1.2 理解和认识我国信息安全等级保护
信息安全等级保护作为保障我国信息化建设的一项根本制度已经在全国范围贯彻实施,全面认识信息安全并正确理解等级保护对于信息安全等级保护制度的实施具有十分重要的意义和作用。本节对如何全面认识信息安全和正确理解等级保护做比较详细的说明,以帮助读者提高对相关问题的了解和认识。
1.2.1 我国信息安全等级保护的由来和发展
国务院于1994年2月14日发布的147号令《中华人民共和国计算机信息系统安全保护条例》(以下简称“《条例》”)是我国最早提出对计算机信息系统实行安全等级保护的法规性文件,其中明确规定,我国“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”根据《条例》的要求,公安部会同有关部门组织制定了我国第1个信息安全等级保护的强制性国家标准,即GB 17859—1999《计算机信息系统安全保护等级划分准则》(注:本书所称“信息系统”与《条例》和GB 17859—1999所称的“计算机信息系统”含义基本相同)。
为了推进信息安全等级保护工作的开展,公安部组织编写并于2002年7月15日发布了一批为GB 17859—1999配套并具有更好可操作性的公共安全行业标准,主要包括GA/T 387—2002《计算机信息系统安全等级保护网络技术要求》、GA/T 388—2002《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389—2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T390—2002《计算机信息系统安全等级保护通用技术要求》和GA/T 391—2002《计算机信息系统安全等级保护管理要求》等,这些标准的发布对于信息安全等级保护工作的开展起到了积极的推动作用。
2003年8月26日发布的中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》)确立了信息安全等级保护的基本指导思想,其中明确要求在我国“实行信息安全等级保护”,指出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理。对涉及国家秘密的信息系统,要按照党和国家有关保密规定进行保护。”该文件进一步明确规定信息安全等级保护是国家信息安全基本保障制度。
根据27号文件中关于“抓紧建立信息安全等级保护制度”的要求,公安部、国家保密局、国家密码管理委员会办公室及国务院信息化工作办公室4个部委于2004年9月15日发布了《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号文件),对信息安全等级保护制度的实施做出了具体的规定。2007年6月22日公安部、国家保密局、国家密码管理局及国务院信息化工作办公室4个部委联合修改并签发了《信息安全等级保护管理办法》(公通字[2007]43 号文件),对信息安全等级保护制度的具体实施工作做出了进一步的规定。并从国家安全角度,按照信息系统的信息资源和系统服务受到危害后对国家安全、社会秩序、公民及法人等利益产生的影响,对信息系统需要保护的安全等级进行了划分。
信息安全等级保护是我国信息安全的基本制度、基本政策和基本方法。国家通过信息安全等级保护管理政策和标准,从总体上规定了对信息系统实行5 级安全保护。管理办法中的5 个安全保护等级是从管理角度按照安全需求进行的等级划分;强制性国标GB 17859—1999及其配套系列标准中的5个安全保护等级是按照信息安全保护能力进行的等级划分,二者是信息安全保护等级制度从不同角度的统一体现。
为了贯彻执行信息安全等级保护制度,以GB 17859—1999等级划分为基本依据,以上述公共安全行业标准为基础,由国家信息安全标准化技术委员会提出并组织制定了一系列信息安全国家标准,主要包括GB/T 20269—2006《信息安全技术 信息系统安全管理要求》、GB/T 20270—2006《信息安全技术 网络基础安全技术要求》、GB/T 20271—2006《信息安全技术 信息系统通用安全技术要求》、GB/T 20272—2006《信息安全技术 操作系统安全技术要求》、GB/T 20273—2006《信息安全技术 数据库管理系统安全技术要求》、GB/T 20282—2006《信息安全技术 信息系统安全工程管理要求》、GB/T 21028—2007《信息安全技术 服务器安全技术要求》,以及GB/T 21052—2007《信息安全技术 信息系统物理安全技术要求》等。
其中GB/T 20271—2006是其重要组成部分,它是以GB 17859—1999对信息系统安全等级的划分为基本依据,在当前信息系统安全涉及的范围内为信息安全等级保护提供具有操作性的技术标准。作为对信息系统普遍适用的安全技术进行比较全面描述的该标准既是对GB 17859—1999的细化和扩展,也是其他信息安全等级保护相关技术标准的基础性标准,对这些技术标准的制定具有参考和指导作用。
需要特别指出的是,GB/T 20271—2006 是根据信息系统安全等级保护的需要充分汲取和继承GB 17859—1999与ISO/IEC 15408:2005(CC)的有用思想,将二者很好结合的产物。在对GB 17859—1999的汲取和继承方面,该标准关于信息系统安全技术等级的划分以GB 17859—1999关于计算机信息系统的安全技术等级的划分为基本依据,并把相应的划分思想扩展到信息系统涉及的所有安全技术。在对CC的汲取和继承方面,该标准在信息系统安全技术所涉及的内容方面充分采用了ISO/IEC 15408的安全功能组件和安全保证组件所涉及的内容,并按照GB 17859—1999关于5个安全保护等级划分的准则将这些相关内容从安全强度上划分为5个安全保护等级。
GB/T 20271—2006对于安全技术要求的等级按照安全技术要素的相对安全性进行划分,这种划分既参考了国外和国际标准中的一些划分方法,也考虑了我国当前信息系统所面临的安全威胁和信息安全技术的具体发展情况。该标准中所描述的各个安全技术要素的安全等级的划分与环境和条件无关,所以在对具有确定安全保护等级的信息系统进行安全设计时,需要根据信息系统的安全需求等级(安全需求等级与信息系统的环境和条件有关)全面考虑为实现信息系统的安全目标所应采用的安全技术的等级,并非系统中所有安全技术的等级一定要与系统的安全等级相同。信息系统等级保护安全系统的设计是一种系统化的设计和集成,而不是具有一定等级的安全技术的堆积。可以说GB/T 20271—2006中于信息安全技术的等级划分所能解决的问题,只是在进行等级化信息系统安全设计时为设计者确定采用何种等级的安全技术提供一种选择的依据。至于具体选择何种安全技术,还需由设计者根据信息系统安全需求的实际情况确定。
目前已经发布和正在制定的一系列配套标准及相关的测试工具等为我国实施信息安全提供了强有力的支持,在国家有关部门的大力推动下,信息安全产业在我国正在迅猛发展。
总的来说,我国信息安全技术的发展尚处于初级阶段,基础比较薄弱,水平还不高。需要全国上下,各方人士同心协力,扎扎实实地做好各方面的工作,使信息安全技术和产品尽快发展,以满足国家信息化建设中信息安全保障的需要。
1.2.2 理解和认识信息安全等级保护的基本观点
全面正确认识和理解信息安全等级保护需要确立以下基本观点。
(1)信息安全是目的,分等级保护是方法。
(2)对信息安全划分等级是管理的需要。
(3)等级管理与风险管理对实现信息系统安全是完全一致的。
(4)风险等级、需求等级及安全保护等级是对信息系统安全等级保护的全面反映。
(5)安全技术等级和安全管理等级与信息系统安全等级的含义有本质不同。
(6)安全系统是安全技术和安全产品的有机集成。
(7)划分安全等级是对安全相对性的最好诠释。
(8)信息系统分等级实施安全保护的思想是确保重点保护的思想。
(9)按区域分等级保护是对复杂信息系统实施安全保护的有效方法。
(10)安全的一致性原理是信息系统等级保护安全设计的重要思想。
(11)花该花的钱,办该办的事是分等级保护的最终目标。
“信息安全是目的,分等级保护是方法”这一基本认识明确定位了信息安全与等级保护之间的关系。它首先明确了分等级保护只是实现信息安全的一种方法,即用分等级保护的方法实现国家信息安全的总体目标。其基本思想是重点保护和适度保护,进一步理解可以包括的含义为方法是可选的,不是唯一的;制度一经确定就是不可改变的;等级的划分可以是多种多样的,但作为要具体执行的制度,就应有确定的等级划分;对已经确定的等级划分,如果没有发现其不可执行的缺陷,则不要轻易改变。
“对信息安全划分等级是管理的需要”这一基本认识表明分等级保护是从便于管理的角度对实现信息安全的考虑,这里既包括对信息系统安全的管理,也包括对信息安全产品的管理。有了等级划分,才可能有管理上的差别。
“等级管理与风险管理对实现信息系统安全是完全一致的”这一基本认识表明等级管理可以把风险分析与评估作为一种确定安全等级具体的方法。风险分析与评估应该与等级挂钩,为等级管理提供支持。从更广范围来看,分等级管理是人类社会普遍适用的管理方法。在信息安全领域,风险管理是一种普遍适用的方法。在我国已经确定信息安全等级保护作为一项制度的情况下,等级管理是一种具体的风险管理方法,在实现过程中风险分析与评估是确定信息系统安全等级的重要方法。
“风险等级、需求等级及安全保护等级是对信息系统安全等级保护的全面反映”这一基本认识表明围绕信息系统的安全等级保护,风险等级是根据对目标信息系统进行风险分析所确定的风险度的表示。66号文件所规定的5个安全等级是建立在对国家各部门信息安全进行总体风险分析的基础上确定的为相关部门确定所属信息系统的安全风险的框架,是各有关部门和单位确定其所属信息系统的安全等级的基本依据;需求等级根据目标信息系统的风险等级确定,是确定信息系统安全护措施的依据;安全保护等级是根据目标信息系统的安全需求确定其安全保护措施的依据,安全保护措施包括安全技术措施和安全管理措施;安全技术措施又分为安全功能措施和安全保证措施,这些措施共同确保信息系统安全达到其应具有的安全性。不同安全保护等级的信息系统具有不同的安全性要求,GB 17859—1999及其相关的一系列标准所确定的安全技术等级(包括安全功能等级和安全保证等级)及安全管理等级是确定不同安全等级的安全技术措施和安全管理措施的基本依据。
“安全技术等级和安全管理等级与信息系统安全等级的含义有本质不同”这一基本认识表明由安全技术等级标准和安全管理等级标准所确定的安全技术分等级要求、安全管理分等级要求与信息系统安全的分等级要求有本质不同,前者所确定的要求是对与环境和条件无关情况的安全技术和安全管理的不同安全强度的描述;后者则是与信息系统所处的环境和条件有关的系统安全情况的描述。
“安全系统是安全技术和安全产品的有机集成”这一基本认识表明实现信息系统安全保护的一定等级的安全系统需要有相应等级的安全技术和安全管理措施的支持,但并不是简单的技术和管理措施的堆积,而是采用系统化的设计和集成方法实现的。
“划分安全等级是对安全相对性的最好诠释”这一基本认识表明安全相对性可以通过对信息安全技术、信息安全管理和信息系统安全划分等级来进行具体的描述。
“信息系统分等级实施安全保护的思想是确保重点保护的思想”这一基本认识表明一个信息系统中所存储、传输和处理的信息需要根据其价值进行不同强度的安全保护,以高投入重点保护具有高价值的信息,以适当的投入适度保护其他信息是信息系统分等级保护的出发点和归宿。
“按区域分等级保护是对复杂信息系统实施安全保护的有效方法”这一基本认识表明一个复杂的大型信息系统需要根据其中信息的不同安全保护要求划分不同的安全保护域,并对每一个安全域实施不同等级的安全保护,从整体上实现多级安全保护。
“安全的一致性原理是信息系统等级保护安全设计的重要思想”这一基本认识表明设计一个安全的信息系统/安全域,需要采用具有相对一致安全性的安全要求,包括安全技术与安全管理的,以及安全功能与安全保证的一致性等。
“花该花的钱,办该办的事是分等级保护的最终目标”,这一基本认识表明实施信息安全等级保护的最终目标是将有限的资金用在合适的地方,使该保护的信息和系统得到应有的安全保护。
信息安全的目的是对信息系统中的数据信息和实现的功能进行安全保护。信息系统的功能可以归结为信息的存储、传输和处理,信息安全也就自然是对这 3 大功能的保护。对信息系统的安全要求就像对产品的质量要求一样,一种产品没有基本的质量保证就无法使用,一个信息系统没有基本的安全保护也就不能提供可用的功能。概括地讲,为信息系统的功能保驾护航是信息系统安全的基本出发点和归宿。信息安全分等级保护是确保重点和适度保护的思想,对于国家来讲,就是要重点保护与国家重要基础相关设施的信息系统的安全,并对其他相关设施的信息系统进行适当程度的保护;对于各个部门和单位来讲,就是要按照不同的保护需要以合理的安全投入使与业务运行相关的信息系统得到应有的安全保护。
理解信息安全等级保护首先从信息安全的目的及等级保护的方法出发,对信息安全与等级保护二者之间的关系进行确切的定位(目的是重要的,方法也不可忽视),然后明确了解安全技术和安全产品与安全系统的关系。安全相对性是人们具有的共识,然而如何表示这种相对性却缺乏共同的看法,划分安全等级就是表示这种相对性的一种很好的方法。安全技术等级和安全系统等级是容易引起混淆的概念,正确认识和理解这些概念对于认识信息安全等级保护具有重要的作用。按区域分等级的思想对于信息安全等级保护的具体实现具有十分重要的意义。明确和认识这些基本观点,将会对信息安全等级保护制度的实施具有积极的促进作用。
1.2.3 正确认识和理解信息安全等级保护
1.信息安全等级保护是制度也是方法
对信息系统的安全实施等级化保护和管理是一种实现信息安全的方法,也是我国当前信息安全的一项制度,这是正确认识和理解信息安全等级保护的基本思想。作为制度,要求既有管理上的规定,又有技术上的支持。
国家政策法令从本质上讲是管理国家的方法,信息安全等级保护作为我国实施信息安全管理的一项法定制度在有关政策法规中均有明确规定。1994年国务院发布147号令规定我国“计算机信息系统实行安全等级保护”;2003 年中办[2003]27 号文件要求“……抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。……进行相应等级的安全建设和管理”;2004年公通字[2004]66号文件确立了信息安全等级保护作为国家信息安全的基本制度,提出了实施信息安全等级保护制度的具体意见,并要求由国家有关部门进行指导、监督和控制。
等级化管理是人类社会普遍采用的一种管理方法,纵观人类社会活动的各个环节,无不存在按等级管理的情况。就信息安全而言,等级化管理在国际和国内也是普遍采用的方法。经典的安全标准TCSEC和最新国际信息安全标准CC等无不以分等级的方法对信息安全技术和产品的不同安全要求进行描述,尽管各自在描述方法上有所不同。从我国当前的实际情况出发,采用分等级的方法实施信息安全无疑是适用于我国实际的一种有效的信息安全管理方法。
2.信息安全技术等级、信息安全管理等级和信息系统安全等级
信息安全技术等级、信息安全管理等级和信息系统安全等级是具有不同含义的概念,正确理解这些概念对于了解和实施信息安全等级保护制度并按技术和管理标准的要求建设具有所需安全保护等级的信息系统具有重要的作用。
首先需要强调的是,信息安全技术和信息安全管理及其相应的安全产品都是为实现信息安全提供支持的,而信息系统安全才是实现信息安全的出发点和归宿。
在当前的信息安全标准中,信息安全技术的安全性是比较单一的概念。安全技术所提供的安全性在其所采取的安全机制和安全保证措施确定以后就相对确定并与环境和条件无关。只有当这些安全技术被运用到具体的安全系统时,其所能起的作用才与环境和条件有关。比如,我们说以IC卡为载体的数字证书身份鉴别比以口令方式实现的身份鉴别具有更高的安全性,这是在不考虑环境和条件或者是在环境和条件相同情况下的比较。如果环境和条件不同,就很难比较哪一种身份鉴别更为安全,所以我们通常所说的信息技术的安全性与其环境和条件无关。
同样,信息安全管理的安全性也是比较单一的概念。安全管理提供的对安全技术安全性的保证或其独立提供的安全性(这种安全性通常是对安全技术的补充),也与环境和条件无关。当这些安全管理措施被运用到不同的安全系统环境时,其所起的作用会有所不同。
信息系统的安全性是一个综合性的概念,既与信息系统及其所承载的业务应用所涉及的资产价值有关,也与信息系统所处的环境有关,还与信息系统自身的脆弱性有关。资产(主要是信息资产)是信息系统保护的主要对象,环境则决定了信息系统可能受到的安全威胁,脆弱性是确定的目标信息系统当前所具有的安全性的表征。对于一个确定的目标信息系统而言,当业务应用确定以后其中的资产价值是相对固定的;当环境确定以后,其可能受到的安全威胁也是相对固定的。二者都可以通过风险分析来确定,由此改变脆弱性便成为改变信息系统安全的关键所在。根据对确定的目标信息系统的资产价值、威胁和脆弱性的综合分析,确定该信息系统的当前风险程度,按照剩余风险可接受原则即可认定该信息系统是否达到所需要的安全性目标。通俗地讲,如果你家里没有多少财产,而且是居住在有警卫守护的机关大院,你家有一个木门也就足够安全了;如果家财万贯,而且是住在一般的居民小区,那么铁质的保险门窗也可能还不够安全。当然即使你居住在一般的居民区,如果没有需要严加保护的财产,也没有必要花费更多投资进行防护;如果居住在有警卫守护的机关大院,即使有较多的财产,也没有必要采取过于严格的防护措施。
(1)信息安全技术等级
信息安全技术等级是信息技术安全性的等级化表征。
信息安全技术泛指实现信息系统安全可以采用的所有安全技术,是所有这些安全技术的总称。其中包括安全功能技术和安全保证技术,信息安全技术等级也应从这两种技术划分。我国已经发布和正在制定的一系列信息安全等级保护相关的技术标准所进行的安全技术等级划分就是根据安全功能技术和安全保证技术实现上的差异,参考国内外已有标准并结合我国当前信息系统安全的实际情况确定的。比如,身份鉴别技术的功能是识别用户身份的真实性,其安全机制可以是“口令”、“数字证书”(如IC卡),也可以是“生物特征”识别等。不同的识别机制所实现的身份鉴别功能会有不同的安全性,这种安全性还应有与之相匹配的安全保证技术来支持。由此可以按照所采用的安全功能技术和安全保证技术的不同来划分身份鉴别技术的安全等级,以适应不同安全保护等级的信息系统的需要。不同安全保护等级安全功能的差别体现在安全功能的有无和不同安全机制安全功能的不同;不同安全保护等级安全保证的差别体现在安全功能模块的自身安全保护的能力、安全功能模块设计和实现的方法,以及安全功能模块的不同安全管理。
(2)信息安全管理等级
信息安全管理等级是信息安全管理安全性的等级化表征。
信息安全管理是指与信息安全有关的所有管理,安全管理与安全技术是实现安全要求不可分的有机整体。安全管理分为宏观管理和微观管理,信息安全等级保护作为我国信息安全的一项基本制度是宏观管理的最高体现。为此还需要制定一系列的政策、法规和标准,成立相应的安全管理机构,并配备专门的安全管理人员对信息安全工作进行监督、检查和指导等。这些都属于宏观管理的范畴,是安全技术得以应用和发展的前提;微观管理是指与安全技术密切相关的管理,更多地表现为与信息系统安全相关的管理。微观管理措施从其所起的作用看可以分为两种,即为确保信息安全技术达到其应有的安全性目标而采取的管理措施(通常称为“安全技术的保证措施”),以及为弥补信息安全技术的不足而采取确保信息系统安全达到所要求的安全性目标而采取的管理措施。我国已经发布和正在制定的一系列信息安全等级保护相关的管理标准所进行的安全管理等级划分就是根据安全管理措施上的差异,参考国内外已有标准并结合我国当前信息系统安全的实际情况确定的。需要指出的是,安全管理通常以牺牲信息共享或信息系统的互操作为代价。通过微观管理,一方面能使安全技术发挥应有的作用;另一方面可以弥补安全技术的不足。比如通过限制系统规模和使用范围可以减少信息系统的安全威胁,以相同安全技术达到更高的安全保护目标。说到底,信息安全的要求源于信息共享。信息系统的安全设计是在确保合理共享的基础上对共享进行合理、适当的限制,无论是管理还是技术措施,都是实现这种限制的方法。只是技术措施可能对共享考虑得更细一些,而管理措施则会更多的牺牲共享。当安全技术的发展还不能完全满足信息安全的需要时,用增强管理和牺牲一定的共享来实现信息系统安全也是不得已而为之。信息安全管理等级主要体现为对不同安全保护等级的信息系统的安全管理的差别,包括信息系统安全工程和信息系统安全运行的分等级管理。
(3)信息系统安全等级
信息系统安全等级是信息系统安全保护能力的等级化表征。
信息系统的安全等级分为安全需求和安全保护等级,前者是指信息系统需要进行保护的安全等级;后者是指信息系统实际进行保护的安全等级,信息系统的安全保护等级是对安全需求等级的具体实现。
一个信息系统的安全需求等级可以根据国家政策及法规的规定来确定,也可以根据该信息系统所存储、传输和处理的数据信息的分类来确定。无论采用哪种方法,都需要通过风险分析的方法来确定具体的安全需求并根据安全需求确定需求等级。
按政策规定确定安全需求等级实际上是一种用定性的风险分析方法确定信息系统需要进行保护的安全等级的方法,66号文件所规定的5个安全保护等级的基本原则是在对我国政府部门和一些重要单位当前信息系统的安全风险进行总体框架性分析的基础上得出的。根据这些原则,中央及地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门,以及国防关键部门和依法需要对信息系统实施特殊隔离的单位均应按照国家有关法律法规的规定实施所要求的安全等级的保护。
按照数据信息分类确定信息系统的安全需求等级是指按照数据信息的价值划分类别,对不同类别的数据信息实施不同安全等级的保护。既能使信息系统中的数据信息得到应有的保护,又能减少不必要的开销。参照传统的对信息保护的分类方法,数据信息可分为公开数据信息、内部数据信息、重要数据信息、关键数据信息及核心数据信息,分别对应于第1级、第2级、第3级、第4级和第5级安全的信息系统。
3.安全等级的一致性
一致性是指一个事物中多个因素之间的统一和协调的程度,安全等级的一致性包括信息系统安全等级、信息安全技术安全等级和信息安全管理等级的一致性,也包括信息系统安全等级、信息安全技术等级和信息安全管理等级之间的一致性。
信息系统安全等级的一致性是指具有一定安全保护等级的信息系统,其所采用的各种安全措施应具有相对一致的安全性要求。信息安全等级保护相关标准按照这种一致性的原则确定安全要求,比如,身份鉴别和访问控制二者的一致性具体表现为基于“口令”的鉴别与基本的自主访问控制相一致、基于增强管理的“口令”的鉴别与更细粒度的自主访问控制相一致,以及基于“数字证书”/“生物特征”的身份鉴别与更细粒度的自主访问控制和强制访问控制相一致等。显然这种一致性本身是相对的,可能会随着时间的推移或其他情况的变化而改变,然而一旦作为标准规定下来就应具有一定的指导作用。在进行一个具体信息系统的安全设计时,应按照信息安全等级保护相关标准的要求选取相应安全等级的安全管理和技术来实现信息系统安全等级的一致性。
信息安全技术等级的一致性是指对于确定的安全等级的安全技术,其安全功能与安全保证应具有相对一致的要求。比如,基于“口令”的身份鉴别应具有较低的安全保证要求;基于“数字证书”的身份鉴别则应有较高的安全保证要求。在信息安全等级保护相关标准中,关于安全功能技术要求和安全保证技术要求的分等级描述就是按照安全技术等级的一致性要求确定的。
信息安全管理等级的一致性是指对于确定的安全等级的安全管理,其围绕不同安全等级的技术和安全系统所采取的安全管理措施应具有相对一致的要求。比如,对信息系统安全工程管理和信息系统安全运行管理,较高安全等级的管理需要对各项安全管理要素采取较严格的管理措施。
信息系统安全等级、信息安全技术等级和信息安全管理等级之间的一致性是指相同安全等级的信息系统应具有相对一致的安全技术措施和安全管理措施。这些一致性在信息安全等级保护相关的各项标准中均有体现,安全技术要求标准的分等级要求中对于各个安全等级的安全技术要求的描述和安全管理要求标准的分等级要求中对于各个安全等级的安全管理要求的描述都是这种一致性的具体体现。
4.对5个安全等级划分的理解
以GB 17859—1999中5个安全等级的划分为基础,并按照公通字[2004]66号文件关于5个安全等级的划分,根据当前我国信息技术和信息安全技术发展的具体情况,从安全技术和安全管理两个方面理解5个安全等级的划分。
(1)第1级安全信息系统(用户自主保护级)
具有第 1 级安全的信息系统由系统所有者依照国家管理规范和技术标准自主进行安全保护,并按照剩余风险可接受原则,通过风险分析确定安全要求。技术方面的安全保护重点是保护数据信息和信息系统的完整性及可用性不受破坏,同时为用户提供基本的自主保护能力;管理方面的安全保护包括从人员、法规、机构、制度及规程等方面采用基本的管理措施,确保安全技术的安全性达到预期的目标。
按照GB 17859—1999 4.1中对用户自主保护级的要求,从5个层面对信息系统进行安全控制。既保护系统的安全性,又保护数据的安全性。通过采用身份鉴别、自主访问控制及数据完整性等安全技术,每一个用户具有对自身所创建的数据进行安全控制的能力。首先用户自己应能以各种方式访问这些数据;其次用户应有权将这些数据的访问权转让给其他用户,并阻止非授权的用户访问数据。
在系统安全方面,要求提供基本的系统安全运行支持,以便提供有效的系统服务;在数据安全方面,重点是保护数据的完整性不受破坏,同时为用户提供基本的自主数据保护能力;在安全性保证方面,要求安全机制具有基本的自身安全控制,进行安全功能的设计、实现及管理;在安全管理方面,应进行基本的安全管理并建立必要的规章和制度。做到分工明确,责任落实,确保系统所设置的各种安全功能发挥其应有的作用。
(2)第2级信息系统(系统审计保护级)
具有第 2 级安全的信息系统由系统的所有者在信息安全监管职能部门指导下,依照国家管理规范和技术标准进行安全保护。按照剩余风险可接受原则,通过风险分析确定安全要求。技术方面的安全保护包括对信息系统的运行进行一定的保护和并对信息系统中所存储、传输和处理的数据进行一定的安全保护,以提供系统和数据的一定强度保密性、完整性和可用性;管理方面的安全包括从人员、法规、机构、制度及规程等方面采取一定的管理措施,确保安全技术的安全性达到预期的目标。
按照GB 17859—1999 4.2中对系统审计保护级的要求,从5个层面对信息系统进行安全保护。既保护系统的安全性,又保护数据的安全性。在第 1 级安全的基础上,该级增加了审计与客体重用(剩余信息保护)等安全要求。身份鉴别则要求在系统的整生命周期中每一个用户具有唯一标记,并使用户对自己的行为负责。具有可查性,同时要求自主访问控制具有更细的访问控制粒度。
在系统安全方面,要求能提供一定程度的系统安全运行支持,以提供所需要的系统服务;在数据安全方面,对数据在保密性、完整性、可用性、可控性及抗抵赖方面均有一定的要求;在安全性保证方面,要求安全机制具有一定的自身安全控制,按要求进行安全功能的设计、实现及管理;在安全管理方面,要求具有一定的安全管理措施。健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,从而确保系统所设置的各种安全功能发挥其应有的作用。
(3)第3级信息系统(安全标记保护级)
具有第 3 级安全的信息系统由系统所有者在信息安全监管职能部门的监督、检查及指导下,依照国家管理规范和技术标准进行安全保护。按照剩余风险可接受原则,通过风险分析确定安全要求。技术方面的安全保护包括对信息系统的运行进行较严格的保护和对信息系统中存储、传输和处理的数据进行较严格的安全保护,以提供系统和数据的较高强度保密性、完整性和可用性;管理方面的安全包括从人员、法规、机构、制度及规程等方面采取较严格的管理措施,确保安全技术的安全性达到预期的目标。
按照GB 17859—1999 4.3中对安全标记保护级的要求,从5个层面对信息系统进行安全保护。既保护系统安全性,又保护数据的安全性。在第 2 级安全的基础上,该级增加了标记和强制访问控制要求,增强了特权用户管理,要求对系统管理员、系统安全员和系统审计员的权限进行分离和限制。同时对身份鉴别、审计、数据完整性、数据保密性和可用性等安全功能均有更进一步的要求,要求使用完整性敏感标记确保信息在网络传输中的完整性。
在系统安全方面,要求有较高程度的系统安全运行支持,以提供所需要的系统服务;在数据安全方面,对数据在保密性、完整性、可用性、可控性及抗抵赖方面均有较高的要求,需要有较高强度的密码技术支持的保密性、完整性和抗抵赖机制;在安全性保证方面,要求安全机制具有较高程度的自身安全控制,按要求进行安全功能的设计、实现及管理;在安全管理方面,要求具有较严格的安全管理措施。实现安全机制集中管理,健全各项安全管理的规章制度。并对各类人员进行不同层次要求的安全培训等,从而确保系统所设置的各种安全功能发挥其应有的作用。
(4)第4级信息系统(结构化保护级)
具有第4级安全的信息系统由系统所有者在信息安全监管职能部门的强制监督、检查及指导下,依照国家管理规范和技术标准进行安全保护。按照剩余风险可接受原则,通过风险分析确定安全要求。技术方面的安全保护包括对信息系统进行保护和对信息系统中存储、传输和处理的数据进行安全保护,以提供系统和数据的高强度保密性、完整性和可用性;管理方面的安全包括从人员、法规、机构、制度及规程等方面采取严格的管理措施,确保安全技术的安全性达到预期的目标并弥补技术方面的不足。
按照GB 17859—1999 4.4中对结构化保护级的要求,从5个层面对信息系统进行安全保护。既保护系统的安全性,又保护数据的安全性。在第 3 级安全的基础上,该级要求将自主访问控制和强制访问控制扩展到系统中的所有主体与客体,并包括对输入/输出数据的控制。相应的其他安全要求,如数据存储保护和传输保护也应有所增强,对用户初始登录和鉴别通过TCB提供的与登录用户之间的“可信路径”。本级强调通过结构化设计方法使其具有的安全功能具有更高的安全强度,使设计与实现能更充分地测试和更完整地复审,使系统具有相当的抗渗透能力,并通过对“存储隐蔽信道”的分析增强系统的安全性。
在系统安全方面,要求有更高程度的系统安全运行支持,以提供所要的系统服务;在数据安全方面,对数据在保密性、完整性和可用性、可控性及抗抵赖方面均有更高的要求,需要有更高强度的密码技术支持的保密性、完整性和抗抵赖机制;在安全性保证方面,要求安全机制具有更高的自身安全控制,按要求进行安全功能的设计、实现及管理;在安全管理方面,要求具有更严格的安全管理措施。实现安全机制的集中管理。并健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,从而确保系统所设置的各种安全功能发挥其应有的作用。对于某些从技术上还不能实现的安全要求可以通过增强安全管理或物理隔离的方法实现。
(5)第5级信息系统(访问验证保护级)
具有第 5 级安全的信息系统由系统所有者在国家指定的专门部门和专门机构的专门监督下,依照国家管理规范和技术标准进行安全保护。技术方面的安全包括采用技术及非技术措施对信息系统的运行进行和对信息系统中存储、传输和处理的数据进行安全保护,以提供系统和信息的最高强度保密性、完整性和可用性;管理方面的安全控制包括从人员、法规、机构、制度及规程等方面采取最严格的管理措施,确保安全技术的安全性达到预期的目标并弥补技术方面的不足。
按照GB 17859—1999 4.5中的要求,从5个层面对信息系统进行安全保护。既保护系统安全性,又保护数据的安全性。在第4级安全的基础上,该级提出了可信恢复的要求,并要求TCB在用户登录时建立用户之间的“可信路径”,同时在逻辑上与其他通信路径相隔离。本级重点强调“访问监控器”本身的可验证性,要求访问监控器仲裁主体对客体的所有访问。并且其本身是抗篡改的,必须足够小。能够分析和测试,同时在设计和实现TCB时从系统工程角度将其复杂性降低到最小程度。
在系统安全方面,要求有最高程度的系统安全运行支持,以提供所需要的系统服务;在数据安全方面,对数据在保密性、完整性、可用性、可控性及抗抵赖方面均有最高要求,需要有最高强度的密码技术支持的保密性、完整性和抗抵赖机制;在安全性保证方面,要求安全机制具有最高的自身安全控制,以及安全的设计、实现及管理;在安全管理方面,要求具有最严格的安全管理措施,实现安全机制的集中管理。健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,从而确保系统所设置的各种安全功能发挥其应有的作用。对于某些从技术上还不能实现的安全要求可以通过增强安全管理或物理隔离的方法加以实现。
1.2.4 我国信息安全等级保护制度
按照中办[2003]27 号文件关于在我国“实行信息安全等级保护”的要求,公通字[2006]66号文件(《关于信息安全等级保护工作的实施意见》)和公通字[2007]43号文件(《信息安全等级保护管理办法》),对信息安全等级保护的实施和管理做出了具体规定。以下根据有关文件的规定简要介绍我国信息安全等级保护制度。
1.信息安全等级保护制度的意义与作用
实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平,其意义与作用如下。
(1)在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。
(2)为信息系统安全建设和管理提供系统性、针对性及可行性的指导和服务,有效控制信息安全建设成本。
(3)优化信息安全资源配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉及社会稳定等方面重要信息系统的安全。
(4)明确国家、法人和其他组织及公民的信息安全责任,加强信息安全管理。
(5)推动信息安全产业的发展,逐步探索出一条适应我国社会主义市场经济发展的信息安全模式。
2.信息安全等级保护制度的基本内容
等级保护制度从总体上要求在以下几个方面实施信息安全等级保护。
(1)对国家秘密信息、法人和其他组织及公民的专有信息,以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护。
(2)对信息系统中使用的信息安全产品按等级管理。
(3)对信息系统中发生的信息安全事件分等级响应并处置。
(4)国家对不同安全保护级别的信息和信息系统按以下5级实行不同强度的监管政策。
第1级 自主保护:依照国家管理规范和技术标准进行自主保护。
第2级 指导保护:依照国家管理规范和技术标准进行保护,接受信息安全监管职能部门的指导。
第3级 监督保护:依照国家管理规范和技术标准进行保护,接受信息安全监管职能部门的监督和检查。
第 4 级 强制保护:依照国家管理规范和技术标准进行保护,接受信息安全监管职能部门的强制监督和检查。
第5级 专控保护:依照国家管理规范和技术标准进行保护,接受国家指定的专门部门及专门机构的专门监督和控制。
3.信息安全等级保护制度的核心和基本原则
等级保护制度的核心是对信息系统分等级并按标准进行建设、管理和监督,实施信息安全等级保护制度应遵循以下基本原则。
(1)明确责任,共同保护:国家、法人和其他组织,以及公民共同参与信息安全保护工作,按规范和标准分别承担相应的安全保护责任。
(2)依照标准,自行保护:信息和信息系统的所有者按照相应标准的建设和管理要求自行保护。
(3)同步建设,适度保护:在新建、改建及扩建信息系统时应同步建设信息安全设施,应根据等级保护的管理规范和技术标准的要求确定信息系统的安全保护等级。
(4)指导监督,重点保护:国家指定信息安全监管职能部门通过备案、指导、检查及督促整改等方式对重要信息和信息系统的信息安全保护工作进行指导监督,国家重点保护涉及国家安全、经济命脉及社会稳定的基础信息网络和重要信息系统。
4.信息安全等级保护制度总体要求
根据66号文件的规定,贯彻实施信息安全等级保护制度的总体要求是突出重点、分级负责、分类指导并分步实施,按照谁主管谁负责及谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。
5.信息安全等级保护制度的具体要求
实施信息安全等级保护制度应做好以下6个方面工作。
(1)完善标准及分类指导
制定系统完整的信息安全等级保护管理规范和技术标准,并根据工作开展的实际情况不断予以补充完善。信息安全监管职能部门对不同重要程度的信息和信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展。
(2)科学定级及严格备案
信息和信息系统的运营使用单位按照等级保护的管理规范和技术标准确定其信息和信息系统的安全保护等级,并报其主管部门审批同意。
对于包含多个子系统的信息系统,在保障信息系统安全互联和有效信息共享的前提下,应当根据等级保护的管理规定、技术标准和信息系统内各子系统的重要程度分别确定安全保护等级,跨地域的大系统实行纵向保护和属地保护相结合的方式。
国务院信息化工作办公室组织国内有关信息安全专家成立信息安全保护等级评审委员会。重要的信息和信息系统的运营、使用单位及其主管部门在确定信息和信息系统的安全保护等级时,应请信息安全保护等级专家评审委员会给予咨询评审。
安全保护等级在 3 级以上信息系统由运营使用单位报送本地区地市级公安机关备案,跨地域的信息系统由其主管部门向其所在地的同级公安机关进行总备案,其分系统分别由当地运营使用单位向本地区地市级公安机关备案。
信息安全产品使用的分等级管理及信息安全事件分等级响应及处置的管理办法由公安部会同保密局、国密办、工业和信息化部和认监委等部门制定。
(3)建设整改及落实措施
已有信息系统的运营使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准采购并使用相应等级的信息安全产品。建设安全设施,落实安全技术措施,并且完成系统整改。对新建、改建及扩建的信息系统应当按照等级保护的管理规范和技术标准进行信息系统的规划、设计和建设施工。
(4)自查自纠及落实要求
信息和信息系统的运营使用单位及其主管部门按照等级保护的管理规范和技术标准对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改。加强和完善自身信息安全等级保护制度的建设,加强自我保护。
(5)建立制度及加强管理
信息和信息系统的运营使用单位及其主管部门按照与本系统安全保护等级相对应的管理规范和技术标准的要求定期进行安全状况检测评估,及时消除安全隐患和漏洞。建立安全制度,制定不同等级信息安全事件的响应及处置预案,并且加强信息系统的安全管理。信息和信息系统的主管部门应当按照等级保护的管理规范和技术标准的要求做好监督管理工作,发现问题,及时督促整改。
(6)监督检查及完善保护
公安机关按照等级保护的管理规范和技术标准的要求,对第3级及第4级信息和信息系统的安全等级保护状况进行监督检查。发现确定的安全保护等级不符合等级保护的管理规范和技术标准,要通知信息和信息系统的主管部门及运营使用单位进行整改;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息和信息系统的安全保护措施更加完善。
对信息系统中使用的信息安全产品的等级进行监督检查,对第 5 级信息和信息系统的监督检查由国家指定的专门部门及专门机构按照有关规定进行。
国家保密工作部门、密码管理部门及其他职能部门按照职责分工进行指导、监督和检查。
对于各单位和各部门来讲,信息安全等级保护制度的贯彻实施需要从现在做起,培养人才并积累经验,至少应做到如下两个方面。
(1)把现有信息系统中的安全机制开动起来,通过使用培养人才并积累经验。
(2)熟悉已有的安全标准的内容,着手准备制定等级化的信息安全系统规划/方案。