信息安全等級保護(hù)重要標(biāo)準(zhǔn)解讀

韓雪紅

（鐵路公安局，北京 100844）

信息安全等級保護(hù)重要標(biāo)準(zhǔn)解讀

韓雪紅

（鐵路公安局，北京 100844）

我國已形成了一套以信息安全等級保護(hù)為基礎(chǔ)，包含基礎(chǔ)、應(yīng)用、產(chǎn)品等類別的信息安全等級保護(hù)標(biāo)準(zhǔn)體系，將標(biāo)準(zhǔn)體系的若干重要標(biāo)準(zhǔn)在按照其在等級保護(hù)實施的不同階段的作用劃分為定級、規(guī)劃、設(shè)計與建設(shè)以及運維階段標(biāo)準(zhǔn)，從標(biāo)準(zhǔn)框架、主要內(nèi)容、行業(yè)指導(dǎo)意義3個方面對標(biāo)準(zhǔn)進(jìn)行解讀，旨在以點帶面闡述各類標(biāo)準(zhǔn)在信息等級保護(hù)不同階段的應(yīng)用和對行業(yè)開展等級保護(hù)工作的指導(dǎo)意義。

信息安全；等級保護(hù)；標(biāo)準(zhǔn)解讀

信息安全等級保護(hù)工作是我國在信息化發(fā)展過程中對信息系統(tǒng)實施安全保護(hù)的基本制度、應(yīng)對方法和實施策略。2004 年9月，我國頒布了《關(guān)于信息安全等級保護(hù)工作的實施意見》，隨后于2007年6月頒布了《信息安全等級保護(hù)管理辦法》（公通字[2007]43）號文件，該文件確定了等級保護(hù)制度的基本內(nèi)容、要求和工作流程，而后頒布了定級、等級劃分、實施和測評相關(guān)的多個多家標(biāo)注你，初步形成了我國信息安全等級保護(hù)工作的標(biāo)準(zhǔn)體系。

1 標(biāo)準(zhǔn)體系

目前國家已經(jīng)出臺60余個信息安全等級保護(hù)標(biāo)準(zhǔn)，包括基礎(chǔ)類、應(yīng)用類、產(chǎn)品類等類別的標(biāo)準(zhǔn)，在信息安全等級保護(hù)定級規(guī)劃、設(shè)計和運維4個階段發(fā)揮重要作用的標(biāo)準(zhǔn)目前共8個，本文旨在對這8類標(biāo)準(zhǔn)從標(biāo)準(zhǔn)框架、標(biāo)準(zhǔn)內(nèi)容和對行業(yè)指導(dǎo)意義3個方面進(jìn)行解讀。

2 各階段標(biāo)準(zhǔn)解讀

各階段依據(jù)的重要標(biāo)準(zhǔn)如圖1所示。

圖1 信息安全等級保護(hù)各階段依據(jù)的重要標(biāo)準(zhǔn)

2.1 定級階段

信息安全等級保護(hù)第一個環(huán)節(jié)是定級，定級是開展等級測評、建設(shè)監(jiān)督和檢查整改等工作的基礎(chǔ)。在定級階段，應(yīng)依據(jù)《信息系統(tǒng)等級保護(hù)定級指南》[1]（簡稱：定級指南）對信息系統(tǒng)進(jìn)行等級評估和認(rèn)定。

2.1.1 總體框架

《定級指南》是在《信息安全等級保護(hù)管理辦法》的基礎(chǔ)上，主要從定級原理、定級方法和等級變更3個方面描述了如何對信息系統(tǒng)進(jìn)行等級確認(rèn)，為等級保護(hù)定級工作提供有效指導(dǎo)。

2.1.2 標(biāo)準(zhǔn)內(nèi)容

在《定級指南》的定級原理一節(jié)，定義了信息系統(tǒng)的5個安全等級，在定級方法一節(jié)中，說明了信息系統(tǒng)的安全包括系統(tǒng)服務(wù)安全和業(yè)務(wù)信息安全，并根據(jù)受侵害客體和對客體的侵害程度，來確定信息系統(tǒng)的服務(wù)安全保護(hù)級別和安全保護(hù)級別，最后綜合考慮取較高者為安全保護(hù)等級。

2.1.3 行業(yè)指導(dǎo)意義

各行業(yè)結(jié)合行業(yè)自身的特點和行業(yè)特殊性，出臺行業(yè)自己的定級指導(dǎo)意見或定級指南，被定級信息系統(tǒng)需要結(jié)合行業(yè)特點，綜合考慮，做到全地區(qū)信息系統(tǒng)等級保護(hù)定級的一致性。

2.2 規(guī)劃階段

在規(guī)劃階段，可依據(jù)GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護(hù)基本要求》[2]（簡稱 ：基本要求）來明確安全等級保護(hù)的基本需求。

2.2.1 總體框架

在《基本要求》中，將基本要求劃分為技術(shù)要求和管理要求，總計10個方面。技術(shù)要求分別為物理層安全要求、主機層安全要求、應(yīng)用層安全要求、網(wǎng)絡(luò)層安全要求、數(shù)據(jù)安全及備份恢復(fù)要求5個方面；管理要求分別為管理制度要求、管理機構(gòu)要求、人員管理要求、建設(shè)管理要求和運行維護(hù)管理要求5個方面。

2.2.2 標(biāo)準(zhǔn)內(nèi)容

在《基本要求》中，根據(jù)側(cè)重點不同，技術(shù)類安全要求可進(jìn)一步劃分為3個保護(hù)類，分別為通用安全、信息安全和服務(wù)保證。信息安全是指保護(hù)信息系統(tǒng)數(shù)據(jù)在傳輸、存儲避免被破壞和未授權(quán)的篡改；服務(wù)保證類是指避免系統(tǒng)遭受未授權(quán)修改和破壞，保障系統(tǒng)連續(xù)正常運行。

2.2.3 行業(yè)指導(dǎo)意義

行業(yè)如制定符合自身行業(yè)特點的規(guī)范和標(biāo)準(zhǔn)，可以根據(jù)行業(yè)自身特點和實際需求，依據(jù)《基本要求》開展行業(yè)自身的標(biāo)準(zhǔn)研究及制定工作。對于《基本要求》中提出的無法實現(xiàn)或有更加有效的安全措施，可在保證不降低整體安全保護(hù)能力的情況下對條款進(jìn)行適當(dāng)調(diào)整。

2.3 設(shè)計與建設(shè)階段

在系統(tǒng)設(shè)計和建設(shè)階段活動包含方案設(shè)計和技術(shù)措施，在此階段參考三類標(biāo)準(zhǔn)，分別為《計算機信息系統(tǒng)安全保護(hù)等級的劃分準(zhǔn)則》[3]、《信息系統(tǒng)通用安全的技術(shù)要求》[4]、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》[5]。

2.3.1 《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》解讀

2.3.1.1 總體框架

在《劃分準(zhǔn)則》中，在第1章范圍定義中首先明確了等級保護(hù)的五個等級，分別為第1級的用戶自主保護(hù)、第2級的系統(tǒng)審計保護(hù)，第3級的安全標(biāo)記保護(hù)，第4級的結(jié)構(gòu)化保護(hù)和第5級的訪問驗證保護(hù)；其次對敏感標(biāo)記、主、客體等專用術(shù)語進(jìn)行了定義；最后闡述了信息系統(tǒng)等級劃分的準(zhǔn)則。

2.3.1.2 主要內(nèi)容

《劃分準(zhǔn)則》的主要內(nèi)容是描述如何劃分信息系統(tǒng)安全等級保護(hù)的5個等級，其中，在用戶自主保護(hù)級中，從訪問控制、身份鑒別和數(shù)據(jù)完整性3個方面進(jìn)行劃分，在系統(tǒng)審計保護(hù)級中，新增了客體重用和審計；安全標(biāo)記保護(hù)級新增了強制訪問控制和標(biāo)記；結(jié)構(gòu)化保護(hù)級新增了隱蔽通道分析和可新路徑；訪問驗證保護(hù)級新增了可信恢復(fù)。

2.3.1.3 行業(yè)指導(dǎo)意義

《劃分準(zhǔn)則》屬于強制性技術(shù)規(guī)范，是各行業(yè)制定行業(yè)自身計算機信息系統(tǒng)安全法規(guī)和監(jiān)督檢查的依據(jù)性文件。其他技術(shù)標(biāo)準(zhǔn)均需以此標(biāo)準(zhǔn)作為基礎(chǔ)性標(biāo)準(zhǔn)。

2.3.2 《信息系統(tǒng)通用安全技術(shù)要求》解讀

本標(biāo)準(zhǔn)為信息系統(tǒng)的信息技術(shù)產(chǎn)品和安全產(chǎn)品技術(shù)選型提供依據(jù)。（1）為這些產(chǎn)品和設(shè)備的相關(guān)安全標(biāo)準(zhǔn)制定提供參考。（2）為信息系統(tǒng)選擇安全技術(shù)產(chǎn)品和設(shè)置安全設(shè)備的相應(yīng)安全機制提供指導(dǎo)。

2.3.2.1 總體框架

《信息系統(tǒng)通用安全技術(shù)要求》（簡稱：通用安全技術(shù)要求）針對信息系統(tǒng)所采用的安全技術(shù)要素，從安全保證和安全功能兩個方面，對安全技術(shù)要素的安全性提出了要求。

2.3.2.2 標(biāo)準(zhǔn)內(nèi)容

《通用安全技術(shù)要求》對1~5級應(yīng)達(dá)到的安全保證技術(shù)要求和安全功能技術(shù)要求分別進(jìn)行了描述。

2.3.2.3 行業(yè)指導(dǎo)意義

各行業(yè)在進(jìn)行等級保護(hù)建設(shè)過程中應(yīng)以《通用安全技術(shù)要求》為參照，落實安全保護(hù)技術(shù)措施。各行業(yè)安全技術(shù)人員在保證不降低信息系統(tǒng)的整體安全防護(hù)能力的前提下，可以依據(jù)自身行業(yè)特點采取變通方法實現(xiàn)。

2.3.3 《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》解讀

該標(biāo)準(zhǔn)是用于指導(dǎo)信息安全企業(yè)、信息安全服務(wù)機構(gòu)和信息系統(tǒng)運營使用單位等機構(gòu)開展信息系統(tǒng)等級保護(hù)安全技術(shù)的設(shè)計的參考標(biāo)準(zhǔn)。

2.3.3.1 總體框架

本標(biāo)準(zhǔn)從設(shè)計目標(biāo)、設(shè)計策略和設(shè)計技術(shù)要求等方面進(jìn)行了描述。

2.3.3.2 標(biāo)準(zhǔn)內(nèi)容

在本標(biāo)準(zhǔn)中，將信息系統(tǒng)設(shè)計分為安全管理中心、計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全設(shè)計4個部分。

安全計算環(huán)境是對已定級的信息系統(tǒng)的數(shù)據(jù)進(jìn)行存儲和、處理和進(jìn)行安全策略配置的體系；區(qū)域邊界安全設(shè)計是對安全計算環(huán)境間，安全通信網(wǎng)絡(luò)與安全計算環(huán)境間實現(xiàn)安全通信的體系；通信網(wǎng)絡(luò)安全設(shè)計是對已定級信息系統(tǒng)的安全計算環(huán)境之間進(jìn)行數(shù)據(jù)傳輸以及安全策略實施的相關(guān)部件。

安全管理中心是對已定級信息系統(tǒng)的安全策略，包括安全通信網(wǎng)絡(luò)、安全計算環(huán)境和安全區(qū)域邊界3個層面的安全策略實行統(tǒng)一管理的平臺。安全管理中心主要從安全管理、系統(tǒng)管理和審計管理3方面進(jìn)行設(shè)計。

2.3.3.3 行業(yè)指導(dǎo)意義

各行業(yè)在制定信息系統(tǒng)設(shè)計方案過程中，應(yīng)依據(jù)自身信息系統(tǒng)的行業(yè)特點，全面地考慮，可對用戶和設(shè)備節(jié)點的身份認(rèn)證中心，也可以對各信息系統(tǒng)單獨構(gòu)建認(rèn)證中心。由于本標(biāo)準(zhǔn)不包括信息系統(tǒng)安全管理和物理安全等方面的要求，因此，在對信息系統(tǒng)等級保護(hù)安全方案設(shè)計時，應(yīng)與《信息系統(tǒng)安全等級保護(hù)基本要求》等標(biāo)準(zhǔn)結(jié)合使用。

2.4 運維階段

在運維階段，包含對信息系統(tǒng)的運行管理、變更管理、事件處理、等級測評和備案等，在此階段，可參考的標(biāo)準(zhǔn)包括《信息系統(tǒng)安全管理要求》[6]、《信息系統(tǒng)安全等級保護(hù)測評要求》[7]、《信息系統(tǒng)安全等級保護(hù)測評過程指南》[8]等。

2.4.1 《信息系統(tǒng)安全管理要求》解讀

《信息系統(tǒng)安全管理要求》（簡稱：安全管理要求）可為組織體系和管理體系的建立，安全管理的策略制定等管理措施提供參考和指導(dǎo)。

2.4.1.1 總體框架

在《安全管理要求》中：（1）對信息系統(tǒng)的安全保護(hù)提出了分等級管理的要求，闡述了安全管理的要素以及不同等級的強度要求；（2）描述目前我國信息系統(tǒng)通用的安全管理措施；（3）將安全管理要求落實到等級保護(hù)所定義的5個等級上，主要包括了兩方面的內(nèi)容，即安全管理分等級要求和安全管理要素。

2.4.1.2 標(biāo)準(zhǔn)內(nèi)容

《安全管理要求》中根據(jù)劃分的五個安全等級，從機構(gòu)人員、安全風(fēng)險、環(huán)境資源、政策制度、操作維護(hù)、業(yè)務(wù)連續(xù)性、應(yīng)急和備份、生命周期、監(jiān)督檢查等管理要素為出發(fā)，對信息系統(tǒng)的安全管理措施進(jìn)行全面描述。

2.4.1.3 行業(yè)指導(dǎo)意義

《安全管理要求》在人員組織機構(gòu)等方面可能存在全部或部分暫時無法實現(xiàn)的問題，在不降低信息系統(tǒng)的安全保護(hù)能力的前提下，各行業(yè)可采取一些變通方法加以實現(xiàn)。

2.4.2 《信息系統(tǒng)安全等級保護(hù)測評要求》解讀

《信息安全等級保護(hù)管理辦法》中指出，當(dāng)信息系統(tǒng)完成等級保護(hù)建設(shè)工作后，主管部門可選擇符合條件的測評機構(gòu)對完成等級保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行等級測評。

2.4.2.1 總體框架

《信息系統(tǒng)安全等級保護(hù)測評要求》（簡稱：測評要求）中首先描述了信息系統(tǒng)等級測評的內(nèi)容和原則。在第5~9章中指出了不同安全級系統(tǒng)的單元測評要求。第10章整體測評提出了對安全層面間、安全控制間、系統(tǒng)結(jié)構(gòu)和區(qū)域間安全測評的要求。第11章中指出了如何得出等級測評結(jié)論。

2.4.2.2 標(biāo)準(zhǔn)內(nèi)容

《測評要求》是基于《基本要求》對等級保護(hù)的10個方面提出了測評方法和測評指標(biāo)，主要包括10個測評項，技術(shù)層面包括物理層安全、主機層安全、應(yīng)用層安全、網(wǎng)絡(luò)層安全和數(shù)據(jù)安全；管理層面具體包括管理制度測評要求、管理機構(gòu)測評要求、系統(tǒng)建設(shè)管理測評要求、人員安全管理測評要求和運維管理測評要求。

2.4.2.3 行業(yè)指導(dǎo)意義

各行業(yè)如制定有行業(yè)特色的等級保護(hù)測評規(guī)范或標(biāo)準(zhǔn)，以此為依據(jù)對信息系統(tǒng)按照行業(yè)標(biāo)準(zhǔn)進(jìn)行符合性測評，結(jié)合行業(yè)內(nèi)信息系統(tǒng)的實際需求，綜合分析被測系統(tǒng)是否具備相應(yīng)等級的安全防護(hù)能力。

2.4.3 《信息系統(tǒng)安全等級保護(hù)測評過程指南》解讀

《信息系統(tǒng)安全等級保護(hù)測評過程指南》主要闡述了兩個方面的問題，（1）確定了信息系統(tǒng)信息安全等級保護(hù)測評的過程；（2）描述了等級保護(hù)測評的任務(wù)、工作結(jié)果和分析方法?！稖y評過程指南》旨在為運營使用單位、信息系統(tǒng)測評機構(gòu)和信息系統(tǒng)主管部門如何開展等級測評工作提供指導(dǎo)和依據(jù)。

2.4.3.1 總體框架

《測評過程指南》以對3級信息系統(tǒng)等級測評為例，描述了信息系統(tǒng)等級測評的活動和任務(wù)，包括4個層面的工作，即測評準(zhǔn)備、方案編制、現(xiàn)場測評、分析與報告編制。

2.4.3.2 標(biāo)準(zhǔn)內(nèi)容

測評準(zhǔn)備是指需要掌握被測信息系統(tǒng)的詳細(xì)信息，為實施測評工作做好測試工具及文檔方面的準(zhǔn)備；方案編制是編寫與被測信息系統(tǒng)相適應(yīng)的測評實施手冊；分析與報告編制是指測評結(jié)果，分析被測系統(tǒng)的安全保護(hù)建設(shè)現(xiàn)狀，分析被測系統(tǒng)與其安全等級要求間的差距，形成測評報告。

2.4.3.3 行業(yè)指導(dǎo)意義

《測評過程指南》描述了等級測評的基本工作過程，《測評過程指南》針對已定級的信息系統(tǒng)首次進(jìn)行等級測評工作的描述，對于非首次實施等級測評的工作過程，應(yīng)參考該標(biāo)準(zhǔn)中的調(diào)整原則予以調(diào)整。

3 結(jié)束語

通過對上述在我國信息安全等級保護(hù)工作中涉及到的主要標(biāo)準(zhǔn)從標(biāo)準(zhǔn)框架、主要內(nèi)容、行業(yè)指導(dǎo)意義3個方面對標(biāo)準(zhǔn)進(jìn)行解讀，明確了各標(biāo)準(zhǔn)在等級保護(hù)工作各個階段發(fā)揮的作用和應(yīng)用場合 ，可為各行業(yè)等級保護(hù)工作的有序開展提供參考和借鑒。

[1] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 22240-2008，信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)定級指南[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[2] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 22239-2008，信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)基本要求[S].北京：中國標(biāo)準(zhǔn)出版社，2008.

[3] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T17859-1999，信息安全技術(shù)-計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則[S].北京：中國標(biāo)準(zhǔn)出版社，1999.

[4] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 20271-2006，信息系統(tǒng)通用安全技術(shù)要求 [S].北京：中國標(biāo)準(zhǔn)出版社，2006.

[5] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 25070-2010，信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求[S].北京：中國標(biāo)準(zhǔn)出版社，2010.

[6] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 25070-2010，信息系統(tǒng)安全管理要求 [S]. 北京：中國標(biāo)準(zhǔn)出版社，2006.

[7] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 28448-2012，信息系統(tǒng)安全等級保護(hù)測評要求[S].北京：中國標(biāo)準(zhǔn)出版社，2012.

[8] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局.GB/T 22240-2008，信息系統(tǒng)安全等級保護(hù)測評過程指南[S]. 北京：中國標(biāo)準(zhǔn)出版社，2012.

責(zé)任編輯 徐侃春

Interpretation on important standards for information security level protection

HAN Xuehong
( Railway Public Security Administration, Beijing 100844, China )

A set of standard system for information security level protection was built including theoretical principle classes, application classes and production classes in our country. Several standards included in the standard system were divided into several phases as grading, planning, design, construction and operation, the proposed standards would be interpreted from three aspects as framework, main content and industry guidance. The purpose of this paper was to elaborate standards applications and industry guidance at different stages in security level protection.

information security; level protection; interpretation on standard

U29-39

A

1005-8451（2015）02-0041-04

2014-10-08

韓雪紅 ，處級正職。