結(jié)。實施信息安全等級保護，有以下重要的意義：

(1)有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調(diào)。

(2)有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務。

(3)有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護，重點保障基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全。

(4)有利于明確國家、法人和其他組織、公民的信息安全責任，加強信息安全管理。

(5)有利于推動信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應社會主義市場經(jīng)濟發(fā)展的信息安全模式。

4.5.1等級保護的基本原理

實現(xiàn)信息系統(tǒng)安全等級保護的基本原理是：根據(jù)信息系統(tǒng)所承載的業(yè)務應用的不同安全需求，采用不同的安全保護等級，對不同的信息系統(tǒng)或同一信息系統(tǒng)中的不同安全域進行不同程度的安全保護，以實現(xiàn)對信息系統(tǒng)及其所存儲、傳輸和處理的數(shù)據(jù)信息在安全保護方面，達到確保重點，照顧一般，適度保護，合理共享的目標。

4.5信息系統(tǒng)安全等級保護的基本原理和方法4.5.2等級保護的基本方法

1.分區(qū)域分等級安全保護

對于一個龐大而復雜的信息系統(tǒng)，其中所存儲、傳輸和處理的數(shù)據(jù)信息會有不同的安全保護需求，因而不能采用單一等級的安全保護機制實現(xiàn)全系統(tǒng)的安全保護，應分區(qū)域分等級進行安全保護。分區(qū)域分等級保護體現(xiàn)了信息安全等級保護的核心思想。

分區(qū)域分等級安全保護的基本思想是：對于信息系統(tǒng)中具有不同安全保護需求的信息，在對其實現(xiàn)按保護要求相對集中地進行存儲、傳輸和處理的基礎上，通過劃分保護區(qū)域，實現(xiàn)不同區(qū)域不同等級的安全保護。這些安全區(qū)域并存于一個信息系統(tǒng)之中，可以相互獨立，也可以相互嵌套(較高等級的安全域嵌套于較低等級的安全域中)。每一個安全域是一個相對獨立的運行和使用環(huán)境，同時又是信息系統(tǒng)的不可缺少的組成部分。安全域之間按照確定的規(guī)則實現(xiàn)互操作和信息交換。圖4-2和圖4-3分別給出了安全域之間相互嵌套關系的兩種極端情況的表示。

圖4-2五級完全嵌套的安全域關系

圖4-3五級全不嵌套的完全并列的安全域關系圖4-2是具有全嵌套關系安全域的極端情況。這只是一種理論上的表示，實際系統(tǒng)可能會只有一層嵌套或兩層嵌套，或者幾個嵌套并存。比如在我國，因為當前安全技術發(fā)展的水平限制，還不能滿足信息化發(fā)展需要的實際情況，在這樣的條件下，對四級和五級安全域可采用與較低級安全域?qū)嵭邪踩綦x的措施，以彌補技術措施的不足。

圖4-3是具有全并列關系安全域的極端情況，是各個級別安全域不具有任何嵌套關系的示意圖。實際系統(tǒng)存在只有其中的部分安全域的情況。在一個具體的信息系統(tǒng)中，實際情況可能千變?nèi)f化，可能只有并列安全域，也可能只有嵌套安全域，或者既有嵌套安全域也有并列安全域。

2.內(nèi)部保護和邊界保護

邊界是一個十分寬泛的概念。

首先，每一個信息系統(tǒng)都有一個外部邊界(也稱為大邊界)，其邊界防護就是對經(jīng)過該邊界進/出該信息系統(tǒng)的信息進行控制。如果把我國國內(nèi)的所有公共網(wǎng)絡上運行的信息處理系統(tǒng)看成是一個龐大的信息系統(tǒng)，其邊界就是對國外的網(wǎng)絡連接接口。為了國家的利益，需要在這些邊界上進行信息安全的控制，遵照我國有關法律和政策、法規(guī)的規(guī)定，允許某些信息的進/出，阻止某些信息的進/出。這種網(wǎng)絡世界虛擬邊界的控制與現(xiàn)實社會中海關的進/出口控制基本思想是完全一樣的。其次，在信息系統(tǒng)內(nèi)部，每一個安全域都有一個需要進行保護的邊界(也稱為小邊界)。其邊界防護就是對經(jīng)過該邊界進/出該安全域的信息進行控制。按照所確定的安全需求，允許某些信息進/出該安全域，阻止某些信息進/出該安全域。

按照層層防護的思想，信息安全系統(tǒng)的安全包括內(nèi)部安全和邊界防護。邊界防護又分為外部邊界(大邊界)防護和內(nèi)部邊界(小邊界)防護。大/小邊界通過必要的安全隔離和控制措施對連接部位進行安全防護。由于采用了必要的安全隔離和控制措施，這種邊界可以認為是安全的。內(nèi)部保護和邊界防護體現(xiàn)層層防護的思想。無論是整個信息系統(tǒng)還是其中的安全域，都可以從內(nèi)部保護和邊界防護兩方面來考慮其安全保護問題。盡管許多安全機制既適用于內(nèi)部保護也適用于邊界防護，但由于內(nèi)部和邊界之間的相對關系，對于整個信息系統(tǒng)來講是內(nèi)部保護的機制，對于一個安全域來講可能就是邊界防護，例如：

·典型的邊界防護可采用防火墻、信息過濾、信息交換控制等。它們既可以用于信息系統(tǒng)的最外部邊界防護，也可以用于信息系統(tǒng)內(nèi)部各個安全域的邊界防護。

·入侵檢測、病毒防殺既可以用于邊界防護也可以用于內(nèi)部保護。

·身份鑒別、訪問控制、安全審計、數(shù)據(jù)存儲保護、數(shù)據(jù)傳輸保護等是內(nèi)部保護常用的安全機制，也可用做對用戶和信息進/出邊界的安全控制。

3.網(wǎng)絡安全保護

網(wǎng)絡安全保護是信息系統(tǒng)安全保護的重要組成部分。

在由多個服務器組成的安全局域計算環(huán)境和多個終端計算機連接組成的安全用戶環(huán)境中，實現(xiàn)服務器之間連接/終端計算機之間連接的網(wǎng)絡通常是稱為局域網(wǎng)的計算機網(wǎng)絡。這些局域網(wǎng)擔負著服務器之間/端計算機之間數(shù)據(jù)交換的任務，其安全性對于確保相應的安全局域計算環(huán)境和安全用戶環(huán)境達到所要求的安全性目標具有十分重要的作用?？梢哉f，一個安全局域計算環(huán)境是由組成該計算環(huán)境的安全服務器及實現(xiàn)這些服務器連接的安全局域網(wǎng)共同組成的，而一個安全用戶環(huán)境則由組成該用戶環(huán)境的安全終端計算機及實現(xiàn)這些終端計算機連接的安全局域網(wǎng)共同組成。按照安全域的安全一致性原理，由相同安全等級的服務器組成的安全局域計算環(huán)境需要相應安全等級的局域網(wǎng)實現(xiàn)連接，由相同安全等級的終端計算機組成的安全用戶環(huán)境需要相應安全等級的局域網(wǎng)實現(xiàn)連接。對于一個由多個安全局域計算環(huán)境和多個安全用戶環(huán)境組成的安全信息系統(tǒng)，實現(xiàn)安全局域計算環(huán)境之間、安全局域計算環(huán)境與安全用戶環(huán)境之間連接的網(wǎng)絡通常是稱為廣域網(wǎng)的計算機網(wǎng)絡。這些廣域網(wǎng)擔負著安全局域計算環(huán)境之間及安全局域計算環(huán)境與安全用戶環(huán)境之間數(shù)據(jù)交換的任務，其安全性對于確保相應安全信息系統(tǒng)達到所要求的安全性目標具有十分重要的作用。可以說，一個安全的信息系統(tǒng)是由組成該信息系統(tǒng)的各個安全局域計算環(huán)境和安全用戶環(huán)境及實現(xiàn)這些安全局域計算環(huán)境和安全用戶環(huán)境連接的安全廣域網(wǎng)共同組成的。一個信息系統(tǒng)可能會由多個不同安全等級的安全局域計算環(huán)境和安全用戶環(huán)境組成，于是，實現(xiàn)其連接的廣域網(wǎng)就需要提供不同的安全性支持。這種對同一網(wǎng)絡環(huán)境的不同安全要求通常通過采用構(gòu)建虛擬網(wǎng)絡的形式來實現(xiàn)。4.5.3關于安全域

安全域是從安全的角度對信息系統(tǒng)進行的劃分。按照信息安全等級保護關于保護重點的基本思想，需要根據(jù)信息系統(tǒng)中信息和服務的不同安全需求，將信息系統(tǒng)進一步劃分安全域。安全域的基本特征是安全域應有明確的邊界。

安全域的劃分可以是物理的，也可以是邏輯的，從而安全域的邊界也可以是物理的或是邏輯的。一個復雜信息系統(tǒng)，根據(jù)其安全保護要求的不同，可以劃分為多個不同的安全域。安全域是信息系統(tǒng)中實施相同安全保護策略的單元，域內(nèi)不同的實體可以重新組合成子域或交叉域。一個網(wǎng)絡系統(tǒng)的安全域劃分示例如圖4-4所示。

圖4-4一個網(wǎng)絡系統(tǒng)的安全域劃分安全域的劃分以業(yè)務應用為基本依據(jù)，以數(shù)據(jù)信息保護為中心。一個業(yè)務信息系統(tǒng)/子系統(tǒng)，如果具有相同的安全保護要求，則可以將其劃分為一個安全域；如果具有不同的安全保護要求，則可以將其劃分為多個安全域。例如，一個數(shù)據(jù)集中存儲的事務處理系統(tǒng)，往往集中存儲和處理數(shù)據(jù)的中心主機/服務器具有比終端計算機更高的安全保護要求。這時，可以根據(jù)需要將這個系統(tǒng)劃分為兩個或多個進行不同安全保護的安全域。根據(jù)以上關于安全域的概念和劃分方法，一個信息系統(tǒng)可以是單一安全域(通常是小型的簡單的信息系統(tǒng))，也可以是多安全域(通常是大型的復雜的信息系統(tǒng))。

本章以安全域為基礎來描述信息系統(tǒng)的分等級安全保護。在實施等級保護等信息系統(tǒng)中，安全域可以映射為整個信息系統(tǒng)(整個信息系統(tǒng)是一個安全域)，也可以映射為信息系統(tǒng)的子系統(tǒng)(多個子系統(tǒng)構(gòu)成多個安全域)。

4.6.1安全保護等級的劃分

根據(jù)GB17859《計算機信息系統(tǒng)安全保護等級劃分準則》，我國計算機信息系統(tǒng)安全保護劃分為以下5個等級。4.6信息系統(tǒng)的安全保護等級

第一級：用戶自主保護級。

具有第一級安全的信息系統(tǒng)，一般是運行在單一計算機環(huán)境或網(wǎng)絡平臺上的信息系統(tǒng)，需要依照國家相關的管理規(guī)定和技術標準，自主進行適當?shù)陌踩刂?，重點防止來自外部的攻擊。技術方面的安全控制，重點保護系統(tǒng)和信息的完整性、可用性不受破壞，同時為用戶提供基本的自主信息保護能力；管理方面的安全控制包括從人員、法規(guī)、機構(gòu)、制度、規(guī)程等方面采用基本的管理措施，確保技術的安全控制達到預期的目標。按照GB17859中4.1的要求，從組成信息系統(tǒng)安全的五個方面對信息系統(tǒng)進行安全控制，既要保護系統(tǒng)的安全性，又要保護信息的安全性，采用“身份鑒別”、“自主訪問控制”、“數(shù)據(jù)完整性”等安全技術，提供每一個用戶具有對自身所創(chuàng)建的數(shù)據(jù)信息進行安全控制的能力。首先，用戶自己應能以各種方式訪問這些數(shù)據(jù)信息。其次，用戶應有權(quán)將這些數(shù)據(jù)信息的訪問權(quán)轉(zhuǎn)讓給別的用戶，并阻止非授權(quán)的用戶訪問數(shù)據(jù)信息。在系統(tǒng)安全方面，要求提供基本的系統(tǒng)安全運行保證，以提供必要的系統(tǒng)服務。在信息安全方面，重點是保護數(shù)據(jù)信息和系統(tǒng)信息的完整性不受破壞，同時為用戶提供基本的自主信息保護能力。在安全性保證方面，要求安全機制具有基本的自身安全保護，以及安全功能的設計、實現(xiàn)及管理方面的基本要求。在安全管理方面，應進行基本的安全管理，建立必要的規(guī)章和制度，做到分工明確，責任落實，確保系統(tǒng)所設置的各種安全功能發(fā)揮其應有的作用。根據(jù)公信安[2009]1429號文件，第一級信息系統(tǒng)經(jīng)過安全建設后，應具有抵御一般性攻擊的能力，防范常見計算機病毒和惡意代碼危害的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)主要功能的能力。

第二級：系統(tǒng)審計保護級。

具有第二級安全的信息系統(tǒng)，一般是運行于計算機網(wǎng)絡平臺上的信息系統(tǒng)，需要在信息安全監(jiān)管職能部門指導下，依照國家相關的管理規(guī)定和技術標準進行一定的安全保護，重點防止來自外部的攻擊。技術方面的安全控制包括采用一定的信息安全技術，對信息系統(tǒng)的運行進行一定的控制和對信息系統(tǒng)中所存儲、傳輸和處理的信息進行一定的安全控制，以提供系統(tǒng)和信息一定強度的保密性、完整性和可用性；管理方面的安全控制包括從人員、法規(guī)、機構(gòu)、制度、規(guī)程等方面采取一定的管理措施，確保技術的安全控制達到預期的目標。按照GB17859中4.2的要求，從組成信息系統(tǒng)安全的五個方面對信息系統(tǒng)進行安全控制，既要保護系統(tǒng)的安全性，又要保護信息的安全性。在第一級安全的基礎上，該級增加了“審計”與“客體重用”等安全要求，要求在系統(tǒng)的整個生命周期進行身份鑒別，每一個用戶具有唯一標識，使用戶要對自己的行為負責，具有可查性。同時，要求自主訪問控制具有更細的訪問控制力度。

在系統(tǒng)安全方面，要求能提供一定程度的系統(tǒng)安全運行保證，以提供必要的系統(tǒng)服務。在信息安全方面，對數(shù)據(jù)信息和系統(tǒng)信息在保密性、完整性和可用性方面均有一定的安全保護。在安全性保證方面，要求安全機制具有一定的自身安全保護，以及對安全功能的設計、實現(xiàn)及管理方面的一定要求。在安全管理方面，要求具有一定的安全管理措施，健全各項安全管理的規(guī)章制度，對各類人員進行不同層次要求的安全培訓等，確保系統(tǒng)所設置的各種安全功能發(fā)揮其應有的作用。根據(jù)公信安[2009]1429號文件，第二級信息系統(tǒng)經(jīng)過安全建設后，應具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)正常運行狀態(tài)的能力。

第三級：安全標記保護級。

具有第三級安全的信息系統(tǒng)，一般是運行于計算機網(wǎng)絡平臺上的信息系統(tǒng)，需要依照國家相關的管理規(guī)定和技術標準，在信息安全監(jiān)管職能部門的監(jiān)督、檢查、指導下進行較嚴格的安全控制，防止來自內(nèi)部和外部的攻擊。技術方面的安全控制包括采用必要的信息安全技術，對信息系統(tǒng)的運行進行較嚴格的控制和對信息系統(tǒng)中存儲、傳輸和處理的信息進行較嚴格的安全控制，以提供系統(tǒng)和信息的較高強度保密性、完整性和可用性；管理方面的安全控制包括從人員、法規(guī)、機構(gòu)、制度、規(guī)程等方面采取較嚴格的管理措施，確保技術的安全控制達到預期的目標。

按照GB17859中4.3的要求，從組成信息系統(tǒng)安全的五個方面對信息系統(tǒng)進行安全控制，既要保護系統(tǒng)安全性，又要保護信息的安全性。在第二級安全的基礎上，該級增加了“標記”和“強制訪問控制”要求，從保密性保護和完整性保護兩方面實施強制訪問控制安全策略，增強了特權(quán)用戶管理，要求對系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員的權(quán)限進行分離和限制。同時，對身份鑒別、審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性和可用性等安全功能均有更進一步的要求。要求使用完整性敏感標記，確保信息在網(wǎng)絡傳輸中的完整性。

在系統(tǒng)安全方面，要求有較高程度的系統(tǒng)安全運行保證，以提供必要的系統(tǒng)服務。在信息安全方面，對數(shù)據(jù)信息和系統(tǒng)信息在保密性、完整性和可用性方面均有較高的安全保護，應有較高強度的密碼支持的保密性、完整性和可用性機制。在安全性保證方面，要求安全機制具有較高程度的自身安全保護，以及對安全功能的設計、實現(xiàn)及管理的較嚴格要求。在安全管理方面，要求具有較嚴格的安全管理措施，設置安全管理中心，建立必要的安全管理機構(gòu)，按要求配備各類管理人員，健全各項安全管理的規(guī)章制度，對各類人員進行不同層次要求的安全培訓等，確保系統(tǒng)所設置的各種安全功能發(fā)揮其應有的作用。

根據(jù)公信安[2009]1429號文件，第三級信息系統(tǒng)經(jīng)過安全建設后，應具有在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能快速恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中管控的能力。

第四級：結(jié)構(gòu)化保護級。

具有第四級安全的信息系統(tǒng)，一般是運行在限定的計算機網(wǎng)絡平臺上的信息系統(tǒng)，應依照國家相關的管理規(guī)定和技術標準，在信息安全監(jiān)管職能部門的強制監(jiān)督、檢查、指導下進行嚴格的安全控制，重點防止來自內(nèi)部的越權(quán)訪問等攻擊。技術方面的安全控制包括采用有效的信息安全技術，對信息網(wǎng)絡系統(tǒng)的運行進行嚴格的控制和對信息網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息進行嚴格的安全控制，保證系統(tǒng)和信息具有高強度的保密性、完整性和可用性；管理方面的安全控制包括從人員、法規(guī)、機構(gòu)、制度、規(guī)程等方面采取嚴格的管理措施，確保技術的安全控制達到預期的目標，并彌補技術方面安全控制的不足。

按照GB17859中4.4的要求，從組成信息系統(tǒng)安全的五個方面對信息系統(tǒng)進行安全控制，既要保護系統(tǒng)的安全性，又要保護信息的安全性。在第三級安全的基礎上，該級要求將自主訪問控制和強制訪問控制擴展到系統(tǒng)的所有主體與客體，并包括對輸入、輸出數(shù)據(jù)信息的控制，相應地其他安全要求，如數(shù)據(jù)存儲保護和傳輸保護也應有所增強，對用戶初始登錄和鑒別則要求提供安全機制與登錄用戶之間的“可信路徑”。本級強調(diào)通過結(jié)構(gòu)化設計方法和采用“存儲隱蔽信道”分析等技術，使系統(tǒng)設計與實現(xiàn)能獲得更充分的測試和更完整的復審，具有更高的安全強度和相當?shù)目節(jié)B透能力。在系統(tǒng)安全方面，要求有更高程度的系統(tǒng)安全運行保證，以提供必要的系統(tǒng)服務。在信息安全方面，對數(shù)據(jù)信息和系統(tǒng)信息在保密性、完整性和可用性方面要有更高的安全保護，應有更高強度的密碼或其他具有相當安全強度的安全技術支持的保密性、完整性和可用性機制。在安全性保證方面，要求安全機制具有更高的自身安全保護，以及對安全功能的設計、實現(xiàn)及管理的更高要求。在安全管理方面，要求具有更嚴格的安全管理措施，設置安全管理中心，建立必要的安全管理機構(gòu)，按要求配備各類管理人員，健全各項安全管理的規(guī)章制度，對各類人員進行不同層次要求的安全審查和培訓等，確保系統(tǒng)所設置的各種安全功能發(fā)揮其應有的作用。對于某些從技術上還不能實現(xiàn)的安全要求，可以通過增強安全管理的方法或通過物理隔離的方法實現(xiàn)。

根據(jù)公信安[2009]1429號文件，第四級信息系統(tǒng)經(jīng)過安全建設后，應具有在統(tǒng)一的安全保護策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴重自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)、報警、記錄入侵行為的能力；具有對安全事件進行快速響應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能立即恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中管控的能力。

第五級：訪問驗證保護級。

具有第五級安全的信息系統(tǒng)，一般是運行在限定的局域網(wǎng)環(huán)境內(nèi)的計算機網(wǎng)絡平臺上的信息系統(tǒng)，需要依照國家相關的管理規(guī)定和技術標準，在國家指定的專門部門、專門機構(gòu)的專門監(jiān)督下進行最嚴格的安全控制，重點防止來自內(nèi)外勾結(jié)的集團性攻擊。技術方面的安全控制包括采用當前最有效的信息安全技術，以及采用非技術措施，對信息系統(tǒng)的運行進行最嚴格的控制和對信息系統(tǒng)中存儲、傳輸和處理的信息進行最嚴格的安全保護，以提供系統(tǒng)和信息的最高強度保密性、完整性和可用性；管理方面的安全控制包括從人員、法規(guī)、機構(gòu)、制度、規(guī)程等方面采取最嚴格的管理措施，確保技術的安全控制達到預期的目標，并彌補技術方面安全控制的不足。按照GB17859中4.5的要求，從組成信息系統(tǒng)安全的五個方面對信息系統(tǒng)進行安全控制，既要保護系統(tǒng)安全性，又要保護信息的安全性。在第四級安全的基礎上，該級提出了“可信恢復”的要求，以及要求在用戶登錄時建立安全機制與用戶之間的“可信路徑”，并在邏輯上與其他通信路徑相隔離。本級重點強調(diào)“訪問監(jiān)控器”本身的可驗證性；要求訪問監(jiān)控器仲裁主體對客體的所有訪問；要求訪問監(jiān)控器本身是抗篡改的，應足夠小，能夠分析和測試，并在設計和實現(xiàn)時，從系統(tǒng)工程角度將其復雜性降低到最小程度。系統(tǒng)安全方面，要求有最高程度的系統(tǒng)安全運行保證，以提供必要的系統(tǒng)服務。在信息安全方面，對數(shù)據(jù)信息和系統(tǒng)信息在保密性、完整性和可用性方面均有最高的安全保護，應有最高強度的密碼或其他具有相當安全強度的安全技術支持的保密性、完整性和可用性機制。在安全性保證方面，要求安全機制具有最高的自身安全保護，以及對安全功能的設計、實現(xiàn)及管理的最高要求。在安全管理方面，要求具有最嚴格的安全管理措施，設置安全管理中心，建立必要的安全管理機構(gòu)，按要求配備各類管理人員，健全各項安全管理的規(guī)章制度，對各類人員進行不同層次要求的安全審查和培訓等，確保系統(tǒng)所設置的各種安全功能發(fā)揮其應有的作用。

綜合上述，GB17859中各級提出的安全要求可歸納為10個安全要素：自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱藏信道分析、可信路徑、可信恢復。在所有的安全評估標準中，不同安全等級的差異均體現(xiàn)在兩個方面：各級間安全要素要求的有無和要求的強弱，在GB17859中也不例外。表4-3給出了GB17859中10個要素與安全等級的關系。

表4-3

GB17859中10個要素與安全等級的關系4.6.2安全保護等級的確定

1.按信息資源的重要性及損害程度確定信息系統(tǒng)的總體安全需求等級

按照一個單位的信息系統(tǒng)所承載的業(yè)務應用軟件系統(tǒng)所管理和控制的相關資源(含信息資源和其他資源)涉及的客體的重要性，根據(jù)公通字[2004]66號文件的規(guī)定，可以定性地對該單位的信息系統(tǒng)應具有的總體安全保護要求進行評估，確定目標信息系統(tǒng)需要進行保護的等級。66號文件所規(guī)定的安全等級的劃分，是在假定安全威脅相同的情況下，從國家利益出發(fā)，考慮到信息系統(tǒng)的資產(chǎn)價值(重要性)提出的安全需求。在具體進行安全需求等級的確定時，還應充分考慮該單位自身的安全要求。對信息系統(tǒng)的總體安全需求等級進行劃分的基本原則是：

(1)一級安全適用于一般的信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對公民、法人和其他組織的合法權(quán)益有一定影響，但不危害國家安全、社會秩序、經(jīng)濟建設和公共利益。該類信息系統(tǒng)所存儲、傳輸和處理的信息從總體上被認為是公開信息。

(2)二級安全適用于一定程度上涉及公民、法人和其他組織的合法權(quán)益，以及國家安全、社會秩序、經(jīng)濟建設和公共利益的一般信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對社會秩序、經(jīng)濟建設和公共利益造成一般損害，或?qū)?、法人和其他組織的合法權(quán)益造成嚴重或特別嚴重損害。該類信息系統(tǒng)所存儲、傳輸和處理的信息從總體上被認為是一般信息。

(3)三級安全適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全造成一般損害，或?qū)ι鐣刃?、?jīng)濟建設和公共利益造成嚴重損害。該類信息系統(tǒng)所存儲、傳輸和處理的信息從總體上被認為是重要信息。

(4)四級安全適用于涉及國家安全、社會秩序、經(jīng)濟建設和公共利益的重要信息和信息系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全造成嚴重損害，或?qū)ι鐣刃颉⒔?jīng)濟建設和公共利益造成特別嚴重的損害。該類信息系統(tǒng)所存儲、傳輸和處理的信息從總體上被認為是關鍵信息。

(5)五級安全適用于涉及國家安全的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其保密性、完整性和可用性受到破壞后，會對國家安全造成特別嚴重的損害。該類信息系統(tǒng)所存儲、傳輸和處理的信息從總體上被認為是與國家利益有關的核心信息。

表4-4按信息資源涉及客體的重要性及損害程度確定系統(tǒng)等級例如，某省電力集團公司的省級電力實時監(jiān)控系統(tǒng)，主要運行調(diào)度自動化控制系統(tǒng)和能量管理系統(tǒng)(SCADA/EMS)DDZDH，負責省級超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。系統(tǒng)實時性要求極高，達到秒級。電力系統(tǒng)是國家重要基礎設施，省級DDZDH系統(tǒng)負責全省范圍內(nèi)的電力調(diào)度，調(diào)度控制指令或調(diào)度程序被修改，可能造成的停電事故會影響幾乎所有行業(yè)的正常生產(chǎn)和工作，其所侵害的客體為社會秩序和公共利益；調(diào)度控制指令或調(diào)度程序被修改可能造成全省范圍大面積停電、人員傷亡和巨額財產(chǎn)損失，同時對其他行業(yè)的生產(chǎn)和工作造成非常嚴重的影響，因此對社會秩序和公共利益的侵害程度為特別嚴重損害。查表知DDZDH系統(tǒng)的業(yè)務信息安全保護等級為第四級。

2.按資產(chǎn)價值和威脅確定信息系統(tǒng)的安全保護等級

在按上述的原則確定信息系統(tǒng)總體安全需求等級的基礎上，為了實施具體的安全保護，需要進一步確定信息系統(tǒng)的安全保護等級。以下是可供參考的對信息系統(tǒng)的安全保護等級進行劃分的方法和步驟：

第一步，根據(jù)確定信息系統(tǒng)的總體安全需求等級過程中對信息和信息系統(tǒng)安全保護需求的分析，明確信息系統(tǒng)的安全保護需求是否需要進一步劃分安全域。如果不需要劃分安全域，則以下的工作以信息系統(tǒng)為基本單元進行，如果需要劃分安全域，則以下的工作在劃分和確定安全域以后，以安全域為基本單元進行。

第二步，對目標信息系統(tǒng)(安全域)及其相關設施的資產(chǎn)價值及該信息系統(tǒng)(安全域)可能受到的威脅進行評估，確定其相應的資產(chǎn)價值級別和威脅級別，并據(jù)此確定目標信息系統(tǒng)(安全域)應具有的安全保護等級。

第三步，按照確定的安全保護等級，從等級保護的相關標準中選取對應等級的安全措施(包括技術措施和管理措施)，用系統(tǒng)化方法設計具有相應安全保護等級的安全子系統(tǒng)，并對設計好的安全子系統(tǒng)的脆弱性進行評估。

第四步，用風險分析的方法對已經(jīng)設計好安全子系統(tǒng)的目標信息系統(tǒng)(安全域)的資產(chǎn)價值、安全威脅和脆弱性進行評估，確定該信息系統(tǒng)(安全域)具有的剩余風險。如果其剩余風險從總體上是可接受的，則所確定的信息系統(tǒng)(安全域)的安全保護等級即為該信息系統(tǒng)(安全域)最終的安全保護等級，并可按照所設計的安全子系統(tǒng)進行目標信息系統(tǒng)的安全建設。如果其剩余風險是不可接受的，或者有些安全措施明顯的超過保護需求，則應對安全子系統(tǒng)的相關安全措施進行調(diào)整，再對調(diào)整后的信息系統(tǒng)(安全域)的脆弱性進行評估，得到新的剩余風險。如此循環(huán)，直至剩余風險可接受為止。

第五步，根據(jù)安全措施的調(diào)整情況，對照等級保護的相關標準中不同安全保護等級的安全技術和安全管理的要求，確定目標信息系統(tǒng)(安全域)的最終安全保護等級。對于一個大型的復雜信息系統(tǒng)，通常在不同的范圍，需要有不同的安全保護，從而需要引進安全域的概念。

要注意的是，在資產(chǎn)價值級別和威脅級別明確的前提下，確定信息系統(tǒng)(安全域)安全保護等級的基本思想是：在資產(chǎn)價值級別與威脅級別相同的情況下，該級別則為信息系統(tǒng)(安全域)的安全保護等級；在資產(chǎn)價值級別大于威脅級別的情況下，以威脅級別作為信息系統(tǒng)(安全域)的安全保護等級；在資產(chǎn)價值級別小于威脅級別的情況下，以資產(chǎn)價值級別作為信息系統(tǒng)(安全域)的安全保護等級。

信息系統(tǒng)安全等級保護體系的內(nèi)容如圖4-5所示。4.7信息系統(tǒng)安全等級保護體系

圖4-5信息系統(tǒng)安全等級保護體系的內(nèi)容

1.信息系統(tǒng)安全等級保護法律、法規(guī)和政策依據(jù)

信息系統(tǒng)安全等級保護相關的法律、法規(guī)和政策是信息系統(tǒng)安全等級保護的基本依據(jù)和出發(fā)點。

2.信息系統(tǒng)安全等級保護標準體系

信息系統(tǒng)安全等級保護標準是信息安全等級保護在信息系統(tǒng)安全技術和安全管理方面的規(guī)范化表示，是從技術和管理方面，以標準的形式，對信息安全等級保護的法律、法規(guī)、政策的規(guī)定進行的規(guī)范化描述。

3.信息系統(tǒng)安全等級保護管理體系

信息系統(tǒng)安全等級保護管理體系是對實現(xiàn)信息系統(tǒng)安全等級保護所采用的安全管理措施的描述，涉及信息系統(tǒng)的安全工程管理分等級要求、信息系統(tǒng)的安全運行管理分等級要求、信息系統(tǒng)的安全監(jiān)督檢查和管理、信息系統(tǒng)等級保護安全管理制度建設等方面。

4.信息系統(tǒng)安全等級保護技術體系

信息系統(tǒng)安全等級保護技術體系是對實現(xiàn)信息系統(tǒng)安全等級保護所采用的安全技術的描述，涉及信息系統(tǒng)安全的組成與相互關系、信息系統(tǒng)安全等級保護技術的基本框架、信息系統(tǒng)安全等級保護基本技術、信息系統(tǒng)安全等級保護支撐平臺、等級化安全信息系統(tǒng)構(gòu)建技術、安全技術措施建設等方面。4.7.1信息系統(tǒng)安全等級保護法律、法規(guī)和政策依據(jù)

1.法律法規(guī)和政策分類

信息系統(tǒng)安全等級保護的法律法規(guī)和政策是對信息系統(tǒng)實施安全等級保護的基本依據(jù)，對信息系統(tǒng)實施安全等級保護所需要的法律法規(guī)和政策包括：

(1)有關信息安全等級保護的全國性法律。

(2)有關信息安全等級保護的全國性政策、法規(guī)。

(3)有關信息安全等級保護的地區(qū)性政策、法規(guī)。

2.信息系統(tǒng)等級保護的現(xiàn)有政策法規(guī)

當前，已經(jīng)發(fā)布的有關對信息系統(tǒng)實施安全等級保護的政策法規(guī)有：

(1)

1994年2月18日國務院發(fā)布的國務院147號令《中華人民共和國計算機信息系統(tǒng)安全保護條例》。

(2)

2003年8月26日發(fā)布的中辦發(fā)[2003]27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》。

(3)

2004年9月15日發(fā)布的公通字[2004]66號文件《關于信息安全等級保護工作的實施意見》。

(4)

2005年12月28日發(fā)布的公信安[2005]1431號文件《關于開展信息系統(tǒng)安全等級保護基礎調(diào)查工作的通知》。

(5)

2006年2月23日發(fā)布的國辦發(fā)[2006]11號文件《國務院辦公廳轉(zhuǎn)發(fā)國家網(wǎng)絡與信息安全協(xié)調(diào)小組關于網(wǎng)絡信任體系若干意見的通知》。

(6)

2009年10月27日發(fā)布的公信安[2009]1429號文件《關于印送<關于開展信息安全等級保護安全建設整改工作的指導意見>的函》。

(7)其他與信息安全等級保護相關的政策法規(guī)。4.7.2信息系統(tǒng)安全等級保護標準體系

信息安全等級保護相關標準大致可以分為四類：基礎類、應用類、產(chǎn)品類和其他類。

1.基礎類標準

《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859—1999)

《信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)

2.應用類標準

(1)信息系統(tǒng)定級：

《信息系統(tǒng)安全保護等級定級指南》(GB/T22240—2008)

(2)等級保護實施：

《信息系統(tǒng)安全等級保護實施指南》(GB/T25058—2010)

(3)信息系統(tǒng)安全建設：

《信息系統(tǒng)通用安全技術要求》(GB/T20271—2006)

《信息系統(tǒng)等級保護安全設計技術要求》(GB/T25070—2010)

《信息系統(tǒng)安全管理要求》(GB/T20269—2006)

《信息系統(tǒng)安全工程管理要求》(GB/T20282—2006)

《信息技術—安全技術—信息安全管理體系要求》(GB/T22080—2008)

《信息技術—安全技術—信息安全管理實用規(guī)則》(GB/T22081—2008)

《信息系統(tǒng)物理安全技術要求》(GB/T21052—2007)

《網(wǎng)絡基礎安全技術要求》(GB/T20270—2006)

《信息系統(tǒng)安全等級保護體系框架》(GA/T708—2007)

《信息系統(tǒng)安全等級保護基本模型》(GA/T709—2007)

《信息系統(tǒng)安全等級保護基本配置》(GA/T710—2007)

(4)等級測評：

《信息系統(tǒng)安全等級保護測評要求》(報批稿)

《信息系統(tǒng)安全等級保護測評過程指南》(報批稿)

《信息系統(tǒng)安全等級保護測評準則》(送審稿)

《信息系統(tǒng)安全管理測評》(GA/T713—2007)

3.產(chǎn)品類標準

(1)操作系統(tǒng)：

《操作系統(tǒng)安全技術要求》(GB/T20272—2006)

《操作系統(tǒng)安全評估準則》(GB/T20008—2005)

(2)數(shù)據(jù)庫：

《數(shù)據(jù)庫管理系統(tǒng)安全技術要求》(GB/T20273—2006)

《數(shù)據(jù)庫管理系統(tǒng)安全評估準則》(GB/T20009—2005)

(3)網(wǎng)絡：

《網(wǎng)絡和終端設備隔離部件技術要求》(GB/T20279—2006)

《網(wǎng)絡和終端設備隔離部件測試評價方法》(GB/T20277—2006)

《網(wǎng)絡脆弱性掃描產(chǎn)品技術要求》(GB/T20278—2006)

《網(wǎng)絡脆弱性掃描產(chǎn)品測試評價方法》(GB/T20280—2006)

《網(wǎng)絡交換機安全技術要求》(GA/T684—2007)

《虛擬專用網(wǎng)安全技術要求》(GA/T686—2007)

(4)

PKI：

《公鑰基礎設施安全技術要求》(GA/T687—2007)

《PKI系統(tǒng)安全等級保護技術要求》(GB/T21053—2007)

《PKI系統(tǒng)安全等級保護評估準則》(GB/T21054—2007)

(5)網(wǎng)關：

《網(wǎng)關安全技術要求》(GA/T681—2007)

(6)服務器：

《服務器安全測評要求》(GB/T25063—2010)

《服務器安全技術要求》(GB/T21028—2007)

(7)入侵檢測：

《入侵檢測系統(tǒng)技術要求和檢測方法》(GB/T20275—2006)

《計算機網(wǎng)絡入侵分級要求》(GA/T700—2007)

(8)防火墻：

《防火墻安全技術要求》(GA/T683—2007)

《防火墻技術測評方法》(報批稿)

《信息系統(tǒng)安全等級保護防火墻安全配置指南》(報批稿)

《防火墻技術要求和測評方法》(GB/T20281—2006)

《包過濾防火墻評估準則》(GB/T20010—2005)

(9)路由器：

《路由器安全技術要求》(GB/T18018—2007)

《路由器安全評估準則》(GB/T20011—2005)

《路由器安全測評要求》(GA/T682—2007)

(10)交換機：

《網(wǎng)絡交換機安全技術要求》(GB/T21050—2007)

《交換機安全測評要求》(GA/T685—2007)

(11)其他產(chǎn)品：

《終端計算機系統(tǒng)安全等級技術要求》(GA/T671—2006)

《終端計算機系統(tǒng)安全等級評估準則》(GA/T672—2006)

《審計產(chǎn)品技術要求和測評方法》(GB/T20945—2006)

《虹膜特征識別技術要求》(GB/T20979—2007)

《虛擬專網(wǎng)安全技術要求》(GA/T686—2007)

《應用軟件系統(tǒng)安全等級保護通用技術指南》(GA/T711—2007)

《應用軟件系統(tǒng)安全等級保護通用測試指南》(GA/T712—2007)

《網(wǎng)絡和終端設備隔離部件測試評價方法》(GB/T20277—2006)

《網(wǎng)絡脆弱性掃描產(chǎn)品測評方法》(GB/T20280—2006)

4.其他類標準

(1)風險評估：

《信息安全風險評估規(guī)范》(GB/T20984—2007)

《信息安全風險管理指南》(GB/Z24364—2009)

(2)事件管理：

《信息安全事件管理指南》(GB/Z20985—2007)

《信息安全事件分類分級指南》(GB/Z20986—2007)

《信息系統(tǒng)災難恢復規(guī)范》(GB/T20988—2007)

5.等級保護標準涉及的內(nèi)容

圖4-6給出了信息系統(tǒng)安全等級保護標準體系所涉及的內(nèi)容。由圖中可以看出，信息系統(tǒng)安全等級保護標準應包括五個保護等級、五個安全組成部分以及構(gòu)建過程控制、結(jié)果控制、執(zhí)行過程控制等方面的內(nèi)容。這也是整個信息系統(tǒng)安全等級保護所涉及的內(nèi)容。

圖4-6信息系統(tǒng)安全等級保護標準體系所涉及的內(nèi)容圖4-6中的保護等級是指由GB17859所規(guī)定的五個安全保護等級。按照公通字[2007]43號文件的規(guī)定，國家有關信息安全監(jiān)管部門應對信息安全等級保護工作進行監(jiān)督管理，具體要求是：對二級系統(tǒng)進行指導，對三級系統(tǒng)進行監(jiān)督、檢查，對四級系統(tǒng)進行強制監(jiān)督、檢查，對五級系統(tǒng)進行專門監(jiān)督、檢查。

信息系統(tǒng)安全的五個組成部分是指應從物理安全、系統(tǒng)安全、網(wǎng)絡安全、應用安全和安全管理等五個方面考慮信息系統(tǒng)安全標準的內(nèi)容。這五個組成部分的具體內(nèi)容和相互關系可參見本章4.7.4小節(jié)的內(nèi)容。構(gòu)建過程控制主要是指應從安全系統(tǒng)建設、安全產(chǎn)品開發(fā)的過程控制方面制定相應的技術和管理要求標準。

結(jié)果控制主要是指應從安全系統(tǒng)建設、安全產(chǎn)品開發(fā)的結(jié)果控制方面制定相應的技術和管理測評標準。

執(zhí)行過程控制主要是指應從政府部門的監(jiān)督檢查和指導方面制定相應的標準。

6.等級保護標準的應用

在我國，信息安全工程實施是基于等級保護制度，信息系統(tǒng)安全建設是根據(jù)《信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)，在不同階段、針對不同技術活動參照相應的標準規(guī)范進行。等級保護相關標準在信息系統(tǒng)安全建設工作中的應用如圖4-7所示。

對于圖4-7說明如下：

(1)《計算機信息系統(tǒng)安全保護等級劃分準則》(以下簡稱《劃分準則》)及配套標準是《信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)的基礎。《劃分準則》是等級保護的基礎性標準，《信息系統(tǒng)通用安全技術要求》等技術類標準、《信息系統(tǒng)安全管理要求》等管理類標準和《操作系統(tǒng)安全技術要求》等產(chǎn)品類標準是在《劃分準則》基礎上研究制定的?！痘疽蟆芬约夹g類標準和管理類標準為基礎，根據(jù)現(xiàn)有技術發(fā)展水平，從技術和管理兩方面提出并確定了不同安全保護等級信息系統(tǒng)的最低保護要求，即基線要求。

圖4-7等級保護相關標準間的應用關系

(2)《基本要求》是信息系統(tǒng)安全建設的依據(jù)。信息系統(tǒng)安全建設應以落實《基本要求》為主要目標。信息系統(tǒng)建設和使用單位應根據(jù)信息系統(tǒng)安全保護等級選擇《基本要求》中相應級別的安全保護要求作為信息系統(tǒng)的基本安全需求。當信息系統(tǒng)有更高安全需求時，可參考《基本要求》中較高級別保護要求或《信息系統(tǒng)通用安全技術要求》、《信息系統(tǒng)安全管理要求》等其他標準。行業(yè)主管部門可以依據(jù)《基本要求》，結(jié)合行業(yè)特點和信息系統(tǒng)實際出臺不低于《基本要求》的行業(yè)細則，如《民用航空信息系統(tǒng)安全等級保護管理規(guī)范》(MH/T0025—2005)、《海關信息系統(tǒng)安全等級保護通用技術要求》(HS/T20.1—2006)等。

(3)《信息系統(tǒng)安全等級保護定級指南》(以下簡稱《定級指南》)為定級工作提供指導?！抖壷改稀窞樾畔⑾到y(tǒng)定級工作提供技術支持。行業(yè)主管部門可以根據(jù)《定級指南》，結(jié)合行業(yè)特點和信息系統(tǒng)實際情況，出臺本行業(yè)的定級細則，保證行業(yè)內(nèi)信息系統(tǒng)在不同地區(qū)等級的一致性，以指導本行業(yè)信息系統(tǒng)定級工作的開展，如《煙草行業(yè)信息系統(tǒng)安全等級保護與信息安全事件的定級準則》(YC/T389-2011)等。

(4)《信息系統(tǒng)安全等級保護測評要求》(以下簡稱《測評要求》)等標準用來規(guī)范等級測評活動。等級測評是評價信息系統(tǒng)安全保護狀況的重要方法?！稖y評要求》為等級測評機構(gòu)開展等級測評活動提供了測評方法和綜合評價方法?！缎畔⑾到y(tǒng)安全等級保護測評過程指南》對等級測評活動提出規(guī)范性要求，以保證測評結(jié)論的準確性和可靠性。

(5)《信息系統(tǒng)安全等級保護實施指南》(以下簡稱《實施指南》)等標準指導等級保護建設。《實施指南》是信息系統(tǒng)安全等級保護建設實施的過程控制標準，用于指導信息系統(tǒng)建設和使用單位了解和掌握信息安全等級保護工作的方法、主要工作內(nèi)容以及不同的角色在不同階段的作用?！缎畔⑾到y(tǒng)等級保護安全設計技術要求》對信息系統(tǒng)安全建設的技術設計活動提供指導，是實現(xiàn)《基本要求》的方法之一。4.7.3信息系統(tǒng)安全等級保護管理體系

1.信息系統(tǒng)的安全工程管理分等級要求

信息系統(tǒng)的安全工程管理的目標是，對按照等級保護要求開發(fā)的信息安全系統(tǒng)的整個開發(fā)過程實施管理，確保所開發(fā)的安全系統(tǒng)達到預期的安全要求。

信息系統(tǒng)安全工程的管理者應根據(jù)等級保護的總體要求，制定工程實施計劃，并采取必要的行政措施和技術措施，確保工程實施按計劃進行。

當信息系統(tǒng)安全的開發(fā)與信息系統(tǒng)的開發(fā)同步進行時，安全系統(tǒng)的工程管理應與信息系統(tǒng)的工程管理綜合考慮并同步進行。當信息系統(tǒng)安全的開發(fā)是在已有的信息系統(tǒng)之上采用加固的方法實現(xiàn)時，安全系統(tǒng)的工程管理應獨立進行。無論是哪種情況，安全系統(tǒng)的工程管理都應根據(jù)對安全系統(tǒng)開發(fā)的具體要求采取必要的措施，以保證所開發(fā)的安全系統(tǒng)的安全性達到所要求的目標。

信息系統(tǒng)的安全工程管理分等級要求包含以下內(nèi)容：

(1)工程管理計劃。信息安全系統(tǒng)開發(fā)的工程管理者，應根據(jù)不同安全等級的安全需求，制定不同安全等級的安全系統(tǒng)開發(fā)的工程管理計劃，并以文檔形式說明工程管理計劃的詳細內(nèi)容。

(2)工程資格保障。

信息安全系統(tǒng)開發(fā)的工程管理者，應根據(jù)不同安全等級的安全需求，從以下方面確保工程資格保障達到相應安全等級的要求：

·對工程建設的合法性要求。

·對承建單位及協(xié)作單位的資質(zhì)要求。

·對承建單位人員及協(xié)作單位人員的資質(zhì)要求。

·對商業(yè)化產(chǎn)品的要求。

·對工程監(jiān)理的要求。

·對密碼管理方面的要求。

·以文檔形式說明工程資格保障的詳細內(nèi)容。

(3)工程組織保障。

信息安全系統(tǒng)開發(fā)的工程管理者，應根據(jù)不同安全等級的安全需求，從以下方面確保工程的組織保障達到相應安全等級的要求：

·對組織過程的要求。

·對系列產(chǎn)品的要求。

·對工程支持環(huán)境的要求。

·對相關人員的管理要求。

·對與安全產(chǎn)品供應商的協(xié)調(diào)要求。

·以文檔形式說明工程組織保障的詳細內(nèi)容。

(4)工程實施管理。

信息安全系統(tǒng)開發(fā)的工程管理者，應根據(jù)不同安全等級的安全需求，從以下方面確保工程的實施管理達到相應安全等級的要求：

·對預期的系統(tǒng)安全特性的控制。

·對與系統(tǒng)安全有關的影響(運行、商務和任務能力)的識別與評估。

·對與系統(tǒng)運行相關的安全風險的評估。

·對來自人為的、自然的威脅評估。

·對整個系統(tǒng)脆弱性的評估。

·對建立保證論據(jù)、協(xié)調(diào)安全關系、監(jiān)視安全態(tài)勢、提供安全輸入、指定安全要求及驗證和證實安全性等方面的要求。

·以文檔形式說明工程實施管理的詳細內(nèi)容。

(5)項目實施管理。

信息安全系統(tǒng)開發(fā)的工程管理者，應根據(jù)不同安全等級的安全需求，從以下方面確保項目的實施管理達到相應安全等級的要求：

·對項目質(zhì)量保證的要求。

·對項目配置管理的要求。

·對項目風險管理的要求。

·對項目技術活動計劃的要求。

·對項目技術活動監(jiān)控的要求。

·以文檔形式說明項目實施管理的詳細內(nèi)容。

2.信息系統(tǒng)的安全運行管理分等級要求

信息系統(tǒng)的安全運行管理的目標是，通過對按照等級保護要求開發(fā)的信息安全系統(tǒng)的運行過程，按照相應的安全保護等級的要求實施安全管理，確保其在運行過程中所提供的安全功能達到預期的安全要求。

安全系統(tǒng)運行管理的要求是在安全系統(tǒng)設計和實現(xiàn)過程中，根據(jù)下列需要產(chǎn)生的：

(1)作為實現(xiàn)安全系統(tǒng)某一安全功能或某些安全功能技術手段的保證措施。

(2)作為實現(xiàn)安全系統(tǒng)某一安全功能或某些安全功能的非技術手段。

安全系統(tǒng)的設計者應以文檔形式說明對安全系統(tǒng)的運行如何進行管理，并詳細描述每一項管理措施對系統(tǒng)安全性所起的作用。

安全系統(tǒng)的運行是與信息系統(tǒng)的運行密不可分的。這里所描述的系統(tǒng)安全管理僅包含與安全系統(tǒng)的安全功能相關的管理，并非與信息系統(tǒng)運行相關的所有管理。

信息系統(tǒng)的安全運行管理分等級要求包含以下內(nèi)容：

(1)系統(tǒng)安全管理計劃。

信息安全系統(tǒng)運行的管理者，應根據(jù)不同安全等級的需要，制定不同安全等級的安全系統(tǒng)運行管理計劃，并以文檔形式說明運行管理計劃的詳細內(nèi)容。

(2)管理機構(gòu)和人員配置。

信息安全系統(tǒng)的設計者，應根據(jù)不同安全等級的需要，明確不同安全等級的管理機構(gòu)與人員配備的要求，設置管理機構(gòu)，配備安全管理人員，明確各類人員的職責，并以文檔形式對管理機構(gòu)設置和人員配備要求進行詳細說明。信息安全系統(tǒng)的運行管理者，應按照文檔的要求，建立管理機構(gòu)，配備管理人員。

(3)規(guī)章制度。

信息安全系統(tǒng)的設計者，應根據(jù)不同安全等級的需要，明確不同安全等級的規(guī)章制度的要求，從機房人員出/入管理、機房內(nèi)部管理、操作規(guī)程、安全管理中心管理、應急計劃和應急處理等方面，以文檔形式對建立規(guī)章制度的要求進行詳細說明。信息安全系統(tǒng)的運行管理者，應按照文檔的要求，建立相應的規(guī)章制度。

(4)人員審查與管理。

信息安全系統(tǒng)的設計者，應根據(jù)不同安全等級的需要，明確不同安全等級的人員審查與管理的要求，從對各類人員(一般用戶、系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計員等)的審查、明確各類人員的崗位職責等方面，以文檔形式對人員審查與管理的要求進行詳細說明。信息安全系統(tǒng)的運行管理者，應按照文檔的要求，明確相應的人員審查與管理要求，并貫徹執(zhí)行。

(5)人員培訓、考核與操作管理。

信息安全系統(tǒng)的設計者，應根據(jù)不同安全等級的需要，明確不同安全等級的培訓、考核與操作管理要求，從對人員的培訓、考核及操作管理等方面，以文檔形式進行詳細說明。信息安全系統(tǒng)的運行管理者，應按照文檔的要求，對相關人員