信息安全等级保护政策和标准体系综述

信息通信技术58信息安全等级保护政策和标准体系综述宋言伟马钦德张健联通系统集成有限公司山东省分公司济南250100摘要基础信息网络及信息系统是国家和社会发展的重要战略资源，社会发展对信息化的依赖程度越来越高，保障基础网络和重要信息系统安全，维护国家安全、保障社会稳定和经济命脉，是信息化发展中必须要解决的重大问题。本文系统论述了国家信息安全等级保护政策和标准体系，为信息系统的安全运营提供参考。关键词信息安全；等级保护；政策；标准引言信息安全分等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法。1998年1月美国国防部制定了《国防信息保障纲要》，1998年5月又制定了《信息保障技术框架》，2002年，通过了《联邦信息安全管理法案》，规定必须对联邦政府信息系统进行安全评估并备案，为美国政府机构信息系统改善信息安全问题设定了目标，也被称为美国电子政务法案。以《可信计算机系统评估准则》为核心的彩虹系列标准的颁布推行代表着美国以分等级管理为手段来保护关键信息化基础设施思路的形成，《信息保障技术框架(IATF)》、《联邦信息处理标准(NIST)》等一系列标准的颁布推行，则标志着以分等级保护、有重点保护为核心的国家信息安全保障体系的确立。为确保信息安全管理体系的实施效果，2004年1月，美国成立了“全国信息保障委员会”、“全国信息保障同盟”和“关键基础设施信息保障办公室”等10多个全国性的信息安全机构来负责指导、推进和监管信息系统安全相关政策、标准的落实，911事件后，美国将信息安全监管的职责交给了新成立的国土安全部[1]。我国党中央和国务院高度重视信息安全保障工作，2003年7月，国家信息化领导小组审议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，明确指出将等级保护制度作为我国信息安全领域的一项基本制度，同时提出了需要加强信息保护和网络信任体系建设、信息安全监控体系建设、信息安全应急处理、信息安全技术研究开发、产业发展、法制和标准化建设、人才培养等一系列工作要求。1基本概念信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应和处置[1-2]。对信息系统的安全等级划分通常有两种描述形式，即根据安全保护能力划分安全等级的描述，和根据主体遭受破坏后对客体的破坏程度划分安全等级的描述这两种形式。信息系统根据安全保护能力被划分为五个等级：第一级为用户自主保护级；第二级为系统审计保护级；第三级为安全标记保护级，第四级为结构化保护级；第五级为访问验证保护级[3]。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度，遭受技术广角20100659破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级：第一级为自主保护级；第二级为指导保护级；第三级为监督保护级；第四级为强制保护级；第五级为专控保护级[2]。按照两种等级划分描述的对应关系如表1所示。信息系统等级保护工作主要分为五个环节，定级、备案、建设整改、等级测评和监督检查[4]。定级工作：对信息系统进行定级是等级保护工作的基础，定级工作的流程是确定定级对象、确定信息系统安全等级保护等级、组织专家评审、主管部门审批、公安机关审核。备案工作：信息系统定级以后，应到所在地区的市级以上公安机关办理备案手续，备案工作的流程是信息系统备案、受理、审核和备案信息管理等。建设整改工作：信息系统安全等级定级以后，应根据相应等级的安全要求，开展信息系统安全建设整改工作：对于新建系统，在规划设计时应确定信息系统安全保护等级，按照等级要求，同步规划、同步设计、同步实施安全保护技术措施；对于在用系统，可以采取“分区、分域”的方法，按照“整体保护”原则进行整改方案设计，对信息系统进行加固改造。等级测评工作：信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级测评过程可以分为四个活动：测评准备、方案编制、现场测评与分析、报告编制等，常用的测评方法是访谈、检查和测试[5-6]。监督检查工作：公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，监督、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。2政策体系近几年以来，为组织开展信息安全等级保护工作，国家相关部委(主要是公安部牵头组织，会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门)相继出台了一系列文件，对具体工作提供了指导意见和规范，这些文件初步构成了信息安全等级保护政策体系，如图1所示。《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别为信息安全保护工作提供了法律依据和政策依据。前者是国务院于1994年发布的第147号令，明确规定了“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。后者又称“中办发[2003]27号”文件，明确指出：“实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等级第一级第二级第三级第四级第五级监管强度自主保护级指导保护级监督保护级强制保护级专控保护级侵害客体及侵害程度信息系统受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共权益信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共权益造成损害，不影响国家安全信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害信息系统受到破坏后，会对国家安全造成特别严重损害保护能力用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级表1信息系统安全等级划分对应表BroadAngleforTechnology信息通信技术60等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是对等级保护工作的开展提供宏观指导的两个政策文件。前者的主要内容是贯彻落实信息安全等级保护制度的基本要求；明确等级保护工作的基本内容、工作要求和实施计划；以及各部门工作职责分工等。后者的主要内容是明确了信息安全等级保护制度的基本内容、流程及工作要求；信息系统定级、备案、安全建设整改和等级测评的事实与管理；信息安全产品和测评机构选择等。《关于开展全国重要信息系统安全等级保护定级工作的通知》是指导定级环节工作的政策文件，该通知部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作的全面开展。《信息安全等级保护备案实施细则》是指导备案环节工作的政策文件，该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，指导各级公安机关受理信息系统备案工作。《关于开展信息系统等级保护安全建设整改工作的指导意见》和《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》是指导安全建设整改环节工作的政策文件。前者明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等；后者要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》和《关于印发信息系统安全等级测评报告模板(试行)的通知》是指导等级测评环节工作的政策文件。前者确定了开展信息安全等级保护测评体系建设和等级测评工作的目标、内容和工作要求，规定了测评机构的条件、业务范围和禁止行为，规范了图1信息安全等级保护法律政策体系[1]技术广角20100661测评机构申请、受理、测评工程师管理、测评能力评估、审核、推荐的流程和要求；后者明确了等级测评活动的内容、方法和测评报告格式等。《公安机关信息安全等级保护检查工作规范(试行)》是指导监督检查环节工作的政策文件，规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等。以上政策文件构成了信息系统安全等级保护工作开展的政策体系，为了组织开展等级保护工作、建设整改工作和等级测评工作明确了工作目标、工作要求和工作流程。3标准体系为推动我国信息安全等级保护工作，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，为开展等级保护工作提供了标准保障。这些标准可以分为基础类、应用类、产品类和其他类，已经发布和提交报批的标准分类统计如表2所示，这些标准与等级保护工作之间的关系如图2所示。表2信息系统安全等级保护相关标准列表标准类型基础类应用类产品类其他类子类型//信息系统定级等级保护实施信息系统安全建设等级测评操作系统数据库网络PKI网关服务器入侵检测防火墙路由器交换机其他产品风险评估事件管理标准名称计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全保护等级定级指南(GB/T22240-2008)信息系统安全等级保护实施指南(信安字[2007]10)信息系统安全等级保护基本要求(GB/T22239-2008)信息系统通用安全技术要求(GB/T20271-2006)信息系统等级保护安全设计技术要求(GB/T24856-2009)信息系统安全管理要求(GB/T20269-2006)信息系统安全工程管理要求(GB/T20282-2006)信息系统物理安全技术要求(GB/T21052-2007)网络基础安全技术要求(GB/T20270-2006)信息系统安全等级保护体系框架(GA/T708-2007)信息系统安全等级保护基本模型(GA/T709-2007)信息系统安全等级保护基本配置(GA/T710-2007)信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T713-2007)操作系统安全技术要求(GB/T20272-2006)操作系统安全评估准则(GB/T20008-2005)数据库管理系统安全技术要求(GB/T20273-2006)数据库管理系统安全评估准则(GB/T20009-2005)网络端设备隔离部件技术要求(GB/T20279-2006)网络端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品技术要求(GB/T20278-2006)网络脆弱性扫描产品测试评价方法(GB/T20280-2006)网络交换机安全技术要求(GA/T684-2007)虚拟专用网安全技术要求(GA/T686-2007)公钥基础设施安全技术要求(GA/T687-2007)PKI系统安全等级保护技术要求(GB/T21053-2007)网关安全技术要求(GA/T681-2007)服务器安全技术要求(GB/T21028-2007)入侵检测系统技术要求和检测方法(GB/T20275-2006)计算机网络入侵分级要求(GA/T700-2007)防火墙安全技术要求(GA/T683-2007)防火墙技术测评方法(报批稿)信息系统安全等级保护防火墙安全配置指南(报批稿)防火墙技术要求和测评方法(GB/T20281-2006)包过滤防火墙评估准则(GB/T20010-2005)路由器安全