繆彥深

摘要：信息安全等級保護(hù)是國家在經(jīng)濟(jì)發(fā)展和信息技術(shù)高度發(fā)達(dá)的新形勢下，為維護(hù)國家安全、社會穩(wěn)定而采取的信息化建設(shè)基本制度。實(shí)行信息安全等級保護(hù)制度，能夠全面提高信息安全保障水平。本文結(jié)合實(shí)際案例，談一談信息安全等級保護(hù)等級過程及方法。對等級保護(hù)對象中客體與主體之間的聯(lián)系進(jìn)行分析和論證，目的是提請注意關(guān)于定級工作的重點(diǎn)，以利用業(yè)務(wù)信息安全保護(hù)等級矩陣形成的系統(tǒng)為系統(tǒng)安全、定級工作提供保障。

關(guān)鍵詞：信息安全；等級保護(hù)；定級制度

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）03-0045-02

信息安全等級保護(hù)制度的建設(shè)，是隨著經(jīng)濟(jì)建設(shè)和信息化建設(shè)的全面展開而進(jìn)行的。對國家重要的信息系統(tǒng)等進(jìn)行定級保護(hù)，可以提高信息系統(tǒng)的工作效率，在大數(shù)據(jù)、云計算的技術(shù)支持下，實(shí)現(xiàn)全系統(tǒng)的信息安全。為此國家多部門早已出臺多項(xiàng)關(guān)于信息安全的制度和規(guī)定，明確說明國家信息安全保障工作的基本制度之一就是信息安全等級保護(hù)制度。其工作流程包含定級、對級別的建設(shè)和整改、測評建設(shè)整改工作、向主管公安部門備案；監(jiān)管信息系統(tǒng)。其中首要階段的定級工作，是作為等級保護(hù)的起始，為后面四個階段的工作奠定基礎(chǔ)。

1 信息系統(tǒng)安全等級保護(hù)政策概述

我國在信息技術(shù)的浪潮退推動下，各行各業(yè)都在面臨信息化、智能化的轉(zhuǎn)型升級帶來的沖擊和挑戰(zhàn)。需要建設(shè)的信息化項(xiàng)目不斷增多，很多領(lǐng)域的業(yè)務(wù)都要采用網(wǎng)絡(luò)信息系統(tǒng)作為載體，因此，信息系統(tǒng)的數(shù)量和結(jié)構(gòu)都在增加和復(fù)雜化，對信息進(jìn)行等級保護(hù)就被提上了日程。

2008年，我國首部信息安全等級保護(hù)管理辦法由公安部下發(fā)，信息系統(tǒng)有了等級的劃分，并且對信息系統(tǒng)的保護(hù)也有了明確的管理規(guī)定。2008年，信息系統(tǒng)安全等級保護(hù)定級上升到了國家級別的標(biāo)準(zhǔn)，擁有了定級指南，對于信息系統(tǒng)安全等級定級工作來說，意味著擁有了定級的方法和準(zhǔn)則。2009年，關(guān)于整改信息安全等級保護(hù)工作的指導(dǎo)意見證實(shí)下發(fā)，要求對信息安全等級保護(hù)的整改要按照測評工作的標(biāo)準(zhǔn)展開。這是第一次對信息安全等級保護(hù)測評體系的建設(shè)進(jìn)行的規(guī)定。

2 信息系統(tǒng)的安全定級

在信息安全技術(shù)等級定級指南中，對于信息技術(shù)的重要性以及遭到破壞的危害性進(jìn)行了詳細(xì)的闡述，從公共安全、社會利益、公民權(quán)益等幾個方面，將信息系統(tǒng)的安全等級劃分為五個等級：

第一級為當(dāng)信息安全被侵犯，國家利益、公共安全等合法權(quán)益就會被損壞，但是國家安全、社會利益和公共秩序不會受到損害。

第二級為當(dāng)信息安全被侵犯，公民的合法權(quán)益就會被侵害，但是國家安全不會受到破壞。

第三級為當(dāng)信息系統(tǒng)受到侵犯后，社會秩序和公共利益被損壞，進(jìn)而產(chǎn)生對國家安全的損害。

第四級是信息系統(tǒng)受到破壞，社會秩序、公共利益、國家安全都會受到特別嚴(yán)重的損傷。

第五級是信息系統(tǒng)受到侵犯，國家安全被特別嚴(yán)重地?fù)p壞。

3 當(dāng)前信息系統(tǒng)安全定級中存在的問題

1）定級對象不明確是信息系統(tǒng)安全定級中的常見問題。當(dāng)信息系統(tǒng)在相同的網(wǎng)絡(luò)環(huán)境中被按照獨(dú)立的系統(tǒng)進(jìn)行定級時，多個定級對象會重復(fù)出現(xiàn)環(huán)境和設(shè)備。以機(jī)房的EPR系統(tǒng)和OA系統(tǒng)以及配套為例，系統(tǒng)中如果使用到網(wǎng)絡(luò)資源，就有可能產(chǎn)生相同的定級對象同時出現(xiàn)不同的網(wǎng)絡(luò)設(shè)備的情況。

2）根據(jù)安全信息國家定級指南中對安全保護(hù)等級的定級要求。當(dāng)受侵害客體為國家、社會、公民安全以及組織法人的合法權(quán)益時，客體的侵害程度可以分為一般、嚴(yán)重、特別嚴(yán)重。這種分類是比較抽象的。需要進(jìn)行具體的描述，但是從目前的發(fā)函情況看，對于危害程度的描述還是過于傾向于主觀判斷，因此對客觀情況的定級準(zhǔn)確率不足，依據(jù)不足。

3）現(xiàn)有的定級報告皆是從模板中引用格式，參考定價指南，提供定級流程，引導(dǎo)結(jié)論的驗(yàn)證。從下表我們可以大概地看到定級要素和安全保護(hù)等級的關(guān)系：

表1

[受侵害的客體＼&一般損害＼&嚴(yán)重?fù)p害＼&特別嚴(yán)重的損害＼&公民、法人和組織的合法權(quán)益＼&第一級＼&第二級＼&第二級＼&社會利益、公共秩序＼&第二級＼&第三級＼&第四級＼&國家安全＼&第三級＼&第四級＼&第五級＼&]

對于基礎(chǔ)數(shù)據(jù)的描述雖然也能顯示出關(guān)于信息安全系統(tǒng)定級的重要意義，但是從系統(tǒng)的客觀問題以及隨時可能出現(xiàn)威脅和侵害的現(xiàn)象角度觀察，很多關(guān)于信息安全等級定級的新方法還不能保證定級結(jié)果的準(zhǔn)確性，很多定級報告不完善，缺乏依據(jù)，主觀判斷成分多，無法將信息安全系統(tǒng)的真實(shí)情況反映給決策層，對于工作的開展沒有好處。

4 等級保護(hù)流程

等級保護(hù)的工作是循環(huán)的、動態(tài)發(fā)展的。將等級保護(hù)工作視為循環(huán)性強(qiáng)的工作對于工作流程加以分析，最終得到的是等級保護(hù)工作的流程圖：

定級階段：系統(tǒng)劃分、等級確定；填寫表格；

初步備案階段：上報材料、專家評審，不符合安全等級規(guī)定的重新定級，最終進(jìn)入初備案。

測評階段：選定機(jī)構(gòu)、測評、出具報告；

整改階段：制訂方案、專家論證、提出整改措施并實(shí)施；

復(fù)評階段：對定級方案進(jìn)行復(fù)評，得到最終的備案；

根據(jù)等級保護(hù)制度接受監(jiān)管的階段。

需要說明的是，等級保護(hù)工作的初始階段：定級工作可以采用自行定級的方法，也可以委托第三方機(jī)構(gòu)進(jìn)行監(jiān)管和測評。定級工作是所有階段工作的基礎(chǔ)。初備案階段有一個重新定級的環(huán)節(jié)，主要是如果出現(xiàn)不公平、不公正或者定級不合格的情況，要對信息系統(tǒng)的等級評定工作進(jìn)行復(fù)評選，并達(dá)到等級保護(hù)的要求，才能進(jìn)行最終的備案。

5 信息安全定級方法

1）定級流程是參照定級指南進(jìn)行的，包括了業(yè)務(wù)信息和系統(tǒng)服務(wù)等內(nèi)容。首先是確定定級對象，然后確定業(yè)務(wù)信息安全受到破壞和侵害的客體，以及系統(tǒng)服務(wù)安全受到破壞和侵害的客體。兩方面都要進(jìn)行客體的侵害程度的評定，前者得出業(yè)務(wù)信息安全等級，后者得出系統(tǒng)服務(wù)安全等級，最后形成了定級對象的安全保護(hù)等級。

定級對象的選取根據(jù)定級指南的規(guī)定，具有一些特征，首先是擁有安全責(zé)任單位，第二是信息系統(tǒng)要素，第三是承載單一和獨(dú)立的業(yè)務(wù)。在定級對象的業(yè)務(wù)應(yīng)用上應(yīng)該擁有共享的機(jī)房基礎(chǔ)環(huán)境和網(wǎng)絡(luò)設(shè)備等，這樣就不會產(chǎn)生重復(fù)出現(xiàn)的定級對象。而且將物理環(huán)境、網(wǎng)絡(luò)資源等納入到信息系統(tǒng)中，形成具有單獨(dú)優(yōu)先定級權(quán)限的定級對象[1]。

對于受侵害的客體的損害程度的評分，要對危害后果等進(jìn)行權(quán)重分析。參照的依據(jù)包括國家安全、社會利益、公眾秩序、公民法人和組織的權(quán)益?？腕w的侵害程度在定義和解釋上是簡單而抽象的，要對危害程度進(jìn)行具體的描述，就要規(guī)避主觀判斷、依據(jù)不足的問題。對客體的侵害程度進(jìn)行確定，是需要參考很多元素的，要得到一個準(zhǔn)確的定量，可以采用評分表的方法對危害后果予以打分。

表2

[危害后果＼&得分＼&權(quán)重＼&影響工作職能形式＼&＼&＼&降低業(yè)務(wù)能力＼&＼&＼&引起糾紛需要法律介入＼&＼&＼&財產(chǎn)損失＼&＼&＼&社會不良影響＼&＼&＼&損害到組織和個人＼&＼&＼&其他影響＼&＼&＼&]

根據(jù)對表格中的打分得到的數(shù)值和權(quán)重的分析，可以得出定級對象被破壞后可能產(chǎn)生的危害以及后果。不存在危害的數(shù)值為0，有危害程度較輕的數(shù)值為1，有危害程度較高的為2，后果嚴(yán)重的為3。不同的信息系統(tǒng)在服務(wù)內(nèi)容、范圍、對象上都不同，因此不同的得分和權(quán)重最能反映信息安全系統(tǒng)的實(shí)際情況。

確定安全保護(hù)等級是在所有流程結(jié)束后，得到的結(jié)論。這個結(jié)論包括客體對等級對象的侵害造成的危害，信息安全的保密性、可用性的情況，系統(tǒng)服務(wù)安全的及時性、有效性的問題等等。當(dāng)業(yè)務(wù)信息安全和服務(wù)系統(tǒng)的客體侵害程度不同時，就要在定級過程中處理不同的危害后果。

2）定級表格的細(xì)化是為定級報告模板提供基礎(chǔ)數(shù)據(jù)，并保證信息安全系統(tǒng)穩(wěn)定可靠的重要保障。當(dāng)系統(tǒng)內(nèi)部問題導(dǎo)致其難以支撐定級結(jié)果后，采用系統(tǒng)定級的方法，就能夠?qū)⑿畔⑾到y(tǒng)的情況記載道定級表中。定級表包括了定級系統(tǒng)的用戶情況以及定級系統(tǒng)的業(yè)務(wù)職能等情況，例如在行業(yè)和部門內(nèi)的地位和作用。定級系統(tǒng)需要有備份系統(tǒng)作為應(yīng)急措施，保證定級系統(tǒng)在關(guān)聯(lián)系統(tǒng)受到破壞后不會受到數(shù)據(jù)傳遞等的影響。

6 案例分析

按照等級保護(hù)工作測評和定級的規(guī)定，確定信息系統(tǒng)的等級。某政府網(wǎng)站信息系統(tǒng)包括的板塊為：政務(wù)公開、地方行政、法制建設(shè)、管理措施、領(lǐng)導(dǎo)講話、網(wǎng)上辦事大廳、新聞動態(tài)、政府公告、舉報建議等，還專門開辟了一個下載板塊，方便下載有用的電子表單加以填報。

在這個政府網(wǎng)站的信息系統(tǒng)中，制訂了符合信息安全等級保護(hù)定級指南的流程和標(biāo)準(zhǔn)，通過分析，判斷，研究等流程確定定級的系統(tǒng)。該網(wǎng)站的擁有者設(shè)立的專門的政府網(wǎng)站平臺，由指定部門確定相關(guān)資料的搜集、采集、整理的過程方案。在這套流程中，信息生產(chǎn)者為企業(yè)，產(chǎn)生的資料是信息，管理信息的手段是利用科學(xué)技術(shù)，對外承擔(dān)政務(wù)信息，擁有獨(dú)立的業(yè)務(wù)，如辦事流程、新聞發(fā)布會等。將各類任務(wù)的環(huán)境加以構(gòu)建，就形成了政府網(wǎng)站中具有基本特征和要素的定級對象。對定級客體的邀請，要采取分析的方法，確保信息系統(tǒng)內(nèi)的保密性和可用性。實(shí)際操作中只要能夠保證信息的完整性和通用性，又增強(qiáng)了制作、發(fā)布、管理的職能建設(shè)，激發(fā)出參與者的完整性和保密性。提高可用概率。而系統(tǒng)服務(wù)安全有力地支撐著系統(tǒng)安全運(yùn)行，并為信息安全系統(tǒng)提供有效的服務(wù)，達(dá)到地方網(wǎng)站發(fā)揮在定級中的作用，幫助提供服務(wù)，滿足消費(fèi)者的需求。采用了這種方法，網(wǎng)站信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全都將是今后在企業(yè)運(yùn)用中需要特別加以注意的。

例如：對于受侵害的客體，必須說明客體的情況，是否受到法律保護(hù)，等級保護(hù)中牽扯到的社會關(guān)系和合法權(quán)益。尤其是針對信息系統(tǒng)的客體的先后順序進(jìn)行判斷，結(jié)合政府平臺，實(shí)施政務(wù)信息公開。如果做不到政務(wù)信息公開，政府就要設(shè)置管理界限，發(fā)揮人的主觀能動性，在知情權(quán)、業(yè)務(wù)能力、投訴與批評等階段加大業(yè)務(wù)辦理力度，最大可能地維護(hù)法人和代表組織的知情權(quán)，排棄受到破壞的客體，法人由于難以摻入個人組織中，直接投訴合法的法律法規(guī)，由于業(yè)務(wù)施工的進(jìn)度過快，環(huán)節(jié)紛繁眾多[2]。再由于受損教育可以對客體的積極主動性。方便法人和組織知情、辦理業(yè)務(wù)、舉報、投訴等。

對于客體造成的侵害進(jìn)行后果的分析，無論是大型門戶網(wǎng)站，還是在金融政策引領(lǐng)下，親自感受到客體檢查結(jié)果的影響，如信息安全管理等，都要注重網(wǎng)絡(luò)平臺的臨時性。

7 結(jié)束語

要做好信息系統(tǒng)的安全保護(hù)等級的確定，就要采取正確的 （下轉(zhuǎn)第51頁）

（上接第46頁）

策略以及方法，對信息安全管控產(chǎn)生依賴，保護(hù)過程中采取正確的策略和方法，等等。信息系統(tǒng)、安全等級保護(hù)不足的問題，都要求管理覺決策層加熬煮。在實(shí)際運(yùn)行中，還要以定級指南為指導(dǎo)，綜合信息系統(tǒng)的業(yè)務(wù)特征，切實(shí)推動信息技術(shù)等級保護(hù)工作的大力發(fā)展。

參考文獻(xiàn)：

[1] 楊柳，侯立強(qiáng)，李紅蓮，等.空調(diào)辦公建筑能耗預(yù)測回歸模型[J].西安建筑科技大學(xué)學(xué)報：自然科學(xué)版，2015，47（5）：707-711.

[2] 周永戰(zhàn).談第三方支付信息安全等級保護(hù)定級方法[C]//首屆銀行和第三方支付行業(yè)信息安全等級保護(hù)技術(shù)大會論文集，2013：69-71.