(整理)信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南

为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。1.1定级指南标准制修订过程

1.1.1制定背景

本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。

本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。

1.1.2国外相关资料分析

本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如：

●FIPS 199 Standards for Security Categorization of Federal Information and Information

Systems（美国国家标准和技术研究所）

●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification

and Accreditation Process Application Manual（美国国防部）

●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防

部）

●Information Assurance Technology Framework3.1（美国国家安全局）

这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。

FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所

有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的潜在影响将信息分类，影响程度可为高、中或低。例如某政府采购系统中，包含合同信息和管理信息，各自的信息分类为：

SC合同信息={(保密性，中)，（完整性，中），（可用性，低）

SC管理信息={(保密性，低)，（完整性，低），（可用性，低）该政府采购系统分类的各项，将是系统中所有信息分类的三性取值中的最高值：SC政府采购系统={(保密性，中)，（完整性，中），（可用性，低）尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类，没有明确说明信息系统的安全等级，但从与该标准配套的安全控制措施（SP800-53等）内容来看，最终信息系统的等级是由分类中的较高者决定。

8510.1-M为美国国防部发布的DITSCAP计划提供实施手册，DITSCAP计划的主要目的是保护国防信息基础设施，适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构。在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上，DITSCAP 的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。这四个认证级别是：1级—基本的安全评审，2级—最小分析，3级—详细分析，4级—复杂分析。

8510.1-M提出用于描述系统的7个特征量，互联模式、处理模式、归因性（责任追溯）业务依赖性、信息三性等，根据对这7个特征量赋权值，得出某个信息系统的总的权值，再根据权值所处的区间，确定信息系统的认证级别。

8500.2 没有直接针对信息系统分级，但给出了两种分等级的信息保障需求，一种是按信息保密性分级，DoD定义了三个保密性等级：保密、敏感和公开，另一种是按业务保障分类（Mission Assurance Category）：MACⅠ、MACII和MACIII，由此可以排列出9种组合。保密性分级反映了系统内所处理的信息的重要程度，业务保障类反映了与DoD实现业务目标相关的重要性，业务保障类主要用于满足完整性和可用性方面的需求，其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施。

《信息保障技术框架》（IATF）由美国国家安全局主持编制，其所面向的对象既包括Internet这样的全球信息基础设施，也包括国家信息基础设施，以及作为机构专有资源以实现其业务的本地信息基础设施。IATF为安全机制的强度和实现保证提出了三个强健度等级(SML)，并对资产按其信息价值分为5个等级，威胁环境按其强弱分为7个等级，以矩阵

表的方式给出了35种情况下可以选择的强健度等级。信息系统的所有者可以根据其信息价值与可能面临的威胁环境，选择系统安全保护的强健度等级和信息技术产品的评估保证级别（EAL）。

1.1.3定级指南编制原则

通过分析可以发现上述定级方法分别在不同方面不能满足我国等级保护的需要，具体分析如下：

●FIPS199可能是与我们的需求最为接近的一种信息系统定级方法，它以信息安全保

密性、完整性和可用性需求中的最高者作为信息系统的安全等级，用于美国联邦

政府信息系统的保护可能合适，但我国的等级保护面向国内所有行业，包括那些

生产系统和自动化处理系统，这些系统对信息保密性要求不高，而对业务安全保

障要求非常高，三性取高的定级方法，没有反映出这些系统的安全需求特点，可

能造成对多数系统要求过高而无法实现。

●8510.1-M确定的是用于管理的认证级，各等级之间没有安全保护强度的差别，而

等级保护的定级应当反映保护强度和保护能力的逐级提高。

●8500.2 没有明确提出定级方法，当两种信息保障类别排列出不同组合时，没有给

出信息系统等级如何确定，但它提出两类信息保障的不同需求组合，反映信息系

统不同安全需求的做法值得借鉴。

●IATF提出的是信息系统的强健性等级，不是信息系统安全等级，没有反映信息系

统的安全需求。但它提出了根据信息价值和信息系统面临的威胁环境强度决定信

息系统的保护强度的概念，值得借鉴。

究其原因，上述国外标准和文献资料一般针对特定系统，在特定系统中适用，但不能满足我国在全国范围内、在所有行业内开展等级保护工作的要求。因此必须在对国外资料进行研究和吸收的基础上，探索适合我国国情、简便易行的定级方法。因此，等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异。从这一点出发考虑，信息系统安全保护等级定级的出发点应当是信息系统所承载的业务，或称业务应用的重要性。

此外，我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信