1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。1.1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:FIPS199StandardsforSecurityCategorizationofFederalInformationandInformationSystems(美国国家标准和技术研究所)DoDINSTRUCTION8510.1-MDoDInformationTechnologySecurityCertificationandAccreditationProcessApplicationManual(美国国防部)DoDINSTRUCTION8500.2InformationAssurance(IA)Implementation(美国国防部)InformationAssuranceTechnologyFramework3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。FIPS199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。根据FIPS199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的潜在影响将信息分类,影响程度可为高、中或低。例如某政府采购系统中,包含合同信息和管理信息,各自的信息分类为:SC合同信息={(保密性,中),(完整性,中),(可用性,低)SC管理信息={(保密性,低),(完整性,低),(可用性,低)该政府采购系统分类的各项,将是系统中所有信息分类的三性取值中的最高值:SC政府采购系统={(保密性,中),(完整性,中),(可用性,低)尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类,没有明确说明信息系统的安全等级,但从与该标准配套的安全控制措施(SP800-53等)内容来看,最终信息系统的等级是由分类中的较高者决定。8510.1-M为美国国防部发布的DITSCAP计划提供实施手册,DITSCAP计划的主要目的是保护国防信息基础设施,适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构。在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上,DITSCAP的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。这四个认证级别是:1级—基本的安全评审,2级—最小分析,3级—详细分析,4级—复杂分析。8510.1-M提出用于描述系统的7个特征量,互联模式、处理模式、归因性(责任追溯)业务依赖性、信息三性等,根据对这7个特征量赋权值,得出某个信息系统的总的权值,再根据权值所处的区间,确定信息系统的认证级别。8500.2没有直接针对信息系统分级,但给出了两种分等级的信息保障需求,一种是按信息保密性分级,DoD定义了三个保密性等级:保密、敏感和公开,另一种是按业务保障分类(MissionAssuranceCategory):MACⅠ、MACII和MACIII,由此可以排列出9种组合。保密性分级反映了系统内所处理的信息的重要程度,业务保障类反映了与DoD实现业务目标相关的重要性,业务保障类主要用于满足完整性和可用性方面的需求,其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施。《信息保障技术框架》(IATF)由美国国家安全局主持编制,其所面向的对象既包括Internet这样的全球信息基础设施,也包括国家信息基础设施,以及作为机构专有资源以实现其业务的本地信息基础设施。IATF为安全机制的强度和实现保证提出了三个强健度等级(SML),并对资产按其信息价值分为5个等级,威胁环境按其强弱分为7个等级,以矩阵表的方式给出了35种情况下可以选择的强健度等级。信息系统的所有者可以根据其信息价值与可能面临的威胁环境,选择系统安全保护的强健度等级和信息技术产品的评估保证级别(EAL)。1.1.3定级指南编制原则通过分析可以发现上述定级方法分别在不同方面不能满足我国等级保护的需要,具体分析如下:FIPS199可能是与我们的需求最为接近的一种信息系统定级方法,它以信息安全保密性、完整性和可用性需求中的最高者作为信息系统的安全等级,用于美国联邦政府信息系统的保护可能合适,但我国的等级保护面向国内所有行业,包括那些生产系统和自动化处理系统,这些系统对信息保密性要求不高,而对业务安全保障要求非常高,三性取高的定级方法,没有反映出这些系统的安全需求特点,可能造成对多数系统要求过高而无法实现。8510.1-M确定的是用于管理的认证级,各等级之间没有安全保护强度的差别,而等级保护的定级应当反映保护强度和保护能力的逐级提高。8500.2没有明确提出定级方法,当两种信息保障类别排列出不同组合时,没有给出信息系统等级如何确定,但它提出两类信息保障的不同需求组合,反映信息系统不同安全需求的做法值得借鉴。IATF提出的是信息系统的强健性等级,不是信息系统安全等级,没有反映信息系统的安全需求。但它提出了根据信息价值和信息系统面临的威胁环境强度决定信息系统的保护强度的概念,值得借鉴。究其原因,上述国外标准和文献资料一般针对特定系统,在特定系统中适用,但不能满足我国在全国范围内、在所有行业内开展等级保护工作的要求。因此必须在对国外资料进行研究和吸收的基础上,探索适合我国国情、简便易行的定级方法。因此,等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异。从这一点出发考虑,信息系统安全保护等级定级的出发点应当是信息系统所承载的业务,或称业务应用的重要性。此外,我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。”(摘自《实施意见》)。由此可以看出,《定级指南》既要有较大的通用性,也应具备一定的灵活性。因此在编制过程中坚持以下原则:满足管理要求原则:《定级指南》所确定的信息系统安全保护等级不是信息系统安全保障程度等级,因此也不是信息系统的技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级;全局性原则:信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等级的定级也必须从国家层面考虑,体现全局性;业务为核心原则:信息系统是为业务应用服务的,信息系统的安全保护等级应当反映信息系统承载业务的重要性,应以业务为出发点和核心,将信息重要性纳入业务重要性统筹考虑;合理性原则:充分反映出信息系统的主要安全特征,优化结构、降低投资、突出重点,有效保护。1.1.4主要编制过程《信息系统安全保护等级划分准则》初稿于2005年5月完成,其中提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度,通过信息系统所属类型和业务数据类型可以确定业务数据安全性等级,通过信息系统服务范围和业务自动化处理程度及调节因子,可以确定业务服务连续性等级。经向业内专家,安全服务企业专家以及部分用户进行了较为广泛的征求意见,根据各方意见,编制小组对文档名称(建议改为定级指南)、形式和内容均进行了多处修改,形成《信息系统安全保护等级分准则定级指南》(以下简称《定级指南》)征求意见稿第1稿。2005年10月国信办安全组召开定级评审专家组对《定级指南》征求意见稿第1稿进行了专家评审,根据评审意见,编制小组对文稿进行了修改。主要修改为:在信息系统划分中将从业务流程角度划分与从业务类型角度划分两方面合并,补充说明设置调节因子的理由,将第五级的定级方法处理成在四级的基础上根据有关部门的需要另行制定。由此形成定级指南征求意见稿第2稿。2005年11月编制组分两次向定级评审专家组专家征求对定级指南征求意见稿第2稿的意见,根据专家意见,修改子系统划分方面内容,将信息系统/子系统统称为信息系统,明确定级对象是信息系统,信息系统内可以包含业务子系统,突出根据业务重要性划分信息系统。进一步强调三性作为信息系统重要安全属性在确定定级要素赋值方面的作用,突出信息和服务两个定级指标,将调节因子的赋值方法从定值改为区间赋值,由此形成定级指南征求意见稿第3稿,即等级保护试点工作中采用的试用版本。通过2006年1月-10月在全国开展的信息系统基础调查工作和等级保护试点工作,各试点单位将《定级指南》使用过程中发现的问题以书面形式提交公安部。编写组根据试点单位提出的意见,取消调节因子,将四个定级要素改为业务信息类型、业务信息受到破坏影响的客体,系统服务类型和系统服务受到破坏影响的客体,由前两个要素确定业务信息安全性等级,后两个要素确定系统服务安全性等级。为帮助使用者确定定级对象,增加了定级对象三个特征的描述,形成定级指南征求意见稿第4稿。2007年4月对定级指南征求意见稿第4稿评审专家提出四个要素应分出主次,应当明确体现影响程度等意见。经修改,为区别信息系统本身与信息系统安全受到破坏所影响的客体,在本次修改中提出了等级保护对象、受侵害的客体、客体侵害的客观方面等援引自法律文件中的术语,以更加准确地表达等级差别的内在含义,并将受侵害的客体作为主导要素,侵害的程度作为相关要素,相应地修改了定级步骤。由此形成定级指南征求意见稿第5稿。2007年5月全国信息安全标准化技术委员会第五工作组组织工作组成员对定级指南征求意见稿第5稿进行了评审,专家主要对法律上“客体”概念与技术标准中的“客体”概念不一致,容易造成混淆,建议更改,但由于没有更合适的概念替代,暂时没有修改,这个概念一直保留到报批稿。1.2定级原理和定级要素1.2.1定级原理等级保护是我国实施信息安全管理的基本制度,信息系统安全保护等级是为行政管理服务的等级,不是纯粹的技术等级。因此《定级指南》确定的等级必须与相关管理文件的规定保持一致。根据《信息安全等级保护管理办法》,信息系统的5个安全保护等级为:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第