等级安全保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
等级安全保护的发展历史
美国国家计算机安全中心 NCSC 在 1983 年提出了《可信计算机系统评测标准(TCSEC-Trusted Computer System Evaluation Criteria)》,规定了安全计算机的基本准则。1987 年又发布了《可用网络说明(TNI-Trusted Network Interpretation)》,规定了安全网络的基本准则。
橘皮书 TCSEC
在 TCSEC 准则中将计算机系统的安全等级分成了 4 类 7 个等级,依次为 D 、C 、B 、A 四个等级,每一类都代表一个保护敏感信息的评价准则,并且一类比一类严格。随着安全等级的提高,系统的可信度随之增加,风险逐渐减少。TCSEC 的评估目标只涉及了保密性,而没有涉及完整性和可用性的评估,于 2000 年被废止。
- D 类安全等级:无保护级
这是最低的安全等级,只包括一个 D1 级。D1 系统只为文件和用户提供安全保护。D1 系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
- C 类安全等级:自主保护级
C 类安全等级能够提供审慎的保护,即“需要则知道 need-to-know ”,并为用户的行动和责任提供审计能力。C 类安全等级又被划分为 C1 和 C2 两类:
- C1 :无条件的安全保护。它是 C 类中级别较低的一个子类,提供的安全策略是无条件的访问控制,具有识别与授权的责任。C1 系统的可信任运算基础体制通过将用户和数据分开来达到安全的目的。在 C1 系统中所有的用户以同样的灵敏度来处理数据,即从用户角度认为 C1 系统中的所有文档都具有相同的机密性。早期的 UNIX 系统属于这一类。
C2 :有控制的存取保护。它是 C 类中级别较高的一个子类,除了提供 C1 中的策略和责任外,还具有访问保护和审计跟踪功能。C2 加强了可调的审慎控制,在连接到网络上时,C2 系统的用户分别对各自的行为负责。C2 系统通过登录过程、安全事件和资源隔离来增强这种控制。
B 类安全等级:强制保护级
B 类系统具有强制性保护功能,即若用户没有与安全等级相连,系统就不会让用户存取对象。B类安全等级要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视。B 类安全等级分为 B1 、B2 和 B3 三类:
- B1 :标记安全保护。它是B类中级别最低的一个子类,除了满足 C 类要求外,B1 级别还需要满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记,系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或 I/O 设备时,管理员必须制定每个通信信道和 I/O 设备时单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出,不论是虚拟的还是物理的,都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。
- B2 :结构安全保护。B2 系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。B2 系统除了必须满足 B1 系统的所有要求外还需要满足下列要求:系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变;只有用户能够在信任通信路径中进行初始化通信;可信任运算基础体制能够支持独立的操作者和管理员。
B3 :安全域保护。B3 系统具有很强的监视委托管理访问能力和抗干扰能力而且必须设有安全管理员。B3 系统除了必须满足 B2 系统的所有要求外还需要满足下列要求:必须产生一个可读的安全列表;每个被命名的对象提供对该对象没有访问权的用户列表说明;B3 系统在进行任何操作前,要求用户进行身份验证;B3 系统验证每一个用户,同时还会发送一个取消访问的审计跟踪消息;设计者必须正确区分可信任的通信路径和其他路径;可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪;可信任的运算基础体制支持独立的安全管理。
A 类安全等级:验证保护级
A 类级别是安全系统等级的最高类别,要求严格的数学证明。这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。A 类安全等级目前只包含 A1 一个安全类别。A1 类与 B3 类似,对系统的结构和策略不作特别要求。A1 系统的显著特征是系统的设计者必须按照一个正式的设计规范来分析系统,对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1 系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安全操作都必须由系统管理员进行且系统管理员进行的每一步安装操作都必须有正式文档。
红皮书 TNI
由于 TCSEC 存在评估对象只对单一系统并且没有完整性评估的缺点,1987 年美国国防部计算机安全评估中心在 TCSEC 的基础上又提出了 TNI 安全标准。TNI 用于评估电信和网络系统,它基于 TCSEC,同样使用了 TCSEC 中的 ABCD 四级分级方法。TNI 中的关键功能有:
- 完整性
TNI 使用了 Biba 安全模型来保证数据的完整性,并使用了信息源/目标认证、加密等方法来保证信息传输的完整性;
- 标签
除了使用和 TCSEC 类似的保密性标签之外,TNI 还加入了完整性标签,以进行强制访问控制;
- 其他安全服务
TNI 其他服务主要可分为以下几个类型:
- 通讯完整性,包括验证、通讯域完整性、抗抵赖性;
- 拒绝服务防御,包括操作持续性、基于协议的保护和网络管理;
- 威胁保护,数据保密性和通讯保密性。
通用准则 CC
在英、法、德、荷四国提出了 ITSEC(欧洲白皮书)后,美国又联合上述四个国家和加拿大,并会同国际标准化组织 ISO 共同提出信息技术安全评价的通用准则 CC,CC 已经被 ISO 批准为国际标准,编号为 ISO/IEC 15408 。CC 适用于硬件、固件和软件实现的信息技术安全措施,包括以下三个部分:
- 简介和一般模型
- 安全功能要求
- 安全保证要求
CC 、TCSEC 和 ITSEC 的等级对应如下表所示:
| CC | TCSEC | ITSEC |
|---|---|---|
| — | D | E0 |
| EAL1 | — | — |
| EAL2 | C1 | E1 |
| EAL3 | C2 | E2 |
| EAL4 | B1 | E3 |
| EAL5 | B2 | E4 |
| EAL6 | B3 | E5 |
| EAL7 | A1 | E6 |
等级安全保护的必要性和意义
近年来计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害,信息安全的重要性日益突出。实施信息安全等级保护不仅有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展,而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了信息安全建设成本。同时,信息安全等级保护对信息安全资源的配置进行了优化,重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统安全。而且信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任,进一步加强了信息安全管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和功过利益,保障和促进信息化建设健康发展的一项重要制度。等级保护不仅是对信息安全产品或系统的检测、评估及定级,更重要的是,它是围绕信息安全保障全过程的一项基础性管理制度。
我国等级安全保护的历史
国家《信息安全等级保护管理办法(试行)》于 2006 年 3 月份开始正式实施。2007 年 6 月 22 日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》(公通字[2007]43号) ,规定了信息安全等级保护制度的基本内容、流程和要求,进一步明确了各相关单位的职责和任务。
我国有关信息安全实施等级保护的问题从 2002 年即开始被提出,其间经过专 家的反复论证研究,信息安全等级保护的相关制度不断得到细化和完善。《信息安全等级保护管理办法》将我国信息安全分五级防护,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
摘录《信息安全等级保护管理办法》的「第二章 第七条」信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
我国等级安全保护的现状
《中华人民共和国网络安全法》(以下简称《网络安全法》 于 2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过,于 2017 年 6 月 1 日起施行。《网络安全法》出台后,等级安全保护进入 2.0 时代。这意味着在遵照《信息安全等级保护管理办法》 及其配套的标准《信息系统安全等级保护定级指南》 建立的「信息安全等级保护体系」已全面升级。
在《网络安全法》的「第二十一条」中明确提出「国家实行网络安全等级保护制度」。随后,《网络安全法》出台后各地执法案例不断涌现,其中不乏有关网络安全等级保护义务的案例:
安徽省蚌埠怀远县教育进修学校,未进行网络安全等级保护的定级备案、等级评测工作;未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以 1.5 万元罚款,负有直接责任人员处以 5000 元罚款。
四川宜宾市“教师发展平台”网站,未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以 1 万元罚款,负有直接责任人员处以 5000 元罚款。
随着 2018 年 1 月 19 日,全国信息安全标准化技术委员会发布关于 《信息安全技术 网络安全等级保护定级指南(征求意见稿)》 (以下简称《定级指南》),标准修订完成后,《信息安全技术 网络安全等级保护定级指南》 将替代原来的 GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》。
等级保护制度始终保持不变的安全保护目标,即保护系统安全,保证敏感信息的处理、保证服务的连续。但随着 IT 向 DT 的转变,现有网络等级保护体系更加丰富,从内容的维度,除基础信息网络外,把云平台、大数据、物联网、工控系统等纳入等级保护制度管理中;从监管对象这一维度,大型互联网企业也加入其中。
作为定级对象的网络应具有如下三个基本特征:具有确定的主要安全责任主体;承载相对独立的业务应用; 包含相互关联的多个资源。在此定义之下,特别关注:
云计算平台。在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
大数据。大数据应作为单独定级对象进行定级;安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。
网络安全等级保护对象的级别由两个定级要素决定,分别是受侵害的客体(三类)和对客体的侵害程度(三种程度),相互对应起来形成五级安全保护等级,如下表所示:
| 受侵害的客体 | 对客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
关于上述三类受侵害的客体分类,一般损害、严重损害和特别严重损害的定义,基本沿袭原有表达。但是在《定级指南》中,对公民、法人和其他组织的合法权益,遭受特别严重损害的,明确定级在“第三级”,彰显了对私权利维护的升级。
对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
《定级指南》规定,原则上,大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。
计算机安全法规
随着全球信息化的发展,如何确保计算机信息系统和网络的安全,特别是国家重要基础设施信息系统的安全,已经成为信息化建设过程中必须解决的重大问题。由于我国信息系统在技术、产品和管理等方面相对落后,因此在国际联网之后,信息安全问题变得十分重要。在这种形式下,为尽快制定适应和保障我国信息化发展的计算机信息系统安全的总体策略,全面提高安全水平,规范安全管理,国务院等有关单位从 1994 年起制定颁布了《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定条例》、《计算机病毒防治管理办法》、《中华人民共和国电子签名法》、《计算机信息系统安全保护条例》、《互联网电子公告服务管理规定》、《信息安全等级保护管理办法》、《计算机信息系统国际联网保密管理规定》等一系列信息系统安全方面的法规。这些法规主要涉及到信息系统安全保护、国际联网管理、商用密码管理、计算机病毒防治和安全产品检测与销售5个方面。
信息系统安全保护
作为我国第一个关于信息系统安全方面的法规,国务院于 1994 年 2 月 18 日发布了《中华人民共和国计算机信息系统安全保护条例》,分为五章共三十一条,其目的是保护信息系统的安全,并促进计算机的应用和发展。
国际联网管理
加强对计算机信息系统国际联网的管理,是保障信息系统安全的关键。因此,国务院等相关部门单位共同制定了六个关于国际联网的法规:
(1)《中华人民共和国计算机信息网络国际联网管理暂行规定》
是国务院于 1996 年 2 月 1 日颁布的,并根据 1997 年 5 月 20 日《国务院关于修改的决定》进行了修正,一共 17 条。它体现了国家对国际联网统筹规划、统一标准、分级管理、促进发展的原则。
(2)《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》
是国务院信息化工作领导小组于 1997 年 12 月 8 日颁布,共 25 条。它是根据《中华人民共和国计算机信息网络国际联网管理暂行规定》制定的具体实施办法。
(3)《计算机信息网络国际联网安全保护管理办法》
是 1997 年 12 月 11 日经国务院批准、 1997 年 12 月 30 日正式颁布的,分为五章共 25 条,其目的是加强国际互联网的安全保护。
(4)《中国公用计算机互联网国际联网管理办法》
是原邮电部在 1996 年颁布的,一共 17 条, 其目的是加强对中国公用计算机互联网 Chinanet 国际联网的管理。
(5)《计算机信息网络国际联网出入口信道管理办法》
是原邮电部在 1996 年颁布的,一共 11 条,其目的是加强计算机信息网络国际联网出入口信道的管理。
(6)《计算机信息系统国际联网》
是由国家保密局发布并于 2000 年 1 月 1 日开始执行的,分为四章共 21 条,其目的是加强国际联网的保密管理,确保国家秘密的安全。
国际联网:是指中华人民共和国境内的计算机互联网络,专业计算机信息网络,企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相连接。
互联网络:是指直接进行国际联网的计算机信息网络。
互联单位:是指负责互联网络运行的单位。
接入网络:是指通过接入互联网络进行国际联网的计算机信息网络。*
接入单位:是指负责接入网络运行的单位。*
国际出入口信道:是指国际互联网所使用的信道。*
商用密码管理
《商用密码管理条例》是国务院于 1999 年 10 月 7 日发布的,分为七章共 27 条,其目的是加强商用密码的管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益。
计算机病毒防治
《计算机病毒防治管理办法》是于 2000 年 4 月 26 日发布执行的,共 22 条,其目的是加强对计算机病毒的预防和治理,保护计算机信息系统安全。
安全产品检测与销售
《计算机信息系统安全专用产品检测和销售许可证管理办法》是于 1997 年 12 月 12 日发布执行的,分为六章共 19 条,其目的是加强计算机信息系统安全专用产品的管理,保证安全专用产品的安全功能,维护计算机信息系统的安全。