下载掌阅APP,畅读海量书库
立即打开
我国信息安全标准分为国家标准、行业标准、地方标准和企业标准。这些标准都为具体的安全目标服务,并从不同的角度指导组织如何保障信息安全。信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机的整体,是信息安全标准编制、修订计划的重要依据,是促进信息安全领域的标准组成趋向科学合理化的手段。
国家标准是指由国家标准主管机构通过并公开发布的标准,《中华人民共和国标准化法》规定,需要在全国范围内统一的技术要求,应当制定国家标准。我国的国家标准分为3种类型:强制性国家标准(GB)、推荐性国家标准(GB/T)和国家标准化指导性技术文件(GB/Z)。
行业标准是由国务院有关行政主管部门制定,并报国务院标准化行政主管部门备案的标准。对没有国家标准而又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。在公布国家标准之后,该行业标准即废止。
地方标准是由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案的标准。对没有国家标准和行业规定而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求,可以制定地方标准。在公布国家标准或行业标准后,该地方标准即废止。
近年来,我国先后制定并发布了一批符合中国国情的信息安全标准,提出了基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准六大类信息安全技术标准体系框架,如图2-1所示。按照标准所涉及的主要内容可将其细分,为现阶段信息安全标准编制、修订提供依据,为信息安全保障体系建设提供了有效的支撑。
图2-1 中国信息安全标准体系框架
为推动和规范我国信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会,以及其他单位组织制定了信息安全等级保护工作需要的一系列标准,形成了信息安全等级保护标准体系,为开展等级保护工作提供了标准保证。信息安全等级保护广义上是指涉及该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般是指信息系统安全等级保护。信息系统安全等级保护分为5级,第一级保护水平最低,最高等级保护为第五级。
第一级(自主保护级):信息系统遭到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级):信息系统遭到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级):信息系统遭到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级):信息系统遭到破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
第五级(专控保护级):信息系统遭到破坏后,会对国家安全造成特别严重的损害。
信息安全等级保护标准体系是我国国家信息安全标准体系的一部分,信息安全等级保护标准体系中的标准都是国家标准。目前,信息安全等级保护标准体系有10项主要标准,这些标准涵盖开展等级保护工作的管理、技术等各方面所需的标准,构成了信息安全等级保护标准体系。
1)基础/预备阶段
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058—2019)提供了等级保护建设工作的方法指导,阐述了在系统建设、运维和废止等各生命周期中如何按照信息安全等级保护征信、标准要求实施等级保护工作。
2)定级阶段
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240—2020)规定了定级的依据、对象、流程和方法,以及等级变更等内容,同各行业发布的定级实施细则共同用于指导开展信息系统定级工作。
3)安全建设/整改阶段
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)给出了各级信息系统应当具备的安全防护能力,并从技术和管理两个方面提出了相应的措施。
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019)提出了信息系统等级保护安全设计的技术要求,包括安全计算环境、安全区域边界、安全通信网络、安全管理中心等各方面的要求。
4)等级测评阶段
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019):该项标准是等级保护标准体系的核心,对2008版的标准中提出的基本要求进行了修改和完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。安全通用要求针对共性化保护需求提出,无论等级保护对象以何种形式出现,均需要根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对特性化保护需求提出,需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求,从而更加有效地保护等级保护对象。
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070—2019):该标准主要对共性安全保护目标提出通用安全设计技术要求,并针对云计算、大数据、移动互联、物联网和工业控制等新技术和新应用领域的安全保护目标提出针对性的安全设计技术要求。该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019):该标准与等级保护的基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准同样对云计算、大数据、移动互联、物联网和工业控制等新技术和新应用领域提出了安全扩展要求。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南,也可供信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。
中央保密委员会于2004年12月下发了《关于加强信息安全保障工作中保密管理若干意见》,明确提出要建立健全涉密信息系统分级保护制度,对涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。2005年12月,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,涉密系统实施分级保护。
涉密系统安全分级保护根据涉密信息系统处理信息的最高机密,可以划分为秘密级、机密级和机密级(增强)、绝密级3个等级。
秘密级:信息系统中包含最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护第三级的要求,并且还必须符合分级保护的保密技术要求。
机密级和机密级(增强):信息系统中包含最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护第四级的要求,还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应符合机密级(增强)的要求。
(1)信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门。
(2)信息系统中的机密级信息含量较高或数量较多。
(3)信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护第五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相连。
为规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,让信息安全在各方面都有据可依,信息安全标准的制定十分重要。国际信息安全标准化组织规划了国际信息安全标准体系,其框架如图2-2所示,将信息安全标准分为信息安全管理体系标准、密码技术与安全机制标准、安全测评准则标准、安全控制与服务标准、身份管理与隐私保护技术标准五大类,每大类又分了若干子类。
图2-2 国际信息安全标准体系框架
(1)ISO/IEC 27000标准族。ISO/IEC 27000标准族是国际信息安全标准体系框架中的第一类标准,是信息安全管理体系(ISMS)标准族,也是目前最权威的一套信息安全管理标准集。此标准日渐完善,已经发布和正在发布的标准涉及信息安全管理相关的各方各面,如信息安全管理体系要求、实用规则、实施指南、有效性测试、风险管理、审核指南、信息安全治理、云计算安全等。
(2)SP-800系列文件。SP-800系列文件是美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)以风险管理为思路规划的一系列关于计算机安全的指南文档。在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已成为国际安全界广泛认可的事实标准和权威指南。SP-800系列文件已经形成了从计划、风险管理、安全意识培训和教育,以及安全控制措施的一套信息安全管理体系。
(3)COBIT。信息和相关技术控制目标(Control Objectives for Information and Related Technology,又称 COBIT)是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)于1996年发布的。其目的是研究、开发、宣扬、促进一个权威的、最新的、国际公认的被企业采用并被经营者、IT专家和保障专家每天使用的IT治理控制框架。COBIT将IT过程、IT资源、企业策略与IT准则联系起来,形成了一个三维的体系结构。IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性和有效性;IT资源维主要包括人、应用系统、技术、设施及数据信息相关的资源,这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划和处理,从IT规划与组织、获取与实施、交付与支持、监视与评估4个领域确定了34个IT处理过程,每个处理过程还包括更加详细的控制目标和审计方针,对IT处理过程进行评估。
