信息安全等級(jí)保護(hù)定級(jí)的方法與應(yīng)用

繆彥深

摘要：信息安全等級(jí)保護(hù)是國(guó)家在經(jīng)濟(jì)發(fā)展和信息技術(shù)高度發(fā)達(dá)的新形勢(shì)下，為維護(hù)國(guó)家安全、社會(huì)穩(wěn)定而采取的信息化建設(shè)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度，能夠全面提高信息安全保障水平。本文結(jié)合實(shí)際案例，談一談信息安全等級(jí)保護(hù)等級(jí)過(guò)程及方法。對(duì)等級(jí)保護(hù)對(duì)象中客體與主體之間的聯(lián)系進(jìn)行分析和論證，目的是提請(qǐng)注意關(guān)于定級(jí)工作的重點(diǎn)，以利用業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣形成的系統(tǒng)為系統(tǒng)安全、定級(jí)工作提供保障。

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；定級(jí)制度

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）03-0045-02

信息安全等級(jí)保護(hù)制度的建設(shè)，是隨著經(jīng)濟(jì)建設(shè)和信息化建設(shè)的全面展開(kāi)而進(jìn)行的。對(duì)國(guó)家重要的信息系統(tǒng)等進(jìn)行定級(jí)保護(hù)，可以提高信息系統(tǒng)的工作效率，在大數(shù)據(jù)、云計(jì)算的技術(shù)支持下，實(shí)現(xiàn)全系統(tǒng)的信息安全。為此國(guó)家多部門(mén)早已出臺(tái)多項(xiàng)關(guān)于信息安全的制度和規(guī)定，明確說(shuō)明國(guó)家信息安全保障工作的基本制度之一就是信息安全等級(jí)保護(hù)制度。其工作流程包含定級(jí)、對(duì)級(jí)別的建設(shè)和整改、測(cè)評(píng)建設(shè)整改工作、向主管公安部門(mén)備案；監(jiān)管信息系統(tǒng)。其中首要階段的定級(jí)工作，是作為等級(jí)保護(hù)的起始，為后面四個(gè)階段的工作奠定基礎(chǔ)。

1 信息系統(tǒng)安全等級(jí)保護(hù)政策概述

我國(guó)在信息技術(shù)的浪潮退推動(dòng)下，各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級(jí)帶來(lái)的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項(xiàng)目不斷增多，很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體，因此，信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化，對(duì)信息進(jìn)行等級(jí)保護(hù)就被提上了日程。

2008年，我國(guó)首部信息安全等級(jí)保護(hù)管理辦法由公安部下發(fā)，信息系統(tǒng)有了等級(jí)的劃分，并且對(duì)信息系統(tǒng)的保護(hù)也有了明確的管理規(guī)定。2008年，信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)上升到了國(guó)家級(jí)別的標(biāo)準(zhǔn)，擁有了定級(jí)指南，對(duì)于信息系統(tǒng)安全等級(jí)定級(jí)工作來(lái)說(shuō)，意味著擁有了定級(jí)的方法和準(zhǔn)則。2009年，關(guān)于整改信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)證實(shí)下發(fā)，要求對(duì)信息安全等級(jí)保護(hù)的整改要按照測(cè)評(píng)工作的標(biāo)準(zhǔn)展開(kāi)。這是第一次對(duì)信息安全等級(jí)保護(hù)測(cè)評(píng)體系的建設(shè)進(jìn)行的規(guī)定。

2 信息系統(tǒng)的安全定級(jí)

在信息安全技術(shù)等級(jí)定級(jí)指南中，對(duì)于信息技術(shù)的重要性以及遭到破壞的危害性進(jìn)行了詳細(xì)的闡述，從公共安全、社會(huì)利益、公民權(quán)益等幾個(gè)方面，將信息系統(tǒng)的安全等級(jí)劃分為五個(gè)等級(jí)：

第一級(jí)為當(dāng)信息安全被侵犯，國(guó)家利益、公共安全等合法權(quán)益就會(huì)被損壞，但是國(guó)家安全、社會(huì)利益和公共秩序不會(huì)受到損害。

第二級(jí)為當(dāng)信息安全被侵犯，公民的合法權(quán)益就會(huì)被侵害，但是國(guó)家安全不會(huì)受到破壞。

第三級(jí)為當(dāng)信息系統(tǒng)受到侵犯后，社會(huì)秩序和公共利益被損壞，進(jìn)而產(chǎn)生對(duì)國(guó)家安全的損害。

第四級(jí)是信息系統(tǒng)受到破壞，社會(huì)秩序、公共利益、國(guó)家安全都會(huì)受到特別嚴(yán)重的損傷。

第五級(jí)是信息系統(tǒng)受到侵犯，國(guó)家安全被特別嚴(yán)重地?fù)p壞。

3 當(dāng)前信息系統(tǒng)安全定級(jí)中存在的問(wèn)題

1）定級(jí)對(duì)象不明確是信息系統(tǒng)安全定級(jí)中的常見(jiàn)問(wèn)題。當(dāng)信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨(dú)立的系統(tǒng)進(jìn)行定級(jí)時(shí)，多個(gè)定級(jí)對(duì)象會(huì)重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機(jī)房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例，系統(tǒng)中如果使用到網(wǎng)絡(luò)資源，就有可能產(chǎn)生相同的定級(jí)對(duì)象同時(shí)出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。

2）根據(jù)安全信息國(guó)家定級(jí)指南中對(duì)安全保護(hù)等級(jí)的定級(jí)要求。當(dāng)受侵害客體為國(guó)家、社會(huì)、公民安全以及組織法人的合法權(quán)益時(shí)，客體的侵害程度可以分為一般、嚴(yán)重、特別嚴(yán)重。這種分類(lèi)是比較抽象的。需要進(jìn)行具體的描述，但是從目前的發(fā)函情況看，對(duì)于危害程度的描述還是過(guò)于傾向于主觀(guān)判斷，因此對(duì)客觀(guān)情況的定級(jí)準(zhǔn)確率不足，依據(jù)不足。

3）現(xiàn)有的定級(jí)報(bào)告皆是從模板中引用格式，參考定價(jià)指南，提供定級(jí)流程，引導(dǎo)結(jié)論的驗(yàn)證。從下表我們可以大概地看到定級(jí)要素和安全保護(hù)等級(jí)的關(guān)系：

表1

[受侵害的客體＼&一般損害＼&嚴(yán)重?fù)p害＼&特別嚴(yán)重的損害＼&公民、法人和組織的合法權(quán)益＼&第一級(jí)＼&第二級(jí)＼&第二級(jí)＼&社會(huì)利益、公共秩序＼&第二級(jí)＼&第三級(jí)＼&第四級(jí)＼&國(guó)家安全＼&第三級(jí)＼&第四級(jí)＼&第五級(jí)＼&]

對(duì)于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級(jí)的重要意義，但是從系統(tǒng)的客觀(guān)問(wèn)題以及隨時(shí)可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀(guān)察，很多關(guān)于信息安全等級(jí)定級(jí)的新方法還不能保證定級(jí)結(jié)果的準(zhǔn)確性，很多定級(jí)報(bào)告不完善，缺乏依據(jù)，主觀(guān)判斷成分多，無(wú)法將信息安全系統(tǒng)的真實(shí)情況反映給決策層，對(duì)于工作的開(kāi)展沒(méi)有好處。

4 等級(jí)保護(hù)流程

等級(jí)保護(hù)的工作是循環(huán)的、動(dòng)態(tài)發(fā)展的。將等級(jí)保護(hù)工作視為循環(huán)性強(qiáng)的工作對(duì)于工作流程加以分析，最終得到的是等級(jí)保護(hù)工作的流程圖：

定級(jí)階段：系統(tǒng)劃分、等級(jí)確定；填寫(xiě)表格；

初步備案階段：上報(bào)材料、專(zhuān)家評(píng)審，不符合安全等級(jí)規(guī)定的重新定級(jí)，最終進(jìn)入初備案。

測(cè)評(píng)階段：選定機(jī)構(gòu)、測(cè)評(píng)、出具報(bào)告；

整改階段：制訂方案、專(zhuān)家論證、提出整改措施并實(shí)施；

復(fù)評(píng)階段：對(duì)定級(jí)方案進(jìn)行復(fù)評(píng)，得到最終的備案；

根據(jù)等級(jí)保護(hù)制度接受監(jiān)管的階段。

需要說(shuō)明的是，等級(jí)保護(hù)工作的初始階段：定級(jí)工作可以采用自行定級(jí)的方法，也可以委托第三方機(jī)構(gòu)進(jìn)行監(jiān)管和測(cè)評(píng)。定級(jí)工作是所有階段工作的基礎(chǔ)。初備案階段有一個(gè)重新定級(jí)的環(huán)節(jié)，主要是如果出現(xiàn)不公平、不公正或者定級(jí)不合格的情況，要對(duì)信息系統(tǒng)的等級(jí)評(píng)定工作進(jìn)行復(fù)評(píng)選，并達(dá)到等級(jí)保護(hù)的要求，才能進(jìn)行最終的備案。

5 信息安全定級(jí)方法

1）定級(jí)流程是參照定級(jí)指南進(jìn)行的，包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級(jí)對(duì)象，然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體，以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進(jìn)行客體的侵害程度的評(píng)定，前者得出業(yè)務(wù)信息安全等級(jí)，后者得出系統(tǒng)服務(wù)安全等級(jí)，最后形成了定級(jí)對(duì)象的安全保護(hù)等級(jí)。

定級(jí)對(duì)象的選取根據(jù)定級(jí)指南的規(guī)定，具有一些特征，首先是擁有安全責(zé)任單位，第二是信息系統(tǒng)要素，第三是承載單一和獨(dú)立的業(yè)務(wù)。在定級(jí)對(duì)象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機(jī)房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等，這樣就不會(huì)產(chǎn)生重復(fù)出現(xiàn)的定級(jí)對(duì)象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中，形成具有單獨(dú)優(yōu)先定級(jí)權(quán)限的定級(jí)對(duì)象[1]。

對(duì)于受侵害的客體的損害程度的評(píng)分，要對(duì)危害后果等進(jìn)行權(quán)重分析。參照的依據(jù)包括國(guó)家安全、社會(huì)利益、公眾秩序、公民法人和組織的權(quán)益?？腕w的侵害程度在定義和解釋上是簡(jiǎn)單而抽象的，要對(duì)危害程度進(jìn)行具體的描述，就要規(guī)避主觀(guān)判斷、依據(jù)不足的問(wèn)題。對(duì)客體的侵害程度進(jìn)行確定，是需要參考很多元素的，要得到一個(gè)準(zhǔn)確的定量，可以采用評(píng)分表的方法對(duì)危害后果予以打分。

表2

[危害后果＼&得分＼&權(quán)重＼&影響工作職能形式＼&＼&＼&降低業(yè)務(wù)能力＼&＼&＼&引起糾紛需要法律介入＼&＼&＼&財(cái)產(chǎn)損失＼&＼&＼&社會(huì)不良影響＼&＼&＼&損害到組織和個(gè)人＼&＼&＼&其他影響＼&＼&＼&]

根據(jù)對(duì)表格中的打分得到的數(shù)值和權(quán)重的分析，可以得出定級(jí)對(duì)象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0，有危害程度較輕的數(shù)值為1，有危害程度較高的為2，后果嚴(yán)重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對(duì)象上都不同，因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實(shí)際情況。

確定安全保護(hù)等級(jí)是在所有流程結(jié)束后，得到的結(jié)論。這個(gè)結(jié)論包括客體對(duì)等級(jí)對(duì)象的侵害造成的危害，信息安全的保密性、可用性的情況，系統(tǒng)服務(wù)安全的及時(shí)性、有效性的問(wèn)題等等。當(dāng)業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時(shí)，就要在定級(jí)過(guò)程中處理不同的危害后果。

2）定級(jí)表格的細(xì)化是為定級(jí)報(bào)告模板提供基礎(chǔ)數(shù)據(jù)，并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當(dāng)系統(tǒng)內(nèi)部問(wèn)題導(dǎo)致其難以支撐定級(jí)結(jié)果后，采用系統(tǒng)定級(jí)的方法，就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級(jí)表中。定級(jí)表包括了定級(jí)系統(tǒng)的用戶(hù)情況以及定級(jí)系統(tǒng)的業(yè)務(wù)職能等情況，例如在行業(yè)和部門(mén)內(nèi)的地位和作用。定級(jí)系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施，保證定級(jí)系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會(huì)受到數(shù)據(jù)傳遞等的影響。

6 案例分析

按照等級(jí)保護(hù)工作測(cè)評(píng)和定級(jí)的規(guī)定，確定信息系統(tǒng)的等級(jí)。某政府網(wǎng)站信息系統(tǒng)包括的板塊為：政務(wù)公開(kāi)、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話(huà)、網(wǎng)上辦事大廳、新聞動(dòng)態(tài)、政府公告、舉報(bào)建議等，還專(zhuān)門(mén)開(kāi)辟了一個(gè)下載板塊，方便下載有用的電子表單加以填報(bào)。

在這個(gè)政府網(wǎng)站的信息系統(tǒng)中，制訂了符合信息安全等級(jí)保護(hù)定級(jí)指南的流程和標(biāo)準(zhǔn)，通過(guò)分析，判斷，研究等流程確定定級(jí)的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專(zhuān)門(mén)的政府網(wǎng)站平臺(tái)，由指定部門(mén)確定相關(guān)資料的搜集、采集、整理的過(guò)程方案。在這套流程中，信息生產(chǎn)者為企業(yè)，產(chǎn)生的資料是信息，管理信息的手段是利用科學(xué)技術(shù)，對(duì)外承擔(dān)政務(wù)信息，擁有獨(dú)立的業(yè)務(wù)，如辦事流程、新聞發(fā)布會(huì)等。將各類(lèi)任務(wù)的環(huán)境加以構(gòu)建，就形成了政府網(wǎng)站中具有基本特征和要素的定級(jí)對(duì)象。對(duì)定級(jí)客體的邀請(qǐng)，要采取分析的方法，確保信息系統(tǒng)內(nèi)的保密性和可用性。實(shí)際操作中只要能夠保證信息的完整性和通用性，又增強(qiáng)了制作、發(fā)布、管理的職能建設(shè)，激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運(yùn)行，并為信息安全系統(tǒng)提供有效的服務(wù)，達(dá)到地方網(wǎng)站發(fā)揮在定級(jí)中的作用，幫助提供服務(wù)，滿(mǎn)足消費(fèi)者的需求。采用了這種方法，網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運(yùn)用中需要特別加以注意的。

例如：對(duì)于受侵害的客體，必須說(shuō)明客體的情況，是否受到法律保護(hù)，等級(jí)保護(hù)中牽扯到的社會(huì)關(guān)系和合法權(quán)益。尤其是針對(duì)信息系統(tǒng)的客體的先后順序進(jìn)行判斷，結(jié)合政府平臺(tái)，實(shí)施政務(wù)信息公開(kāi)。如果做不到政務(wù)信息公開(kāi)，政府就要設(shè)置管理界限，發(fā)揮人的主觀(guān)能動(dòng)性，在知情權(quán)、業(yè)務(wù)能力、投訴與批評(píng)等階段加大業(yè)務(wù)辦理力度，最大可能地維護(hù)法人和代表組織的知情權(quán)，排棄受到破壞的客體，法人由于難以摻入個(gè)人組織中，直接投訴合法的法律法規(guī)，由于業(yè)務(wù)施工的進(jìn)度過(guò)快，環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對(duì)客體的積極主動(dòng)性。方便法人和組織知情、辦理業(yè)務(wù)、舉報(bào)、投訴等。

對(duì)于客體造成的侵害進(jìn)行后果的分析，無(wú)論是大型門(mén)戶(hù)網(wǎng)站，還是在金融政策引領(lǐng)下，親自感受到客體檢查結(jié)果的影響，如信息安全管理等，都要注重網(wǎng)絡(luò)平臺(tái)的臨時(shí)性。

7 結(jié)束語(yǔ)

要做好信息系統(tǒng)的安全保護(hù)等級(jí)的確定，就要采取正確的 （下轉(zhuǎn)第51頁(yè)）

（上接第46頁(yè)）

策略以及方法，對(duì)信息安全管控產(chǎn)生依賴(lài)，保護(hù)過(guò)程中采取正確的策略和方法，等等。信息系統(tǒng)、安全等級(jí)保護(hù)不足的問(wèn)題，都要求管理覺(jué)決策層加熬煮。在實(shí)際運(yùn)行中，還要以定級(jí)指南為指導(dǎo)，綜合信息系統(tǒng)的業(yè)務(wù)特征，切實(shí)推動(dòng)信息技術(shù)等級(jí)保護(hù)工作的大力發(fā)展。

參考文獻(xiàn)：

[1] 楊柳，侯立強(qiáng)，李紅蓮，等.空調(diào)辦公建筑能耗預(yù)測(cè)回歸模型[J].西安建筑科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2015，47（5）：707-711.

[2] 周永戰(zhàn).談第三方支付信息安全等級(jí)保護(hù)定級(jí)方法[C]//首屆銀行和第三方支付行業(yè)信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集，2013：69-71.