分层模型在中国信息安全等级保护体系中的借鉴应用

何 锦，李丹宁，黄 羿，，3

(1.贵州大学计算机科学与信息学院，贵州 贵阳 550025;2.贵州科学院，贵州 贵阳 550001;3.重庆文理学院机器视觉与智能信息系统重点实验室，重庆 永川 402160)

信息安全等级保护(以下简称等级保护)是党中央国务院决定在信息安全领域实施的基本国策，也是国家信息安全保障工作的基本制度，是落实网络信任体系、安全监控体系、应急处理、风险评估、灾难备份、技术开发和产业发展等信息安全保障工作的基础.10多年来，等级保护的政策、标准体系已经基本形成，已在全国范围内全面开展实施，对中国信息安全发展起到了明显的促进作用［1］.但中国的等级保护体系和国外优秀的信息安全管理体系相比，仍有很大的提升和改进空间.

2013年4月，美国国家标准与技术研究院发布了SP 800-53的第4次修订版，并将名称更改为《联邦组织和信息系统的安全与隐私控制》.本次修订版更新了安全控制基线集，增加了隐私控制、叠加控制等多项内容.其中，针对联邦组织和信息系统的风险管理提供了一种三层的风险管理模型.该模型将风险管理框架划分为组织层、使命和业务流程层和信息系统层，并且形成了一种风险相关活动的层间信息反馈和持续有效改善，以及层内所有具有共同利益的相关者的信息交互共享的机制［2］.

对我国等级保护体系而言，三层风险管理模型具有较好的借鉴意义.通过分析中国等级保护各环节的具体情况，将中国相关组织和部门分类进行层次划分，形成从国家到地方整个体系的有机联动.这将更好实现体系中安全保护的持续改善，以及进一步落实等级保护中各个环节的职能分工，并助力构建中国等级保护“层层有人管，层层有人监”的管理体系.

1 等级保护体系各环节现状解读

根据《信息安全等级保护管理办法》的规定，等级保护工作主要分为5个环节:定级、备案、建设整改、等级测评和监督检查.其中定级环节是首要环节，可以梳理行业信息、数量和保护的重点;建设整改是落实安全等级保护的关键，通过整改要使相应信息系统达到相应等级的基本保护能力;等级测评是借助于第三方测评机构来检验和评价系统安全建设整改工作的成效，判断是否达标;监督检查是公安机关等信息安全职能部门开展监督、检查和指导工作，维护重要信息系统安全［1，3］.

1.1 信息系统定级与备案工作

信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行.定级工作主要包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字［2007］861号)要求执行.备案工作包括信息系统备案、受理、审核和备案信息管理等工作，信息系统运营使用单位和受理备案的公安机关按照《信息安全等级保护备案实施细则》(公信安［2007］1360号)的要求办理信息系统备案工作［4］.

信息系统的定级工作是等级保护工作的前提.准确定级的前提是只有清楚掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况，才能对等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度有精确的把握，从而准确确定信息系统的保护等级.从实施的情况来看，组织往往很难对自身系统的实际情况有正确的把握，从而在按照标准对应定级的时候容易存在分歧.等级确定较高会增加保护难度和实施费用等问题;等级确定较低又会出现很多安全隐患.信息系统等级确定不准确，将容易导致等级保护工作无法切实有效展开.

1.2 安全建设整改工作

等级保护安全建设整改工作是使信息系统可以按照等级保护相应等级的要求进行设计、规划和实施，能够达到相应等级的基本保护水平和保护能力.按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度.参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》等标准规范要求，建设信息系统安全保护技术措施［3-6］.

从实施的情况来看，安全建设整改工作的难度在于确定相应的安全管理制度和安全保护措施.而实施标准和参照标准是整体安全水平的准则，无行业特色，无信息系统分类保护规范.落实到具体各行各业中收缩性和扩展性不足.如何能根据行业和组织自身实际情况确定改建方案，避免等级保护的遗漏，促进安全建设整改环节的工作效率等亟待解决的问题，是目前安全建设整改环节工作的重点之一.

1.3 等级测评工作

信息系统按照《基本要求》等技术标准建设完成后，运营使用单位应当选择符合规定条件的测评机构，定期对信息系统安全等级状况开展等级测评工作.通过测评，掌握信息系统安全状况、排查系统安全隐患和薄弱环节，以及衡量安全保护管理措施和技术措施是否符合等级保护基本要求.中国现行的测评机构分为3类:信息安全职能部门测评机构、行业性测评机构以及地方性测评机构［7］.

从中国现行的测评机构分类来看，3种测评机构都存在业务交叉情况，不利于全国范围测评信息的汇总，以及对整个测评机构进行监督管理.这使得许多组织对现有的测评机构信任度不够，以至于涉及商业秘密等敏感信息的系统难以对其系统进行全方位测评.如何完善对测评机构自上而下的进行监督管理，完善对测评机构业务的明确分工，进一步提高测评机构的专业水平，可信度和行业知识水平等问题显得尤为突出.

1.4 安全自查和监督检查工作

备案单位按照《管理办法》的相关要求，对等级保护工作落实情况进行自查，掌握信息系统安全状况、安全管理制度及技术措施的落实情况.行业主管部门对本行业、本部门进行督导检查，达到重点督促、以点带面的目的.公安机关对各运营使用单位进行监督检查，落实安全措施、落实安全责任、落实责任部门和人员［3］.

中国现行的安全自查与监察工作虽对各职能部门都有相应的责任分工，但整个国家的自查和监督检查工作体系尚未健全.等级保护工作牵涉职能部门众多，责任分工不够明确，容易导致整个体系工作效率低.如何完善自查和监督检查体系模型，以达到“层层有人管，层层有人监”的等级保护管理体系是目前工作的重点之一.

2 分层模型在等级保护体系中的借鉴应用

2.1 分层的等级保护管理模型概述

借鉴三层的风险管理模型，构建了分层的等级保护管理模型，其结构如图1所示.该模型由三层构成，以组织机构为起点，然后梳理与组织系统等级保护有关的职能部门，并进行层次划分.这样的管理体系有助于不同的组织落实责任，完善管理体系，将信息系统按照业务和使命的不同进行分类，提升等级保护各环节的工作效率和作用的发挥空间［8］.

图1 分层的等级保护管理模型结构图

2.2 分层管理模型的应用

2.2.1 三层管理体系的组织结构

中国信息系统数量庞大，门类众多，虽大多数系统均不涉及国家秘密，但也需要一定程度的信息安全保护.对于不同行业、不同业务类型的信息系统可以采取分层的理念进行管理.

针对很多组织结构复杂、涉及职能部门的业务系统而言，其组织和部门的责任分工往往是不明确的.将组织进行分层，有利于加强组织自上而下的监督管理，也有利于自下而上的信息实施、信息汇总和反馈，达到持续改善的目的.同时，分层的组织结构在风险管理方面有着重要的作用.其结构如图2所示.

组织层:组织层是整个组织的核心，它提供整个组织的战略决策，以使命或业务流程划分职能部门等.组织应设立专门负责等级保护工作的小组以管理整个组织的安全等级保护工作.

部门层:部门层是整个组织的关键，它落实组织的战略决策，以不同的业务或功能划分系统等.部门应设立专门负责等级保护工作的小组以负责部门及系统安全等级保护相关工作，并完成系统信息汇总反馈，引导组织决策.

系统层:系统层是整个组织的基础，它执行组织的战略决策，落实安全保护措施等.系统内从事管理、开发、操作相关人员都应纳入信息安全保护范围内，并统一由安全相关管理人员予以指导，增强其安全及风险意识，完成系统实际信息的汇总，反馈回部门.

图2 三层管理体系的组织结构

2.2.2 基于剪裁指导的改建方案确定方法

改建方案包括安全管理制度和安全保护技术措施两个方面，是组织进行安全整改建设的实施准则.改建方案的确定引入剪裁指导，一方面能根据各行各业的实际情况进行等级保护;另一方面也能缓解组织在系统定级时的难度.剪裁的方法能将建立信息系统外围安全操作环境的保护措施，变成更加经济可用的针对保护具体信息的安全的保护措施.这不仅能节省信息系统安全整改的费用，也能使得等级保护在实际的操作过程中变得更加可行.基于剪裁指导的改建方案确定的主要流程如图3所示.

图3 基于剪裁指导的改建方案确定流程

初始基本标准:初始基本标准为《信息系统安全等级保护基本要求》中所描述的标准，组织根据系统所确定等级对应选择相应标准.

部门扩充:部门根据自身业务系统实际情况和行业情况选择是否选择扩充、增强安全控制标准，扩充和增强控制部分可以从更高级系统的标准中选择，也可以借鉴其他组织机构成功应用的新措施等.

组织剪裁:组织发起适当修改的剪裁过程，使确定的安全保护标准更加符合组织功能，更加体现行业特色，以达到理想的保护能力和保护水平.

审批及备案:执行审批备案的机构为组织的上级行业组织机构和国家有关安全机构.审批工作主要是对组织所确定的标准进行审核，判定其是否符合实际需求，是否符合当前社会环境，以及是否符合相关法律法规等.

2.2.3 基于行业划分的测评机构体系

对测评机构进行行业划分，首先应该对全国实施等级保护的业务系统进行基于行业的分类，然后根据分类的业务系统建立相应的测评机构.这种划分方式使得不同的测评机构具备不同行业的专业知识，这样不仅使得测评过程能针对行业特色进行测评，而且也能方便行业内部测评信息的汇总和测评机构的监督管理.基于行业划分的测评机构体系如图4所示.

图4 基于行业划分的测评机构体系

职能部门测评机构:此类机构属于行业内测评机构的领导机构，对行业下属的地方性测评机构进行指导和监督，并汇总掌握行业内的测评情况，根据实际情况及时对工作方针做出调整，同时将相关情况反馈给国家相关部门以引导决策.

地方性测评机构:此类机构属于测评机构体系的基础，散布于全国各地，方便为行业内的信息系统进行测评工作，并收集整理行业内的实际测评情况，反馈回职能部门测评机构以持续改善测评工作.

2.2.4 以公安机关为核心的监督检查体系

在自查与监督检查工作都有明确的责任分工后，应该对整个体系进行完善，对全国范围内涉及的组织机构进行体系化，落实其上下层关系，从而使中国等级保护管理体系达到“层层有人管，层层有人监”的目标.

以公安机关为核心的监督检查体系结构如图5所示，图中的箭头表示监督检查的控制流向.该体系将测评机构纳入监管范围，有助于完善测评体系.在等级保护实施的同时，应该建立健全相关的法律法规，配合监督检查，以促使中国信息安全管理体系的完善.

图5 监督检查体系

3 结语

毫无疑问，等级保护是国家有关部门具有远见卓识的战略措施，它的实施对中国的信息安全建设具有非常重大的意义.从总体上看，中国等级保护工作尚处于初级阶段，基础薄弱，水平不高，存在许多亟待解决的问题.通过对中国等级保护工作各环节的现状分析解读，借鉴分层的风险管理模型对中国的信息安全等级保护体系进行了层次化的结构划分，并将这种划分方法应用到组织管理、测评体系建设和监督检查体系建设中.这能促进中国等级保护体系规范化、结构化提升，为等级保护工作进一步开展奠定基础.同时，对定级工作和整改方案的确定的指导还有待完善，自查与监督检查体系的构建还有进一步的探讨余地.针对系统互联安全、隐私控制、云计算、移动安全和安全运维等新领域的等级保护措施和评估体系的完善也是亟待解决的问题.

［1］公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(中级)［M］.北京：电子工业出版社，2011：33-60.

［2］NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations.April 2013：17-20.

［3］公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程［M］.北京：电子工业出版社，2011：25-30.

［4］国家质量技术监督局.GB/T 17859-1999，计算机信息系统安全保护等级划分准则［S］.北京：中国标准出版社，1999：4-7.

［5］中国国家标准化管理委员会.GB/T 22240-2008，信息系统安全等级保护定级指南［S］.北京：中国标准出版社，2008：10-12.

［6］中国国家标准化管理委员会.GB/T 22239-2008，信息系统安全等级保护基本要求［S］.北京：中国标准出版社，2008：37-50.

［7］中国国家标准化管理委员会.GB/T22239-2008，信息系统安全等级保护测评过程指南［S］.北京：中国标准出版社，2012：14-20.

［8］Zhou H S，Jiang J H.A multidimensional security index system and quantitative level protection model［J］.Journal of University of Science and Technology of China，2012，42(1)：67-76.