信息系统安全等级保护定级指南

1信息系统安全等级保护定级指南
为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。

1.1定级指南标准制修订过程
1.1.1制定背景
本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。

本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。

本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。

1.1.2国外相关资料分析
本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如：
●FIPS 199 Standards for Security Categorization of
Federal Information and Information Systems（美
国国家标准和技术研究所）
●DoD INSTRUCTION 8510.1-M DoD Information
Technology Security Certification and
Accreditation Process Application Manual（美国国
防部）
●DoD INSTRUCTION 8500.2 Information Assurance
(IA) Implementation（美国国防部）
●Information Assurance Technology Framework3.1
（美国国家安全局）
这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。

但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。

FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。

根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的潜在影响将信息分类，影响程度可为高、中或低。

例如某政府采购系统中，包含合同信息和管理信息，各自的信息分类为：
SC合同信息={(保密性，中)，（完整性，中），（可用性，低）
SC管理信息={(保密性，低)，（完整性，低），（可用性，低）
该政府采购系统分类的各项，将是系统中所有信息分类的三性取值中的最高值：
SC政府采购系统={(保密性，中)，（完整性，中），（可用性，低）尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类，没有明确说明信息系统的安全等级，但从与该标准配套的安全控制措施（SP800-53等）内容来看，最终信息系统的等级是由分类中的较高者决定。

8510.1-M为美国国防部发布的DITSCAP计划提供实施手册，DITSCAP计划的主要目的是保护国防信息基础设施，适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构。

在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上，DITSCAP的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。

这四个认证级别是：1级—基本的安全评审，2级—最小分析，3级—详细分析，4级—复杂分析。

8510.1-M提出用于描述系统的7个特征量，互联模式、处理模式、归因性（责任追溯）业务依赖性、信息三性等，根据对这7个特征量赋权值，得出某个信息系统的总的权值，再根据权值所处的区间，确定信息系统的认证级别。

8500.2 没有直接针对信息系统分级，但给出了两种分等级的信息保障需求，一种是按信息保密性分级，DoD定义了三个
保密性等级：保密、敏感和公开，另一种是按业务保障分类（Mission Assurance Category）：MACⅠ、MACII和MACIII，由此可以排列出9种组合。

保密性分级反映了系统内所处理的信息的重要程度，业务保障类反映了与DoD实现业务目标相关的重要性，业务保障类主要用于满足完整性和可用性方面的需求，其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施。

《信息保障技术框架》（IATF）由美国国家安全局主持编制，其所面向的对象既包括Internet这样的全球信息基础设施，也包括国家信息基础设施，以及作为机构专有资源以实现其业务的本地信息基础设施。

IATF为安全机制的强度和实现保证提出了三个强健度等级(SML)，并对资产按其信息价值分为5个等级，威胁环境按其强弱分为7个等级，以矩阵表的方式给出了35种情况下可以选择的强健度等级。

信息系统的所有者可以根据其信息价值与可能面临的威胁环境，选择系统安全保护的强健度等级和信息技术产品的评估保证级别（EAL）。

1.1.3定级指南编制原则
通过分析可以发现上述定级方法分别在不同方面不能满足我国等级保护的需要，具体分析如下：
FIPS199可能是与我们的需求最为接近的一种信息系统定级方法，它以信息安全保密性、完整性和可用性需求中
的最高者作为信息系统的安全等级，用于美国联邦政府信
息系统的保护可能合适，但我国的等级保护面向国内所有
行业，包括那些生产系统和自动化处理系统，这些系统对
信息保密性要求不高，而对业务安全保障要求非常高，三
性取高的定级方法，没有反映出这些系统的安全需求特
点，可能造成对多数系统要求过高而无法实现。

●8510.1-M确定的是用于管理的认证级，各等级之间没有
安全保护强度的差别，而等级保护的定级应当反映保护强
度和保护能力的逐级提高。

●8500.2 没有明确提出定级方法，当两种信息保障类别排
列出不同组合时，没有给出信息系统等级如何确定，但它
提出两类信息保障的不同需求组合，反映信息系统不同安
全需求的做法值得借鉴。

●IATF提出的是信息系统的强健性等级，不是信息系统安
全等级，没有反映信息系统的安全需求。

但它提出了根据
信息价值和信息系统面临的威胁环境强度决定信息系统
的保护强度的概念，值得借鉴。

究其原因，上述国外标准和文献资料一般针对特定系统，在特定系统中适用，但不能满足我国在全国范围内、在所有行业内开展等级保护工作的要求。

因此必须在对国外资料进行研究和吸收的基础上，探索适合我国国情、简便易行的定级方法。

因此，等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异。

从这一点出发考虑，信息系统安全保
护等级定级的出发点应当是信息系统所承载的业务，或称业务应用的重要性。

此外，我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

”（摘自《实施意见》）。

由此可以看出，《定级指南》既要有较大的通用性，也应具备一定的灵活性。

因此在编制过程中坚持以下原则：
●满足管理要求原则：《定级指南》所确定的信息系统安全
保护等级不是信息系统安全保障程度等级，因此也不是信
息系统的技术能力等级，而是从国家管理的需要出发，从
信息系统对国家安全、经济建设、公共利益等方面的重要
性，以及信息或信息系统被破坏后造成危害的严重性角度
对信息系统确定的等级；
●全局性原则：信息系统安全等级保护是针对全国范围内、
涵盖各个行业信息系统的管理制度，信息系统安全保护等
级的定级也必须从国家层面考虑，体现全局性；
●业务为核心原则：信息系统是为业务应用服务的，信息系
统的安全保护等级应当反映信息系统承载业务的重要性，
应以业务为出发点和核心，将信息重要性纳入业务重要性
统筹考虑；
合理性原则：充分反映出信息系统的主要安全特征，优化结构、降低投资、突出重点，有效保护。

1.1.4主要编制过程
《信息系统安全保护等级划分准则》初稿于2005年5月完成，其中提出了定级的四个要素：信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度，通过信息系统所属类型和业务数据类型可以确定业务数据安全性等级，通过信息系统服务范围和业务自动化处理程度及调节因子，可以确定业务服务连续性等级。

经向业内专家，安全服务企业专家以及部分用户进行了较为广泛的征求意见，根据各方意见，编制小组对文档名称（建议改为定级指南）、形式和内容均进行了多处修改，形成《信息系统安全保护等级分准则定级指南》（以下简称《定级指南》）征求意见稿第1稿。

2005年10月国信办安全组召开定级评审专家组对《定级指南》征求意见稿第1稿进行了专家评审，根据评审意见，编制小组对文稿进行了修改。

主要修改为：在信息系统划分中将从业务流程角度划分与从业务类型角度划分两方面合并，补充说明设置调节因子的理由，将第五级的定级方法处理成在四级的基础上根据有关部门的需要另行制定。

由此形成定级指南征求意见稿第2稿。

2005年11月编制组分两次向定级评审专家组专家征求对定级指南征求意见稿第2稿的意见，根据专家意见，修改子系统划分方面内容，将信息系统/子系统统称为信息系统，明确定级对象是信息系统，信息系统内可以包含业务子系统，突出根据业务重要性划分信息系统。

进一步强调三性作为信息系统重要安全属性在确定定级要素赋值方面的作用，突出信息和服务两个定级指标，将调节因子的赋值方法从定值改为区间赋值，由此形成定级指南征求意见稿第3稿，即等级保护试点工作中采用的试用版本。

通过2006年1月-10月在全国开展的信息系统基础调查工作和等级保护试点工作，各试点单位将《定级指南》使用过程中发现的问题以书面形式提交公安部。

编写组根据试点单位提出的意见，取消调节因子，将四个定级要素改为业务信息类型、业务信息受到破坏影响的客体，系统服务类型和系统服务受到破坏影响的客体,由前两个要素确定业务信息安全性等级，后两个要素确定系统服务安全性等级。

为帮助使用者确定定级对象，增加了定级对象三个特征的描述，形成定级指南征求意见稿第4稿。

2007年4月对定级指南征求意见稿第4稿评审专家提出四个要素应分出主次，应当明确体现影响程度等意见。

经修改，为区别信息系统本身与信息系统安全受到破坏所影响的客体，在本次修改中提出了等级保护对象、受侵害的客体、客体侵害的客观方面等援引自法律文件中的术语，以更加准确地表达等级差别的
内在含义，并将受侵害的客体作为主导要素，侵害的程度作为相关要素，相应地修改了定级步骤。

由此形成定级指南征求意见稿第5稿。

2007年5月全国信息安全标准化技术委员会第五工作组组织工作组成员对定级指南征求意见稿第5稿进行了评审，专家主要对法律上“客体”概念与技术标准中的“客体”概念不一致，容易造成混淆，建议更改，但由于没有更合适的概念替代，暂时没有修改，这个概念一直保留到报批稿。

1.2定级原理和定级要素
1.2.1定级原理
等级保护是我国实施信息安全管理的基本制度，信息系统安全保护等级是为行政管理服务的等级，不是纯粹的技术等级。

因此《定级指南》确定的等级必须与相关管理文件的规定保持一致。

根据《信息安全等级保护管理办法》，信息系统的5个安全保护等级为：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

从上述描述可以看出，信息系统的安全保护等级的高低并不决定于信息系统的规模、价值、服务对象等本身因素，而是决定于信息系统被破坏后产生的损害，包括受到侵害的各方利益和损害程度。

如果我们将使信息系统受到破坏的原因称为威胁源，在威胁源、信息系统和受侵害的各方利益之间存在下图所示的关系：
威胁源是安全问题产生的原因，它直接破坏的是信息系统的安全性，但信息系统的安全保护等级并不是根据信息系统本身被破坏的程度而确定的，而是根据对各方利益的侵害程度确定，这是信息系统安全保护等级确定的核心所在。

为了给国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益一个简短的表述方式，借鉴中国刑法理论中描述方式。

刑法学中犯罪主体、犯罪对象和犯罪客体三者关系与上面描述的威胁源，信息系统和受侵害的各方利益之间关系非常接近，如下图所示：
图X-1 刑法中的主客体关系
其中的犯罪对象是犯罪主体，例如小偷，偷窃行为作用的直接客体，例如被小偷偷窃的钱物，但定罪量刑的依据不是对犯罪对象的损害（在偷窃过程中，犯罪对象没有损害），而是对犯罪客体的侵害，是犯罪主体侵害的实际客体。

根据刑法学，犯罪客体是指我国刑法所保护的，而为犯罪行为所侵害的社会主义社会关系，刑法所保护的社会关系包括社会主义的国体、政体和国家安全，社会公共安全，社会主义市场经济秩序，公民人身权利和民主权利，社会主义制度下各种财产权利，社会秩序，国防利益和军事利益，国家机关行政和司法秩序及公务活动等。

这样的社会关系与等级保护关注的国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益是相同的。

因此在《定级指南》标准中引用了刑法学中的“客体”概念代指信息系统受到破坏后所侵害的不同社会关系。

“客体”概念定义：受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

将威胁源直接作用的信息系统定义为等级保护对象。

由于对
直接客体 主体
实质侵害
实际客体
客体的侵害是通过对信息系统的破坏实现的，因此保护信息系统才能最终保护客体——社会主义社会关系。

与GB17859中定义的客体相比，《定级指南》对客体定义据有不同的关注点，信息安全等级保护定级的关注点是对社会关系的侵害，信息系统安全保护的关注点是对信息和服务的保护，两者内在相关，概念表述不同，反映了行政管理与技术关注点的不同。

根据《管理办法》对5个等级信息系统的定义，《定义指南》使用客体概念，提出信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度，表示如下：
1.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括三个方面：
a)国家安全；
b)社会秩序和公共利益；
c)公民、法人和其他组织的合法权益。

这三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。

国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。

社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。

公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。

《定级指南》中的社会秩序和公共利益体现了在一定范围的或对不特定群体的利益。

合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，《定级指南》中特指公民、法人和其他组织的合法权益则是指拥有信息系统的个体或确定组织所享有的社会权力和利益。

1.2.3对客体造成侵害的程度
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：
a)造成一般损害；
b)造成严重损害；
c)造成特别严重损害。

造成一般损害是指对客体造成一定损害和影响，经采取恢复或弥补措施，可消除部分影响。

造成严重损害是指对客体造成严重损害，经采取恢复或弥补措施，仍产生较大影响。

造成特别严重损害是指对客体造成特别严重损害，后果特别严重，影响重大且无法弥补。

对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象——信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。

在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。

综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。

1.2.4影响安全保护等级的信息系统元素分析
为分析侵害的客观方面，编制组对含有安全等级的相关国外的文献资料进行了研究，目的是从信息系统本身找出影响安全保护等级的核心元素。

不同定级方法决定出的等级包括信息系统安全等级、认证等级、两种等级的交叉分类以及系统强健度等级等。

在不同的方法中，都会涉及到这样三个方面：根据信息系统的哪些元素定级，这些元素的哪些属性决定了系统的安全，这些属性的哪些不同性质决定了重要性的等级差别，以下逐一分析。

1.FIPS199
FIPS199根据信息在保密性、完整性和可用性三个属性被破坏后的安全影响决定信息的安全分类和信息系统的等级。

在这里决定系统安全等级的唯一元素是信息，保密性、完整性和可用性是信息的三个安全属性，信息三性丧失后对机构运行、机构财产和个人的安全影响是决定重要性的因素，根据安全影响大小分成低、中、高三个等级，描述方式为：
表4-1 FIPS199定义的安全影响等级
2.8510.1-M
8510.1-M定级的系统元素比较复杂，从7个方面综合确定信息系统的认证等级，包括系统外部因素，系统的业务，系统中的实体资产，信息等，这些元素的安全属性和重要性没有明确分开，表现为系统互连模式、系统处理、传输、储存数据的方法、业务使命对系统的依赖度、信息敏感性分类、系统完整性要求、系统实时性要求、系统实体的可审查性需求等。

3.8500.2
8500.2主要关注的系统元素是信息和业务（或称使命），对于信息关注其保密性，对于业务则关注其完整性和可用性两个安全属性。

信息保密性分为三个等级：秘密、敏感和公开；业务保障分类为三个等级：高完整性和高可用性（MACⅠ）高完整性和中可用性（MACⅡ）和基本的完整性和可用性（MACⅢ），两个等级相互独立，可以构成9种组合，8500.2没有提出信息系统整体等级的概念。

4.IATF
IATF从信息价值和预期对抗的威胁两个元素决定系统的强健度等级，其中信息价值关注的不是三性受到破坏而是对信息保护策略的违背，信息价值的高低取决于造成负面影响的程度，共分五级，分别为：可以忽略、不良影响或较小破坏、一定破坏、严重破坏和十分严重破坏；威胁等级由攻击者能力和攻击者愿冒风险的大小两个方面组合形成，分为7个等级。

在上述定级方法中所体现的主要定级元素有：信息、系统、业务和威胁，在这里可以首先排除威胁。

因为威胁本身是一个不定因素，任何系统都有可能面临所有种类和所有等级的威胁，对信息系统的保护也没有必要做到能够对抗所有威胁。

因此可以考虑为每个等级的系统确定一个较为合理的威胁等级（可由威胁主体能力、动机决定）。

根据该威胁等级确定该等级系统的技术或管理控制目标，且允许不同的系统根据其所面临威胁的差异性，
对保护措施进行适当调整。

实际情况应当是，当某个等级的系统选择了相应等级的保护措施，一般可以对抗相应级别的威胁，但并不能对抗所有的威胁，因此不能说用该等级保护措施保护系统其安全性就高枕无忧。

对于系统所有者来讲，安全目标一定是有限的，是考虑了成本与效益的平衡，考虑了更高威胁所造成损失的可接受。

因此，威胁可以不作为确定信息系统安全等级所考虑的系统元素，而放在确定保护各级别系统的控制目标和控制措施时考虑。

此外，系统是指通过软件、硬件等组成的有机整体所提供的功能和服务，业务是由信息系统所承载的，对内部或外部用户提供的信息化服务，它们的核心内容都是功能和服务，因此将影响安全等级的一个系统元素确定为服务，信息系统提供的服务，另一个元素为信息。

根据上述分析，信息系统重要程度可以从信息系统所处理的信息和信息系统所提供的服务两方面来体现，对信息系统的破坏也应从对业务信息安全的破坏和对系统服务安全的破坏两方面来考虑。

因此，在《定级指南》中也是分别从这两个方面确定信息系统安全被破坏后所影响的客体及对客体的影响程度。

1.3定级过程和方法
1.3.1定级对象概述
定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。

在定级之前，首先必须明确定级。