3.2 安全等级划分

3.2.1 国外安全等级划分

1.TCSEC安全等级划分

TCSEC标准是计算机系统安全评估的第一个正式标准，由美国国家计算机安全中心开发，因为其封面颜色，通常将其称为橘皮书，俗称Orange Book。TCSEC首次提出从信息安全角度来对计算机系统在使用时设置评估原则，这些评估原则涉及了各方面基本的安全功能，可以让系统使用者或系统审计评估方能够使用统一的参考标准对系统功能和可信度进行度量和评级。当然，由于TCSEC的开发起源于美国国防部致力于为其购买和使用的系统进行安全评估的需求，因此TCSEC更多地关注了数据如何防止被非授权访问的问题，即侧重于安全三要素中的保密性需求。

TCSEC将功能性和安全保证进行了融合，将提供的保密性保护能力等级划分为4大类，然后将这些类别进一步细分为数字标识的子类别，通过对目标各方面安全功能的评估，将其与TCSEC的级别进行匹配，如表3-1所示。TCSEC定义了下列主要类别。

1）D级：这是计算机安全的最低一级。整个计算机系统是不可信任的，硬件和操作系统很容易被侵袭。D级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍。D级为最小保护，用于匹配已被评估但达不到其他类别安全要求的目标。

2）C1级：C1级系统要求硬件有一定的安全机制（如硬件带锁装置和需要钥匙才能使用计算机等），用户在使用前必须登录到系统。C1级还要求具有完全访问控制的能力，应当允许系统管理员为一些程序或数据设立访问许可权限。

3）C2级：C2级引进了受控访问环境（用户权限级别）的增强特性，这一特性不仅以用户权限为基础，还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录。

4）B1级：支持多级安全，即指这一安全保护安装在不同级别的系统中（如网络、应用程序、工作站等），它对敏感信息提供更高级的保护。

5）B2级：这一级别称为结构化的保护（Structured Protection）。B2级安全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。例如，用户可以访问一台工作站，但可能不允许访问装有人员工资资料的磁盘子系统。

6）B3级：要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。

7）A级：橙皮书中的最高安全级别，这一级有时也称为验证设计（Verified Design）。A级附加一个安全系统受监视的设计要求，合格的安全个体必须分析并通过这一设计。

自主保护C级能够提供基本的访问控制，C2级相比C1级来说，除了具有C1级系统所有的安全性能力，还可以通过登录访问控制、资源隔离等方式来增强访问控制能力。当然，自主保护级别最为重要的是能够提供审计能力的保护，并为用户的行为提供审计能力。审计功能是一个系统不可或缺的安全功能，相比TCSEC定义的D级，C级对应的系统具有了审计功能，审计功能的安全要求同样体现在网络安全等级保护中，网络安全等级保护一级安全要求和二级安全要求的一大区别就是是否具有安全审计功能，无论是在网络层面、操作系统层面、数据库层面或应用软件层面等各类系统构成层面中。

强制保护B级相比C级和D级提供了更多的安全控制能力，所谓强制性，就是访问控制不是由被访问目标的所有权人自主定义其访问权限，而是由安全管理员使用特定的控制，只允许非常有限的主体/客体访问集合。例如，1973年David Bell和Len LaPadula提出的Bell-LaPadula安全模型，该模型基于强制访问控制系统，以敏感度来划分资源的安全级别，其将数据划分为多安全级别与敏感度。强制保护类似的安全需求同样也体现在网络安全等级保护基本要求中，二级安全要求和三级安全要求的一大区别就是是否对重要主体和客体设置安全标记，并控制主体对有安全标记的信息资源的访问。

已验证保护A级的安全级别最高，其与B3级相似，其最显著的特征就是系统的设计者必须按照一个正式的设计规范来分析系统；分析系统之后，设计者必须在开发和部署的所有步骤中都关注安全，保证系统的强安全性。

当然，由于TCSEC的标准开发时间过早，当时互联网并未普及，并且开发设计主要针对军用领域，TCSEC主要适用于未连接网络的单独的计算机系统，并且主要侧重于保密性的安全需求。因此，在TCSEC标准发布之后，又有一些相应标准被开发出来对TCSEC进行了补充，例如，可信网络连接方面的TNI标准，其中包含了通信的完整性需求、解决拒绝服务保护的需求等内容。

2.ITSEC安全等级划分

ITSEC是欧洲四国合作制定的IT安全评估准则，应用领域为军队、政府和商业。该标准将评估的目标系统称为评估目标，使用两个尺度来评估相应功能和安全保证，即将安全概念分为功能与评估两部分。

功能准则从F1～F10共分10级，其中F1～F7级对应于TCSEC的D级～A级，F6～F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及保密性和完整性的网络安全。ITSEC对应的7个安全等级如下。

1）E0级：该级别表示不充分的安全保证。

2）E1级：该级别必须有一个安全目标和一个对产品或系统的体系结构设计的非形式化的描述，还需要有功能测试，以表明是否达到安全目标。

3）E2级：除了E1级的要求外，还必须对详细的设计有非形式化描述。另外，功能测试的证据必须被评估，必须有配置控制系统和认可的分配过程。

4）E3级：除了E2级的要求外，不仅要评估与安全机制相对应的源代码和硬件设计图，还要评估测试这些机制的证据。

5）E4级：除了E3级的要求外，必须有支持安全目标的安全策略的基本形式模型。用半形式说明安全加强功能、体系结构和详细的设计。

6）E5级：除了E4级的要求外，在详细的设计和源代码或硬件设计图之间有紧密的对应关系。

7）E6级：除了E5级的要求外，必须正式说明安全加强功能和体系结构设计，使其与安全策略的基本形式模型一致。

TCSEC与ITSEC的对比如表3-2所示。

相比TCSEC，ITSEC标准在功能灵活性上有了提升，将完整性与可用性也作为评估准则中同等重要的环节，并且F8～F10级主要关注了数据通信过程的安全需求。相比TCSEC主要适用于未连接网络的计算机系统，ITSEC适用范围更广，更符合20世纪90年代互联网技术在全球发展的趋势。

3.CC安全等级划分

随着互联网及计算机技术的快速发展以及在各个领域的广泛应用，国际安全评估类标准也在随之演变，如图3-1所示。在20世纪末，TCSEC标准和ITSEC标准被国际通用准则，即CC标准所取代，并由国际标准化组织ISO转换为官方标准《信息技术安全技术IT安全评估准则》（ISO 15408），从而成为一个国际化通用的标准。

信息技术安全性评估通用准则的出现确保了IT产品和系统的安全评估有了一个统一的标准，而且评估结果被大部分人所认可。CC主要基于两个要素来进行评估：保护范畴和安全目标。保护范畴为既定的一系列产品和系统提出功能与保证要求的集合，表达了一类产品或系统的用户需求，一般由业界专家共同制定，所以其规定的内容具有普遍适用性。安全目标是指针对某个安全评估产品和系统，其需要满足的安全要求及达到安全要求所具有的安全功能和保护措施。CC准则分为三个部分：

1）简介和一般模型，描述了CC准则中所使用的基本概念以及对保护范畴和安全目标的评估要求。

2）安全功能要求，用标准化方式描述IT产品和系统可以提供的安全功能的特征。

3）安全保障要求，定义了为保证IT产品和系统的安全功能实现的正确性，开发者和评估者所需要的活动。

类似于TCSEC和ITSEC评估标准，CC准则也定义了评估保障级别，即EAL级别。CC准则预定义了7个保证级别，即EAL1～EAL7，级别越高，安全保证要求越多，对应的产品和系统的安全特性越可靠。EAL级别具体如表3-3所示。

实现特定的EAL等级，产品或系统需要满足特定的安全保证要求。大多数要求包括设计文档、设计分析、功能测试、穿透测试。等级越高，需要越详细的文档、分析和测试。一般实现更高的EAL认证，需要耗费更多的时间和金钱。通过特定级别的EAL认证，表示产品或系统满足该级别的所有安全保证要求。从EAL5级别开始，要求使用严格的安全工程和商业开发实践，在计划开发方法及后期开发过程中，都需要高级别的独立的安全保证。

虽然CC准则在发布之后被广泛应用，而且能满足大多数安全评估场景的需求和要求，但也存在缺陷：对于用户的操作行为无法保证其安全性；缺少安全管理方面涉及的内容；缺少对于加密算法强度进行评级的标准等。上述这些缺陷都在我国发布的网络安全保护制度相关要求和商用密码评测等相关要求中有所补偿。

当然，除了TCSEC、ITSEC和CC这类通用且全面的安全评估准则之外，还有其他更为具体或更为集中的安全准则，用于通信和交易等场景中。例如，使用银行卡支付时，可以采用支付卡行业数据安全标准，即使用PCI DSS来评估其系统的安全性，提高电子支付交易的安全性。

3.2.2 国内安全等级划分

1.安全保护等级划分准则

自从1994年《中华人民共和国计算机信息系统安全保护条例》颁布之后，国内对于计算机信息系统安全等级划分及安全评估工作就此展开，于1999年正式颁布了《计算机信息系统 安全保护等级划分准则》（GB 17859—1999），并于2001年1月1日起正式实施。GB 17859中提出了该标准的三个主要目的：

1）为计算机信息安全法规的制定和执法部门的监督检查提供证据。

2）为安全产品的研制提供技术支持。

3）为安全系统的建设和管理提供技术指导。

在GB 17859标准中提及标准的制定参考了美国的可信计算机系统评估准则和可信计算机网络系统说明，体现了GB 17859不只针对未连接网络的计算机系统，同样适用于连接局域网的计算机系统，并且还包括安全管理方面的相关要求。GB 17859标准中将计算机信息系统的安全保护能力划分为5个等级，每个安全保护功能级别中对应的安全功能要求如表3-4所示。

从表3-4中可以看到，GB 17859安全保护功能级别的要求体现出每级逐级增强，高级别安全功能要求包括低级别安全功能要求的内容。

1）用户自主保护级计算机信息系统应该具有对于用户登录实施登录鉴别、访问权限控制及防止数据被篡改及破坏的保护能力。

2）系统审计保护级计算机信息系统还要求系统具备审计功能，这一点类似于TCSEC标准的C2级系统的安全要求，同样要防止客体重用问题出现，即客体在被释放（或删除）时，仅仅释放该客体在文件系统中的索引，而所占用的磁盘块中的内容并未清空，客体重用同样体现在后面网络安全等级保护基本要求的剩余信息保护要求中。

3）安全标记保护级计算机信息系统相比系统审计保护级计算机信息系统，其加强的方面类似于TCSEC标准中B级相比于C级加强的方面，要求在系统中主体对重要客体访问时，使用安全标记或强制访问控制方式来进行控制。

4）结构化保护级计算机信息系统提出了隐蔽信道分析的要求，隐蔽通道是一种允许违背合法的安全策略进行通信的通道，隐蔽信道分析是评估网络访问控制系统的一种重要手段，通过对网络访问控制系统的策略配置，允许合法的数据进行传输，阻断非法和未授权的数据。一般来说，隐蔽通道是通过将信息夹杂在正常通信的数据中，从而绕过网络访问控制系统的审查，达到隐蔽通信的目的。

5）访问验证保护级计算机信息系统则要求系统具有自我恢复机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

GB 17859作为我国信息安全领域的唯一的强制性标准，是我国等级保护工作开展中必须遵循的国家标准的上位标准，是我国网络安全等级保护的源头，而后期网络安全等级保护工作中所涉及的基本要求等相关技术类、管理类和产品类标准，都是建立在GB 17859之上的。

2.网络安全等级保护定级指南

2020年4月28日，我国发布了《信息安全技术 网络安全等级保护定级指南》（GB/T 22240—2020），正式代替2008年发布的《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240—2008），意味着我国等级保护工作进入了新的时代。GB/T 22240—2020完善了《中华人民共和国网络安全法》中规定的网络安全等级保护工作的重要环节——定级工作，并且解决了云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等定级工作存在的困难。例如，给出云计算技术场景下确定定级对象的方法，明确说明云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级，并根据不同服务模式将云计算平台/系统划分为不同的定级对象。

GB 17859标准正式实施之后，对于系统按照安全等级进行保护的需求及相应产品安全设计要求越来越急切，公安部会同保密局、密码局及国务院信息化工作办公室一起发布了《信息安全等级保护管理办法》，其中提出要制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，并对等级保护工作进行监督、管理。在本管理办法中首次提出信息系统的安全保护等级分为五级。

1）第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成 损害 ，但 不损害 国家安全、社会秩序和公共利益。

2）第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生 严重损坏 ，或者对社会秩序和公共利益造成 损害 ，但 不损害 国家安全。

3）第三级，信息系统受到破坏后，会对社会秩序和公共利益造成 严重危害 ，或者对国家安全造成 危害 。

4）第四级，信息系统受到破坏后，会对社会秩序和公共利益造成 特别严重损坏 ，或者对国家安全造成 严重损害 。

5）第五级，信息系统受到破坏后，会对国家安全造成 特别严重损害 。

2020年正式发布的定级指南基本延续了《信息安全等级保护管理办法》中安全等级划分的方法，仅仅将定级对象从信息系统改成了等级保护对象，其余大体上没有变化，从上述安全等级划分的办法中，可以看到网络安全保护等级越高的系统遭受破坏之后，影响范围越广、影响力越强、损失越高。所以，网络安全保护等级划分是客观的，不受主观因素所影响，例如，一个部署了各种各样的安全防护设备、管理措施也很健全的等级保护对象可能其网络安全保护等级只是二级，但是采用的防护技术和管理措施能够表明上述保护对象的建设符合了网络安全等级保护的要求，系统安全性较高。

因此，等级保护对象的安全保护级别和保护对象的重要性是相关的，其内在联系如表3-5所示。