详细分析了业务信息安全和系统服务安全在信息系统定级中的作用,同时,说明了如何应用二者在特定信息系统中实施分等级保护,并对业务信息和系统服务的安全属性进行了解释说明。
信息安全等级保护中的两大基本问题研究
陈雪秀,任卫红,谢朝海
(公安部信息安全等级保护评估中心,北京 100142)
【摘 要】文章从信息系统的社会价值出发,指出业务信息和系统服务是信息系统的两大关键社会功能要素,二者的安全既是信息系统安全等级保护的保护对象,也是保护目标。详细分析了业务信息安全和系统服务安全在信息系统定级中的作用,同时,说明了如何应用二者在特定信息系统中实施分等级保护,并对业务信息和系统服务的安全属性进行了解释说明。
【关键词】信息安全等级保护;业务信息安全;系统服务安全;定级;安全属性
Two Basic Problems to Information Classified Security Protection
CHEN Xue-xiu, REN Wei-hong, XIE Chao-hai
(MPS Information Classified Security Protection Evaluation Center, Beijing 100142, China)
【Abstract】This paper, based on the social value of information system, points out that business information & systemservice were two elements of social function and that the security of business information & system service is not only theprotection objects of the information system classified protection, but also the protection objectives. Then, the functionsof the business information security and system service security in the information system classification are analyzed indetail. Meanwhile, how to implement the classification protection by using the business information security & systemservice security in specified information system is discussed. Finally, the security attributes of business information andsystem service are described.
【Keywords】 information classified security protection; business information security; system service security; classification; security attribute
0 引言
在我国国民经济和社会信息化全面加快的过程中,网络与信息系统的基础性、全局性作用日益增强,信息网络
已成为国家和社会发展新的重要战略资源,相应地,信息系统的安全问题也越来越突出。我国政府非常重视信息安全问题,明确要求信息安全保障工作要“实行信息安全等
级保护”[1]。信息安全等级保护制度已经成为我国信息安全保护工作的基本国策,实行信息安全等级保护具有重大的现实和战略意义。
对信息系统分等级进行安全保护,存在两个关键性的基础问题—如何定级和如何保护。国内外已对此进行了一定的研究和实践工作。2003年,美国NIST FIPS199提出了依据信息系统所处理信息的机密性、完整性和可用性被破坏的影响来分类分级保护的思路[2],IATF根据信息价值与威胁确定系统强健度等级[3]。在国内,GB17859-1999提出了适用于计算机信息系统安全保护技术能力等级的划分准则。该标准指出,计算机信息系统安全保护能力随着安全保护技术等级的增高,逐渐增强[4]。为满足我国实行信息安全等级保护的工作需求,在借鉴这些标准、框架分等级保护的思路和方法基础上,还应进一步突出等级保护以业务应用为主,兼顾信息安全属性和信息系统连续、高效提供服务两方面的思想。
在四部委签发的《信息安全等级保护管理办法》中明确,应依据该办法和相关标准确定信息系统的安全保护等级[5],在系统定级相关标准中提出依据业务信息和系统服务来确定信息系统安全保护等级的方法[6],并进一步在相关保护要求标准中提出了定级后的信息系统如何实施安全保护的基本要求[7]。
在这些标准中,明确由业务信息安全和系统服务安全作为信息系统的定级要素,以及如何通过业务信息安全和系统服务安全来实施信息系统分等级保护等问题倍受关注。
1 基本概念
1.1 业务信息和系统服务
在讨论信息系统及其有关社会功能要素的概念之前,我们有必要回顾一下“信息”的概念和功能。虽然“信息”一词古已有之,但至今尚无统一的、完善的定义[8]。具体来说, 信息作为一种重要的社会资源,具有两大功能:信息的基本功能和社会功能。前者在于其维持和强化世界的有序性,后者则表现为其维系社会的生存,促进人类文明的进步和人自身的发展。因此,在我国实行信息安全等级保护就是要保障信息系统中的信息基本功能和社会功能的正确实现。
同“信息”定义具有多样性类似,信息系统是与“信息”有关的“系统”,其定义也远未达成共识。广义理解的信息系统包括的范围很广,各种处理信息的系统都可算作信息系统,包括人体本身和各种人造系统;狭义理解的信息系统仅指基于计算机的系统,是人、规程、数据库、硬件和软件等各种设备、工具的有机集合,它突出的是计算机和网络通信等技术的应用[8]。
我国信息安全等级保护制度中的信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。这一定义范畴是狭义理解的信息系统的范畴[9]。
根据该定义,我们可以把因信息系统的“应用目标”所产生的,为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息称之为“业务信息”。在信息系统中业务信息的数据形态主要包括用户数据和系统内的各类鉴别数据。信息系统所提供的处理功能,主要是指按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的服务,可称之为“系统服务”。信息系统的系统服务主要包括各种网络服务和应用服务。1.2 信息系统的社会价值体现
信息系统的价值包括经济价值和社会价值两方面。根据信息系统的5个安全保护等级的定义,5个等级是由信息系统受到破坏后所造成的影响确定的[5],
而影响的原因是信息系统的社会价值,社会价值取决于信息系统所处理业务信息和系统服务所提供的社会功能。信息系统社会价值的体现如图1所示。
图1 信息系统社会价值体现
信息系统的社会价值是由信息系统所提供的功能,即业务应用能力对国家安全、社会秩序和公共利益的重要程度体现的,而业务应用能力由信息系统所提供的业务信息和系统服务来体现。业务信息在信息系统中是一个相对静态的,而信息系统所提供的系统服务是相对动态的。因而,相应地,信息系统社会价值也需要进行静态和动态两个过程体现。静态过程主要考虑信息系统自身承载业务信息的重要性,动态过程主要考虑信息系统连续、稳定、有效地提供系统服务的重要性。可见,业务信息和系统服务着重体现了信息系统的社会功能价值,是信息系统的两大关键社会功能要素。
2 业务信息和系统服务在等级保护中的作用
2.1 在系统定级中的作用
业务信息是信息系统的重要信息,可以体现信息系统中主要信息的基本功能和社会功能。系统服务是信息系统为支撑其所承载业务而提供的程序或过程功能,是信息系统的另一种社会价值的体现。对于特定信息系统而言,业务信息和系统服务既可以单独也可以共同提供信息系统的社会功能,如脱机备份的业务系统可以仅通过业务信息提供其社会功能,基础网络平台可以仅通过网络服务提供其社会功能;而对于大多数信息系统而言,需要业务信息和系统服务共同提供其社会功能,但是针对同一信息系统,二者对其社会价值的体现程度可能有所不同。
基于这些考虑,可以由业务信息安全等级和系统服务安全等级决定信息系统的安全保护等级,具体由二者的安全保护等级的较高者决定,设某信息系统的业务信息安全等级为Cs,系统服务安全等级为Ca,则信息系统的安全保护等级C=Max(Cs,Ca)[6],具体说明如表1所示。
表1 信息系统安全保护等级
2.2 在等级保护实施中的作用
业务信息和系统服务是信息系统的两大关键功能要素,二者的等级可以决定信息系统的安全保护等级。那么,保证信息系统安全也应从保证业务信息安全和系统服务安全出发。业务信息与系统服务安全能够体现出信息系统的安全,是信息系统安全的外在表现,是可以触摸、感觉到的客观实体要素。业务信息安全与系统服务安全既是各种威胁可以直接作用的目标对象,也是安全保护能力所作用、所保护的工作对象[7],具体如图2所示。
图2 安全保护原理框架
根据2.1节描述,即使安全保护等级相同的信息系统,业务信息安全等级和系统服务安全等级未必相同。因此,针对相同等级的信息系统在等级保护实施过程采取的安全保护措施可能有所不同。基于该思想,将安全保护要求按其保护侧重点不同分为业务信息安全类、系统服务保证类和通用安全保护类[7],具体如表2所示。
对采取的安全措施进行类别标注,遵循了等级保护重点保护和适度保护的原则,如安全保护等级同为3级的信息系统,有业务信息安全等级为3(系统服务安全等级为3、2、1)的3种等级组合和系统服务安全保护等级为3(业务信息安全等级为2或1)的2种组合,共5种组合,针对这5种组合的信息系统所采取的安全保护措施有所不同[7]。
3 业务信息和系统服务的安全属性
采取安全保护措施实现安全目标,从而达到与其安全保护等级相适应的安全保护能力。然而,信息安全属性是信息安全目标的抽象体现,一般包括保密性、完整性、可用性、真实性、不可否认性、可追究性,其中真实性、不可否认性、可追究性可看作是对完整性的扩展和细化,本文将其重新归为完整性范畴。
3.1 业务信息安全(见表3)
表3 业务信息安全
业务信息从静态过程体现信息系统的社会功能,其安全属性也就更着重强调静态的安全属性,即确保信息系统内业务信息的保密性和完整性,以及那些处于相对“静态”业务信息的可用性的实现,从而保证业务信息的安全。
3.2 系统服务安全
系统服务安全相对于业务信息安全而言,由对信息系统的静态保护过程转变为动态保护过程,其安全属性也就更着重强调动态的安全属性,即通过保证信息系统能够及时、有效地提供“动态”服务来实现。系统服务安全具体可以通过保证信息系统完整性、可用性和可靠性来实现,具体如表4所示。
表4 系统服务安全
4 结语
本文通过从对信息系统的定义和社会价值分析出发,明确业务信息和系统服务是信息系统的两大社会功能要素,是信息系统社会价值的体现。然后,通过对5个安全保护等级的定义进行分析,说明了将业务信息安全和系统服务安全作为信息系统定级要素并由二者决定信息系统安全保护等级的初衷和理由。
同时,在上述分析基础上说明业务信息安全和系统服务安全既是保护对象也是保护目标,并且分别阐述了从哪些安全属性考虑可以保证二者的实现,以及各安全属性之间的关系,体现了这两个关键要素在等级保护中的作用。
本文是对如何定级和如何保护两大问题的深入思考,可以为我国信息安全等级保护相关标准的研究提供一定的理论基础。但是,在等级保护制度下,如何实现业务信息安全和系统服务安全应该采取的安全机制本文并没有明确说明,也将是我们下一步进行深入研究的内容。
参考文献
[1] 国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号). 2003,08[R].
[2] 联邦信息和信息系统的安全分类标准. FIPS199
[3] Information Assurance Technical Framework.
release3.1. National Security Agency Information As-surance Solutions Technical Directors. September 2002[R].
[4] 国家质量技术监督局. 计算机信息系统安全保护等级划分准则(GB 17859-1999)[M]. 北京:中国标准出版社,1999,09.
[5] 公安部等四部委办. 信息安全等级保护管理办法(公通字[2007]43号).
[6] 全国信息安全标准化技术委员会. 信息系统安全等级保护定级指南.
[7] 全国信息安全标准化技术委员会. 信息系统安全等级保护基本要求(国家标准报批稿)
[8] 钟义信. 信息科学原理[M]. 北京:邮电大学出版社,2002,10.
[9] 中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令147号发布)。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
