我國信息安全等級保護制度的創新與發展

沈昌祥

建立等級保護制度就是要保護國家的網絡空間安全，要抵御攻擊。

“安全等級”溯源

我國的等級保護制度的建立，學習和借鑒了發達國家的一些內容和經驗，但是，我們國家也根據國情進行了一定的創新。在20世紀80年代，美國國防部就推行“安全等級劃分準則”，率先推出了等級保護TCSEC標準。在2003年，美國制定了第一個網絡空間安全戰略——《保護網絡空間國家戰略》，提出了按重要程度不同，分為五個等級的保護制度，并通過了《聯邦信息安全管理法案》（FISMA），要求NIST制定分類分級標準。2005年這個標準變成了強制性標準（FIPS200），要求聯邦機構無條件地執行。尤其是2013年，在奧巴馬上任后發布了《增強關鍵基礎設施網絡安全》行政令，按此令NIST于2014年2月12日提出了《美國增強關鍵基礎設施網絡安全框架》，要求按風險程度不同，分為四個等級進行保護，并實行了識別、保護、監測、響應、恢復全過程的風險管理。

我國等級保護工作有序推進

我國等級保護制度的發展是領先于世界進程的，按照系統進行等級保護，我國走在了前面，因為美國和歐洲都是基于部件安保。在1994年，國務院發布了《中華人民共和國計算機信息系統安全保護條例》（國務院令第147號），同時為我國信息系統實行等級劃分和保護提供了法律依據。在1999年依據國務院第147號令制定發布了強制性國家標準《計算機信息體統安全保護等級劃分準則》，為等級劃分和保護奠定了技術基礎。2003年國家又出臺制訂了《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號），進一步明確要求“抓緊建立信息安全等級保護制度”，明確了抓緊建立信息安全等保制度。

國家有關部委多次聯合發文，明確了等級保護的原則、基本內容、工作流程和方法、實施要求和計劃等。目前國家各部委都按照信息系統定級備案、整改建設和測評進行推進，國家重點工程的驗收，要求必須通過信息安全等級保護的測評。最近公布的《網絡安全法》，進一步明確了國家實行網絡安全等級保護制度。

等保制度是科學定級、全面建設

創新有前瞻性，首先看定級。定級很重要，在體系保障里，首先感知分析危險何在，創新何在。在定級指南或者定級實施的時候，準確劃分定級系統，從保護信息和計算兩維資源出發，根據在國家安全、經濟建設、社會生活中的重要程度，以及系統遭受破壞后的危害程度等因素確定等級。

定級的時候要填寫兩張表，第一張表是業務信息等級，第二張表叫系統服務等級。也就是說，對于數據信息，即完成計算任務的硬件設施，等級保護制度提出了要求。在提出了網絡空間概念之后，這些數據信息可以是全球的，也可以是互聯互通的數據信息，以及處理傳輸數據信息的系統設備平臺部件。可見，我國很早就確立了用兩維來確定定級，這是非常科學的。

那么，我們從兩維看云計算、大數據，對一個系統的定級，云計算定級系統又是什么樣的？它應該具有四個特征：第一，業務處理流程完整；第二，硬件設備相對獨立；第三，安全管理責權的統一性；第四，多級互聯隔離性，云計算里用了好多不同級別的系統，這個系統之間要隔離。現在有了具體的設計要求，可以非常明確地指導我們的建設工作。

同時，要開展好等級測評工作，既要選擇好等級測評機構，又要制定測評方案，開展測評工作，要出具測評報告，邀請專家進行評審，通過測評工作可以進一步完善系統，找出問題并整改。在完善系統之后，不僅有了防護能力，而且還是全過程的，這樣我們就可以是主動應對，積極防御。

主動應對，積極防御

設計原則要求從技術和管理兩個方面進行安全設計，要做到三個“可”：第一，可信，針對計算資源（軟硬件）構建保護環境，以可信計算基（TCB）為基礎，層層擴充，對計算資源進行保護，對應的系統服務，設備要可靠，不被破壞，持續系統運行；第二，可控，針對信息資源（數據和應用）構建業務應用流程控制鏈，以訪問控制為核心，實行主體（用戶）按策略規則訪問客體（信息資源），要求設備支持下數據處理要可控，嚴格地控制；第三，可管，保證資源安全必須實行科學管理，強調最小權限管理，尤其是三等級系統實行三權分離管理體系，不允許設超級用戶。

整體防御、分區隔離。加強定級對象信息系統整體防護，建設管理中心支持下的計算環境、區域邊界、通信網絡三重防護體系結構，實施多層隔離和保護，以防止某些薄弱環節影響整體安全。

等級保護標準修改就是按照這個框架來修改其它標準的，其中的核心技術就是用等級保護來解決以前被動防御問題。在進入等級保護2.0時代，更重要是要將以前的被動防御，即防火墻、殺病毒、IDS上升到主動防護，要求高等級三級以上不許設超級用戶。實現等級保護2.0，就是要實現被動防御變成主動防御的變化。在可信計算技術支持下做到：病毒染不了、木馬注不上、黑客進不來。

總的來說，等級保護做到整體防御、分區隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

等保的賓館服務模式

我國等級保護制度提出來的比較早，但是將其運用到云計算中行不行？我認為沒問題。云計算是將信息系統云化，是指信息處理流程在云計算中心完成，因此云計算中心是負責安全保障任務，承擔著信息系統用戶的行為安全責任，這是一個系統服務工程。硬件和軟件系統等級是由云計算中心負責，業務信息系統等級任務是由用戶負責，所以這是一種賓館服務模式。原來各個行業用戶都開設了自己的招待所，每家每戶都有自己的辦公自動化，企業有CRP，這樣的系統是小規模的，資源是浪費的，但我們將這些可以集中到云平臺上進行服務。

云計算中心可以同時運行多個不同安全級別的信息系統，云計算中心的安全級別不低于承運最高等級信息系統的級別。云計算中心跟原來的計算中心是一模一樣的，計算任務也是通過外界的網絡線、終端來實現，云計算中心資源完成計算任務。云計算跟原來的設備組成沒區別，但是服務方式就不同了。每一個應用，每個計算任務是用來滿足用戶終端需求，通過網絡計算環境完成計算任務；云計算一樣要有系統管理、安全管理。但是，這個模式是有一定的區別，同樣是三重架構，但云計算中心要解決資源的虛擬化，若要用來滿足計算的話，要有信任體系保障，要保證分配的技術設備不僅能滿足計算，而且是符合技術要求的，保持可信。現在賓館有了，誰都可以進，原來自己家家戶戶的計算中心由自己負責。但是，現在是由兩家負責，比如系統資源保證可信，這就是計算中心負責；應用程序怎么運行，業務信息怎么處理，還是由用戶自己制定策略，定義自己的角色，管理中心還是自己的。

還有一點也是非常重要的，那就是要有審計，要有匯總，這可能會出現糾紛扯皮現象。因此，云計算環境下，可信支撐技術條件下，有了等級保護制度的保護，就能確保家家戶戶的應用安全，順利完成計算任務。這就是信息安全等級保護制度應用在云安全領域上的創新與發展。

[摘自“2016首屆中國行業（私有）云安全技術論壇”上演講]