韩雪红

（铁路公安局，北京 100844）

信息安全等级保护重要标准解读

韩雪红

（铁路公安局，北京 100844）

我国已形成了一套以信息安全等级保护为基础，包含基础、应用、产品等类别的信息安全等级保护标准体系，将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定级、规划、设计与建设以及运维阶段标准，从标准框架、主要内容、行业指导意义3个方面对标准进行解读，旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。

信息安全；等级保护；标准解读

信息安全等级保护工作是我国在信息化发展过程中对信息系统实施安全保护的基本制度、应对方法和实施策略。2004 年9月，我国颁布了《关于信息安全等级保护工作的实施意见》，随后于2007年6月颁布了《信息安全等级保护管理办法》（公通字[2007]43）号文件，该文件确定了等级保护制度的基本内容、要求和工作流程，而后颁布了定级、等级划分、实施和测评相关的多个多家标注你，初步形成了我国信息安全等级保护工作的标准体系。

1 标准体系

目前国家已经出台60余个信息安全等级保护标准，包括基础类、应用类、产品类等类别的标准，在信息安全等级保护定级规划、设计和运维4个阶段发挥重要作用的标准目前共8个，本文旨在对这8类标准从标准框架、标准内容和对行业指导意义3个方面进行解读。

2 各阶段标准解读

各阶段依据的重要标准如图1所示。

图1 信息安全等级保护各阶段依据的重要标准

2.1 定级阶段

信息安全等级保护第一个环节是定级，定级是开展等级测评、建设监督和检查整改等工作的基础。在定级阶段，应依据《信息系统等级保护定级指南》[1]（简称：定级指南）对信息系统进行等级评估和认定。

2.1.1 总体框架

《定级指南》是在《信息安全等级保护管理办法》的基础上，主要从定级原理、定级方法和等级变更3个方面描述了如何对信息系统进行等级确认，为等级保护定级工作提供有效指导。

2.1.2 标准内容

在《定级指南》的定级原理一节，定义了信息系统的5个安全等级，在定级方法一节中，说明了信息系统的安全包括系统服务安全和业务信息安全，并根据受侵害客体和对客体的侵害程度，来确定信息系统的服务安全保护级别和安全保护级别，最后综合考虑取较高者为安全保护等级。

2.1.3 行业指导意义

各行业结合行业自身的特点和行业特殊性，出台行业自己的定级指导意见或定级指南，被定级信息系统需要结合行业特点，综合考虑，做到全地区信息系统等级保护定级的一致性。

2.2 规划阶段

在规划阶段，可依据GB/T22239-2008《信息安全技术—信息系统安全等级保护基本要求》[2]（简称 ：基本要求）来明确安全等级保护的基本需求。

2.2.1 总体框架

在《基本要求》中，将基本要求划分为技术要求和管理要求，总计10个方面。技术要求分别为物理层安全要求、主机层安全要求、应用层安全要求、网络层安全要求、数据安全及备份恢复要求5个方面；管理要求分别为管理制度要求、管理机构要求、人员管理要求、建设管理要求和运行维护管理要求5个方面。

2.2.2 标准内容

在《基本要求》中，根据侧重点不同，技术类安全要求可进一步划分为3个保护类，分别为通用安全、信息安全和服务保证。信息安全是指保护信息系统数据在传输、存储避免被破坏和未授权的篡改；服务保证类是指避免系统遭受未授权修改和破坏，保障系统连续正常运行。

2.2.3 行业指导意义

行业如制定符合自身行业特点的规范和标准，可以根据行业自身特点和实际需求，依据《基本要求》开展行业自身的标准研究及制定工作。对于《基本要求》中提出的无法实现或有更加有效的安全措施，可在保证不降低整体安全保护能力的情况下对条款进行适当调整。

2.3 设计与建设阶段

在系统设计和建设阶段活动包含方案设计和技术措施，在此阶段参考三类标准，分别为《计算机信息系统安全保护等级的划分准则》[3]、《信息系统通用安全的技术要求》[4]、《信息系统等级保护安全设计技术要求》[5]。

2.3.1 《计算机信息系统安全保护等级划分准则》解读

2.3.1.1 总体框架

在《划分准则》中，在第1章范围定义中首先明确了等级保护的五个等级，分别为第1级的用户自主保护、第2级的系统审计保护，第3级的安全标记保护，第4级的结构化保护和第5级的访问验证保护；其次对敏感标记、主、客体等专用术语进行了定义；最后阐述了信息系统等级划分的准则。

2.3.1.2 主要内容

《划分准则》的主要内容是描述如何划分信息系统安全等级保护的5个等级，其中，在用户自主保护级中，从访问控制、身份鉴别和数据完整性3个方面进行划分，在系统审计保护级中，新增了客体重用和审计；安全标记保护级新增了强制访问控制和标记；结构化保护级新增了隐蔽通道分析和可新路径；访问验证保护级新增了可信恢复。

2.3.1.3 行业指导意义

《划分准则》属于强制性技术规范，是各行业制定行业自身计算机信息系统安全法规和监督检查的依据性文件。其他技术标准均需以此标准作为基础性标准。

2.3.2 《信息系统通用安全技术要求》解读

本标准为信息系统的信息技术产品和安全产品技术选型提供依据。（1）为这些产品和设备的相关安全标准制定提供参考。（2）为信息系统选择安全技术产品和设置安全设备的相应安全机制提供指导。

2.3.2.1 总体框架

《信息系统通用安全技术要求》（简称：通用安全技术要求）针对信息系统所采用的安全技术要素，从安全保证和安全功能两个方面，对安全技术要素的安全性提出了要求。

2.3.2.2 标准内容

《通用安全技术要求》对1~5级应达到的安全保证技术要求和安全功能技术要求分别进行了描述。

2.3.2.3 行业指导意义

各行业在进行等级保护建设过程中应以《通用安全技术要求》为参照，落实安全保护技术措施。各行业安全技术人员在保证不降低信息系统的整体安全防护能力的前提下，可以依据自身行业特点采取变通方法实现。

2.3.3 《信息系统等级保护安全设计技术要求》解读

该标准是用于指导信息安全企业、信息安全服务机构和信息系统运营使用单位等机构开展信息系统等级保护安全技术的设计的参考标准。

2.3.3.1 总体框架

本标准从设计目标、设计策略和设计技术要求等方面进行了描述。

2.3.3.2 标准内容

在本标准中，将信息系统设计分为安全管理中心、计算环境安全、区域边界安全、通信网络安全设计4个部分。

安全计算环境是对已定级的信息系统的数据进行存储和、处理和进行安全策略配置的体系；区域边界安全设计是对安全计算环境间，安全通信网络与安全计算环境间实现安全通信的体系；通信网络安全设计是对已定级信息系统的安全计算环境之间进行数据传输以及安全策略实施的相关部件。

安全管理中心是对已定级信息系统的安全策略，包括安全通信网络、安全计算环境和安全区域边界3个层面的安全策略实行统一管理的平台。安全管理中心主要从安全管理、系统管理和审计管理3方面进行设计。

2.3.3.3 行业指导意义

各行业在制定信息系统设计方案过程中，应依据自身信息系统的行业特点，全面地考虑，可对用户和设备节点的身份认证中心，也可以对各信息系统单独构建认证中心。由于本标准不包括信息系统安全管理和物理安全等方面的要求，因此，在对信息系统等级保护安全方案设计时，应与《信息系统安全等级保护基本要求》等标准结合使用。

2.4 运维阶段

在运维阶段，包含对信息系统的运行管理、变更管理、事件处理、等级测评和备案等，在此阶段，可参考的标准包括《信息系统安全管理要求》[6]、《信息系统安全等级保护测评要求》[7]、《信息系统安全等级保护测评过程指南》[8]等。

2.4.1 《信息系统安全管理要求》解读

《信息系统安全管理要求》（简称：安全管理要求）可为组织体系和管理体系的建立，安全管理的策略制定等管理措施提供参考和指导。

2.4.1.1 总体框架

在《安全管理要求》中：（1）对信息系统的安全保护提出了分等级管理的要求，阐述了安全管理的要素以及不同等级的强度要求；（2）描述目前我国信息系统通用的安全管理措施；（3）将安全管理要求落实到等级保护所定义的5个等级上，主要包括了两方面的内容，即安全管理分等级要求和安全管理要素。

2.4.1.2 标准内容

《安全管理要求》中根据划分的五个安全等级，从机构人员、安全风险、环境资源、政策制度、操作维护、业务连续性、应急和备份、生命周期、监督检查等管理要素为出发，对信息系统的安全管理措施进行全面描述。

2.4.1.3 行业指导意义

《安全管理要求》在人员组织机构等方面可能存在全部或部分暂时无法实现的问题，在不降低信息系统的安全保护能力的前提下，各行业可采取一些变通方法加以实现。

2.4.2 《信息系统安全等级保护测评要求》解读

《信息安全等级保护管理办法》中指出，当信息系统完成等级保护建设工作后，主管部门可选择符合条件的测评机构对完成等级保护建设的信息系统进行等级测评。

2.4.2.1 总体框架

《信息系统安全等级保护测评要求》（简称：测评要求）中首先描述了信息系统等级测评的内容和原则。在第5~9章中指出了不同安全级系统的单元测评要求。第10章整体测评提出了对安全层面间、安全控制间、系统结构和区域间安全测评的要求。第11章中指出了如何得出等级测评结论。

2.4.2.2 标准内容

《测评要求》是基于《基本要求》对等级保护的10个方面提出了测评方法和测评指标，主要包括10个测评项，技术层面包括物理层安全、主机层安全、应用层安全、网络层安全和数据安全；管理层面具体包括管理制度测评要求、管理机构测评要求、系统建设管理测评要求、人员安全管理测评要求和运维管理测评要求。

2.4.2.3 行业指导意义

各行业如制定有行业特色的等级保护测评规范或标准，以此为依据对信息系统按照行业标准进行符合性测评，结合行业内信息系统的实际需求，综合分析被测系统是否具备相应等级的安全防护能力。

2.4.3 《信息系统安全等级保护测评过程指南》解读

《信息系统安全等级保护测评过程指南》主要阐述了两个方面的问题，（1）确定了信息系统信息安全等级保护测评的过程；（2）描述了等级保护测评的任务、工作结果和分析方法。《测评过程指南》旨在为运营使用单位、信息系统测评机构和信息系统主管部门如何开展等级测评工作提供指导和依据。

2.4.3.1 总体框架

《测评过程指南》以对3级信息系统等级测评为例，描述了信息系统等级测评的活动和任务，包括4个层面的工作，即测评准备、方案编制、现场测评、分析与报告编制。

2.4.3.2 标准内容

测评准备是指需要掌握被测信息系统的详细信息，为实施测评工作做好测试工具及文档方面的准备；方案编制是编写与被测信息系统相适应的测评实施手册；分析与报告编制是指测评结果，分析被测系统的安全保护建设现状，分析被测系统与其安全等级要求间的差距，形成测评报告。

2.4.3.3 行业指导意义

《测评过程指南》描述了等级测评的基本工作过程，《测评过程指南》针对已定级的信息系统首次进行等级测评工作的描述，对于非首次实施等级测评的工作过程，应参考该标准中的调整原则予以调整。

3 结束语

通过对上述在我国信息安全等级保护工作中涉及到的主要标准从标准框架、主要内容、行业指导意义3个方面对标准进行解读，明确了各标准在等级保护工作各个阶段发挥的作用和应用场合 ，可为各行业等级保护工作的有序开展提供参考和借鉴。

[1] 中华人民共和国国家质量监督检验检疫总局. GB/T 22240-2008，信息安全技术-信息系统安全等级保护定级指南[S].北京：中国标准出版社，2008.

[2] 中华人民共和国国家质量监督检验检疫总局. GB/T 22239-2008，信息安全技术-信息系统安全等级保护基本要求[S].北京：中国标准出版社，2008.

[3] 中华人民共和国国家质量监督检验检疫总局. GB/T17859-1999，信息安全技术-计算机信息系统安全保护等级划分准则[S].北京：中国标准出版社，1999.

[4] 中华人民共和国国家质量监督检验检疫总局. GB/T 20271-2006，信息系统通用安全技术要求 [S].北京：中国标准出版社，2006.

[5] 中华人民共和国国家质量监督检验检疫总局. GB/T 25070-2010，信息系统等级保护安全设计技术要求[S].北京：中国标准出版社，2010.

[6] 中华人民共和国国家质量监督检验检疫总局. GB/T 25070-2010，信息系统安全管理要求 [S]. 北京：中国标准出版社，2006.

[7] 中华人民共和国国家质量监督检验检疫总局. GB/T 28448-2012，信息系统安全等级保护测评要求[S].北京：中国标准出版社，2012.

[8] 中华人民共和国国家质量监督检验检疫总局.GB/T 22240-2008，信息系统安全等级保护测评过程指南[S]. 北京：中国标准出版社，2012.

责任编辑 徐侃春

Interpretation on important standards for information security level protection

HAN Xuehong
( Railway Public Security Administration, Beijing 100844, China )

A set of standard system for information security level protection was built including theoretical principle classes, application classes and production classes in our country. Several standards included in the standard system were divided into several phases as grading, planning, design, construction and operation, the proposed standards would be interpreted from three aspects as framework, main content and industry guidance. The purpose of this paper was to elaborate standards applications and industry guidance at different stages in security level protection.

information security; level protection; interpretation on standard

U29-39

A

1005-8451（2015）02-0041-04

2014-10-08

韩雪红 ，处级正职。