3.4 信息安全等级保护体系设计方法及原则

3.4.1 安全体系设计原则

信息安全保障是一个极为复杂、系统性和长期性的工作。设计信息系统安全体系及实施方案时，一般应遵循以下4条原则：清晰定义安全模型、合理划分安全等级、科学设计防护深度和确保可实施易评估。

（1）清晰定义安全模型

政府或大型企业的信息系统往往覆盖全国范围内的各省、市、县和乡镇，地域辽阔，规模庞大；各地信息化发展程度不一，东西部存在较大差别；前期建设缺乏统一规划，各区域主要业务系统和管理模式往往都存在较大的差别。这样就造成难以准确、清晰地描述大型信息系统的安全现状和安全威胁。因此，设计保障体系时也就无的放矢，缺乏针对性，也不具备实用性。

因此，在设计时要针对信息系统的安全属性定义一个清晰的、可描述的安全模型，即信息安全保护对象框架。在设计信息安全保障体系时，首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来，参照IATF（美国信息安全保障技术框架），通过建立信息安全保护对象框架的方法来建立安全模型，从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性，将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象。

（2）合理划分安全等级

因为信息系统的差异性，所以其安全要求的属性和强度存在较大差异性；又因为经济性的考虑，需要考虑信息安全要求与资金人力投入的平衡。设计安全保障措施时不能一刀切，必须考虑差异性和经济性。因此，必须考虑如何解决在设计安全保障措施时所面对的需求差异性与经济性难题。

针对保护对象和保障措施划分安全等级是解决难题的有效方法。通过将保护对象进行等级化划分，实现等级化的保护对象框架，来反映等级化的信息系统。其次，设计等级化的保障措施：根据保护对象的等级化，有针对性地设计等级化的安全保障措施，从而通过不同等级的保护对象和保障措施的一一对应，形成整体的等级化安全保障体系。

等级化安全保障体系应满足以下几个方面的要求。

① 满足大型组织中不同分支机构的个性化安全需求；

② 可动态地改变保护对象的安全等级，能方便地调整不同阶段的安全目标；

③ 可综合平衡安全成本与风险，能优化信息安全资源配置；

④ 可清晰地比对目标与现状，能准确、完备地提取安全需求。

（3）科学设计防护深度

信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影响到整个信息系统，后果是灾难性的。总结起来就是现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗打击能力和可控性。

国家相关指导文件提出“坚持积极防御、综合防范的方针”，《美国国家安全战略》中也指出，国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对美国的利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在设计安全体系时，应将安全组织、策略和运作流程等管理手段和安全技术紧密结合，从而形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。

（4）确保可实施易评估

我国许多安全项目在安全体系框架设计方面，由于缺乏深入和全面的需求调研，往往不能切实反映信息系统的业务特性和安全现状，安全体系框架中缺乏可行的实施方案与项目规划，在堆砌安全产品的过程中没有设计安全管理与动态运维流程，缺乏安全审计与评估手段，因此可实施性和可操作性不强。

我们在设计安全体系时，应综合运用用户访谈、资产普查、风险评估等手段，科学设计安全体系框架，确保可实施易评估。充分考虑到了上述问题，采取如下措施。

在设计安全体系前，通过对目标信息系统的各方面进行完整和深入调研，采取的手段包括选取典型抽样节点的深入调查和安全风险评估，以及全范围的信息资产和安全状况普查。综合两种手段，得出反映现状的安全保护对象框架及下属的信息资产数据库，以及全面的安全现状报告。

在体系框架设计的同时，设计工程实施方案和项目规划；安全体系本身具有非常详尽的描述，具备很强的可工程化能力。在描述安全对策时，不是原则性的，而应是可操作和可落实的。

3.4.2 安全体系设计流程

等级化安全体系的设计需要充分考虑信息系统的复杂性和信息安全保障的系统性与长期性，需要系统化的统一规划设计。在安全体系设计时应该考虑如何有效实施，并同时设计实施方案和建设规划；通过将安全体系指标和安全现状的对比，产生安全需求，并将类似的一组安全需求打包并设计解决方案；然后将一组类似的解决方案打包成可以工程化实施的项目，并通过规划，排出实施的先后顺序，从而分步实施，一般来说等级保护实施流程如图3-5所示。