文档介绍：该【信息系统安全等级保护定级指南 】是由【老狐狸】上传分享，文档一共【24】页，该文档可以免费在线阅读，需要了解更多关于【信息系统安全等级保护定级指南 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。信息系统安全等级保护定级指南
为宣贯《信息系统安全等级保护定级指南》〔以下简称《定级指南》〕国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。
定级指南标准制修订过程
制定背景
本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要标准性文件之一,是其他标准标准文件的根底。本标准依据66号文件与“信息安全等级保护治理方法”的精神与原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依靠程度与信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则与方法。
本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责治理。
国外相关资料分析
本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:
FIPS199StandardsforSecurityCategorizationofFederalInformationandInformationSystems〔美国国家标准与技术争论所〕
-MDoDInformationTechnologySecurityCertification
andAccreditationProcessApplicationManual〔美国国防部〕
(IA)Implementation〔美国国防部〕
〔美国国家安全局〕
这些资料说明,美国政府及军方也在乐观进展信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的进展中国家,也适用于信息化兴旺国家。但认真分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级与定级要素选择方面各有不同。
FIPS199作为美国联邦政府标准,依据2023年通过的联邦信息安全治理法,适用于全部联邦政府内的信息〔除其它规定外的〕与除已定义为国家安全系统之外的联邦信息系统。依据FIPS199,信息与信息系统依据信息系统中信息的保密性、完整性与可用性被破坏的
潜在影响将信息分类,影响程度可为高、中或低。例如某政府选购系统中,包含合同信息与治理信息,各自的信息分类为:
SC ={(保密性,中),〔完整性,中〕,〔可用性,低〕
合同信息
SC ={(保密性,低),〔完整性,低〕,〔可用性,低〕
治理信息
该政府选购系统分类的各项,将是系统中全部信息分类的三性取值中的最高值:
SC政府选购=系{(保统密性,中),〔完整性,中〕,〔可用性,低〕
尽管该标准仅将信息系统依据对信息安全三性的安全需求进展了分类,没有明确说明信息系统的安全等级,但从与该标准配套的安全掌握措施〔SP800-53等〕内容来看,最终信息系统的等级是由分类中的较高者打算。
-M为美国国防部公布的DITSCAP打算供给实施手册,DITSCAP打算的主要目的是保护国防信息根底设施,适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商与机构。在考虑系统的功能、国家与国防的安全要求以及系统的使命的危急程度、系统所处理的数据与用户类型等因素的根底上,DITSCAP的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。这四个认证级别是:1级—根本的安全评审,2级—最小分析,3级—具体分析,4级—简单分析。
-M提出用于描述系统的7个特征量,互联模式、处理模式、归因性〔责任追溯〕业务依靠性、信息三性等,依据对这7个特征量赋权值,得出某个信息系统的总的权值,再依据权值所处的区间,确定信息系统的认证级别。
,但给出了两种分等级的信息保障需求,一种是按信息保密性分级,DoD定义了三个保密性等级:保密、敏感与公开,另一种是按业务保障分类〔MissionAssuranceCategory〕:MACⅠ、MACII与MACIII,由此可以排列出9种组合。保密性分级反映了系统内所处理的信息的重要程度,业务保障类反映了与DoD实现业务目标相关的重要性,业务保障类主要用于满足完整性与可用性方面的需求,其中MACⅠ系统比MACII与MACIII系统要求有更为严格的保护措施。
《信息保障技术框架》〔IATF〕由美国国家安全局主持编制,其所面对的对象既包括Internet这样的全球信息根底设施,也包括国家信息根底设施,以及作为机构专有资源以实现其业务的本地信息根底设施。IATF为安全机制的强度与实现保证提出了三个强健度等级(SML),并对资产按其信息价值分为5个等级,威逼环境按其强弱分为7个等级,以矩阵
表的方式给出了35种状况下可以选择的强健度等级。信息系统的全部者可以依据其信息价值与可能面临的威逼环境,选择系统安全保护的强健度等级与信息技术产品的评估保证级别
〔EAL〕。
定级指南编制原则
通过分析可以觉察上述定级方法分别在不同方面不能满足我国等级保护的需要,具体分析如下:
FIPS199可能是与我们的需求最为接近的一种信息系统定级方法,它以信息安全保
密性、完整性与可用性需求中的最高者作为信息系统的安全等级,用于美国联邦政府信息系统的保护可能适宜,但我国的等级保护面对国内全部行业,包括那些生产系统与自动化处理系统,这些系统对信息保密性要求不高,而对业务安全保障要求格外高,三性取高的定级方法,没有反映出这些系统的安全需求特点,可能造成对多数系统要求过高而无法实现。
-M确定的是用于治理的认证级,各等级之间没有安全保护强度的差异,而
等级保护的定级应当反映保护强度与保护力量的逐级提高。
,当两种信息保障类别排列出不同组合时,没有给出信息系统等级如何确定,但它提出两类信息保障的不同需求组合,反映信息系统不同安全需求的做法值得借鉴。
IATF提出的是信息系统的强健性等级,不是信息系统安全等级,没有反映信息系
统的安全需求。但它提出了依据信息价值与信息系统面临的威逼环境强度打算信息系统的保护强度的概念,值得借鉴。
究其缘由,上述国外标准与文献资料一般针对特定系统,在特定系统中适用,但不能满足我国在全国范围内、在全部行业内开展等级保护工作的要求。因此必需在对国外资料进展争论与吸取的根底上,探究适合我国国情、简便易行的定级方法。因此,等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异。从这一点动身考虑,信息系统安全保护等级定级的动身点应当是信息系统所承载的业务,或称业务应用的重要性。
此外,我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的根底信息网络与重要信息系统,主要包括:国家事务处理信息系统〔党政机关办公系统〕;财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、播送电视传输等根底信息网络中的信息系统;网络治理中心、重要网站中的重要信息系统与其他领域的重要信息系统。”〔摘自《实施意见》〕。由此可以看出,《定级指南》既要有较大的通用性,也应具备肯定的敏捷性。因
此在编制过程中坚持以下原则:
满足治理要求原则:《定级指南》所确定的信息系统安全保护等级不是信息系统安全保障程度等级,因此也不是信息系统的技术力量等级,而是从国家治理的需要动身,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严峻性角度对信息系统确定的等级;
全局性原则:信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统
的治理制度,信息系统安全保护等级的定级也必需从国家层面考虑,表达全局性;
业务为核心原则:信息系统是为业务应用效劳的,信息系统的安全保护等级应当反映信息系统承载业务的重要性,应以业务为动身点与核心,将信息重要性纳入业务重要性统筹考虑;
合理性原则:充分反映出信息系统的主要安全特征,优化构造、降低投资、突出
重点,有效保护。
主要编制过程
《信息系统安全保护等级划分准则》初稿于2023年5月完成,其中提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统效劳范围与业务自动化处理程度,通过信息系统所属类型与业务数据类型可以确定业务数据安全性等级,通过信息系统效劳范围与业务自动化处理程度及调整因子,可以确定业务效劳连续性等级。经向业内专家,安全效劳企业专家以及局部用户进展了较为广泛的征求意见,依据各方意见,编制小组对文档名称〔建议改为定级指南〕、形式与内容均进展了多处修改,形成《信息系统安全保护等级分准则定级指南》〔以下简称《定级指南》〕征求意见稿第1稿。
2023年10月国信办安全组召开定级评审专家组对《定级指南》征求意见稿第1稿进展了专家评审,依据评审意见,编制小组对文稿进展了修改。主要修改为:在信息系统划分中将从业务流程角度划分与从业务类型角度划分两方面合并,补充说明设置调整因子的理由,将第五级的定级方法处理成在四级的根底上依据有关部门的需要另行制定。由此形成定级指南征求意见稿第2稿。
2023年11月编制组分两次向定级评审专家组专家征求对定级指南征求意见稿第2稿的意见,依据专家意见,修改子系统划分方面内容,将信息系统/子系统统称为信息系统,明确定级对象是信息系统,信息系统内可以包含业务子系统,突出依据业务重要性划分信息系统。进一步强调三性作为信息系统重要安全属性在确定定级要素赋值方面的作用,突出信息与效劳两个定级指标,将调整因子的赋值方法从定值改为区间赋值,由此形成定级指南征求
意见稿第3稿,即等级保护试点工作中承受的试用版本。
通过2023年1月-10月在全国开展的信息系统根底调查工作与等级保护试点工作,各试点单位将《定级指南》使用过程中觉察的问题以书面形式提交公安部。编写组依据试点单位提出的意见,取消调整因子,将四个定级要素改为业务信息类型、业务信息受到破坏影响的客体,系统效劳类型与系统效劳受到破坏影响的客体,由前两个要素确定业务信息安全性等级,后两个要素确定系统效劳安全性等级。为帮助使用者确定定级对象,增加了定级对象三个特征的描述,形成定级指南征求意见稿第4稿。
2023年4月对定级指南征求意见稿第4稿评审专家提出四个要素应分出主次,应当明确表达影响程度等意见。经修改,为区分信息系统本身与信息系统安全受到破坏所影响的客体,在本次修改中提出了等级保护对象、受侵害的客体、客体侵害的客观方面等援引自法律文件中的术语,以更加准确地表达等级差异的内在含义,并将受侵害的客体作为主导要素,侵害的程度作为相关要素,相应地修改了定级步骤。由此形成定级指南征求意见稿第5稿。
2023年5月全国信息安全标准化技术委员会第五工作组组织工作组成员对定级指南征求意见稿第5稿进展了评审,专家主要对法律上“客体”概念与技术标准中的“客体”概念不全都,简洁造成混淆,建议更改,但由于没有更适宜的概念替代,临时没有修改,这个概念始终保存到。
定级原理与定级要素
定级原理
等级保护是我国实施信息安全治理的根本制度,信息系统安全保护等级是为行政治理效劳的等级,不是纯粹的技术等级。因此《定级指南》确定的等级必需与相关治理文件的规定保持全都。
依据《信息安全等级保护治理方法》,信息系统的5个安全保护等级为:
第一级,信息系统受到破坏后,会对公民、法人与其他组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益。
其次级,信息系统受到破坏后,会对公民、法人与其他组织的合法权益产生严峻损害,或者对社会秩序与公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序与公共利益造成严峻损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序与公共利益造成特别严峻损害,或者对国
家安全造成严峻损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严峻损害。
从上述描述可以看出,信息系统的安全保护等级的凹凸并不打算于信息系统的规模、价值、效劳对象等本身因素,而是打算于信息系统被破坏后产生的损害,包括受到侵害的各方利益与损害程度。
侵害
破坏
威逼源
信息系统
各方利益
假设我们将使信息系统受到破坏的缘由称为威逼源,在威逼源、信息系统与受侵害的各方利益之间存在以下图所示的关系:
威逼源是安全问题产生的缘由,它直接破坏的是信息系统的安全性,但信息系统的安全保护等级并不是依据信息系统本身被破坏的程度而确定的,而是依据对各方利益的侵害程度确定,这是信息系统安全保护等级确定的核心所在。
实质侵害
为了给国家安全、社会秩序与公共利益以及公民、法人与其他组织的合法权益一个简短的表述方式,借鉴中国刑法理论中描述方式。刑法学中犯罪主体、犯罪对象与犯罪客体三者关系与上面描述的威逼源,信息系统与受侵害的各方利益之间关系格外接近,如以下图所示:
直接作用
犯罪主体
犯罪对象
犯罪客体
主体
直接客体
实际客体
图X-1刑法中的主客体关系
其中的犯罪对象是犯罪主体,例如小偷,偷窃行为作用的直接客体,例如被小偷偷窃的钱物,但定罪量刑的依据不是对犯罪对象的损害〔在偷窃过程中,犯罪对象没有损害〕,而是对犯罪客体的侵害,是犯罪主体侵害的实际客体。依据刑法学,犯罪客体是指我国刑法所保护的,而为犯罪行为所侵害的社会主义社会关系,刑法所保护的社会关系包括社会主义的国体、政体与国家安全,社会公共安全,社会主义市场经济秩序,公民人身权利与民主权利,社会主义制度下各种财产权利,社会秩序,国防利益与军事利益,国家机关行政与司法秩序
及公务活动等。这样的社会关系与等级保护关注的国家安全、社会秩序与公共利益以及公民、法人与其他组织的合法权益是一样的。因此在《定级指南》标准中引用了刑法学中的“客体”概念代指信息系统受到破坏后所侵害的不同社会关系。
“客体”概念定义:受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
将威逼源直接作用的信息系统定义为等级保护对象。由于对客体的侵害是通过对信息系统的破坏实现的,因此保护信息系统才能最终保护客体——社会主义社会关系。
与GB17859中定义的客体相比,《定级指南》对客体定义据有不同的关注点,信息安全等级保护定级的关注点是对社会关系的侵害,信息系统安全保护的关注点是对信息与效劳的保护,两者内在相关,概念表述不同,反映了行政治理与技术关注点的不同。
对客体的侵害程度
受侵害的客体
公民、法人与其他组织的合法权益
社会秩序、公共利益
国家安全
依据《治理方法》对5个等级信息系统的定义,《定义指南》使用客体概念,提出信息系统的安全保护等级由两个定级要素打算:等级保护对象受到破坏时所侵害的客体与对客体造成侵害的程度,表示如下:
一般损害
严峻损害
特别严峻损害
第一级
其次级
其次级
其次级
第三级
第四级
第三级
第四级
第五级
受侵害的客体
等级保护对象受到破坏时所侵害的客体包括三个方面:
国家安全;
社会秩序与公共利益;
公民、法人与其他组织的合法权益。
这三种受侵害的客体表达了三种不同层次、不同掩盖范围的社会关系。国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全与资源环境安全等方面利益。
社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益。
《定级指南》中的社会秩序与公共利益表达了在肯定范围的或对不特定群体的利益。
合法权益是法律确认的并受法律保护的公民、法人与其他组织所享有的肯定的社会权利与利益,《定级指南》中特指公民、法人与其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力与利益。
对客体造成侵害的程度
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
造成一般损害;
造成严峻损害;
造成特别严峻损害。
造成一般损害是指对客体造成肯定损害与影响,经实行恢复或弥补措施,可消退局部影响。
造成严峻损害是指对客体造成严峻损害,经实行恢复或弥补措施,仍产生较大影响。造成特别严峻损害是指对客体造成特别严峻损害,后果特别严峻,影响重大且无法弥
补。
对客体的侵害不是威逼直接作用的结果,而是通过对等级保护对象——信息系统的破坏而导致的,因此确定对客体侵害的程度时,必需考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果,也就是侵害的客观方面。
在分析侵害的客观方面时,为区分针对信息系统的破坏程度与对客体的侵害程度,《定级指南》使用了“危害”一词,用于描述对信息系统的破坏,例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度,才可以确定对客体的侵害程度。
影响安全保护等级的信息系统元素分析
为分析侵害的客观方面,编制组对含有安全等级的相关国外的文献资料进展了争论,目的是从信息系统本身找出影响安全保护等级的核心元素。
不同定级方法打算出的等级包括信息系统安全等级、认证等级、两种等级的穿插分类以及系统强健度等级等。在不同的方法中,都会涉及到这样三个方面:依据信息系统的哪些元素定级,这些元素的哪些属性打算了系统的安全,这些属性的哪些不同性质打算了重要性的等级差异,以下逐一分析。
1. FIPS199
FIPS199依据信息在保密性、完整性与可用性三个属性被破坏后的安全影响打算信息的安全分类与信息系统的等级。在这里打算系统安全等级的唯一元素是信息,保密性、完整性
与可用性是信息的三个安全属性,信息三性丧失后对机构运行、机构财产与个人的安全影响是打算重要性的因素,依据安全影响大小分成低、中、高三个等级,描述方式为:
表4-1FIPS199定义的安全影响等级
潜在影响
描述
低
保密性、完整性与可用性的丧失,可能对机构运行、机构财产与个人产生
有限的负面影响
中
保密性、完整性与可用性的丧失,可能对机构运行、机构财产与个人产生
严峻的负面影响
高
保密性、完整性与可用性的丧失,可能对机构运行、机构财产与个人产生
格外严峻或灾难性的负面影响
2. -M
-M定级的系统元素比较简单,从7个方面综合确定信息系统的认证等级,包括系统外部因素,系统的业务,系统中的实体资产,信息等,这些元素的安全属性与重要性没有明确分开,表现为系统互连模式、系统处理、传输、储存数据的方法、业务使命对系统的依靠度、信息敏感性分类、系统完整性要求、系统实时性要求、系统实体的可审查性需求等。
3.
〔或称使命〕,对于信息关注其保密性,对于业务则关注其完整性与可用性两个安全属性。信息保密性分为三个等级:隐秘、敏感与公开;业务保障分类为三个等级:高完整性与高可用性〔MACⅠ〕高完整性与中可用性〔MACⅡ〕与根本的完整性与可用性〔MACⅢ〕,两个等级相互独立,可以构成9种组合,。
4. IATF
IATF从信息价值与预期对抗的威逼两个元素打算系统的强健度等级,其中信息价值关注的不是三性受到破坏而是对信息保护策略的违反,信息价值的凹凸取决于造成负面影响的程度,共分五级,分别为:可以无视、不良影响或较小破坏、肯定破坏、严峻破坏与格外严峻破坏;威逼等级由攻击者力量与攻击者愿冒风险的大小两个方面组合形成,分为7个等级。
在上述定级方法中所表达的主要定级元素有:信息、系统、业务与威逼,在这里可以首先排解威逼。由于威逼本身是一个不定因素,任何系统都有可能面临全部种类与全部等级的威逼,对信息系统的保护也没有必要做到能够对抗全部威逼。因此可以考虑为每个等级的系
统确定一个较为合理的威逼等级〔可由威逼主体力量、动机打算〕。依据该威逼等级确定该等级系统的技术或治理掌握目标,且允许不同的系统依据其所面临威逼的差异性,对保护措施进展适当调整。
实际状况应当是,当某个等级的系统选择了相应等级的保护措施,一般可以对抗相应级别的威逼,但并不能对抗全部的威逼,因此不能说用该等级保护措施保护系统其安全性就高枕无忧。对于系统全部者来讲,安全目标肯定是有限的,是考虑了本钱与效益的平衡,考虑了更高威逼所造成损失的可承受。因此,威逼可以不作为确定信息系统安全等级所考虑的系统元素,而放在确定保护各级别系统的掌握目标与掌握措施时考虑。
此外,系统是指通过软件、硬件等组成的有机整体所供给的功能与效劳,业务是由信息系统所承载的,对内部或外部用户供给的信息化效劳,它们的核心内容都是功能与效劳,因此将影响安全等级的一个系统元素确定为效劳,信息系统供给的效劳,另一个元素为信息。
依据上述分析,信息系统重要程度可以从信息系统所处理的信息与信息系统所供给的效劳两方面来表达,对信息系统的破坏也应从对业务信息安全的破坏与对系统效劳安全的破坏两方面来考虑。因此,在《定级指南》中也是分别从这两个方面确定信息系统安全被破坏后所影响的客体及对客体的影响程度。
定级过程与方法
定级对象概述
定级工作是信息系统等级保护工作的起点,定级结果直接打算了后续安全保障工作的开展。在定级之前,首先必需明确定级的对象,即,对哪个信息系统进展定级。《定级指南》中指出,作为定级对象的信息系统应当具备以下三个条件:
具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案与承受监视检查的直接责任单位。假设一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,而其上级部门仅负有监视、指导责任,则这个下级单位可以成为信息系统的安全责任单位;假设一个单位中的不同下级单位分别担当信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
具有信息系统的根本要素
作为定级对象的信息系统应当是由相关的与配套的设备、设施依据肯定的应用目标与