美国信息系统等级化保护的探讨

美国信息系统等级化保护的探讨时间：2010-03-0716:54:49作者：佚名来源：天融信浏览次数：148美国联邦信息处理标准（FIPS）是（NIST）制定的一类安全出版物，多为强制性标准。FIPS199《联邦信息和信息系统安全分类标准》（2003年12月最终版）描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。信息和信息系统的“安全类别”是FIPS199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。具体以信息和信息系统的三类安全目标（保密性、完整性和可用性）来表现，即，丧失了保密性、完整性或可用性，对机构运行、机构资产和个人产生的影响。FIPS199定义了三种影响级：低、中、高。FIPS199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。首先，确定系统内的所有信息类型。FIPS199指出，一个信息系统内可能包含不止一种类型的信息（例如隐私信息、合同商敏感信息、专属信息、系统安全信息等）。其次，根据三类安全目标，确定不同信息类型的潜在影响级别（低、中、高）。最后，整合系统内所有信息类型的潜在影响级，按照“取高”原则，即选择较高影响级别作为系统的影响级（低、中、高）。最终，系统安全类别（SC）的通用表达式为：SC需求系统＝{(保密性，影响级)，(完整性，影响级)，(可用性，影响级)}为配合FIPS199的实施，NIST分别于2004年6月推出了SP800－60第一、二部分，《将信息和信息系统映射到安全类别的指南》及其附件。其中详细的介绍了联邦信息系统中可能运行的所有信息类型；并针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。这样，系统在确定等级的第一步—确认信息类型，并确定其影响级别时，有了很好的参考意见。而美国国防部对信息系统的分级与联邦政府有所不同，主要把信息系统的信息分类为业务保障类和保密类，同时对这两类进行了分级的要求，该分级要求发布在2003年2月的信息保障实施指导书（8500.2）中。总的来讲，8500.2也采用了三性：完整性、可用性和保密性对国防部的信息系统进行级别划分。需要特别提出的是，考虑到完整性和可用性在很多时候是相互联系的，无法完全分出，故在8500.2中将二者合为一体，提出一个新概念“业务保障类”。同时考虑到国防部信息系统所处理的信息的特殊性，故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度，分别分为三个等级。保密类级别根据系统处理信息的保密类型：机密类、敏感类和公开类来确定级别（高、中、基本）。业务保障级别和保密级别是相互独立的，也就是说业务保障类I可以处理公共信息，而业务保障类III可以处理机密信息。不同级别的业务保障类和保密类相互组合，形成九种组合，体现不同系统的等级要求。综上所述，无论是联邦政府还是国防部，在考虑系统分级因素的时候，都给予了信息系统所处理、传输和存储的信息以很大的权重。NIST的系统影响级是完全建立在信息影响级基础之上的；而国防部考虑到其所处理的信息的密级，故将信息的保密性单独作为一项指标。可见，系统所处理的信息的重要性可作为我们划分等级时的重要依据。二、安全措施的选择信息系统的保护等级确定后，有一整套的标准和指南规定如何为其选择相应的安全措施。NIST的SP800－53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集（包括管理、技术和运行类）。为帮助机构对它们的信息系统选择合适的安全控制集，该指南提出了基线这一概念。基线安全控制是基于FIPS199中的系统安全分类方法的最小安全控制集。针对三类系统影响级，800－53列出三套基线安全控制集（基本、中、高），分别对应于系统的影响等级。800－53中提出了三类安全控制：管理、技术和运行。每类又分若干个族（共18个），每个族又由不同的安全控制组成（共390个）。集合了美国各方面的控制措施的要求，来源包括:1.FISCAM(联邦信息系统控制审计手册)；2.DOD8500（信息保障实施指导书）；3.SP800-26(信息技术系统安全自评估指南)；4.CMS（公共健康和服务部，医疗保障和公共医疗补助，核心安全需求）；5.DCID6/3(保护信息系统的敏感隔离信息)；6.ISO17799（信息系统安全管理实践准则）。来源的广泛性，体现了安全控制措施的适用性和恰当性。需要指出的是，800－53只是作为选择最小安全控制的临时性指南，NIST将于2005年12月推出FIPS200《联邦信息系统最小安全控制》标准，以进一步完善信息系统的安全控制。区别于SP800-53中“类”的概念，国防部8500.2提出了“域”的概念，八个主题域分别为：安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全控制。对应系统的业务保障类级别和保密类级别，安全控制也分为业务保障类安全控制I、II、III级和保密类安全控制三级。机构可根据自身对业务保障类和保密类安全要求，选择相应的安全控制。由以上介绍可以看出，美国在推行系统分级实施不同安全措施方面，虽然只是近几年才开展，但已经积累了一些成熟的经验，并形成了一套完整的体系。尤其是联邦政府的信息系统，根据2002年《联邦信息安全管理法案》（FISMA）（公共法律107－347），赋予了NIST以法定责任开发一系列的标准和指南。因此，从系统信息类型定义，到如何确定影响级，到安全控制的选择，直至最终的系统安全验证和授权，NIST都给出了配套的指南或标准来支持。这些都为我国推行等级保护铺垫了良好的基础，提供了有效的经验。