信息系統(tǒng)安全等級保護能力構成框架分析研究

（交通運輸部職業(yè)資格中心 北京 100029）

1 引言

近年來，信息系統(tǒng)安全已經(jīng)成為人們關注的焦點問題之一，專家、學者就這個問題進行了一系列的研究，其中提出的等級保護制度為信息系統(tǒng)安全如何進行指明了方向，這個制度的核心思想包括合理利用資源、保護重點[1]，將信息系統(tǒng)分為不同的等級，依據(jù)相關的標準建設系統(tǒng)，落實管理和監(jiān)督工作。在整個信息系統(tǒng)的生命周期中，等級保護是持續(xù)循環(huán)的重復性過程，但是不同等級系統(tǒng)也會對等級保護提出不同的要求，信息系統(tǒng)的建設者或運作者對這個問題都顯示出特別的關注度。因此，信息系統(tǒng)應該在哪幾方面有安全保護的能力，不同的安全保護能力都有什么差別，如何通過安全框架對各種安全保護程度予以劃分是文章的研究內(nèi)容[2]。

2 保護能力分級

2.1 業(yè)務信息和系統(tǒng)服務

信息系統(tǒng)的價值主要體現(xiàn)在經(jīng)濟和社會兩個方面，筆者將其安全分成五個等級，信息系統(tǒng)遭到破壞后必然會帶來負面的影響，按影響程度劃分為五個等級，構成系統(tǒng)的軟件、硬件的經(jīng)濟價值并未受到影響，它是由系統(tǒng)包含的業(yè)務信息以及實現(xiàn)的社會功能所決定的[3]。

信息系統(tǒng)的經(jīng)濟價值和其包含的組件有關，其社會價值和其應用成效有關，應用成效是通過信息系統(tǒng)包含的信息以及提供的服務呈現(xiàn)出來的。信息系統(tǒng)的社會價值決定了該其重要性、安全性的高低，能夠可靠的提供信息以及服務，證明信息系統(tǒng)是充分可靠的。對于信息系統(tǒng)而言，其安全等級和其提供的信息和服務的可靠性直接相關。準確地說，系統(tǒng)服務越安全，其安全等級就越高[4]。

2.2 保護能力分級

從客觀角度分析，信息系統(tǒng)的安全隱患是無法消除的，若不能采取有效的應對措施，這些隱患就有可能導致安全事件，進而引發(fā)嚴重的后果[5]。保護措施的應用，能夠強化信息系統(tǒng)的安全保護能力，防止安全隱患演變?yōu)榘踩录?，或者是將已?jīng)發(fā)生的安全事件的負面影響控制在更低范圍內(nèi)[6]。

對于信息系統(tǒng)而言，其安全等級和系統(tǒng)的重要程度直接相關。從第一級到第五級，系統(tǒng)的重要性不斷提高，此時存在的安全隱患并非總是相同的，也就是說即便是等級相同的兩個系統(tǒng)，其存在的安全隱患或許是有差異的，不過此時的兩個系統(tǒng)所具備的對安全隱患的抵抗能力是相當?shù)?，即二者具備和和重要性等級相適應的安全保護能力[7]。

3 保護能力構成框架

這一框架為信息系統(tǒng)具備等級保護安全保護能力的構成提供了概念框架[8，10]。首先，這一框架直接呈現(xiàn)出信息系統(tǒng)安全等級保護基本要求的保護能力構成；其次，它為工作人員進行系統(tǒng)安全等級保護提供了有力的依據(jù)，從而確保安全目的的順利達成，實現(xiàn)安全保護的預期效果，使信息系統(tǒng)具備抵抗安全隱患的能力[11]。

要確保業(yè)務信息和系統(tǒng)服務具備足夠的安全保護能力，可以從兩個分方面著手：其一為技術方面，它的表現(xiàn)形式是技術保護過程的分類，以動態(tài)保護過程為依據(jù)分為三類，即防護、檢測、恢復響應，分別對應業(yè)務信息安全以及系統(tǒng)服務安全的防護能力、檢測能力以及恢復響應能力。其二為管理，科學、有效的管理能夠為信息系統(tǒng)的安全提供有力的保障，從安全管理策略的角度來看，它包括了制度類、組織人員類、安全工程類和安全運行類四種類型，它能夠讓人們了解信息系統(tǒng)的安全管理要素，以及信息系統(tǒng)在運行過程中進行的各項安全管理活動。所以，安全管理主要能夠反映出信息系統(tǒng)的制度規(guī)范化保證能力、組織人員保證能力、安全工程保證能力和安全運行保證能力。

4 不同級別保護能力在構成框架下的體現(xiàn)

我們知道，信息系統(tǒng)的重要程度和安全等級直接相關，各種安全等級的信息系統(tǒng)會和對應的等級威脅產(chǎn)生相應的對抗，通過這一過程，使安全保護能力能夠達到要求。從一級到五級，信息系統(tǒng)的重要程度不斷地提高，其所需對抗的威脅程度也隨之加強。因此，安全保護能力等級的需求也會不斷提高。各級信息系統(tǒng)安全保護能力，主要表現(xiàn)為措施層的安全保護能力，級別越高，安全保護水平越高。

5 結論

本文著眼于信息系統(tǒng)社會價值，闡述以業(yè)務信息安全和系統(tǒng)服務安全為依據(jù)來區(qū)分信息系統(tǒng)安全等級。然后，揭示出信息系統(tǒng)安全等級和威脅、保護能力彼此間的關聯(lián)，明確了不同安全等級需要什么級別的安全保護能力。最后，對信息系統(tǒng)安全保護能力的形成、各個等級安全保護能力的表現(xiàn)予以說明，在一定程度上使資源得到節(jié)約，也為信息系統(tǒng)安全等級的保護和升級提供了思路。但應明確指出的是，雖然本文就信息系統(tǒng)安全保護進行了簡單的理論研究，但在定量表征和其與威脅彼此間的關系還需進行進一步的研究。