我国信息安全等级保护标准体系

7.2.3　我国信息安全等级保护标准体系

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。早在1994年国务院出台的《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）中就明确地规定了我国对计算机信息系统实行分等级保护的要求。2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）中明确指出，要实行信息安全等级保护，“重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

近几年，为组织各单位、各部门开展信息安全等级保护工作，公安部根据法律授权，会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作，出台了一系列政策文件，构成了信息安全等级保护政策体系，为指导各地区、各部门开展等级保护工作提供了政策保障。同时，在国内有关部门、专家、企业的共同努力下，公安部和标准化工作部门组织制订了信息安全等级保护工作需要的一系列标准，形成了信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。

1.信息安全等级保护相关标准类别

目前已经制定的标准大致可以分为四类：基础类、应用类、产品类和其他类。

（1）基础类标准

《计算机信息系统安全保护等级划分准则》（GB 17859—1999）

（2）应用类标准

①信息系统定级

《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240—2008）

②等级保护实施

《信息安全技术信息系统安全等级保护实施指南》（信安字〔2007〕10号）

③信息系统安全建设（部分）

《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239—2008）

《信息安全技术信息系统安全通用技术要求》（GB/T 20271—2006）

《信息安全技术信息系统等级保护安全设计技术要求》（GB/T 24856—2009）

《信息安全技术信息系统安全管理要求》（GB/T 20269—2006）

《信息安全技术网络基础安全技术要求》（GB/T 20270—2006）

④等级测评

《信息安全技术信息系统安全等级保护测评要求》（报批稿）

《信息安全技术信息系统安全等级保护测评过程指南》（报批稿）

《信息安全技术信息系统安全管理测评》（GA/T 713—2007）

（3）产品类标准

①操作系统

《信息安全技术操作系统安全技术要求》（GB/T 20272—2006）

《信息安全技术操作系统安全评估准则》（GB/T 20008—2005）

②数据库

《信息安全技术数据库管理系统安全技术要求》（GB/T 20273—2006）

《信息安全技术数据库管理系统安全评估准则》（GB/T 20009—2005）

③网络（部分）

《信息安全技术网络端设备隔离部件技术要求》（GB/T 20279—2006）

《信息安全技术网络脆弱性扫描产品技术要求》（GB/T 20278—2006）

《信息安全技术网络交换机安全技术要求》（GA/T 684—2007）

此外，产品类等级保护标准还覆盖PKI、网关、服务器、入侵检测、防火墙、路由器、交换机等其他产品。

（4）其他类标准

^[3]风险评估

《信息安全技术信息安全风险评估规范》（GB/T 20984—2007）

②事件管理

《信息技术安全技术信息安全事件管理指南》（GB/Z 20985—2007）

《信息安全技术信息安全事件分类分级指南》（GB/Z 20986—2007）

《信息安全技术信息系统灾难恢复规范》（GB/T 20988—2007）

2.信息安全等级保护主要标准介绍

（1）《计算机信息系统安全保护等级划分准则》GB 17859—1999

从2001年1月1日起，我国开始实施中华人民共和国强制性国家标准《计算机信息系统安全保护等级划分准则》GB 17859—1999。该标准由公安部主持制定、国家技术标准局发布，是实施安全等级管理的重要基础性标准。2006年后，依据这个标准国家又分别出台了一系列的配套标准，分别对操作系统、数据库、网络、应用等提出了具体的要求。

第一级用户自主保护级

本级的计算机信息系统可信计算基①通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

本级考核指标要求：自主访问控制、身份鉴别、数据完整性。

用户自主保护级相当于美国国防部DOD橘皮书（TCSEC）中的C1级，以自主访问控制作为主要的技术标志。

第二级系统审计保护级

与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

本级考核指标要求：自主访问控制、身份鉴别、审计、数据完整性。

系统审计保护级相当于美国国防部DOD橘皮书（TCSEC）中的C2级，仍采用自主访问控制，但增加了审计功能。

第三级安全标记保护级

本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

本级考核指标要求：自主访问控制、强制访问控制、敏感标记、身份鉴别、客体重用^[4]、审计、数据完整性。

安全标记保护级相当于美国国防部DOD橘皮书（TCSEC）中的B1级，引入了强制访问控制机制，增加了对主、客体进行安全标记的要求。

第四级结构化保护级

本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。

本级考核指标要求：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径^[5]。

结构化保护级相当于美国国防部DOD橘皮书（TCSEC）中的B2级，提出了对可信计算基按其重要性实现结构化设计，增加了隐蔽信道分析的要求。

第五级访问验证保护级

本级的计算机信息系统可信计算基满足访问监控器^[6]需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。

本级考核指标要求：自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复。

访问验证保护级相当于美国国防部DOD橘皮书（TCSEC）中的B3级。

（2）《信息安全等级保护基本要求》GB/T 22239—2008等级保护基本要求框架如图7－4所示。

图7－4　等级保护基本要求框架

《基本要求》是各等级信息系统安全达标要求的基本尺度。各等级信息系统均应该依据自身的保护目标达到《基本要求》中所给出的相应等级及相应需求的规定。

一级基本要求　在安全技术方面要求：身份鉴别、自主访问控制、恶意代码防范、数据的完整性保护、通信完整性保护、软件容错和备份与恢复等控制点。管理方面提出了安全管理制度、安全管理机构、人员管理、系统建设管理、系统运行维护管理的相关要求。

二级基本要求　在一级基本要求的基础上，在技术方面，二级要求在控制点上增加了安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性等控制点。身份鉴别则要求在系统的整个生命周期，每一个用户具有唯一标识，具有可查性。同时，要求访问控制具有更细的访问控制粒度等。在管理方面，增加了审核和检查、管理制度的评审和修订、人员考核、密码管理、变更管理和应急预案管理等控制点。要求制定信息安全工作的总体方针和安全策略，设计安全主管、安全管理各个方面的负责人岗位，健全各项安全管理的规章制度，对各类人员进行不同层次要求的安全培训等，从而确保系统所设置的各种安全功能发挥其应有的作用。

三级基本要求　在二级基本要求的基础上，在技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、抗抵赖等。同时，对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均提出更高要求，如访问控制增加了对重要信息资源设置敏感标记等。在管理方面，增加了系统备案、等级测评、监控管理和安全管理中心等控制点，同时要求设置必要的安全管理职能部门，加强了安全管理制度的评审以及人员安全的管理，对系统建设过程加强了质量管理。

四级基本要求　在三级基本要求的基础上，在技术方面，在控制点上增加了安全标记、可信路径，同时，对身份鉴别、访问控制、安全审计、数据完整性、数据保密性等均有更进一步的要求，如要求访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表、记录和字段级，建立异地灾难备份中心等，对部分功能进行了限制（如禁止拨号访问控制）。在管理方面，在安全管理制度制定和发布、评审和修订等某些管理要求上要求项增加，强度增强。

以三级系统为例，《基本要求》中各个层面的控制点如表7－2所示。

表7－2　《基本要求》中三级的控制点

（3）《信息安全等级保护安全设计技术要求》GB/T 24856—2009

本标准提出了信息系统等级保护安全设计的技术要求，包括第一级至第五级信息系统安全保护环境的设计技术要求，以及定级系统互联的设计技术要求，明确体现了定级系统按等级提供保护能力的整体控制机制。

①安全计算环境

安全计算环境是对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全计算环境按照保护能力划分为第一级至第五级安全计算环境。第三级安全计算环境从以下方面进行安全设计：用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护。

图7－5　信息系统等级保护安全技术设计框架

②安全区域边界

安全区域边界是对定级系统的安全计算环境边界，以及在安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全区域边界按照保护能力划分为第一级至第五级安全区域边界。第三级安全区域边界从以下方面进行安全设计：区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护。

③安全通信网络

安全通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全通信网络按照保护能力划分为第一级至第五级安全通信网络。第三级安全通信网络从以下方面进行安全设计：通信网络安全审计、通信网络数据传输保密性保护、通信网络数据传输完整性保护、通信网络可信接入保护。

④安全管理中心

安全管理中心是对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。第三级（含）以上的定级系统安全保护环境需要设置安全管理中心，分别称为第三级至第五级安全管理中心。第二级信息系统可以选择配置第二级安全管理中心。安全管理中心设计主要从系统管理、安全管理和审计管理三方面考虑。

⑤跨定级系统安全管理中心

跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。跨定级系统安全管理中心设计技术要求：应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连，主要提供跨定级系统的系统管理、安全管理和审计管理。

（4）《计算机信息系统等级保护定级指南》GB/T 22240—2008

信息系统定级是等级保护工作的首要环节，是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。《信息系统安全等级保护定级指南》（以下简称《定级指南》）从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。《定级指南》中给出的信息系统定级方法如图7－6所示。

图7－6　信息系统定级方法

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级，并取二者中的较高者为信息系统的安全保护等级，如表7－3所示。

表7－3　安全保护等级矩阵表

（5）信息安全等级保护实施指南

信息系统从规划设计到终止运行要经历几个阶段，《信息系统安全等级保护实施指南》（以下简称《实施指南》）的核心是给出了信息系统安全等级保护实施的基本流程，对信息系统定级、总体安全规划、安全设计与实施、安全运行与维护和信息系统终止五个阶段的工作进行了详细描述和说明，对于每一个阶段，介绍了主要的工作过程和相关活动的目标、参与角色、输入条件、活动内容、输出结果等。对信息系统实施等级保护的基本流程如图7－7所示。

图7－7　等级保护实施基本流程

（6）信息系统安全通用技术要求

我国的等级保护通用技术要求以GB 17859为基础研究制定，按安全技术要素，提出了与各个安全保护等级信息系统相对应的安全技术要素的安全性要求，并从安全功能和安全保证两个方面，对各安全技术要素应具有的安全性提出了要求。其主要用途：一是为信息系统选择安全技术产品和设置安全设备的相应安全机制提供指导；二是为这些产品和设备的相关安全标准的制定提供参考。

本标准由6章和3个附录组成。前三章介绍范围，规范性引用文件，术语、定义和缩略语，第4～6章分别介绍“安全功能技术要求”、“安全保证技术要求”、“信息系统安全技术分等级要求”，共涉及安全功能技术要素23个，安全保证技术要素17个。

安全功能技术是指为使安全功能达到确定的安全目标应采取的技术措施。本标准第4章从物理安全、运行安全和数据安全等方面对所涉及的安全功能要素的安全技术要求进行了全面描述。

安全保证技术是指为保证安全功能达到其安全性要求，从设计、管理等方面所采取的技术措施。本标准第5章分别从安全子系统SSOIS自身安全保护、安全子系统设计和实现、安全子系统安全管理等方面对所涉及的安全保证要素的安全技术要求进行了全面描述。

安全技术分等级要求按照五个安全保护等级的划分，在上述安全功能技术要求和安全保证技术要求的基础上，第一级到第五级应达到的安全功能技术要求和安全保证技术要求分别进行了描述。

3.相关标准与等级保护各工作环节的关系

相关标准与等级保护各工作环节的关系如图7－8所示。其中《信息安全等级保护基本要求》以及行业标准规范和细则构成了信息系统安全建设整改的安全需求；《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级准则为确定信息系统安全保护等级提供支持；《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准；《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。

此外，《信息系统安全等级保护实施指南》中对于标准的使用也做了较为明确的说明：

“在对信息系统实施信息安全等级保护的过程中，在不同的阶段，应参照有关信息安全等级保护的标准开展工作。

在信息系统定级阶段，应按照GB 22240—2008介绍的方法，确定信息系统安全保护等级。

在信息系统总体安全规划、安全设计与实施、安全运行与维护和信息系统终止等阶段，应按照GB 17859—1999、GB/T 22239—2008、GB/T 20269—2006、GB/T 20270—2006和GB/T 20271—2006等技术标准，设计、建设符合信息安全等级保护要求的信息系统，开展信息系统的运行维护管理工作。

GB 17859—1999、GB/T 22239—2008、GB/T 20269—2006、GB/T 20270—2006和GB/T 20271—2006等技术标准是信息系统安全等级保护的系列相关配套标准，其中GB 17859—1999是基础性标准，GB/T 20269—2006、GB/T 20270—2006和GB/T 20271—2006等是对GB 17859—1999的进一步细化和扩展，GB/T 22239—2008是以GB 17859—1999为基础，根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求，是其他标准的一个底线子集。

对信息系统的安全等级保护应从GB/T 22239—2008出发，在保证信息系统满足基本安全要求的基础上，逐步提高对信息系统的保护水平，最终满足GB 17859—1999、GB/T 20269—2006、GB/T 20270—2006和GB/T 20271—2006等标准的要求。”

图7－8　等级保护相关标准与等级保护各工作环节的关系