1、引言
在信息化时代,随着信息技术的高速发展和网络应用的迅速普及,国家的政治、经济、文化、军事和社会体系的运行对信息系统的依赖日益加深,信息系统的基础性、全局性作用日益增强,面临的安全风险也与日俱增。近年来,我国信息安全保障工作取得了很大进展,但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。保障信息安全,维护国家安全、公共利益和社会稳定,是当前信息化发展中迫切需要解决的重大问题。实施信息系统安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平。
2、发展历程
美国国防部早在80年代就针对国防部门的计算机安全保密开展了一系列有影响的工作,并于1987年出版了一系列有关可信计算机数据库、可信计算机网络的指南等(俗称彩虹系列),根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别,将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。90年代西欧四国(英、法、荷、德)联合提出了信息技术安全评估标准(ITSEC),ITSEC(又称欧洲白皮书)除了吸收TCSEC的成功经验外,首次提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度上来认识。1991年1月美国联合其他国家共同宣布了制定通用安全评估准则(CC)的计划。1996年1月出版了1.0版,它的基础是欧洲的ITSEC,美国的包括TCSEC在内的新的联邦评估标准,加拿大的CTCPEC,以及国际标准化组织ISO:SC27WG3的安全评估标准。CC标准吸收了各先进国家对现代信息系统信息安全的经验与知识,对信息安全的研究与应用带来重大影响。
我国于80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。这一重大决定,明确了关于实行信息安全等级保护制度的有关规定,提出从整体上、根本上解决国家信息安全问题的办法。
1999年,国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》颁布,提出从整体上、根本上、基础上来解决等级保护问题,对计算机信息系统安全保护能力划分为五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,计算机信息系统安全保护能力随着等级的增高逐渐增强。
1999年底,公安部与信息产业部、国家安全部、国家保密局、国家密码管理委员会等相关部门起草了《计算机信息系统安全保护等级制度建设纲要》[3],初步确立了安全保护等级制度的主要适用范围、建设目标、建设原则、建设任务、实施步骤及措施等主要问题。
2000年11月10日,国家发展计划委员会正式向公安部印发批复,同意将计算机信息系统安全保护等级评估认证体系建设项目列入2000年国家高技术产业发展项目计划。建设内容包括在北京和上海分别建立信息产品安全保护等级检测中心和计算机信息系统安全保护等级评估中心等。目标是初步建立我国计算机信息系统安全等级保护监督管理系统,为实施《计算机信息系统安全保护等级划分准则》提供基本条件。
2003年,中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》(中办发[2003]27号),再次强调对信息安全进行等级保护,提出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
2004年公安部联合国家保密局、国家密码管理局、国家保密委员会和国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对信息安全等级保护的基本制度框架进行了规划。
2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)。2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。
2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007年6月,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号),对信息安全等级的划分与保护、等级保护的实施与管理、法律责任进行了规定。7月,下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)对重要信息系统安全等级保护定级工作提出要求,召开“全国重要信息系统定级电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
3、等级确定
确定信息系统的安全保护等级是实施等级保护的基础。信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
等级保护对象受到破坏时所侵害的客体包括以下三个方面:①公民、法人和其他组织的合法权益;②社会秩序、公共利益;③国家安全。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:①造成一般损害;②造成严重损害;③造成特别严重损害。
定级要素与信息系统安全保护等级的关系如表1所示。
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级,从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级,作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
确定信息系统安全保护等级的一般流程如图1。
4、等级保护的实施
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则:
(1)自主保护原则
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
(2)重点保护原则
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
(3)同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
(4)动态调整原则
要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
等级保护实施的基本流程如图2所示:
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
值得注意的是,在信息系统生命周期中,有些系统并不是真正意义上的废弃,而是改进技术或转变业务到新的信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。
5、主要标准
信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作[6],为保障全面实施信息安全等级保护制度,必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力,多年攻关,目前,已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。《信息安全等级保护管理办法》规定了信息系统运营使用单位在等级保护工作中按照或参照国家、行业技术标准开展系统定级、建设、整改、测评等工作,鼓励重要行业根据行业特点制定等级保护行业标准。
(1)《计算机信息系统安全保护等级划分准则》GB17859-1999计算机信息系统安全保护等级的划分是建立安全保护等级制度的重要基础和核心,公安部专门组织力量,经过反复研究论证,起草了强制性国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999[3]。《准则》是建立计算机信息系统安全保护等级制度,实施安全保护等级管理的重要基础性标准,为开展我国计算机信息系统安全等级保护工作奠定了基础。《准则》将计算机信息系统安全保护能力划分为五级,即第一级:用户自主保护级,第二级:系统审计保护级,第三级:安全标记保护级,第四级:结构化保护级,第五级:访问验证保护级,计算机信息系统安全保护能力随着等级的增高逐渐增强。旨在达到以下三个目的:一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据;二是为安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。《准则》的发布和实施,极大地促进我国计算机信息系统安全保护等级工作的发展。
(2)《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008是信息系统安全保护等级确定标准,属于管理规范,规范了信息系统安全保护等级的定级方法。
(3)《信息安全技术信息系统安全等级保护实施指南》(国家标准报批稿,全国信息安全标准化技术委员会文件,信安字[2007]10号)是信息系统安全等级保护实施的过程控制标准,规范了信息系统安全等级保护的实施各阶段内容和过程控制问题。
(4)《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008[10]规定了不同安全保护等级信息系统的基本保护要求。
根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
该标准需与以下国家标准及其他标准规范配合使用,规范、指导信息系统安全等级保护整改建设工作:
- 《信息安全技术系统安全等级保护通用安全技术要求》GB/T20271-2006;
- 《信息安全技术网络基础安全技术要求》GB/T20270-2006;
- 《信息安全技术操作系统安全技术要求》GB/T20272-2006;
- 《信息安全技术操作系统安全评估准则》GB/T20008-2005;
- 《信息安全技术数据库管理系统安全技术要求》GB/T20273-2006;
- 《信息安全技术数据库管理系统安全评估准则》GB/T20009-2005。
(5)《信息安全技术信息系统安全工程管理要求》GB/T20282-2006是信息系统安全等级保护管理标准之一,规范信息系统安全等级保护方案技术集成和工程实施过程控制问题。
(6)《信息安全技术信息系统安全管理要求》GB/T20269-2006是信息系统安全等级保护管理标准,规范信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。
6、主要应用
在《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)中,对需要进行等级保护定级的重要信息系统作出了明确:
(1)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(2)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(3)市(地)级以上党政机关的重要网站和办公信息系统。
(4)涉及国家秘密的信息系统。此后,各行各业和党政部门都抓紧进行等级保护的部署和实施工作。如北京市自2006年初就开展信息安全等级保护工作,2006年初颁布了《北京市公共服务网络与信息系统安全管理规定》,为开展等级保护工作提供了规范和法律依据。2007年4月北京市公安局依据国家和北京市相关法规文件,制定了《北京市公安局开展信息安全等级保护工作方案》,明确了各部门在等级保护工作中的职责分工和任务。通过对北京农村商业银行和中国长城资产管理公司两个单位的试点工作,积累了等级保护监督管理工作经验,完善了北京市开展信息等级安全保护工作的具体流程和内容。
2007年12月24日,市长办公会专门听取了公安局开展信息安全等级保护工作情况的汇报,通过了《关于进一步加强北京市重要信息系统信息安全等级保护工作的意见》,同意对《北京市公共服务网络与信息系统安全管理规定》(北京市人民政府第163号令)中有关信息安全等级保护若干问题作补充和研究建立城市信息安全应急响应与处置中心。
为了满足奥运期间社会领域城市重要信息系统的安保需求,完善城市信息安全体系,提高全社会信息安全意识,2008年4月1日,北京网络行业协会宣布正式成立北京网络行业协会信息安全应急响应与处置中心。中心由北京市网络行业协会召集在京的数十家重点网络与信息安全企业共同组建而成。目的主要是致力于解决北京市社会领域重要信息系统应对突发信息安全事件的问题,通过相应的信息安全应急响应手段和技术,以建立长效信息安全应急响应与处置机制为目的,以建立专职信息安全应急响应与处置队伍为保障,同组织管理、预案制定、制度规范、操作流程等综合措施相匹配,确保及时发现、跟踪、分析和确认有重大危害的信息安全事件,并对其进行响应,从而降低社会领域重要信息系统面临的风险和可能造成的损失。并配合政府行政管理部门改善和加强全市应对信息安全突发事件的能力和管理需求。
7、结语
本文通过对我国信息系统安全等级保护发展历程的回顾和对相关技术标准的研究,介绍了等级保护的定级、实施,并对相关国家标准和行业标准及北京市实施等级保护的有关情况进行了简介。信息系统安全等级保护在我国迅速推广实施,取得了很大进展,但也有许多问题需要研究解决,希望通过本文的介绍,能在更多的行业和领域进行等级保护研究、推广和使用。
CIO之家 www.ciozj.com 公众号:imciow