信息系统等级评定方法

'信息系统等级评定方法黄凯峰1，周开宇2（1.北京启明星辰信息技术有限公司北京100045；2.中国电信集团北京研究院北京100035）摘要本文系统地阐述了信息系统等级保护的发展。在总结信息安全风险管理经验的基础上，结合大型企业进行等级保护工作的实际经验对如何开展信息系统等级评定进行了探讨。关键词　等级保护；信息安全；风险管理1　前言随着信息化的发展，企业的生产运营越来越依托于信息系统建设的成效，企业信息系统的安全影响越来越受到重视。如何理解信息安全等级保护制度，并在企业生产运营管理中有效实现信息安全等级保护？安全等级保护对电信运营商有什么意义？本文依据大型企业进行信息安全等级保护工作的实践，对企业和电信运营商进行信息系统等级评定提出了建议。2　等级保护标准化概况随着近年来信息技术的发展，信息系统等级保护需求越来越强烈，各种概念和理论层出不穷，了解等级保护标准将有利于实践工作的开展。2.1　国际等级保护标准化状况现代信息系统等级保护概念主要来源于：·TCSEC[1]，即美国可信计算机安全评价标准；·ISO/IEC15408[2]，即信息技术、安全技术、信息技术安全性评估准则；·美国联邦政府信息及信息系统安全分级标准FIPS-PUB-199[3]；·美国国家安全局（NSA）的信息保障技术框架IATF[4]。（1）TCSECTCSEC标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机安全从高到低划分为A、B、C、D4类共7个级别，即A类验证保护级（A1）、B类强制保护级（B1、B2、B3）、C类自主保护级（C1、C2）、D类无保护级（D1）。其中，B2以上级别基本处于理论研究阶段，仅在特殊部门（如军队）有非商业化的应用。（2）ISO/IEC15408ISO/IEC15408的前身是7国政府发起组织的通用准则（CC），是在TESEC、ITSEC、CTCPEC、FC等信息安全标准的基础上综合形成的，其目的是建立一套作为评估信息技术产品和系统安全特性的基础准则。根据配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定、保证的维护8类安全保证要求的不断递增原则，将评测对象划分为7个等级：第1级为功能测试级；第2级为结构测试级；第3级为系统测试和检查级；第4级为系统设计、测试和复查级；第5级为半形式化设计和测试级；第6级为半形式化验证的设计和测试级；第7级为形式化验证的设计和测试级。（3）FIPS-PUB-199FIPS-PUB-199由美国国家标准与技术研究院于2004年2月正式发布，是联邦信息和信息系统的分级标准。其核心思想是针对信息进行分类，根据信息所属类别的CIA（机密性、完整性和可用性）三性被破坏后的潜在影响确定各自的等级（低、中、高），信息系统的等级由其上运行的信息的最高等级确定，即： 信息等级={(机密性,impact),(完整性,impact),(可用性,impact)}，impact的取值为低、中、高或不适用（仅对机密性有效）信息系统等级={(机密性,impact),(完整性,impact),(可用性,impact)}，impact的取值为低、中、高FIPS-PUB-199直接反映了美国对信息和信息系统等级评定的基本原则，可以作为企业进行等级评定的直接参考。（4）IATFIATF是美国国家安全局1998年组织专家编写，目的是为保护美国政府和工业界的信息与信息技术设施提供技术指南，目前版本为3.1。IATF的核心理论为“深度防御战略（Defense-in-Depth）”，强调人、技术、操作3个核心原则，关注网络和基础设施、边界、计算环境、支撑基础设施4个信息安全保障领域。IATF中有如下等级概念。·信息价值：根据信息保护策略被破坏后对组织产生的影响大小划分为5级（V1-V5）。·威胁等级：根据威胁动机、威胁源和威胁能力将组织可能面临的威胁划分为7级（T1-T7）。·安全管理等级：根据所保护的信息价值和所对抗的威胁等级划分为3级（SML1-SML3）。·评估保障等级（7级）EAL1-EAL7：即CC中的7个等级。2.2　我国等级保护标准化状况（1）GB17859-19991999年9月，由公安部牵头，制定并发布了强制性国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》。该标准是根据147号令制定的等级保护基础性标准，在标准中将信息安全保护划分为5个安全等级（基本对应于TCSEC中C、B两类5个级别）：第1级为用户自主保护级；第2级为系统审计保护级；第3级为安全标记保护级；第4级为结构化保护级；第5级为访问验证保护级。2002年，公安部组织多位专家发布了GB17859的配套行业标准，包括：·GA/T387-2002计算机信息系统安全等级保护网络技术要求；·GA/T388-2002计算机信息系统安全等级保护操作系统技术要求；·GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求；·GA/T390-2002计算机信息系统安全等级保护通用技术要求；·GA/T391-2002计算机信息系统安全等级保护管理要求。（2）GB/T18336该标准等同采用ISO/IEC15408，即CC。其体现的等级概念即为评估保障级EAL1-EAL7。（3）中共中央办公厅发布的27号文[7]和公安部等4部委联合发布的66号文2003年，中共中央办公厅发布的27号文件再次明确提出了“实行信息安全等级保护”的要求：重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统；实行等级保护应该重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。 公通字[2004]66号文件提出了关于信息安全等级保护工作的实施意见，明确等级保护作为国家实现信息安全的一项基本制度。文件提出按照27号文的要求，应开展等级保护工作。针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素，文件提出信息和信息系统的安全保护等级共分5级：第1级为自主保护级；第2级为指导保护级；第3级为监督保护级；第4级为强制保护级；第5级为专控保护级。3　等级评定实践27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。各单位信息系统必须按照27号文件要求，全面实施信息安全等级保护。作为等级保护实施的基础，必须先确定信息系统的安全等级，本章结合在大型企业进行等级评定的实践，提出了针对企业进行信息系统等级评定工作的基本思路和实施方法，并对电信运营商的信息系统等级保护发展提出建议。3.1　基本原则等级保护的基础前提是信息系统的等级划分和评定。对于一般企业，信息系统等级基本为自主保护级和指导保护级；对于大型企业，其核心信息系统要达到监督保护级。企业可以根据实际需要，对等级进一步细分。本文针对不涉及国家秘密的大型企业信息系统进行等级划分，对于涉及国家秘密的信息系统要按照党和国家的有关保密规定进行保护。根据大型企业信息系统的实际情况，结合国内相关领域专家的建议，大型企业信息系统最高等级达到国家3级，即监督保护级。在此基础上，大型企业信息系统进一步划分为5级，其与国家等级对应关系见表1。3.2　定级过程为更好地进行工程实施，将大型企业信息系统进一步分解为应用系统和网络系统。应用系统主要是实现具体业务的计算机系统，网络系统为其支撑平台。应用系统由若干实现某一单一业务功能的应用子系统组成，应用子系统由服务器、工作站、信息等资产组成。网络系统由若干网络子系统组成，网络子系统由交换机、路由器、防火墙等资产组成。应用子系统由网络子系统进行承载。其逻辑关系如图1所示。 ·构成关系：信息系统由网络系统和应用系统组成，应用系统由多个应用子系统组成，应用子系统由软硬件、数据等构成，网络系统由多个网络子系统组成，网络子系统由网络设备和防火墙等组成。·承载关系：网络子系统可能承载多个应用子系统，应用子系统可能由多个网络子系统承载。定级过程分为系统识别与划分和等级确定两大部分。系统识别与划分阶段应准确识别并描述出大型企业信息系统以及可以分解的子系统，明确系统包含的信息和提供的服务。在此基础上采用自下而上原则，先对信息资产进行定级，再对子系统定级，综合得出系统总体等级。定级过程如图2所示。（1）系统识别和划分 应准确识别并描述出整体的大型企业信息系统以及系统可以分解的子系统。系统识别要确定系统的范围和边界，识别系统包含的信息和系统提供的服务，作为后续定级工作的输入。子系统划分要考虑组织管理结构、业务类型、业务流程、物理区域等方面。（2）等级确定信息资产的等级划分考虑三大主要安全属性，即机密性、完整性和可用性，根据其安全属性的不同要求综合评定。应用系统的等级评定主要考虑应用系统所属类型、主要处理的信息资产等级和业务依赖度进行，其评定方法如图3所示。网络系统的等级评定取决于其承载的应用系统的重要性，其等级评定方法如图4所示。3.3　电信运营商信息系统的等级保护 对于电信运营商，信息系统等级保护包含2个方面。首先，电信运营商本身大量的信息系统，对其自身信息系统的安全保护是其运营和发展的需求，而等级评定和等级保护是解决运营商自身安全需求的手段。在此方面，§3.1和§3.2中所讨论之定级原则和方法均具备重要指导意义。其次，电信运营商为其广大的企业客户提供着多层次的通信和信息服务，企业客户存在各种各样的安全保护需求。而等级评定和等级保护正是电信运营商向综合信息服务提供商转型，提供综合安全解决方案的重要内容。4　结束语信息安全等级保护的核心是对信息安全分等级，按标准进行建设、管理和监督。本文通过对已有国际、国内相关标准中等级概念的剖析，结合在大型企业进行等级评定的实践，对我国各行业如何开展等级评定进行了探讨。参考文献1　USDepartmentofDefense.Trustedcomputersystemevaluationcriteria.DODTCSEC-TechnicalReport5200.28-STD,Dec26,19852Internationalcommoncriteria.ISO/IECJTC1&CommonCriteriaProjectOrganizations,19993Standardsforsecuritycategorizationoffederalinformationandinformationsystems.InformationTechnologyLaboratory,NIST,Feb20044Informationassurancetechnicalframework.NationalSecurityAgency,Sep20025　GB17859计算机信息系统安全保护等级划分准则.国家质量技术监督局,19996　GB18336信息技术安全性评估准则.国家质量技术监督局,20017　关于加强信息安全保障工作的意见.中办发[2003]27号文,中共中央办公厅，20038　关于信息安全等级保护的意见.公通字[2004]66号，公安部等4部委,2004'