信息安全等級保護重要標準解讀

韓雪紅

（鐵路公安局，北京 100844）

信息安全等級保護重要標準解讀

韓雪紅

（鐵路公安局，北京 100844）

我國已形成了一套以信息安全等級保護為基礎，包含基礎、應用、產品等類別的信息安全等級保護標準體系，將標準體系的若干重要標準在按照其在等級保護實施的不同階段的作用劃分為定級、規劃、設計與建設以及運維階段標準，從標準框架、主要內容、行業指導意義3個方面對標準進行解讀，旨在以點帶面闡述各類標準在信息等級保護不同階段的應用和對行業開展等級保護工作的指導意義。

信息安全；等級保護；標準解讀

信息安全等級保護工作是我國在信息化發展過程中對信息系統實施安全保護的基本制度、應對方法和實施策略。2004 年9月，我國頒布了《關于信息安全等級保護工作的實施意見》，隨后于2007年6月頒布了《信息安全等級保護管理辦法》（公通字[2007]43）號文件，該文件確定了等級保護制度的基本內容、要求和工作流程，而后頒布了定級、等級劃分、實施和測評相關的多個多家標注你，初步形成了我國信息安全等級保護工作的標準體系。

1 標準體系

目前國家已經出臺60余個信息安全等級保護標準，包括基礎類、應用類、產品類等類別的標準，在信息安全等級保護定級規劃、設計和運維4個階段發揮重要作用的標準目前共8個，本文旨在對這8類標準從標準框架、標準內容和對行業指導意義3個方面進行解讀。

2 各階段標準解讀

各階段依據的重要標準如圖1所示。

圖1 信息安全等級保護各階段依據的重要標準

2.1 定級階段

信息安全等級保護第一個環節是定級，定級是開展等級測評、建設監督和檢查整改等工作的基礎。在定級階段，應依據《信息系統等級保護定級指南》[1]（簡稱：定級指南）對信息系統進行等級評估和認定。

2.1.1 總體框架

《定級指南》是在《信息安全等級保護管理辦法》的基礎上，主要從定級原理、定級方法和等級變更3個方面描述了如何對信息系統進行等級確認，為等級保護定級工作提供有效指導。

2.1.2 標準內容

在《定級指南》的定級原理一節，定義了信息系統的5個安全等級，在定級方法一節中，說明了信息系統的安全包括系統服務安全和業務信息安全，并根據受侵害客體和對客體的侵害程度，來確定信息系統的服務安全保護級別和安全保護級別，最后綜合考慮取較高者為安全保護等級。

2.1.3 行業指導意義

各行業結合行業自身的特點和行業特殊性，出臺行業自己的定級指導意見或定級指南，被定級信息系統需要結合行業特點，綜合考慮，做到全地區信息系統等級保護定級的一致性。

2.2 規劃階段

在規劃階段，可依據GB/T22239-2008《信息安全技術—信息系統安全等級保護基本要求》[2]（簡稱 ：基本要求）來明確安全等級保護的基本需求。

2.2.1 總體框架

在《基本要求》中，將基本要求劃分為技術要求和管理要求，總計10個方面。技術要求分別為物理層安全要求、主機層安全要求、應用層安全要求、網絡層安全要求、數據安全及備份恢復要求5個方面；管理要求分別為管理制度要求、管理機構要求、人員管理要求、建設管理要求和運行維護管理要求5個方面。

2.2.2 標準內容

在《基本要求》中，根據側重點不同，技術類安全要求可進一步劃分為3個保護類，分別為通用安全、信息安全和服務保證。信息安全是指保護信息系統數據在傳輸、存儲避免被破壞和未授權的篡改；服務保證類是指避免系統遭受未授權修改和破壞，保障系統連續正常運行。

2.2.3 行業指導意義

行業如制定符合自身行業特點的規范和標準，可以根據行業自身特點和實際需求，依據《基本要求》開展行業自身的標準研究及制定工作。對于《基本要求》中提出的無法實現或有更加有效的安全措施，可在保證不降低整體安全保護能力的情況下對條款進行適當調整。

2.3 設計與建設階段

在系統設計和建設階段活動包含方案設計和技術措施，在此階段參考三類標準，分別為《計算機信息系統安全保護等級的劃分準則》[3]、《信息系統通用安全的技術要求》[4]、《信息系統等級保護安全設計技術要求》[5]。

2.3.1 《計算機信息系統安全保護等級劃分準則》解讀

2.3.1.1 總體框架

在《劃分準則》中，在第1章范圍定義中首先明確了等級保護的五個等級，分別為第1級的用戶自主保護、第2級的系統審計保護，第3級的安全標記保護，第4級的結構化保護和第5級的訪問驗證保護；其次對敏感標記、主、客體等專用術語進行了定義；最后闡述了信息系統等級劃分的準則。

2.3.1.2 主要內容

《劃分準則》的主要內容是描述如何劃分信息系統安全等級保護的5個等級，其中，在用戶自主保護級中，從訪問控制、身份鑒別和數據完整性3個方面進行劃分，在系統審計保護級中，新增了客體重用和審計；安全標記保護級新增了強制訪問控制和標記；結構化保護級新增了隱蔽通道分析和可新路徑；訪問驗證保護級新增了可信恢復。

2.3.1.3 行業指導意義

《劃分準則》屬于強制性技術規范，是各行業制定行業自身計算機信息系統安全法規和監督檢查的依據性文件。其他技術標準均需以此標準作為基礎性標準。

2.3.2 《信息系統通用安全技術要求》解讀

本標準為信息系統的信息技術產品和安全產品技術選型提供依據。（1）為這些產品和設備的相關安全標準制定提供參考。（2）為信息系統選擇安全技術產品和設置安全設備的相應安全機制提供指導。

2.3.2.1 總體框架

《信息系統通用安全技術要求》（簡稱：通用安全技術要求）針對信息系統所采用的安全技術要素，從安全保證和安全功能兩個方面，對安全技術要素的安全性提出了要求。

2.3.2.2 標準內容

《通用安全技術要求》對1~5級應達到的安全保證技術要求和安全功能技術要求分別進行了描述。

2.3.2.3 行業指導意義

各行業在進行等級保護建設過程中應以《通用安全技術要求》為參照，落實安全保護技術措施。各行業安全技術人員在保證不降低信息系統的整體安全防護能力的前提下，可以依據自身行業特點采取變通方法實現。

2.3.3 《信息系統等級保護安全設計技術要求》解讀

該標準是用于指導信息安全企業、信息安全服務機構和信息系統運營使用單位等機構開展信息系統等級保護安全技術的設計的參考標準。

2.3.3.1 總體框架

本標準從設計目標、設計策略和設計技術要求等方面進行了描述。

2.3.3.2 標準內容

在本標準中，將信息系統設計分為安全管理中心、計算環境安全、區域邊界安全、通信網絡安全設計4個部分。

安全計算環境是對已定級的信息系統的數據進行存儲和、處理和進行安全策略配置的體系；區域邊界安全設計是對安全計算環境間，安全通信網絡與安全計算環境間實現安全通信的體系；通信網絡安全設計是對已定級信息系統的安全計算環境之間進行數據傳輸以及安全策略實施的相關部件。

安全管理中心是對已定級信息系統的安全策略，包括安全通信網絡、安全計算環境和安全區域邊界3個層面的安全策略實行統一管理的平臺。安全管理中心主要從安全管理、系統管理和審計管理3方面進行設計。

2.3.3.3 行業指導意義

各行業在制定信息系統設計方案過程中，應依據自身信息系統的行業特點，全面地考慮，可對用戶和設備節點的身份認證中心，也可以對各信息系統單獨構建認證中心。由于本標準不包括信息系統安全管理和物理安全等方面的要求，因此，在對信息系統等級保護安全方案設計時，應與《信息系統安全等級保護基本要求》等標準結合使用。

2.4 運維階段

在運維階段，包含對信息系統的運行管理、變更管理、事件處理、等級測評和備案等，在此階段，可參考的標準包括《信息系統安全管理要求》[6]、《信息系統安全等級保護測評要求》[7]、《信息系統安全等級保護測評過程指南》[8]等。

2.4.1 《信息系統安全管理要求》解讀

《信息系統安全管理要求》（簡稱：安全管理要求）可為組織體系和管理體系的建立，安全管理的策略制定等管理措施提供參考和指導。

2.4.1.1 總體框架

在《安全管理要求》中：（1）對信息系統的安全保護提出了分等級管理的要求，闡述了安全管理的要素以及不同等級的強度要求；（2）描述目前我國信息系統通用的安全管理措施；（3）將安全管理要求落實到等級保護所定義的5個等級上，主要包括了兩方面的內容，即安全管理分等級要求和安全管理要素。

2.4.1.2 標準內容

《安全管理要求》中根據劃分的五個安全等級，從機構人員、安全風險、環境資源、政策制度、操作維護、業務連續性、應急和備份、生命周期、監督檢查等管理要素為出發，對信息系統的安全管理措施進行全面描述。

2.4.1.3 行業指導意義

《安全管理要求》在人員組織機構等方面可能存在全部或部分暫時無法實現的問題，在不降低信息系統的安全保護能力的前提下，各行業可采取一些變通方法加以實現。

2.4.2 《信息系統安全等級保護測評要求》解讀

《信息安全等級保護管理辦法》中指出，當信息系統完成等級保護建設工作后，主管部門可選擇符合條件的測評機構對完成等級保護建設的信息系統進行等級測評。

2.4.2.1 總體框架

《信息系統安全等級保護測評要求》（簡稱：測評要求）中首先描述了信息系統等級測評的內容和原則。在第5~9章中指出了不同安全級系統的單元測評要求。第10章整體測評提出了對安全層面間、安全控制間、系統結構和區域間安全測評的要求。第11章中指出了如何得出等級測評結論。

2.4.2.2 標準內容

《測評要求》是基于《基本要求》對等級保護的10個方面提出了測評方法和測評指標，主要包括10個測評項，技術層面包括物理層安全、主機層安全、應用層安全、網絡層安全和數據安全；管理層面具體包括管理制度測評要求、管理機構測評要求、系統建設管理測評要求、人員安全管理測評要求和運維管理測評要求。

2.4.2.3 行業指導意義

各行業如制定有行業特色的等級保護測評規范或標準，以此為依據對信息系統按照行業標準進行符合性測評，結合行業內信息系統的實際需求，綜合分析被測系統是否具備相應等級的安全防護能力。

2.4.3 《信息系統安全等級保護測評過程指南》解讀

《信息系統安全等級保護測評過程指南》主要闡述了兩個方面的問題，（1）確定了信息系統信息安全等級保護測評的過程；（2）描述了等級保護測評的任務、工作結果和分析方法。《測評過程指南》旨在為運營使用單位、信息系統測評機構和信息系統主管部門如何開展等級測評工作提供指導和依據。

2.4.3.1 總體框架

《測評過程指南》以對3級信息系統等級測評為例，描述了信息系統等級測評的活動和任務，包括4個層面的工作，即測評準備、方案編制、現場測評、分析與報告編制。

2.4.3.2 標準內容

測評準備是指需要掌握被測信息系統的詳細信息，為實施測評工作做好測試工具及文檔方面的準備；方案編制是編寫與被測信息系統相適應的測評實施手冊；分析與報告編制是指測評結果，分析被測系統的安全保護建設現狀，分析被測系統與其安全等級要求間的差距，形成測評報告。

2.4.3.3 行業指導意義

《測評過程指南》描述了等級測評的基本工作過程，《測評過程指南》針對已定級的信息系統首次進行等級測評工作的描述，對于非首次實施等級測評的工作過程，應參考該標準中的調整原則予以調整。

3 結束語

通過對上述在我國信息安全等級保護工作中涉及到的主要標準從標準框架、主要內容、行業指導意義3個方面對標準進行解讀，明確了各標準在等級保護工作各個階段發揮的作用和應用場合 ，可為各行業等級保護工作的有序開展提供參考和借鑒。

[1] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T 22240-2008，信息安全技術-信息系統安全等級保護定級指南[S].北京：中國標準出版社，2008.

[2] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T 22239-2008，信息安全技術-信息系統安全等級保護基本要求[S].北京：中國標準出版社，2008.

[3] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T17859-1999，信息安全技術-計算機信息系統安全保護等級劃分準則[S].北京：中國標準出版社，1999.

[4] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T 20271-2006，信息系統通用安全技術要求 [S].北京：中國標準出版社，2006.

[5] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T 25070-2010，信息系統等級保護安全設計技術要求[S].北京：中國標準出版社，2010.

[6] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T 25070-2010，信息系統安全管理要求 [S]. 北京：中國標準出版社，2006.

[7] 中華人民共和國國家質量監督檢驗檢疫總局. GB/T 28448-2012，信息系統安全等級保護測評要求[S].北京：中國標準出版社，2012.

[8] 中華人民共和國國家質量監督檢驗檢疫總局.GB/T 22240-2008，信息系統安全等級保護測評過程指南[S]. 北京：中國標準出版社，2012.

責任編輯 徐侃春

Interpretation on important standards for information security level protection

HAN Xuehong
( Railway Public Security Administration, Beijing 100844, China )

A set of standard system for information security level protection was built including theoretical principle classes, application classes and production classes in our country. Several standards included in the standard system were divided into several phases as grading, planning, design, construction and operation, the proposed standards would be interpreted from three aspects as framework, main content and industry guidance. The purpose of this paper was to elaborate standards applications and industry guidance at different stages in security level protection.

information security; level protection; interpretation on standard

U29-39

A

1005-8451（2015）02-0041-04

2014-10-08

韓雪紅 ，處級正職。