- 信息系统安全等级化保护原理与实践
- 沈昌祥 张鹏 李挥 刘敦伟 赵林欣 刘京京 刘冶编著
- 4850字
- 2020-06-25 20:11:33
2.5 我国信息安全等级化发展历程
国家高度重视信息安全保护工作。经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧安全等级保护制度建设。这一重大决定,明确落实了《中华人民共和国计算机信息系统安全保护条例》中关于实行信息安全等级保护制度的有关规定,提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务,提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效方法及信息安全保护工作的发展方向[15],主要分为4个阶段[16,17]。
1.前期储备阶段
我国于20世纪80年代末开始研究信息系统安全防护问题,早在1984年就开始研究国外等级保护的相关工作。
1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。这一重大决定,明确了关于实行信息安全等级保护制度的有关规定,提出从整体上、根本上解决国家信息安全问题的办法。1994年的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)被视为中国实施等级保护的法律基础。
1999年,国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》颁布[2],提出从整体上、根本上、基础上来解决等级保护问题,对计算机信息系统安全保护能力划分为5个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,计算机信息系统安全保护能力随着等级的增高逐渐增强[18]。1999年发布的强制性国标《计算机信息系统安全保护等级划分准则》(GB17859)是我国等级保护的技术基础和依据。GB17859标准参照TCSEC,取消了D级和A1级,保留5个定级,保留TCSEC的全部安全功能点,并增加了少量有关数据完整性和网络信息传输的要求。像TCSEC一样,GB17859用于对计算机信息系统安全保护技术能力等级的划分,安全保护能力随着安全保护等级的增高逐渐增强,构成金字塔结构,低等级要求是高等级要求的真子集[9]。
国内的主要测评机构都没有用GB17859做产品等级测评依据,直接用于测评信息系统的是由它衍生的一系列标准,如《信息安全技术网络基础安全技术要求》(GB/T20270)、《信息安全技术信息系统通用安全技术要求》(GB/T20271)、《信息安全技术操作系统安全技术要求》(GB/T20272)以及《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)等[9]。
在GB17859的唯一强制性国标地位确定之后,我国也引入了ISO/IEC 15408,即《信息技术安全性评估准则》(GB/T18336)。已经有一些测评中心使用该标准测评信息系统。此外,一批参照国外安全管理标准制定的标准也相继出台,如《信息安全技术信息系统安全管理要求》(GB/T20269)《信息安全技术信息系统安全工程管理要求》(GB/T20282)等[9]。
1999年年底,公安部与信息产业部、国家安全部、国家保密局、国家密码管理委员会等相关部门起草了《计算机信息系统安全保护等级制度建设纲要》,初步确立了安全保护等级制度的主要适用范围、建设目标、建设原则、建设任务、实施步骤及措施等主要问题[19]。
2000年11月10日,国家发展计划委员会正式向公安部印发批复,同意将计算机信息系统安全保护等级评估认证体系建设项目列入2000年国家高技术产业发展项目计划。建设内容包括在北京和上海分别建立信息产品安全保护等级检测中心和计算机信息系统安全保护等级评估中心等。目标是初步建立我国计算机信息系统安全等级保护监督管理系统[20],为实施《计算机信息系统安全保护等级划分准则》提供基本条件。2003年,中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》(中办发[2003]27号),再次强调对信息安全进行等级保护,提出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”[21]。
2.预备阶段
2004年公安部联合国家保密局、国家密码管理局、国家保密委员会和国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),对信息安全等级保护的基本制度框架进行了规划。2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)[22]。2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。
2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础[23]。
3.等级保护工作全面实施阶段
2007年6月,公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号),对信息安全等级的划分与保护、等级保护的实施与管理、法律责任进行了规定。同年7月,下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)对重要信息系统安全等级保护定级工作提出要求,召开全国重要信息系统定级电视电话会议,部署在全国范围内开展重要信息系统安全等级保护定级工作。随着43号文件的发布,中国信息安全等级保护建设进入一个新阶段。作为一个标志性的国标,《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)的发布为信息等级测评提供了具体的等级测评标尺,成为等级保护的一个路标。该标准以信息安全的5个属性为基本内容,从实现信息安全的5个层面,按照信息安全5个等级的不同要求,分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。对于信息系统的生产和运营厂商来说,这个标准指出了信息系统要达到其应当具有的安全保护能力必须加强的要点,对于安全主管单位来说,这个标准给出了测评的检查清单。从GB/T22239中也可以看到关于GB17859的影响:GB/T22239对网络、主机和应用层的技术要求大体上采取了GB17859的说法(GB17859中的“客体重用”在GB22239中被称为“剩余信息保护”)。从对应关系上看,GB/T22239的第一、二、三、四级分别对应GB17859的第一、二、三、四级[23]。
GB/T22239结构清晰,要点清楚,可操作性强为标准的实施打下了良好的基础。该标准表明:我国的等级保护思想已经从信息产品的安全性和可信度测评转向信息系统的安全保护能力测评[23],这是一个包含物理环境、安全技术、安全管理和人员安全等各个方面的全面、综合、动态的测评。
与GB/T22239配套的国标还有《信息系统安全保护等级定级指南》(GB22240)、《信息系统等级保护安全设计技术要求》(GB/T25070)等,以及已经报批的《信息系统安全等级保护实施指南》和《信息系统安全等级保护测评要求》等。经过多年的建设,现在的等级保护体系已蔚然大观。
4.等级保护工作深化推进阶段
2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
目前,根据国家信息化领导小组的统一部署和安排,我国将在全国范围内全面开展信息安全等级保护工作,相关主管部门也相继推出了许多政策与措施。2004年11月四部委联合签署《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),2005年公安部标准《信息系统安全等级保护基本要求》《信息系统安全等级保护定级指南》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评准则》等相继颁布,2006年1月四部委会签《关于印发信息安全等级保护管理办法的通知》等,这些政策的相继出台为国内各单位实施信息安全等级保护工作提供了指导与要求。
我国实行等级保护制度主要基于以下方面考虑。
一方面是国家的要求。我国现在总体安全形势比较严峻,引发信息安全问题的因素有诸多方面。如信息安全保护工作组织管理制度不够健全,安全责任制落实不到位,专业人才比较缺乏,总体技术比较落后,导致管理不规范、安全管理与技术规范不统一、配套体系不完善等,尤其是核心技术严重依赖于外部进口等,因此导致国家对信息安全状况很难有效把握。
另一方面,信息系统管理者、建设者、使用者也面临许多安全问题,例如,如何搞好信息系统安全建设和管理,信息系统安全究竟存在什么问题、如何改进、需要多少投资等;科研和业务单位应开发生产什么样的安全产品,信息安全职能部门如何进行有效监督、检查评估、服务指导等;信息安全专家对安全产品审查如何给定评审结果意见。对这些问题缺乏认识,不能给出有效的解决办法等,势必会影响到国家信息化建设、国家安全等。
为解决上述安全问题,国家颁布了27号文件,明确规定我国信息安全的战略目标是建设国家信息安全保障体系,计划用5年的时间完成。总体战略方针是积极防御和综合防范,其中比较重要的一项是等级保护制度;颁布的66号文件将等级保护制度确认为国家信息安全的基本制度,安全工作的根本方法。
等级保护理论的技术演进过程如图2-2所示。
图2-2 等级保护理论的技术演进
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
根据信息和信息系统在国家安全、经济建设、社会活动中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,针对信息的保密性、完整性、可用性要求及信息系统必须达到的基本的安全保护水平等因素,依据《计算机信息系统安全保护等级划分准则》(GB17859-1999)[1],信息系统可以分为5个安全等级,国家对不同级别的信息系统实行不同强度的监管政策。
(1)第一级为自主保护级
主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
(2)第二级为指导保护级
主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护[24],必要时,信息安全监管职能部门对其进行指导。
(3)第三级为监督保护级
主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查[24]。
(4)第四级为强制保护级
主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
(5)第五级为专控保护级
主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。信息系统的类型千差万别、错综复杂,大型、复杂的信息系统通常由完成不同使命、承载不同业务、处理不同数据的多个信息系统构成,应根据信息系统的重要程度,分别确定每个信息系统的安全等级。大型、复杂的信息系统应该考虑是由不同安全等级的几个小型信息系统构成,从而达到对整个信息系统区分保护和重点保护的目的[24]。