等级保护 适度安全

　　作者:那罡

　　【赛迪网讯】现在正是看世界杯的好时候，资深球迷钱经理和欧主管每天都相约在一起看球，在他们心里认为，最美好的生活也不过如此了。而i博士，却被某银行请去负责银行信息安全策略的课题小组做顾问，完全没有精力和时间享受世界杯带来的快乐。i博士脑子里，只有一个关键词——等级保护。

　　【谈需求】

　　制定适度的安全措施

　　i博士点评

　　一个信息系统需要安全措施的强度，是与该系统所承担的业务职能和系统的重要性相关的，依据等级保护方法划分系统安全等级，再根据安全等级确定适当等级的安全措施，达到适度安全，才能真正做到合理的安全防护。

　　i博士的项目终于结束了，立刻给欧主管打来电话，邀约一起看球。这时候，钱经理和欧主管才想起来，i博士是一个地道的荷兰球迷，由于最近工作压力大，甚至无法为自己热爱的球队助威欢呼。

　　夜晚，三人齐聚i博士的家中，等着球赛开始。钱经理对i博士最近的工作内容很好奇，就问他：“对一个信息系统而言，安全保障措施需要做到什么程度才算安全？是不是有钱就要购买最高级的安全产品，没钱就不投入安全建设呢？或者过分强调安全的重要性而限制业务的发展呢？

　　i博士回答说：“一个信息系统需要安全措施的强度，是与该系统所承担的业务职能和系统的重要性相关的，依据等级保护方法划分系统安全等级，再根据安全等级确定适当等级的安全措施，达到适度安全，才能真正做到合理的安全防护。”

　　欧主管有些搞不明白，安全怎么分等级？我听说今年很多地方都要正式实施等级保护了，等级保护评估和实施起来是不是一个很麻烦的过程？

　　“等级保护的概念早在上世纪90年代就被提出，但是一直未能得到有效实行，其中的一个主要原因是因为等级保护的概念和安全要求复杂，用户如果没有专业的安全知识和能力很难执行，造成了等级保护存在很高的技术门槛，难以在普通用户中推广实现。”i博士说。

　　“因此设计一套专业的等级保护管理支撑工具，将等级保护复杂的规则、复杂的安全措施要求和设计操作流程以知识库的形式存入系统，就成为了解决等级保护可操作性的有效手段。”

　　等级保护体系又是一个循环的过程，在建立起一个有效的，持续性的验证方法后，确保信息系统在不断发展的同时保障安全等级要求，并且通过进行不断检查，反复验证安全的可靠性。

　　【说应用】

　　构建完善的等级体系

　　欧主管说：“在传统的安全保障体系设计中，重点强调的主要是两个方面：一是强调安全保障的深度；二是强调安全保障过程的完整。那么怎样才能将这两点与等级保护更好地结合在一起呢？”

　　i博士端起水喝了一口说：“其实很简单，依据这两种模型，他们所构建的安全保障体系都能够实现对信息系统的保护，但是这些模型都存在的一个重要问题就是安全保障体系的设计仅针对防护措施构建，而没有考虑到保护对象对安全措施的需求，重要信息系统和一般信息系统在安全保障上如何区别实现。

　　因此，将保护对象的重要程度纳入安全保障体系设计，通过定义信息系统的安全等级、相应安全措施的等级，构建等级化安全体系，就成为完善信息安全保障体系设计的一种有效方法。”

　　钱经理说：“i博士，你给我们讲讲你在银行这些日子是怎么给银行信息系统进行等级保护评估工作的吧。”

　　i博士说：“好，没问题，其实针对银行信息系统的区域划分和定级，更重要的是需要参考公安部《信息系统安全等级保护实施指南》，结合银行系统的应用特点，我们分析其不同安全等级的信息系统。”

　　分别存在以下的建设需求：

　　第一级为自主保护级：该区域内运行的系统的重要程度相对较低，其受到破坏后，不会对银行造成很大危害。因此针对该级别的信息，仅要求具备基本保护的能力即可，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务

　　第二级为指导保护级：该区域内运行的系统有一定的重要程度，其受到破坏后，会对银行造成一定的危害。因此针对该级别的信息，则应该具备比较完整的系统化的安全保护能力。

　　第三级为监督保护级：该区域内运行的系统非常重要，其受到破坏后，会对银行造成很大的危害。该级别的信息应具备对系统进行基于安全策略强制的安全保护能力。

　　钱经理和欧主管异口同声的说，明白点儿了，不过球开始了，不聊这个了，看球！

　　i博士点评

　　将保护对象的重要程度纳入安全保障体系设计，通过定义信息系统的安全等级、相应安全措施的等级，构建等级化安全体系，就成为完善信息安全保障体系设计的一种有效方法。

　　【议·论】

　　信息安全有法可依

　　2006年的上半年，公安部出台了一系列针对信息安全领域的管理办法，《信息安全等级保护管理办法(试行)》(以下简称《等级保护》)引起了特别关注。

　　该文件对信息系统进行了等级划分，并界定了不同等级信息系统在安全管理、测评、审核等方面的要求，同时指导性的阐述如何保护不同等级的信息内容，以及响应不同等级的安全事件。

　　高屋建瓴 意义重大

　　《等级保护》从最高层次对信息系统进行了安全角度的划分，对全国的信息安全规范工作有着重要的指导意义。尽管对于信息系统的分级、评审、管理和响应都存在很多现行的规范和技术标准，但是缺乏统一性使得这些规范标准的实施存在很多障碍，无法发挥出足够的效力。

　　信息系统特有的开放性特征，使得封闭式的保护方式无法成行，而《等级保护》正是以国家的角度对一个更大范畴的信息体系开展管理，从而为我国的信息安全工作建立起统一的参照标准。

　　更加引人关注的是，《等级保护》起到了一个“粘合”的作用，除了划分信息系统等级并赋予其不同的管理细则之外，该文件还明确地将信息安全管理工作与保密法、密码保护条例等国家规定联系在了一起，不过在该文件中尚没有对违反规定情况下的处罚标准进行界定。

　　覆盖全面 重点突出

　　《等级保护》将信息系统分为了五个不同的级别，其中除了最低的一级“自主保护级”之外，其它四个级别的划分都包含了一些“非自主要素”，也即《等级保护》中对于信息系统的划分基于这些系统出现安全问题后会对社会利益乃至国家秩序造成何种程度的威胁。

　　这意味着虽然《等级保护》覆盖了所有安全等级的信息系统，但是其规范的重点仍然是可能给整个信息体系带来威胁的系统。对于承担着国家经济发展和生产力建设的信息系统来说，从安全保护上确实具有较高的优先级。

　　“自主保护级”所覆盖的信息系统，主要在于消费者层面，也就是说目前《等级保护》对于普通用户市场的关注较少。从实际应用的角度来说，各种信息安全产品和解决方案关注的焦点恰恰是《等级保护》中只提出一个层级的“自主保护级”，而且业内有关信息内容等级、安全评估、风险管理等范畴的产品也并不涉及其它四个等级的问题。

　　除了信息安全系统检验方面的资质认定，厂商短期之内还无法以《等级保护》作为开展工作的指导，例如进行产品和解决方案的规范及验证。

　　提高层次 超越责任

　　等级保护在很大程度上突出了信息系统，与基础设施在整个信息社会中的扩展责任，从上面谈到的基于“安全影响”的划分方式来看，一个信息系统的安全性问题由用户自己的损失问题，提升到了一个更高的层次。

　　也就是说，如果一个信息系统出现安全问题，意味着拥有这个系统的组织或个人不但要承担自己的损失，还对那些由于自己系统问题受到波及的系统负有责任。

　　对于建立信息社会的共荣体系和信任体制有很大的好处，包括垃圾邮件和网络钓鱼在内的很多流行安全威胁已经远非“自扫门前雪”能够解决，可以说《等级保护》带来了一组可以遵循的规章政策。

　　逐项对单位的信息系统进行类型指定

　　【解·读】

　　一个企业的“橘皮书”

　　二十一世纪是不折不扣的信息时代，信息安全是主旋律，无硝烟般地延伸到社会的各个角落。企业是社会组织元素的一个重要子集，其信息资产的重要性不言而喻。国家“信息安全等级保护管理办法”中一些条款，具体到某企业，就产生了个体的“橘皮书”。

　　When?

　　“橘皮书”是一个发明自美国的词汇，早在1985年，其国家计算机安全中心(NCSC)发布可信计算机系统评估标准(TCSEC)时，以此名闻于世，TCSEC在1996年发展为CC(通用准则)。今且借该词，用以简单阐述该企业对于等级保护实施的体验。

　　Why?

　　企业为什么要实施安全保护？显而易见，企业实施安全保护，是在社会信息化发展过程中，通过技术及管理手段，提高自身信息安全保障能力，能够维护自身经济利益，进而维系社会稳定，并有助于维持国家信息化建设的正常秩序。

　　What?

　　一个企业究竟该实行哪种级别？在实践中，根据信息资产的稀缺或重要程度，应该划分不同级别的等级保护。目前我国已初步制定了相关等级保护划分细则，企业有规可依。根据实际状况，自主或与公安部门合作对安全要素(硬件、软件、操作者或联合体)进行评估，制定本单位信息资产的具体等级保护。

　　第一级：自主保护级

　　第一级由企业用户全权把握，企业通过隔离信息安全要素，达到使用户具备自主安全保护的能力。通过管理和技术手段，对用户实施访问控制，为用户提供一些实际方法，保护单体或工作组信息，避免非法用户对资产的非法访问与破坏。

　　如采用最普遍的口令访问、一次登录方式，对资源的访问都必须有自己的身份；IT部门对用户群进行基本技术和安全意识培训；网络管理员对文件完整性作了基本的保护；建立信息物理设备用户负责制，由信息资产主要使用者自主管理(公用设备如大型打印机、绘图仪由专人如秘书负责)。

　　第二级：指导保护级

　　第二级建议企业用户审查控制，企业在第一级基础上强化了审计要素，建立受控的网络边界，能追踪访问用户的访问行为，对信息资产进行动态的管理。

　　如建立基于Windows 2000的域环境，建立Microsoft Exchange内部信息平台；对用户账户的访问进行审计，检查弱口令现象；IT专职人员强化操作和数据库系统安全管理和进行备份；统一授权方面要求封锁Floppy Drive、USB Port，统一安装软件等；建立常规的设备采购条例，并进行产品生命周期的维护管理。

　　第三级：监督保护级

　　第三级须进行备案审查，企业与当地公安机关合作进行安全审计。A企业需要对信息资产的访问进行严格的控制，进行安全测试并完善安全策略。

　　如A企业作为一家设计工程单位，纸样图纸和电子档图纸作为企业的生命线，由公司有关领导授权负责，建立ACL(访问控制列表)阻止对关键网络信息系统的非授权访问。

　　在外用户通过安全级高的VPN方式远程访问关键业务系统，对图纸及重要业务文档指定安全敏感标记，对信息资产的管理进行标记化的明确分工，对客体的访问授权通过认证系统有操作及时间周期限制。

　　第四级：强制保护级

　　第四级由国家有关部门强制管理，少数企业资产具备为国家所保护的重要商业秘密，在权威方参与下，对访问主体和客体进行强制访问控制。

　　如A企业对重要图纸资源需两个主体(主要领导)同时授权才能访问，有点类似古代的虎符(两半合一方能号令千军)；所参与操作的人员都是企业的核心骨干，并签署了保密协议；对于电子图档采用双因子甚至多因子认证，并物理隔绝网络信道访问。

　　第五级：专控保护级

　　第五级由国家关键部门全权管理，企业资产具备关乎国计民生或国防安全的要素。极少数企业能达到这个级别，其具备完全的安全控制和身份鉴别。

　　How?

　　企业通过严格实施各个级别的安全保护，可以享受“受控型”收益(正值效果)。

　　第一级带来的收益为：信息资产盗窃现象大大减少，对用户个体资源的侵蚀也降低了。

　　第二级的收益为：通过较严格的审计方式，强化了对硬件和软件的保护作用，安全机制的完善也减少了错误或恶意操作带来的损失。

　　第三级的收益为：较好地保护了员工的心血，减少了信息系统的安全风险，使信息访问规范、有序。

　　第四级的收益为：高安全地维系了作为商业秘密或核心专利的信息资源的安全状态，避免了群体层面上的损失。第五级的收益目前无法估算。

　　【策·略】

　　构建银行等级化保护体系

　　随着我国金融改革的进行，各个银行纷纷将竞争的焦点集中到服务手段上，不断加大电子化建设投入，扩大计算机网络规模和应用范围成为一种趋势，但是应该看到，电子化在给银行带来利益的同时，也给银行带来了新的安全问题。

　　等级保护的三个阶段

　　由于银行业务的构成异常复杂，造成支撑各业务的信息系统之间也存在极大的差异，信息系统的服务对象、处理流程、支撑平台等环节不尽相同，因此采用相同的手段来防护不同的信息系统，很难取得比较好的建设效果。

　　根据类似大型系统的建设经验，对于银行信息安全保障体系的建设，需要以等级化保护的思想为核心，确定各系统的安全防护等级，并采取对应的安全防护措施，体现“适度安全”的指导思想。等级保护体系的建设过程分为三个阶段：

　　(1)对银行信息系统按业务安全应用域和区实行分级保护；

　　(2)根据确定的等级，参考相关技术要求，进行安全保护措施的规划与设计，并制定安全技术解决方案和安全管理解决方案；

　　(3)依据安全解决方案建设和实施等级保护的安全技术措施和安全管理措施，在实施等级保护的各种安全措施之后的运行期间，监控系统的变化和系统安全风险的变化，评估系统的安全状况。

　　保护三类对象

　　根据银行计算机系统的功能特性，安全价值以及面临威胁的相似性，将其划分为环境、网络基础设施和区域边界三大类保护对象。

　　典型银行信息网络按照承载业务、行政级别、服务对象的不同，可划分为多个安全区域，不同的安全区域形成了多个本地计算环境，典型的银行信息网络安全区域划分方式为：从纵向上划分为总部、省分行、地市分行和营业网点；从横向上划分为办公网和生产网；

　　其中生产网包含的安全区域按照等级由高向低分别为：综合业务区域、国际业务区域、综合业务前置区域、网上银行区域、第三方业务区域和系统开发测试区域；办公网包含的安全区域按等级由高向低分别为业务运行管理区域、办公自动化区域和办公访问终端区域；不同的安全区域通过网络基础设施实现互联互访，区域之间形成边界，如图所示。

　　定级思路是根据系统被破坏后，对银行业务运行造成的影响程度而分别定为3个不同等级，定级方法是由下而上，首先确定非关键的营业网点、办公自动化系统区域和办公网访问区域等非关键应用区域为一级，然后以一级区域为参照，其他区域根据重要等级的提升，适当提升定级，从而将地市分行的业务运行区域、综合业务区域、综合业务前置区域等定为二级；将重要程度最高的总行业务运行区域、综合业务区域、综合业务前置区域等定为三级。

　　根据信息系统的重要性进行定级，然后从组织、运行和技术三个方面，针对不同等级的信息系统，采取对应的防护措施，在持续不断的改进过程中保证信息安全保障体系的有效性，从而体现“重点资产、重点防护”的安全建设策略，为银行业务的开展提供安全可靠的支撑。

　　【产品推荐】

　　安式领信统一威胁管理系统LinkTrust UTM

　　以安全领信安全实验室“LinkTrust Security Lab”的网络安全软件平台LTOS为核心，在LTOS核心层融汇设计了安全检测引擎，并高度集成防火墙、防

　　LinkTrust UTM是一款基于ALL-IN-ONE的设计产品，它不仅简化了传统安全产品带来的部署和管理负担，降低复杂度，节省人力资源和成本，借助全局的风险管理视图，还可帮助用户全面控制安全风险。尤其是网络准入认证功能的融合，为与终端防护实现联动奠定了基础，很好诠释了“安全一体、协同管理”的安氏领信理念。

　　SonicWALL统一威胁管理系统

　　最新支持 IKEv2协议的SonicOS 3.2增强版

　　集成高速网关防病毒、防间谍软件、入侵防御、防垃圾、防网络钓鱼、Clean VPN以及内容过滤等功能。SonicOS 3.2增强版在其所有SonicWALL TZ 和 PRO系列设备上提供了高级功能，结合了高性能、高可靠性和易用性，从而使得所有规模的企业都能够充分享有企业级网络最新的安全防护能力。

　　i-Security SurfGuardian

　　作为软硬件一体化的网络安全解决方案，具有灵活的控制对象、URL过滤、协议过滤、实时监控、访问日志等功能特点，运用动态互联网风险数据库实时风险分析技术，其报表中心能够提供可视化的风险分析和控制。

　　通过该设备，企业可以轻松屏蔽色情、犯罪、暴力、武器、毒品、赌博、黑客、间谍软件、钓鱼和欺诈等网站；有选择地控制员工访问购物、交友、新闻、体育、娱乐、游戏、流媒体、代理、下载、点到点共享、Web 电子邮件和聊天等网站；控制可执行文件、bt种子、mp3、电影、盗版软件等文件的下载；并根据部门和员工上网情况每月自动生成报表等。

　　东软NetEye 安全运维管理平台(SOC)

　　NetEye安全运维管理平台以信息资产为核心，实时收集网络中各类设备的安全信息，在进行关联分析后，可以直观、准确地展示组织当前的安全风险状况，同时给出降低安全风险的方法，并结合工单系统来管理和跟踪安全事件处理过程，从而提升信息安全管理成熟度，建立主动安全防御体系、有效降低安全风险。

　　支持通过Syslog、SNMP Trap、ODBC/JDBC等方式的日志信息采集，同时还支持多种漏洞扫描设备的脆弱性信息采集。提供了专业的安全策略与实时的安全信息报表，帮助用户确认和了解黑客、病毒、垃圾邮件/木马行为、安全漏洞和未经授权的敏感信息以预防安全威胁。

　　天融信TOPSEC可信等级体系解决方案

　　该方案是天融信公司2006年遵照国家等级保护制度，采用等级化、体系化和可信保障相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系，是一套涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标，它具有三方面特质：

　　1.等级化：满足不同行业、不同发展阶段、不同层次的要求；

　　2.整体性：结构化，内容全面，可持续发展和完善，持续运行；

　　3.针对性：针对实际情况，符合业务特性和发展战略。

　　联想网御等级化安全体系管理支撑平台

　　联想网御等级化安全体系管理支撑平台主要由等级保护框架设计、知识库管理和等级保护审计三大部分组成，通过科学的方法论、丰富的知识库和开放的用户接口解决来自设计等级保护安全体系，管理维护等级保护安全体系及检查等级保护建设是否符合相关标准等相关问题。

　　平台针对保护对象进行等级保护设计，在等级保护设计过程中，通过丰富的知识库进行标准化，同时，等级保护设计的每一个步骤和结果都可以通过等级保护审计进行标准的符合性检查。通过这样的一系列步骤，最终实现等级化安全体系的建设。(n101)