信息系统等级评定方法

《信息系统等级评定方法》由会员分享，可在线阅读，更多相关《信息系统等级评定方法（6页珍藏版）》请在金锄头文库上搜索。

1、信息系统等级评定方法信息系统等级评定方法黄凯峰 1，周开宇 2 （1.北京启明星辰信息技术有限公司 北京 100045；2.中国电信集团北京研究院 北 京 100035）摘要 本文系统地阐述了信息系统等级保护的发展。在总结信息安全风险管理经验的 基础上，结合大型企业进行等级保护工作的实际经验对如何开展信息系统等级评定进行了 探讨。 关键词 等级保护；信息安全；风险管理1 前言 随着信息化的发展，企业的生产运营越来越依托于信息系统建设的成效，企业信息系 统的安全影响越来越受到重视。如何理解信息安全等级保护制度，并在企业生产运营管理 中有效实现信息安全等级保护？安全等级保护对电信运营商有什么意义？

2、本文依据大型企 业进行信息安全等级保护工作的实践，对企业和电信运营商进行信息系统等级评定提出了 建议。 2 等级保护标准化概况 随着近年来信息技术的发展，信息系统等级保护需求越来越强烈，各种概念和理论层 出不穷，了解等级保护标准将有利于实践工作的开展。 2.1 国际等级保护标准化状况 现代信息系统等级保护概念主要来源于： TCSEC1，即美国可信计算机安全评价标准； ISO/IEC 154082，即信息技术、安全技术、信息技术安全性评估准则； 美国联邦政府信息及信息系统安全分级标准 FIPS-PUB-1993 ； 美国国家安全局（NSA）的信息保障技术框架 IATF4 。 （1）TCSEC T

3、CSEC 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于 1970 年由美国国防科学委员会提出，并于 1985 年 12 月由美国国防部公布。TCSEC 最初 只是军用标准，后来延至民用领域。TCSEC 将计算机安全从高到低划分为 A、B、C、D 4 类共 7 个级别，即 A 类验证保护级（A1） 、B 类强制保护级（B1、B2、B3） 、C 类自主保 护级（C1、C2） 、D 类无保护级（D1） 。其中，B2 以上级别基本处于理论研究阶段，仅在 特殊部门（如军队）有非商业化的应用。 （2）ISO/IEC 15408 ISO/IEC 15408 的前身是 7 国政府发起组

4、织的通用准则（CC） ，是在 TESEC、ITSEC、CTCPEC、FC 等信息安全标准的基础上综合形成的，其目的是建立一套 作为评估信息技术产品和系统安全特性的基础准则。根据配置管理、分发和操作、开发、 指导性文档、生命周期支持、测试、脆弱性评定、保证的维护 8 类安全保证要求的不断递 增原则，将评测对象划分为 7 个等级：第 1 级为功能测试级；第 2 级为结构测试级；第 3 级为系统测试和检查级；第 4 级为系统设计、测试和复查级；第 5 级为半形式化设计和测 试级；第 6 级为半形式化验证的设计和测试级；第 7 级为形式化验证的设计和测试级。 （3）FIPS-PUB-199 FIPS-

5、PUB-199 由美国国家标准与技术研究院于 2004 年 2 月正式发布，是联邦信息和 信息系统的分级标准。其核心思想是针对信息进行分类，根据信息所属类别的 CIA（机密性、完整性和可用性）三性被破坏后的潜在影响确定各自的等级（低、中、高） ，信息系统 的等级由其上运行的信息的最高等级确定，即： 信息等级 = (机密性, impact), (完整性, impact), (可用性, impact)，impact 的取值为低、 中、高或不适用（仅对机密性有效） 信息系统等级 = (机密性, impact), (完整性, impact), (可用性, impact)， impact 的取值 为低、

6、中、高 FIPS-PUB-199 直接反映了美国对信息和信息系统等级评定的基本原则，可以作为企业 进行等级评定的直接参考。 （4）IATF IATF 是美国国家安全局 1998 年组织专家编写，目的是为保护美国政府和工业界的信 息与信息技术设施提供技术指南，目前版本为 3.1。IATF 的核心理论为“深度防御战略 （Defense-in-Depth） ” ，强调人、技术、操作 3 个核心原则，关注网络和基础设施、边界、 计算环境、支撑基础设施 4 个信息安全保障领域。IATF 中有如下等级概念。 信息价值：根据信息保护策略被破坏后对组织产生的影响大小划分为 5 级（V1- V5） 。 威胁等级

7、：根据威胁动机、威胁源和威胁能力将组织可能面临的威胁划分为 7 级 （T1-T7） 。 安全管理等级：根据所保护的信息价值和所对抗的威胁等级划分为 3 级（SML1- SML3） 。 评估保障等级（7 级）EAL1-EAL7：即 CC 中的 7 个等级。 2.2 我国等级保护标准化状况 （1）GB 17859-1999 1999 年 9 月，由公安部牵头，制定并发布了强制性国家标准 GB 17859-1999计算机 信息系统安全保护等级划分准则 。该标准是根据 147 号令制定的等级保护基础性标准，在 标准中将信息安全保护划分为 5 个安全等级（基本对应于 TCSEC 中 C、B 两类 5 个

8、级别）： 第 1 级为用户自主保护级；第 2 级为系统审计保护级；第 3 级为安全标记保护级；第 4 级 为结构化保护级；第 5 级为访问验证保护级。2002 年，公安部组织多位专家发布了 GB 17859 的配套行业标准，包括： GA/T 387-2002 计算机信息系统安全等级保护网络技术要求； GA/T 388-2002 计算机信息系统安全等级保护操作系统技术要求； GA/T 389-2002 计算机信息系统安全等级保护数据库管理系统技术要求； GA/T 390-2002 计算机信息系统安全等级保护通用技术要求； GA/T 391-2002 计算机信息系统安全等级保护管理要求。 （2）G

9、B/T 18336 该标准等同采用 ISO/IEC 15408，即 CC。其体现的等级概念即为评估保障级 EAL1- EAL7。 （3）中共中央办公厅发布的 27 号文7和公安部等 4 部委联合发布的 66 号文 2003 年，中共中央办公厅发布的 27 号文件再次明确提出了“实行信息安全等级保护” 的要求：重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息 系统；实行等级保护应该重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、 薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面 临的信息安全风险等因素，进行相应等级的安全建设和管理。

10、公通字200466 号文件提出了关于信息安全等级保护工作的实施意见，明确等级保护 作为国家实现信息安全的一项基本制度。文件提出按照 27 号文的要求，应开展等级保护工作。针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平 等因素，文件提出信息和信息系统的安全保护等级共分 5 级：第 1 级为自主保护级；第 2 级为指导保护级；第 3 级为监督保护级；第 4 级为强制保护级；第 5 级为专控保护级。 3 等级评定实践 27 号文件和 66 号文件不但为各行业开展信息安全等级保护工作指明了方向，同时为 各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。各单位信

11、息系统 必须按照 27 号文件要求，全面实施信息安全等级保护。作为等级保护实施的基础，必须先 确定信息系统的安全等级，本章结合在大型企业进行等级评定的实践，提出了针对企业进 行信息系统等级评定工作的基本思路和实施方法，并对电信运营商的信息系统等级保护发 展提出建议。 3.1 基本原则 等级保护的基础前提是信息系统的等级划分和评定。对于一般企业，信息系统等级基 本为自主保护级和指导保护级；对于大型企业，其核心信息系统要达到监督保护级。企业 可以根据实际需要，对等级进一步细分。本文针对不涉及国家秘密的大型企业信息系统进 行等级划分，对于涉及国家秘密的信息系统要按照党和国家的有关保密规定进行保护。

12、根据大型企业信息系统的实际情况，结合国内相关领域专家的建议，大型企业信息系 统最高等级达到国家 3 级，即监督保护级。在此基础上，大型企业信息系统进一步划分为 5 级，其与国家等级对应关系见表 1。3.2 定级过程 为更好地进行工程实施，将大型企业信息系统进一步分解为应用系统和网络系统。应 用系统主要是实现具体业务的计算机系统，网络系统为其支撑平台。应用系统由若干实现 某一单一业务功能的应用子系统组成，应用子系统由服务器、工作站、信息等资产组成。 网络系统由若干网络子系统组成，网络子系统由交换机、路由器、防火墙等资产组成。应 用子系统由网络子系统进行承载。其逻辑关系如图 1 所示。 构成关系：

13、信息系统由网络系统和应用系统组成，应用系统由多个应用子系统组成， 应用子系统由软硬件、数据等构成，网络系统由多个网络子系统组成，网络子系统由网络 设备和防火墙等组成。 承载关系：网络子系统可能承载多个应用子系统，应用子系统可能由多个网络子系 统承载。 定级过程分为系统识别与划分和等级确定两大部分。系统识别与划分阶段应准确识别 并描述出大型企业信息系统以及可以分解的子系统，明确系统包含的信息和提供的服务。 在此基础上采用自下而上原则，先对信息资产进行定级，再对子系统定级，综合得出系统 总体等级。定级过程如图 2 所示。（1）系统识别和划分应准确识别并描述出整体的大型企业信息系统以及系统可以分解的

14、子系统。系统识别 要确定系统的范围和边界，识别系统包含的信息和系统提供的服务，作为后续定级工作的 输入。子系统划分要考虑组织管理结构、业务类型、业务流程、物理区域等方面。 （2）等级确定 信息资产的等级划分考虑三大主要安全属性，即机密性、完整性和可用性，根据其安 全属性的不同要求综合评定。应用系统的等级评定主要考虑应用系统所属类型、主要处理 的信息资产等级和业务依赖度进行，其评定方法如图 3 所示。网络系统的等级评定取决于 其承载的应用系统的重要性，其等级评定方法如图 4 所示。3.3 电信运营商信息系统的等级保护对于电信运营商，信息系统等级保护包含 2 个方面。首先，电信运营商本身大量的信

15、息系统，对其自身信息系统的安全保护是其运营和发展的需求，而等级评定和等级保护是 解决运营商自身安全需求的手段。在此方面，3.1 和3.2 中所讨论之定级原则和方法均 具备重要指导意义。其次，电信运营商为其广大的企业客户提供着多层次的通信和信息服 务，企业客户存在各种各样的安全保护需求。而等级评定和等级保护正是电信运营商向综 合信息服务提供商转型，提供综合安全解决方案的重要内容。 4 结束语 信息安全等级保护的核心是对信息安全分等级，按标准进行建设、管理和监督。本文 通过对已有国际、国内相关标准中等级概念的剖析，结合在大型企业进行等级评定的实践， 对我国各行业如何开展等级评定进行了探讨。 参考文

16、献 1 US Department of Defense. Trusted computer system evaluation criteria. DOD TCSEC - Technical Report 5200.28-STD, Dec 26, 1985 2 International common criteria.ISO/IEC JTC 1 & Common Criteria Project Organizations, 1999 3 Standards for security categorization of federal information and information systems. Information Technology Laboratory,NIST, Feb 2004 4 Information assurance technical framework. National Security Agency, Sep 2002 5 GB