基于等级保护的信息安全风险评估方法

周元德1 董凤翔1 胡1 波： 基于等级保护的信息安全风险评估方法
"##$ 年 %" 月 铁! 道! 工! 程! 学! 报 789! "##$ ! ! 第 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! &期 （ 总 && ） ’()*+,- (. *,/-0,1 2+3/+22*/+3 4(5/261 （ 48;: && ） +(: &
文章编号： %##$ < "%#$ （ "##$ ） #& < ##>& < #?
脆弱性评估阶段包括从技术管理策确定评估范围阶段l评估范围确定一安全需求分析报告资产识别和评估阶段i资产识别与评估卜一资产评估报告威胁评估阶段l威胁评估卜一威胁评估报告脆弱性评估阶段风险分析阶段安全扫描二二二二二手工检查二二二二渗透测试二二二二安全审计二二二安全策略评估二二二二风险计算技术脆弱性报告管理脆弱性报告安全策略评估报告风险分析报告保护等级确定阶段l安全保护等级确定卜安全保护等级报告风险管理阶段l建立风险评估报告卜安全风险评估报告风险评估流程图略方面进行的脆弱程度检查特别是技术方面以远程和本地两种方式进行系统扫描和手动抽查的评估
!" 等级保护现状介绍
!# !" 国外等级评估准则 国外从 "# 世纪 ’# 年代以来， 一直在进行可信安 全产品的等级评估准则的研究， 其中比较著名的包括 美国国 防 部 提 出 的 可 信 计 算 机 系 统 安 全 评 价 准 则 （ %()(* ） 、 欧洲四国 （ 英、 法、 德、 荷） 的信息技术安全 评价准则 （ $%)(* ） 和国际合作的信息技术安全评价通 用准则 （ ** ） 。 美国 %*)(*（ 桔皮书） 是计算机系统安全评估的 第一个 正 式 标 准， 具 有 划 时 代 的 意 义。 %*)(* 分 为 + 个方面： 安全政策、 可说明性、 安全保障和文档。该 标准将以上 + 个方面分为 & 个安全级别， 从低到高依 次为 ,、 *- 、 *" 、 .- 、 ." 、 ./ 和 0 级。欧 洲 $%)(* 与 %*)(* 不同， 它并不把保密措施直接与计算机功能相 联系， 而是只叙述技术安全的要求， 把保密作为安全 增强功能。%*)(* 把保密作为安全的重点， 而 $%)(* 则把完整性、 可用性与保密性作为同等重要的因素。 $%)(*定义了从 (# 级 （ 不满足品质） 到 (1 级 （ 形式化 验证） 的 & 个安全等级， 对于每个系统， 安全功能可分 别定义。$%)(* 预定义了 -# 种功能， 其中前 2 种与桔 万方数据 皮书中的 *- 3 ./ 级相似。 ** 是国际标准化组织统
!"#$%&’()$" *+,-%)(. /)01 200+00&+"( 3+(4$5 6’0+5 $" 78’00)#)+5 9%$(+,()$"
:;<= >-’" < 5+，?<@A B+"C < D)’"C，;= 6$ （ 6B8 489CDE 4F;G8H I 78JKLD /DJMKMFM8 CN 5BKDO *OKPQOH ，5B8DLEF ，4K9BFOD $%##@% ，5BKDO） 2E0(%’,(： /+0+’%,4 F-%F$0+0：,99C;EKDL MC MB8 E8G8PCRS8DM JKMFOMKCD CN KDNC;SOMKCD J89F;KMH ;KJT OJJ8JJS8DM KD 9BKDO ODE MB8 KDNC;SOMKCD J89F;KMH ;KJT OJJ8JJS8DM R;CU89M ，MBKJ ROR8; ;8J8O;9B8J CD MB8 J89F;KMH 8GOPFOMKCD KSRP8S8DMOMKCD R;C98JJ ODE MB8 ORR;OKJOP S8MBCE ODE JCPG8J KD MB8 KDNC;SOMKCD J89F;KMH ORR;OKJOP KSRP8S8DMOMKCD 8JJ8DMKOP M89BDK9OP VF8JMKCD: /+0+’%,4 &+(4$50： )DKNK8J CG8;J8OJ KDNC;SOMKCD J89F;KMH ;ODT R;CM89MKCD 9;KM8;KCD ODE MB8 ECS8JMK9 KDNC;SOMKCD J89F;KMH ;ODT R;CM89MKCD JMODEO;E JHJM8S ，MBKJ ROR8; FJ8J VFOPKMOMKG8 ODOPHJKJ CN MB8 ;8J8O;9B M89BDKVF8 QBK9B FDKNK8J QKMB VFODMKMOMKG8 ODOPHJKJ: /+0+’%,4 %+0-8(0： 6B;CFLB 9;8EKWP8 J89F;KMK8J R;CEF9M ;ODT ORR;OKJOP 9;KM8;KCD ;8J8O;9B MC MB8 ECS8JMK9 ODE NC;8KLD ，KM BOJ NC;S8E MB8 SFPMKJMOL8 KDNC;SOMKCD JHJM8S JON8T88RKDL CN J89F;KMH JHJM8S N;CS MB8 QBCP8: /D GK8Q CN MB8 KDNC;SOMKCD J89F;KMH ;KJT OJJ8JJS8DM R;CU89M KSRP8S8DMOMKCD R;C98JJ，MBKJ ROR8; R;CRCJ8E O TKDE CN KDNC;SOMKCD J89F;KMH ORR;OKJOP S8MBCE WOJ8E CD MB8 ;ODT R;CM89MKCD MBCFLBM: /+0+’%,4 ,$",8-0)$"0： 5CSRP8M8，9C;;89M FDE8;JMODEKDL 8O9B JON8T88RKDL CN J89F;KMH ;ODT JON8 ;8VF8JM ，ODE ;8OJCDOWPH J8MJ O MO;L8M MB8 JHJM8S JON8T88RKDL CN J89F;KMH ;ODT ，KJ ;8OJCDOWPH FMKPKX8J MB8 J89F;KMH ;ODT R;CM89MKCD MB8 KSRC;MODM R;8SKJ8 QBK9B 9CSS8DMJ MC MB8 KDNC;SOMKCD J89F;KMH ;KJT: 6B8 KDNC;SOMKCD J89F;KMH ;KJT OJJ8JJS8DM WOJ8E CD MB8 ;ODT R;CM89MKCD MBCFLBM KJ CD8 8NN89MKG8 KDNC;SOMKCD J89F;KMH ;KJT OJJ8JJS8DM S8MBCE: /M KJ OEGODMOL8CFJ MC MB8 KSRP8S8DMOMKCD CN MB8 KDNC;SOMKCD JHJM8S J89F;KMH 9CDJM;F9MKCD: G+. H$%50：KDNC;SOMKCD J89F;KMH； 9POJJKNK8E J89F;KMH R;CM89MKCD； ;KJT OJJ8JJS8DM；OJJ8JJS8DM S8MBCE
二级
必要
系统 审计保护
计划 跟踪
指导
三级 体系化
安全 标记保护
良好 定义
Hale Waihona Puke 监督四级结构化 保护级
持续 改进
强制
五级
验证 保护级
严格 监控
专控
! ! 完整的、 正确的理解每一个安全保护等级的安全要 求， 并合理地确定目标系统的安全保护等级， 是将安全 等级保护合理地运用于具体信息系统的重要前提。
第’ 期
基于等级保护的信息安全风险评估方法
周元德 ! 董凤翔 ! 胡 ! 波
（ 铁道第二勘察设计院， ! 成都 $%##@% ）
!!
!
摘要： 研究目的： 根据我国信息安全风险评估工作的进展情况， 结合信息安全风险评估项目， 对安全评估实施 过程和评估方法进行研究， 解决信息安全评估实施中的关键技术问题。 研究方法： 结合国外信息安全等级保护准则和国内信息安全等级保护标准体系， 采用定性与定量相结合 的研究方法。 研究结果： 通过对国内外可信安全产品的等级评估准则的研究， 从整体上形成了多级信息系统安全保护 体系。针对信息安全风险评估项目的实施过程， 提出了一种基于等级保护思想的信息安全评估方法。 研究结论： 完整的、 正确的理解每一个安全保护等级的安全要求， 并合理地确定目标系统的安全保护等 级， 是将安全等级保护合理地运用于信息安全风险评的重要前提。基于等级保护思想的信息安全风险评估是 一种有效的信息安全风险评估方法， 有利于信息系统的安全体系架构的建设。 关键词： 信息安全； 等级保护； 风险评估； 评估方法 中图分类号： 6A@#&! ! 文献标识码： ,
表 !" 信息安全等级保护级差表 等级 一级 安全功能 管理 基本 技术 用户 自主保护 保障 : 有效性 基本 保障 国家管 理程度 自主 对象 中小企业 政府机关业务用 的一般系统， 企 事业单位内部生 产管理和控制的 信息系统 基础信息网络， 政 府，重 点 工 大型国企 程， 国家 政 府 机 关 的重 要 部 门 的 信息 系 统 重 要 子系统 国家 重 要 核 心 部门 的 专 用 信 息系统
一现有多种准则的结果， 是目前最全面的评价准则。 -444 年-# 月 ** 5"6 - 版 发 布， 并 且 成 为 $)7 标 准。 ** 的主要思想和框架部分取自 $%)(* ， 并充分突出了 “ 保护轮廓” 概念。** 将评估过程划分为功能和保证 两部 分， 评 估 等 级 分 为 (08- 、 (08" 、 (08/ 、 (08+ 、 (082 、 (081 和 (08& 共 & 个等级。每一级均需评估 & 个功能类， 分别是配置管理、 分发和操作、 开发过程、 指导文献、 生命期的技术支持、 测试和脆弱性评估。 !# $" 国内等级保护标准体系 为了从整体上形成多级信息系统安全保护体系， 提高我国计算机信息系统安全保护水平， 公安部提出 并组织制定了强制性国家标准 《 计算机信息系统安全 ， 该准则 保护 等 级 划 分 准 则 》 （ 9. -&’24 —-444 ） -444 年发布， 并于 "##- 年 - 月 - 日起实施。该准则 是建立安全等级保护制度、 实施安全等级管理的重要 基础性标准。该准则将信息系统安全分为 2 个等级： 自主保护级： 相当于 *- 级； 系统审计保护级： 相当于 *" 级； 安全标记保护级： 相当于 .- 级， 属于强制保护； 结构化保护级： 相当于 ." 级； 访问验证保护级： 相当 于 ./ 3 0- 级。 根据 "##/ 年中办 （ 中共中央办公厅、 国务院） 发 "& 号文及 "##+ 年四局办 （ 公安部 、 国家保 的 ［ "##/ ］ 密局 、 国家密码管理委员会办公室 、 国务院信息化工 作办公室） 联合下发的 ［ "##+ ］ 11 号文， 在今后 / 年我 国将加强实施安全等级保护的基础建设。上述国家 其级 政策基本明确了信息安全等级保护的 2 个等级， 差表如表 - 所示。
! !
!! !!
收稿日期： "##$ < #= < %# 作者简介： 周元德， %&== 年出生， 男， 硕士研究生。 万方数据
4#
!
铁! 道! 工! 程! 学! 报
"##1 年 -" 月
! ! 国外关于信息安全风险评估的研究已经有 "# 多 年的历史， 美国、 加拿大等 $% 发达国家于 "# 世纪 &# 年代和 ’# 年代建立了国家认证机构和风险评估认证 体系， 负责研究并开发相关的评估标准、 评估认证方 法和评估技术， 并进行基于评估标准的信息安全评估 和认证。我国信息系统风险评估的研究是近几年才 起步的， 目前主要工作集中于组织架构和业务体系的 建立， 相应的标准体系和技术体系还处于研究阶段， 但是随着电子商务的发展， 信息系统风险评估领域和 以该领域为基础和前提的信息系统安全工程在我国 已经得到政府、 军队、 企业、 科研机构的高度重视， 具 有广阔的研究和发展空间。无论在国外还是国内， 在 信息系统的风险评估中， 安全模型的研究、 标准的选 择、 要素的提取、 评估方法的研究、 评估实施的过程， 一直都是研究的重点。 安全保护和非法入侵是一个矛盾的 " 个方面， 只 能追求适度的安全风险。安全需求的引出来自于安 全风险， 这体现了认识和和确定风险的意义。为了减 少投入的盲目性， 就必须正确选择保护等级。等级化 保护是信息系统的社会价值和经济价值保护的客观 要求， 即按信息的敏感和重要程度、 系统应用性质和 资产价值、 部门重要程度， 分级采取科学、 合理的保护 措施； 做到适度保护、 效费合理， 避免盲目和浪费。各 国的信息安全保护的主要对策基本相同， 那就是以完 善等级保护程序为基本国策。