1、第4章信息安全工程与等级保护,4.1概述4.2等级保护的发展4.3等级保护与信息保障各环节的关系4.4实行信息安全等级保护的意义4.5信息系统安全等级保护的4.6信息系统的安全保护等级4.7信息系统安全等级保护体系4.8有关部门信息安全等级保护工作经验本章小结,信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。,4.1概述,信息系统安全等级保护的核心观念是保护重点、适度安全,即分级别、按需要重点保护重要信息系统,综
2、合平衡安全成本和风险,提高保护成效。信息安全等级保护是国际通行的做法,其思想源头可以追溯到美国的军事保密制度。自20世纪60年代以来,这一思想不断发展,日益完善。等级保护原本是美军的文件保密制度,即著名的“多级安全”MLS(Multilevel Security)体系,即人员授权和文件都分为绝密、机密、秘密和公开4个从高到低的安全等级,低安全等级的操作人员不能获取高安全等级的文件。,20世纪60年代,正在大力进行信息化的美军发现,使用计算机系统无法实现这一真实世界中的体系,当不同安全等级的数据存放于同一个计算机系统中时,低密级的人员总能找到办法获取高密级的文件。原因在于计算机系统的分时性(Ti
3、me-Sharing),因为从计算角度来看,使用多道程序(Multi-Programming)意味着多个作业同时驻留在计算机的内存中,而从存储方面看,各用户的数据都存储在同一个计算机中,因此一个用户的作业有可能会读取其他用户的信息。,1970年,兰德公司W威尔(W.Ware)指出,要把真实世界的等级保护体系映射到计算机中,在计算机系统中建立等级保护体系,必须重新设计现有的计算机系统。1973年,数学家D.E.Bell和L.J.LaPadula提出第一个形式化的安全模型Bell-LaPadula模型(简称BLP模型),从数学上证明在计算机中实现等级保护是可行的。基于BLP模型,美国霍尼韦尔(Ho
4、neywell)公司开发出了第一个完全符合BLP模型的安全信息系统SCOMP多级保密系统。实践证明该系统可以建立起符合等级保护要求的工作环境。,自此以后,世界各国在信息安全等级保护方面开始投入巨大的精力,并对信息安全技术的发展产生了深远的影响。作为信息安全领域的重要内容之一,信息安全工程同样置于等级保护制度的指导之下。等级保护与信息安全的评估,以及建立在此基础上的信息安全测评认证制度密切相关。等级保护首先在信息安全的测评、评估方面得到了快速发展。,4.2.1信息安全评估准则的发展1. 可信计算机系统评估准则TCSECTCSEC是计算机系统安全评估的第一个正式标准,它的制定确立了计算机安全的概念
5、,对其后的信息安全的发展具有划时代的意义。,4.2等级保护的发展,该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部作为国防部标准(DoD5200.28)公布(由于采用了橘色封皮书,人们通常称其为“橘皮书”)。TCSEC将计算机系统的安全划分为4个等级、7个级别,如表4-1所示,由低到高分别为D、C1、C2、B1、B2、B3和A1。,表4-1TCSEC的安全级别,随着安全等级的升高,系统要提供更多的安全功能,每个高等级的需求都是建立在低等级的需求基础上。在7个级别中,B1级与B1级以下的安全测评级别,其安全策略模型是非形式化定义的,从B2级开始,则为更加严格的形式化定
6、义,甚至引用形式化验证方法。TCSEC最初只是军用标准,后来延至民用领域。第一个通过A1 级测评的信息系统是SCOMP,此后有数十个信息系统通过测评。通过这些信息系统的开发,,访问控制、身份鉴别、安全审计、可信路径、可信恢复和客体重用等安全机制的研究取得了巨大进展,结构化、层次化及信息隐藏等先进的软件工程设计理念也得到极大的推动,今天所使用的Windows、Linux、Oracle 与DB2等软件都从中受益。但当时也存在限制TCSEC及其测评产品发展的因素,例如:美国对信息安全产品出口的限制影响了这些产品的市场拓展。,为了达到高安全目标,这些信息系统不得不在性能、兼容性和易用性等方面做出牺牲。
7、TCSEC自身不够完备,它主要是从主机的需求出发,不针对网络安全要求。尽管美国此后又推出了包括TCSEC 面向可信网络解释(TNI,Trusted Network Interpretation)、可信数据库解释(TDI,Trusted Database Interpretation)等30多个补充解释性文件,但仍不能很好地测评网络应用安全软件。此外,该标准偏重于测评安全功能,不重视安全保证。,2. 信息技术安全评估准则ITSEC1990年,由德国信息安全局(GISA,Germany Information Security Agency)发出号召,由英国、德国、法国和荷兰等国共同制定了欧洲统一
8、的安全评估标准信息技术安全评估准则(ITSEC,Information Technology Security Evaluation Criteria),较美国军方制定的TCSEC准则,在功能的灵活性和有关评估技术方面均有很大的进步。ITSEC是欧洲多国安全评价方法的综合产物,应用于军队、政府和商业等领域。该标准将安全概念分为功能与评估两部分。,功能准则从F1至F10共分10级。15级对应于TCSEC的D到A,F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及网络安全的保密性和完整性。与TCSEC不同,ITSEC并不把保密措施直接与计算机功能相联系,
9、而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。,在相同的时期,加拿大也制定了加拿大计算机产品评估准则第一版(CTCPEC,Canadian Trusted Computer Product Evaluation Criteria),第三版于1993年公布,它吸取了ITSEC和TCSEC的长处。此外,美国政府也进一步发展了对评估标准的研究,于1991年公布了信息技术安全性评价组合联邦准则的
10、1.0版草案(FC),其目的是提供TCSEC的升级版本,它只是一个过渡标准。FC的主要贡献是定义了保护框架(PP,Protection Profile)和安全目标(ST,Security Target),,用户负责书写保护框架,以详细说明其系统的保护需求,而产品厂商定义产品的安全目标,阐述产品安全功能及信任度,并与用户的保护框架相对比,以证明该产品满足用户的需要。于是在FC的架构下,安全目标成为评价的基础。安全目标必须用具体的语言和有力的证据来说明保护框架中的抽象描述是如何逐条地在所评价的产品中得到满足的。,3. 信息技术安全评价通用准则CC1993年6月,美国政府同加拿大及欧共体共同起草单一
11、的通用准则(CC标准)并将其推到国际标准。制定CC标准的目的是建立一个各国都能接受的通用信息安全产品和系统的安全性评估准则。在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上,由6个国家7方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了信息技术安全评价通用准则(CC,The Common Criteria for Information Technology security Evaluation),它综合了已有的信息安全准则和标准,形成了一个更全面的框架。,CC标准是信息技术安全性评估的标准,主要用来评估信息系统、信息产品的安全
12、性。CC标准的评估分为两个方面:安全功能需求和安全保证需求,这两个方面分别继承了TCSEC和ITSEC的特征。CC标准根据安全保证要求的不同,建立了从功能性测试到形式化验证设计和测试的7级评估体系。从等级保护的思想上来说,CC标准比TCSEC更认同实现安全渠道的多样性,从而扩充了测评的范围。,TCSEC对各类信息系统规定统一的安全要求,认为必须具备若干功能的系统才算得上某个等级的可信系统,而CC标准则承认各类信息系统具有灵活多样的信息安全解决方案,安全产品无需具备很多的功能,而只需证明自己确实能够提供某种功能即可。1996年CC标准1.0版本出版,2.0版本在1998年正式公行。1999年12
13、月CC 2.0版被ISO批准为国际标准,即ISO/IEC 15408信息产品通用测评准则。我国于2001年将CC标准等同采用为国家标准,即GB/T 18336信息技术安全性评估准则。,图4-1信息安全评估准则的国际发展,目前已经有17个国家签署了互认协议,即一个产品在英国通过CC评估之后,在美国就不需要再进行评估了,反之亦然。我国目前尚未加入互认协议。在用户的安全需求和安全技术、管理安全及架构安全各方面进步的推动下,等级保护思想不断丰富和完善,等级保护体系迎来了一个新的综合时代。2003年12月,美国通过了联邦信息和信息系统安全分类标准(FIPS 199),描述了如何确定一个信息系统的安全类别
14、。,这里安全类别就是一个等级保护概念,其定义建立在事件的发生对机构产生潜在影响的基础上,分为高、中、低3个影响等级,并按照系统所处理、传输和存储的信息的重要性确定系统的级别。为配合FIPS 199的实施,NIST分别于2004年6月推出了SP 800-60第一、第二部分将信息和信息系统映射到安全类别的指南及其附件,详细介绍了联邦信息系统中可能运行的所有信息类型,针对每一种信息类型,介绍了如何去选择其影响级别,并给出了推荐采用的级别。,信息系统的保护等级确定后,需要有一整套的标准和指南规定如何为其选择相应的安全措施。NIST的SP 800-53联邦信息系统推荐安全控制为不同级别的系统推荐了不同强
15、度的安全控制集(包括管理、技术和运行类)。SP 800-53还提出了3类安全控制(包括管理、技术和运行),它汇集了美国各方面的控制措施的要求,包括FISCAM 联邦信息系统控制审计手册、SP 800-26信息技术系统安全自评估指南和ISO 17799信息系统安全管理实践准则等等。,无论从思想上、架构上还是行文上,SP 800系列标准都对我国信息系统安全等级保护基本要求(GB/T 222392008)等标准有直接的影响。,4.2.2 中国等级保护的发展表4-2给出了我国开展信息安全等级保护工作的简要历程。,表4-2开展信息安全等级保护工作的国家政策和依据,1994年2月18日,国务院发布的中华人
16、民共和国计算机信息系统安全保护条例(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。这份条例被视为我国实施等级保护的法律基础,标志着我国的信息安全建设开始走上规范化、法制化的道路。1999年9月13日,国家质量技术监督局发布了强制性国家标准GB 178591999:计算机信息系统安全保护等级划分准则,,将我国计算机信息系统安全保护划分为5个等级。这是我国等级保护的技术基础和依据,它参照TCSEC,取消了D级和A1级,保留5个定级,保留TCSEC的全部安全功能,并增加了少量有关数据完整性和网络信息传输的要求。与TC
17、SEC一样,GB 17859用于对计算机信息系统安全保护技术能力等级的划分,安全保护能力随着安全保护等级的增高逐渐增强,构成金字塔结构,低等级要求是高等级要求的真子集。,如上节所述,2001年我国引入CC 2.0的ISO/IEC 15408,并作为国家标准,即信息技术安全性评估准则(GB/T 183362001)。已经有一些测评中心使用该标准测评信息系统。此外,一批参照国外安全管理标准制定的标准相继出台。2003年9月7日,中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安
18、全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。,2004年9月15日,由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了关于信息安全等级保护工作的实施意见(公通字200466号),明确了实施等级保护的基本做法。2007年6月22日,上述四单位又联合下发了信息安全等级保护管理办法(公通字200743号),规范了信息安全等级保护的管理,并于同年7月20日,在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,,开始部署在全国范围内开展重要信息系统安全等级保护定级工作,中国信息安全等级
19、保护建设进入一个新阶段。作为一个标志性的国标,信息系统安全等级保护基本要求(GB/T 222392008)的发布为信息安全等级测评提供了具体的标尺,是等级保护的一个路标。该标准以信息安全的5个属性为基本内容,从实现信息安全的5个层面,按照信息安全5个等级的不同要求,分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。GB/T 22239结构清晰,要点清楚,可操作性强,,为标准的实施打下了良好基础。这也表明,中国的等级保护思想已经从信息产品的安全性和可信度测评转向信息系统的安全保护能力测评,这是一个包含物理环境、安全技术、安全
20、管理和人员安全等各个方面的全面、综合、动态的测评。与GB/T 22239配套国家标准还有信息系统安全保护等级定级指南(GB/T 222402008)、信息系统等级保护安全设计技术要求(GB/T 250702010)等。经过多年的发展,中国的等级保护相关标准体系已蔚为大观。,2009年10月27日,由公安部发出了关于开展信息安全等级保护安全建设整改工作的指导意见的函件(公信安20091429号),进一步贯彻落实了国家信息安全等级保护制度,指导各地区、各部门在信息安全等级保护定级工作基础上,开展已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作。目前,我国计算机信息系统安全等级保护建设工
21、作已全面展开,得到了长足的发展,,等级保护制度已初步得到确立。在立足本国国情,引进CC方法学,与国际先进标准接轨的过程中,正在加强理论研究,吸收TCSEC、ITSEC等方法学,大胆创新,走适合于中国国情的道路。,等级保护,以及风险评估、应急处理和灾难恢复是信息安全保障的主要环节,对等于PDRR安全模型中的保护、检测、响应和恢复等要素。各环节前后连接、融为一体。,4.3等级保护与信息保障各环节的关系,等级保护是以制度的方式确定保护对象的重要程度和要求,风险评估是检测评估是否达到保护要求的量度工具,应急处理是将剩余风险因突发事件引起的损失降低到可接受程度的对应手段,而灾难恢复是针对发生灾难性破坏时
22、所采取的由备份进行恢复的措施。它们都是为使一个确定的保护对象的资产少受或不受损失所进行的各个保障环节,缺一不可,必须从总体进行统一部署和保障。等级保护应根据信息系统的综合价值和综合能力保证的要求不同以及安全性破坏造成的损失大小来确定其相应的保护等级。,等级保护并不是信息安全保障的唯一环节。等级保护、风险评估、应急处理和灾难恢复在信息安全保障的风险管理中一个都不能少,它们对确保信息安全都有至关重要的意义。科学合理地确定安全保护等级是实施全程的风险管理的需求和目标,而其他环节是为信息系统提供有效的风险管理手段。等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安
23、全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作,它是贯穿于信息安全保障各环节工作的大过程,而不是一个具体的措施。,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是实现国家对重要信息系统重点保护的重大措施。通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,,4.4实行信息安全等级保护的意义,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要的信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效地保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信
24、息系统的安全,有效提高我国信息安全保障工作的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有以下重要的意义:,(1) 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。(2) 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。(3) 有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。(4) 有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理。,(
25、5) 有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。,4.5.1等级保护的基本原理实现信息系统安全等级保护的基本原理是:根据信息系统所承载的业务应用的不同安全需求,采用不同的安全保护等级,对不同的信息系统或同一信息系统中的不同安全域进行不同程度的安全保护,以实现对信息系统及其所存储、传输和处理的数据信息在安全保护方面,达到确保重点,照顾一般,适度保护,合理共享的目标。,4.5信息系统安全等级保护的基本原理和方法,4.5.2等级保护的基本方法1. 分区域分等级安全保护对于一个庞大而复杂的信息系统,其中所存储、传输和处理的数据信息会有不同的安全保护需求,因而不
26、能采用单一等级的安全保护机制实现全系统的安全保护,应分区域分等级进行安全保护。分区域分等级保护体现了信息安全等级保护的核心思想。分区域分等级安全保护的基本思想是:对于信息系统中具有不同安全保护需求的信息,在对其实现按保护要求相对集中地进行存储、传输和处理的基础上,通过划分保护区域,实现不同区域不同等级的安全保护。,这些安全区域并存于一个信息系统之中,可以相互独立,也可以相互嵌套(较高等级的安全域嵌套于较低等级的安全域中)。每一个安全域是一个相对独立的运行和使用环境,同时又是信息系统的不可缺少的组成部分。安全域之间按照确定的规则实现互操作和信息交换。图4-2和图4-3分别给出了安全域之间相互嵌套
27、关系的两种极端情况的表示。,图4-2五级完全嵌套的安全域关系,图4-3五级全不嵌套的完全并列的安全域关系,图4-2是具有全嵌套关系安全域的极端情况。这只是一种理论上的表示,实际系统可能会只有一层嵌套或两层嵌套,或者几个嵌套并存。比如在我国,因为当前安全技术发展的水平限制,还不能满足信息化发展需要的实际情况,在这样的条件下,对四级和五级安全域可采用与较低级安全域实行安全隔离的措施,以弥补技术措施的不足。图4-3是具有全并列关系安全域的极端情况,是各个级别安全域不具有任何嵌套关系的示意图。实际系统存在只有其中的部分安全域的情况。,在一个具体的信息系统中,实际情况可能千变万化,可能只有并列安全域,也
28、可能只有嵌套安全域,或者既有嵌套安全域也有并列安全域。,2. 内部保护和边界保护边界是一个十分宽泛的概念。首先,每一个信息系统都有一个外部边界(也称为大边界),其边界防护就是对经过该边界进/出该信息系统的信息进行控制。如果把我国国内的所有公共网络上运行的信息处理系统看成是一个庞大的信息系统,其边界就是对国外的网络连接接口。为了国家的利益,需要在这些边界上进行信息安全的控制,遵照我国有关法律和政策、法规的规定,允许某些信息的进/出,阻止某些信息的进/出。这种网络世界虚拟边界的控制与现实社会中海关的进/出口控制基本思想是完全一样的。,其次,在信息系统内部,每一个安全域都有一个需要进行保护的边界(也
29、称为小边界)。其边界防护就是对经过该边界进/出该安全域的信息进行控制。按照所确定的安全需求,允许某些信息进/出该安全域,阻止某些信息进/出该安全域。按照层层防护的思想,信息安全系统的安全包括内部安全和边界防护。边界防护又分为外部边界(大边界)防护和内部边界(小边界)防护。大/小边界通过必要的安全隔离和控制措施对连接部位进行安全防护。由于采用了必要的安全隔离和控制措施,这种边界可以认为是安全的。,内部保护和边界防护体现层层防护的思想。无论是整个信息系统还是其中的安全域,都可以从内部保护和边界防护两方面来考虑其安全保护问题。尽管许多安全机制既适用于内部保护也适用于边界防护,但由于内部和边界之间的相
30、对关系,对于整个信息系统来讲是内部保护的机制,对于一个安全域来讲可能就是边界防护,例如:典型的边界防护可采用防火墙、信息过滤、信息交换控制等。它们既可以用于信息系统的最外部边界防护,也可以用于信息系统内部各个安全域的边界防护。,入侵检测、病毒防杀既可以用于边界防护也可以用于内部保护。身份鉴别、访问控制、安全审计、数据存储保护、数据传输保护等是内部保护常用的安全机制,也可用做对用户和信息进/出边界的安全控制。,3. 网络安全保护网络安全保护是信息系统安全保护的重要组成部分。在由多个服务器组成的安全局域计算环境和多个终端计算机连接组成的安全用户环境中,实现服务器之间连接/终端计算机之间连接的网络通
31、常是称为局域网的计算机网络。这些局域网担负着服务器之间/端计算机之间数据交换的任务,其安全性对于确保相应的安全局域计算环境和安全用户环境达到所要求的安全性目标具有十分重要的作用。,可以说,一个安全局域计算环境是由组成该计算环境的安全服务器及实现这些服务器连接的安全局域网共同组成的,而一个安全用户环境则由组成该用户环境的安全终端计算机及实现这些终端计算机连接的安全局域网共同组成。按照安全域的安全一致性原理,由相同安全等级的服务器组成的安全局域计算环境需要相应安全等级的局域网实现连接,由相同安全等级的终端计算机组成的安全用户环境需要相应安全等级的局域网实现连接。,对于一个由多个安全局域计算环境和多
32、个安全用户环境组成的安全信息系统,实现安全局域计算环境之间、安全局域计算环境与安全用户环境之间连接的网络通常是称为广域网的计算机网络。这些广域网担负着安全局域计算环境之间及安全局域计算环境与安全用户环境之间数据交换的任务,其安全性对于确保相应安全信息系统达到所要求的安全性目标具有十分重要的作用。可以说,一个安全的信息系统是由组成该信息系统的各个安全局域计算环境和安全用户环境及实现这些安全局域计算环境和安全用户环境连接的安全广域网共同组成的。,一个信息系统可能会由多个不同安全等级的安全局域计算环境和安全用户环境组成,于是,实现其连接的广域网就需要提供不同的安全性支持。这种对同一网络环境的不同安全
33、要求通常通过采用构建虚拟网络的形式来实现。,4.5.3关于安全域安全域是从安全的角度对信息系统进行的划分。按照信息安全等级保护关于保护重点的基本思想,需要根据信息系统中信息和服务的不同安全需求,将信息系统进一步划分安全域。安全域的基本特征是安全域应有明确的边界。安全域的划分可以是物理的,也可以是逻辑的,从而安全域的边界也可以是物理的或是逻辑的。一个复杂信息系统,根据其安全保护要求的不同,可以划分为多个不同的安全域。,安全域是信息系统中实施相同安全保护策略的单元,域内不同的实体可以重新组合成子域或交叉域。一个网络系统的安全域划分示例如图4-4所示。,图4-4一个网络系统的安全域划分,安全域的划分
34、以业务应用为基本依据,以数据信息保护为中心。一个业务信息系统/子系统,如果具有相同的安全保护要求,则可以将其划分为一个安全域;如果具有不同的安全保护要求,则可以将其划分为多个安全域。例如,一个数据集中存储的事务处理系统,往往集中存储和处理数据的中心主机/服务器具有比终端计算机更高的安全保护要求。这时,可以根据需要将这个系统划分为两个或多个进行不同安全保护的安全域。,根据以上关于安全域的概念和划分方法,一个信息系统可以是单一安全域(通常是小型的简单的信息系统),也可以是多安全域(通常是大型的复杂的信息系统)。本章以安全域为基础来描述信息系统的分等级安全保护。在实施等级保护等信息系统中,安全域可以
35、映射为整个信息系统(整个信息系统是一个安全域),也可以映射为信息系统的子系统(多个子系统构成多个安全域)。,4.6.1安全保护等级的划分根据GB 17859计算机信息系统安全保护等级划分准则,我国计算机信息系统安全保护划分为以下5个等级。,4.6信息系统的安全保护等级,第一级:用户自主保护级。具有第一级安全的信息系统,一般是运行在单一计算机环境或网络平台上的信息系统,需要依照国家相关的管理规定和技术标准,自主进行适当的安全控制,重点防止来自外部的攻击。技术方面的安全控制,重点保护系统和信息的完整性、可用性不受破坏,同时为用户提供基本的自主信息保护能力;管理方面的安全控制包括从人员、法规、机构、
36、制度、规程等方面采用基本的管理措施,确保技术的安全控制达到预期的目标。,按照GB 17859中4.1的要求,从组成信息系统安全的五个方面对信息系统进行安全控制,既要保护系统的安全性,又要保护信息的安全性,采用“身份鉴别”、“自主访问控制”、“数据完整性”等安全技术,提供每一个用户具有对自身所创建的数据信息进行安全控制的能力。首先,用户自己应能以各种方式访问这些数据信息。其次,用户应有权将这些数据信息的访问权转让给别的用户,并阻止非授权的用户访问数据信息。,在系统安全方面,要求提供基本的系统安全运行保证,以提供必要的系统服务。在信息安全方面,重点是保护数据信息和系统信息的完整性不受破坏,同时为用
37、户提供基本的自主信息保护能力。在安全性保证方面,要求安全机制具有基本的自身安全保护,以及安全功能的设计、实现及管理方面的基本要求。在安全管理方面,应进行基本的安全管理,建立必要的规章和制度,做到分工明确,责任落实,确保系统所设置的各种安全功能发挥其应有的作用。,根据公信安20091429号文件,第一级信息系统经过安全建设后,应具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;系统遭到损害后,具有恢复系统主要功能的能力。,第二级:系统审计保护级。具有第二级安全的信息系统,一般是运行于计算机网络平台上的信息系统,需要在信息安全监管职能部门指导下,依照国家相关的管理规定和技术标准进行
38、一定的安全保护,重点防止来自外部的攻击。技术方面的安全控制包括采用一定的信息安全技术,对信息系统的运行进行一定的控制和对信息系统中所存储、传输和处理的信息进行一定的安全控制,以提供系统和信息一定强度的保密性、完整性和可用性;管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取一定的管理措施,确保技术的安全控制达到预期的目标。,按照GB 17859中4.2的要求,从组成信息系统安全的五个方面对信息系统进行安全控制,既要保护系统的安全性,又要保护信息的安全性。在第一级安全的基础上,该级增加了“审计”与“客体重用”等安全要求,要求在系统的整个生命周期进行身份鉴别,每一个用户具有唯一标识,使
39、用户要对自己的行为负责,具有可查性。同时,要求自主访问控制具有更细的访问控制力度。在系统安全方面,要求能提供一定程度的系统安全运行保证,以提供必要的系统服务。,在信息安全方面,对数据信息和系统信息在保密性、完整性和可用性方面均有一定的安全保护。在安全性保证方面,要求安全机制具有一定的自身安全保护,以及对安全功能的设计、实现及管理方面的一定要求。在安全管理方面,要求具有一定的安全管理措施,健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,确保系统所设置的各种安全功能发挥其应有的作用。,根据公信安20091429号文件,第二级信息系统经过安全建设后,应具有抵御小规模、较弱强度恶意
40、攻击的能力,抵抗一般自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。,第三级:安全标记保护级。具有第三级安全的信息系统,一般是运行于计算机网络平台上的信息系统,需要依照国家相关的管理规定和技术标准,在信息安全监管职能部门的监督、检查、指导下进行较严格的安全控制,防止来自内部和外部的攻击。技术方面的安全控制包括采用必要的信息安全技术,对信息系统的运行进行较严格的控制和对信息系统中存储、传输和处理的信息进行较严格的安全控制,以提供系统和信息的较高强度保密性、完整性和可用性;,管理方面的安全
41、控制包括从人员、法规、机构、制度、规程等方面采取较严格的管理措施,确保技术的安全控制达到预期的目标。按照GB 17859中4.3的要求,从组成信息系统安全的五个方面对信息系统进行安全控制,既要保护系统安全性,又要保护信息的安全性。在第二级安全的基础上,该级增加了“标记”和“强制访问控制”要求,从保密性保护和完整性保护两方面实施强制访问控制安全策略,,增强了特权用户管理,要求对系统管理员、系统安全员和系统审计员的权限进行分离和限制。同时,对身份鉴别、审计、数据完整性、数据保密性和可用性等安全功能均有更进一步的要求。要求使用完整性敏感标记,确保信息在网络传输中的完整性。在系统安全方面,要求有较高程
42、度的系统安全运行保证,以提供必要的系统服务。在信息安全方面,对数据信息和系统信息在保密性、完整性和可用性方面均有较高的安全保护,应有较高强度的密码支持的保密性、完整性和可用性机制。在安全性保证方面,要求安全机制具有较高程度的自身安全保护,,以及对安全功能的设计、实现及管理的较严格要求。在安全管理方面,要求具有较严格的安全管理措施,设置安全管理中心,建立必要的安全管理机构,按要求配备各类管理人员,健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全培训等,确保系统所设置的各种安全功能发挥其应有的作用。根据公信安20091429号文件,第三级信息系统经过安全建设后,应具有在统一的安全保护策
43、略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;,具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。第四级:结构化保护级。具有第四级安全的信息系统,一般是运行在限定的计算机网络平台上的信息系统,应依照国家相关的管理规定和技术标准,在信息安全监管职能部门的强制监督、检查、指导下进行严格的安全控制,重点防止来自内部的越权访问等攻击。,技术方
44、面的安全控制包括采用有效的信息安全技术,对信息网络系统的运行进行严格的控制和对信息网络系统中存储、传输和处理的信息进行严格的安全控制,保证系统和信息具有高强度的保密性、完整性和可用性;管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取严格的管理措施,确保技术的安全控制达到预期的目标,并弥补技术方面安全控制的不足。按照GB 17859中4.4的要求,从组成信息系统安全的五个方面对信息系统进行安全控制,既要保护系统的安全性,又要保护信息的安全性。,在第三级安全的基础上,该级要求将自主访问控制和强制访问控制扩展到系统的所有主体与客体,并包括对输入、输出数据信息的控制,相应地其他安全要求,
45、如数据存储保护和传输保护也应有所增强,对用户初始登录和鉴别则要求提供安全机制与登录用户之间的“可信路径”。本级强调通过结构化设计方法和采用“存储隐蔽信道”分析等技术,使系统设计与实现能获得更充分的测试和更完整的复审,具有更高的安全强度和相当的抗渗透能力。,在系统安全方面,要求有更高程度的系统安全运行保证,以提供必要的系统服务。在信息安全方面,对数据信息和系统信息在保密性、完整性和可用性方面要有更高的安全保护,应有更高强度的密码或其他具有相当安全强度的安全技术支持的保密性、完整性和可用性机制。在安全性保证方面,要求安全机制具有更高的自身安全保护,以及对安全功能的设计、实现及管理的更高要求。在安全
46、管理方面,要求具有更严格的安全管理措施,设置安全管理中心,建立必要的安全管理机构,,按要求配备各类管理人员,健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全审查和培训等,确保系统所设置的各种安全功能发挥其应有的作用。对于某些从技术上还不能实现的安全要求,可以通过增强安全管理的方法或通过物理隔离的方法实现。根据公信安20091429号文件,第四级信息系统经过安全建设后,应具有在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重自然灾害的能力,防范计算机病毒和恶意代码危害的能力;,具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安
47、全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中管控的能力。第五级:访问验证保护级。具有第五级安全的信息系统,一般是运行在限定的局域网环境内的计算机网络平台上的信息系统,需要依照国家相关的管理规定和技术标准,在国家指定的专门部门、专门机构的专门监督下进行最严格的安全控制,,重点防止来自内外勾结的集团性攻击。技术方面的安全控制包括采用当前最有效的信息安全技术,以及采用非技术措施,对信息系统的运行进行最严格的控制和对信息系统中存储、传输和处理的信息进行最严格的安全保护,以提供系统和信息
48、的最高强度保密性、完整性和可用性;管理方面的安全控制包括从人员、法规、机构、制度、规程等方面采取最严格的管理措施,确保技术的安全控制达到预期的目标,并弥补技术方面安全控制的不足。,按照GB 17859中4.5的要求,从组成信息系统安全的五个方面对信息系统进行安全控制,既要保护系统安全性,又要保护信息的安全性。在第四级安全的基础上,该级提出了“可信恢复”的要求,以及要求在用户登录时建立安全机制与用户之间的“可信路径”,并在逻辑上与其他通信路径相隔离。本级重点强调“访问监控器”本身的可验证性;要求访问监控器仲裁主体对客体的所有访问;要求访问监控器本身是抗篡改的,应足够小,能够分析和测试,并在设计和
49、实现时,从系统工程角度将其复杂性降低到最小程度。,系统安全方面,要求有最高程度的系统安全运行保证,以提供必要的系统服务。在信息安全方面,对数据信息和系统信息在保密性、完整性和可用性方面均有最高的安全保护,应有最高强度的密码或其他具有相当安全强度的安全技术支持的保密性、完整性和可用性机制。在安全性保证方面,要求安全机制具有最高的自身安全保护,以及对安全功能的设计、实现及管理的最高要求。在安全管理方面,要求具有最严格的安全管理措施,,设置安全管理中心,建立必要的安全管理机构,按要求配备各类管理人员,健全各项安全管理的规章制度,对各类人员进行不同层次要求的安全审查和培训等,确保系统所设置的各种安全功能发挥其应有的作用。 综合上述,GB 17859中各级提出的安全要求可归纳为10个安全要素:自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐藏信道分析、可信路径、可信恢复。在所有的安全评估标准中,不同安全等级的差异均体现在两个方面:各级间安全要素要求的有无和要求的强弱,在GB 17859中也不例外。表4-3给出了GB 17859中10个要素与安全等级的关系。,
