建立标准体系
既然是一个体系,就必须按照一定的标准实施,标准化建设在信息安全等级建设中占据着重要作用。国家目前已建立了一套相对完善的等级保护标准。
1.标准体系的组成与相互关系
信息安全等级保护标准由运行过程控制标准、评测过程控制标准、构建过程控制标准、基础标准(GB17859)组成。
其中,基础性标准包括:(1)GB17859—1999计算机信息系统安全保护等级划分准则,是其他标准的基础;(2)信息系统安全等级保护实施指南,为等级保护的实施提供指导。
构建过程控制标准包括:(1)技术要求标准;(2)产品要求标准。
测评过程控制标准包括(1)系统测试与评估标准;(2)产品测试域评估标准。
过程控制标准包括:(1)工程管理标准,为管理工程实施提供指导;(2)系统管理标准,对系统运行过程的管理提供指导;(3)监督、检查管理标准,为按等级保护要求对信息系统的构建、测评、运行过程进行监督、检查、管理提供指导。
2.标准体系的内容
标准体系的基本思想概括为:以信息安全的五个属性为基本内容,从实现信息安全的五个层面,按照信息安全五个等级的不同要求,分别对安全信息系统的构建过程、测评过程和运行过程进行控制和管理,实现对不同信息类别按不同要求进行分等级安全保护的总体目标。如图1、如图2、图3、图4所示。
3.标准体系的主要特点
(1)完备性:对信息安全的五个属性,从五个层面、按五个等级确定安全功能要求和安全保证要求:对安全系统的构建、测评、运行三个过程进行全面控制。
(2)整体保护性:实现信息的保密性、完整性和可用性(包括抗抵赖性、可控性和可操作性等),以及系统安全运行控制。
(3)技术先进性:标准体系是在充分了解国际上当前信息安全技术及其标准发展的基础上,汲取先进的安全技术确定,并与国际接轨。
(4)实用性:充分考虑到我国信息技术的发展和信息安全的现状,从制定可行的信息系统安全方案出发,适用于我国信息安全等级管理的需要。
(5)前瞻性和可扩展性:标准体系所确定的技术和管理,具有一定的前瞻性,并可根据信息安全技术的发展改进和扩展。
(6)具有充分的法律依据和执法保证:147号令、27号文件明确规定我国信息安全实施等级保护:执行过程控制标准适用于安全等级管理对安全系统及安全产品从设计、实现、检测、评估到监督、检查的管理需要:有相应的执法人员(如电子警察)确保等级保护的贯彻执行。
4.管理是生命线
管理对信息安全等级保护的实现有十分重要的意义和作用。所谓管理是对人的管理。信息安全管理是指,在实现信息安全的全过程中,人应该做什么、如何做,通常用“三分技术,七分管理”来形容管理对信息安全的重要性。用另一句话来描述管理的作用可能更为确切,这就是:管理是贯穿信息安全整个过程的生命线。作为实施信息安全重要途径的等级保护的管理,这种生命线的作用体现得就更为充分。
首先,信息安全等级保护制度的确立,需要有政策、法律、法规来保证。其次,信息安全等级保护的贯彻实施,需要有规范化的过程和制度,需要建立标准体系,进行系统和产品的研究与开发,进行系统和产品的测试与评估等等。这些都需要有统一的管理和协调。另外,与技术相关管理更是无处不在。安全系统开发过程需要进行工程管理;安全系统的运行过程需要进行系统管理;甚至每一个安全功能的实现和正确使用,都离不开管理。
与信息安全有关的人包括安全系统的开发者、测试与评估者、运行管理者、使用者以及对这些过程的实施进行监督检查者。管理的目的就是让参与信息安全的所有人员都能够按照确定的要求去行动。对开发者的管理是为了开发出符合安全要求的系统或产品;对测试与评估者的管理是为了对开发的系统和产品严格把关;对运行管理者的管理是为了确保运行管理者对系统或产品的运行进行正确控制;对使用者的管理是为了让使用者按规定合理使用系统或产品;对监督检查者的管理是为了让执法者严格执法。不同安全等级的信息安全对管理有不同的要求。为达到高级别的安全要求,需要更严格的管理,就像为了提供高质量的产品需要有更严格的管理一样。
管理的重要性还体现在,如果没有相应的管理,许多安全技术和机制就不能发挥应有作用。比如,如果没有严格的权限管理,而是随意授权,访问控制就失去了应有作用。又如,如果没有人员分工上的严格管理,对系统管理员、安全员、审计员实行权限分离的安全机制就不以发挥应有作用。例似的情况在安全系统中随处可见,最普遍的情况是,几乎所有的安全机制都需要进行正确的系统配置、操作和运行控制,而且越是高级别的系统这种要求就越多、越严格,如果没有按照要求进行操作、配置和运行控制,相应的安全技术和机制会起不到应有的作用,甚至成为攻击的弱点和漏洞,与技术密切相关的管理要求应在系统开发过程中同时产生,并以文档形式(包括安全员指南和用户指南)随系统一起提交用户。
根据我国国情,管理的重要性还体现在领导的重视程度上。实践证明,在我国信息系统建设阶段,哪个单位没有领导的重视与支持,哪个单位的信息系统建设就不会有好的发展。相反,得到了主要领导的重视和支持,单位信息系统的建设就会有好的发展。这已经成为不争的事实。同样,对于信息安全的建设,单位领导,特别是主要领导的重视与支持,是一个单位信息安全系统的建设和运行得到应有的重视,从而发挥应有效能的重要前提和保证。
按数据分类分区域分等级
面对一个巨大、复杂的信息系统,如何按等级保护的要求进行信息系统的安全设计,可能是当前困扰人们的一大难题。按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中数据的分类确定该区域的安全保护等级。目的是把一个大规模复杂系统的安全问题,化解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。这里首先要根据数据在信息系统中的重要作用,确立数据安全保护是信息安全的中心内容的观点,然后对按数据分类分级分区域保护的具体实现方法加以描述。
1.数据安全保护
数据安全保护是信息安全的中心内容,原因是:
(1)数据是信息系统中最重要的资产
信息系统的所有应用都体现为对数据的应用。按照传统的计算机应用领域的划分,信息系统的应用包括四领域:科学和工程计算、过程控制,人工智能和事务处理。这四个领域都是以数据为中心实现的。科学和工程计算的目的是使用结果数据,过程控制和人工智能都是用结果数据控制确定的对象,而事务处理更是用数据来表示外部世界的事物。这一切都说明,数据在信息系统中是最重要、最核心的资产,无论哪一个领域的应用都是以数据为中心实现的。因此,网络化、信息化也称数字化。
(2)系统安全的最终目的是保护数据
信息安全的概念已由信息保护发展为信息保障,人们普遍认为,信息保障的概念除了信息对信息的安全保护外,还强调对信息系统的安全保护。其实,信息系统的安全保护,本质上是提供信息系统的不间断运行和有效服务,而这些服务的中心仍然是数据信息的服务。所以,信息安全保障概念也好,PDRR模型也好,说到底是为了保护数据的安全可用。如果系统中没有了数据,一切安全措施就都失去了意义。
(3)基础设施安全需由数据安全来保证
国家关键基础设施可以理解为:在信息化时代,国家重要基础设施(如电力、能源等等),由信息系统中的数据控制,由于计算机系统和网络系统的脆弱性,使得这些基础设施的安全受到威胁,从而变得十分关键。自动化程度越高,其安全性就越受限于信息系统中数据的安全性。一旦数据受到破坏,可能会导致某些基础设施无法正常运行。可见,国家关键基础设施的安全要由数据安全来保证。
2.具体实现
实现按数据分类对信息系统进行分区域分等级保护,首先需要确定数据的分类,并在此基础上对信息系统进行安全域的划分,进而确定每个安全域的安全等级,通过对安全域的安全设计,实现对信息系统的安全设计。
(1)数据分类
风险评估是通过风险分析的方法对系统的安全风险进行评估。根据上述数据安全保护是信息安全的中心内容的观点,系统的安全风险实际上可以归结为系统中数据的风险。按照信息分类保护的思想,从国家安全考虑,将系统中所存储、传输和处理的数据信息分为以下五类,并将每一类数据信息对应于一个确定的安全保护等级。
第一类:公开数据信息,指单位或部门需要对外发布的数据信息,需要进行一定的完整性和可用性保护。该类信息在遭到攻击和破坏时,对国家安全、社会稳定、国民经济建设、社会发展基本不会产生影响。对该类信息应按一级安全保护要求设计安全保护。
第二类:内部数据信息,指单位或部门使用的具有一般价值信息,需要进行一定的保密性、完整性、可用性保护。该类数据在遭到攻击和破坏时,对国家安全、社会稳定、国民经济建设、社会发展会带来一定的损失。该类数据应进行二级安全保护。
第三类:重要数据信息,指单位或部门使用的具有较重要价值的信息。需要进行较严格的保密性、完整性、可用性保护。该类数据在遭到攻击和破坏时,对国家安全、社会稳定、国民经济建设、社会发展会带来较大的损失。该类数据应进行三级安全保护。
第四类:关键数据信息,指单位或部门使用的具有重要价值的信息。需要进行严格的保密性、完整性、可用性保护。该类数据在遭到攻击和破坏时,对国家安全、社会稳定、国民经济建设、社会发展会带来重大的损失。对该类数据应进行四级安全保护。
第五类:核心数据信息,指单位或部门使用的具有最重要价值的信息。需要进行最严格的保密性、完整性、可用性保护。该类数据在遭到攻击和破坏时,对国家安全、社会发展会带来灾难性损失。该类信息应进行五级保护。
需要特别说明的是,上述关于数据信息的分类,应在风险分析时就要有意识地加以考。风险分析要落实到数据信息,要对不同数据的风险加以区别,而不是对整个信息系统进行风险分析。在以后的描述中,数据信息类与安全保护等级完全对应。
各单位、各部门,在考虑国家安全的前提下,应结合本单位、本部门的实际情况进行数据信息分类。
(2)安全域划分
安全系统中的安全域分为安全计算域、安全用户域和安全网络域,其中,安全计算域的安全等级是确定一个信息系统安全保护和等级划分的基础。
安全计算域是在局域范围内存储,传输、处理同类数据,进行相同安全等级保护的单一计算机(主机/服务器)或多个计算机组成的计算域,不同数据类在计算机的上分布情况,是确定安全计算域的基本依据。根据数据分布,可以有以下安全计算域:单一计算机单一安全级别计算域,多计算机单一安全级别计算域,单一计算机多安全级别综合计算域,多计算机多安全级别综合计算域。
安全用户域是能访问同类数据的用户端计算机、需要进行相同级别保护的用户域,安全用户域的划分应以用户所能访问的计算域中的数据类和用户计算机所处的物理位置来确定。能访问同类数据,并且物理位置较近的用户端计算机,可以组成一个安全用户域,以便于进行相同级别的安全保护。安全用户域的安全等级与其所能访问的安全计算域的安全等级有关。当一个用户域中的端计算机只能访问一个安全计算域时,该用户域的安全等级应与这些计算域的最高安全等级相同。安全用户域应有明确的边界,以便于进行保护。
安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。当一个网络所连接的计算域和(或)用户域具有单一安全级别时,该网络域的安全等级应与该安全等级相同;当一个网络所连接的计算域和(或)用户域具有多安全级别时,应尽量组成不同安全等级的网络安全域,为这些计算域和(或)用户域中的不同安全级别提供不同的支持;如果确实无法分别提供支持,则应按这些计算域和(或)或用户域中的最高安全级别提供安全支持,组成与最高安全级别相同安全等级的网络安全域。
(3)设计安全的信息系统
对于一个大型的复杂的信息系统,一般很难确定一个统一的安全保护等级。实际应中也没有必要非有一个统一的安全保护等级,因为我们的最终目标不是划分安全等级,而是通过划分安全等级,使不同类的数据得到应有的不同安全保护。图5和图6是以电子政务网络框架为基础,按数据分类分区域分等级保护的思想设计的信息系统安全等级保护示意图。其中安全用户域与安全计算域之间的连接没有明确标出,完全是为了避免连线过于复杂。按照这种设计思想,一个信息系统的安全保护等级可以有以下情况:
l 单一安全级别的信息系统:如果一个系统中的所有计算域,用户域和网络域都是具有相同的安全等级,则该系统为具有该安全等级的系统。比如,如果全是一级安全域,则为一级安全系统;如果全是二级安全域,则为二级安全系统,依次类推。
l 多安全级别的信息系统:如果一个系统中的所有计算域、用户域和网络域不全具有相同的安全级别,则该系统为具有多安全级别的系统。在多安全级别的系统中,全系统的统一安全级别已经没有多少实际意义。所关心的问题应是如何保证各类数据得到应有安全等级的安全保护。
图5中的所有安全计算域都具有单一的安全等级,图6中的安全计算域,既有单一级别的安全计算域,也有多级别的综合安全计算域。其中的计算域4和计算域5没有与其他安全域连接,是表示:对高级别的安全域,应限定在局域环境的范围内。一个实际的信息系统的安全设计,情况可能更为复杂,需要特别指出的是,应重点抓住数据分类和分布的环节,同类数据尽量相对集中分布,使安全系统的结构尽量简单化。
至于每安全域的具体设计应该根据情况详细讨论。
