从价值角度构建信息系统安全等级划分模型

admin

信息安全问题随着信息技术飞速发展、信息网络全面普及而广泛出现。当信息安全管理与银行自身行为不一致时，对信息安全的看法众说纷纭。如"信息安全影响效率，信息安全纯粹是成本"各种论调层出不穷。采用重点保护和适度保护相结合的方法，进行信息系统等级化安全保护是落实信息安全的具体措施。中国企业以价值来确定信息系统等级，以等级来确定安全与应用的平衡，以合理的保护投入对信息系统进行恰当的信息安全保护。

一、对信息系统等级保护的认知

首先，信息系统等级保护的目的应包括重点保护和适度保护两方面，对于企业重要信息系统实施重点保护；对企业一般系统实施恰当保护。从优化信息安全资源配备上考虑，不同的信息系统对于组织机构的重要程度是有区别的。有些信息系统遭到破坏将会导致整个组织机构无法正常运营，比如银行的核心业务系统；而有些信息系统遭到破坏对整个组织机构的运营造成的影响较小，比如银行的内部学习系统。为了保证组织机构的战略目标实现和正常运营，必须使重要信息系统得到重点保护。信息系统安全等级保护在对信息系统进行合理安全分类的基础上，采用强度不同的信息安全管理和技术手段，优化信息安全资源的配置，使重要信息系统得到重点保护。

其次，从操作层面来看，等级保护实现了信息系统的适度保护。假设所有信息系统全部采用高等级的安全保护措施，部署相同的保护设备、配置相同的人力、实施相同的安全流程，一方面会造成安全的过度投入，另一方面也可能造成因为过度保护导致业务流程复杂化而影响业务开展。如对内部办公系统采用高等级的安全保护措施后，需要实现用户的双因素认证，将会大大降低内部办公效率，影响正常工作。

第三，落实信息系统等级保护，关键是进行信息系统定级。只有通过对信息系统的定级，才能明确其安全需求，进而明确实施安全保护措施。信息系统的安全保护等级定得过高、过低都会导致所实施的安全保护措施违背重点保护和适度保护的原则。等级保护定级不科学，就不可能采取适度安全的保障措施，有可能达不到安全目的，也有可能是盲目地浪费资源，甚至可能因为过度安全，而影响应用操作，破坏安全与应用的平衡。

第四，实施信息系统安全等级定级也是一次全面的信息系统风险评估。常规情况下，往往以简单的感官来判断信息系统的重要性，缺乏量化分析，在尺度把握上难免出现偏差。另外对于认为不重要的信息系统，通常缺乏深入分析，易于出现遗漏需要保护对象的情况，为恶意攻击等行为打开方便之门。实施信息系统等级定级工作，通过客观方法对信息系统进行整体全面分析，在风险评估的基础上确定保护等级，从而进一步推动风险评估工作。

二、对等级保护有关制度的认知

从国家层面来看，信息系统安全已提升到国家安全稳定的高度。早在1994年国务院就发布《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护。安全等级划分标准和安全等级保护的具体办法，由公安部会同有关部门制订。2003年中央办公厅又下发2003年中办发27号文件要求，抓紧建立信息安全等级保护制度，制订信息安全等级保护的管理办法和技术指南。2004年9月公安部等起草了2004年公通字66号文件指出："信息安全等级保护是保障和促进信息化建设健康发展的一项基本制度"。2007年公安部等四部委发布的《信息安全等级保护管理办法》对等级划分、保护、实施和管理，涉密信息系统分级保护管理、密码管理、法制责任等问题作了规定。2007年公安部、国信办等部门发布的《关于开展全国重要信息系统安全等级保护定级工作的通知》就定级范围、定级工作主要内容、定级工作要求提出了要求。

从国家层面下发的文件和制度来看，国家对于信息系统等级保护由后评审迁移至信息系统建设周期中，而且对于信息系统进行安全等级保护的要求越来越严格，对于开展信息系统等级保护的指导越来越具体。对于企事业单位来说，信息系统等级保护不是做与不做的问题，而是如何落实好国家信息系统等级保护要求的问题。

三、国内外信息系统安全等级定级方法

作为一直走在信息安全研究前列的美国，近几年在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，对国家一些重要的信息系统实现安全分级、采用不同管理的工作模式。由美国国家标准与技术研究所（NIST）制订，美国国会通过的FIPS 199《联邦信息和信息系统安全分类标准》中，对于等级保护的安全保护等级是由等级级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度决定，其中侵害客体分为三类：机构运行、机构资产、个人产生的影响。侵害程度也分为三类：有限的、严重的、致命的。信息系统定级时，从信息的CIA（保密性、完整性和可用性）三方面来考查，首先对每个方面根据侵害客体和侵害程度确定保护等级，然后取三者中最高者即为信息系统的安全保护等级。

我国公安部发布的《信息系统安全保护等级定级指南》中对信息系统安全保护等级的确定，由等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度决定，其中侵害客体分为三类：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。侵害程度也分为三类：造成一般损害；造成严重损害；造成特别严重损害。信息系统定级时，从业务信息安全、系统服务安全两方面来考查，首先对每个方面根据侵害客体和侵害程度来确定保护等级，然后取两者中最高者即为信息系统的安全保护等级。

对上述两种定级方法进行分析，发现都是从侵害客体和侵害程度来确定信息系统的安全保护等级。根据国际标准ISO13335，侵害客体和侵害程度即信息系统遭到破坏后的影响，而影响又取决于信息系统的价值。作为国家标准，面对众多不同行业，信息系统的重要程度或价值很难用统一的指标进行衡量。确定价值应是企事业单位落实行业标准和国家要求层面要做的任务。

四、企业信息系统安全等级定级方法

国际标准和国家相关等级定级方法都着眼于广泛的适用性，在指导企业级信息系统安全等级定级上需要各企业进行对接。企业在把国际行业定级方法和国家等级定级制度与自身企业状况相结合方面，我们除了要站在国家角度关注对公民、社会、国家的侵害和侵害程度，还从企业层面关注信息系统对企业的价值。在要素设置上加入行业信息系统的特点。在定级方法方面，尽量将指标量化，减少因理解差异而造成定级结果的差别。

确定定级指标的原则是从价值分析入手，信息系统的影响大小，由信息系统的价值来决定，价值越大，其受到破坏后的影响会越大。企业从信息系统的价值角度来找定级要素。分析信息系统的价值，首先会想到信息系统的固有价值，也可理解为固定投入成本。信息系统的价值更多体现在其承载的业务价值，也可以理解为信息系统的使用价值。承载的业务价值又可分为有形价值和无形价值。有了这样的价值模型之后再来细分价值要素。

信息系统的固有价值可以从资金成本、技术成本和时间成本等方面来体现。其中资金成本包含软件、硬件、开发实施等人力成本；技术成本是指信息系统重建所需的技术获得、应用的难易程度，比如是否有开放性技术、垄断技术、特殊技术等；时间成本是指信息系统重建所有时间长短。

信息系统承载业务价值中的有形价值可以从信息系统的服务内容和服务质量要求等方面体现。其中服务内容包括：业务类型、客户类型、客户数量、服务范围、日均业务量、系统关联关系、服务方式、服务可替代性、数据量；服务质量包括服务时间要求、服务允许业务最大中断时间、服务允许数据损失的最长时限。

承载业务价值中无形价值可以从对监管、对竞争对手、对用户和对内4个角度来考虑，可分为合规、品牌形象、客户信心、内部效率。

通过对信息系统价值的分解而得到的定级要素是结合行业特点，对国家等级保护标准中定级要素的行业化与国家等级保护标准中的定级要素相对应。比如，侵害客体与业务类型、客户类型、用户信心等相对应，而侵害程度与客户范围、客户数量、日均交易量、服务可替代性等相对应。在采用国家等级保护定级方法进行定级时，确定侵害客体和侵害程度同样是需要考虑这些要素的。另外还增加了体现企业价值的定级要素，如内部效率、固有价值等。

五、等级保护定级工作实施思路

有序开展信息系统等级保护工作，逐步实现信息系统全生命周期的等级化管理，将等级保护工作日常化，是企业进行信息系统等级保护的目标。等级保护不仅仅是标准问题，而是要在信息系统全生命周期过程中落实等级保护标准。其中在信息系统需求分析阶段，要分析它的价值与风险，并在规划阶段确定它的安全等级，以便信息系统在设计开发阶段落实相应的等级保护措施。

为此，企业要求信息系统在其规划阶段就组织开展定级工作，在信息系统的整个生命周期内根据实际情况进行等级的变更管理。对于已建和在建信息系统，由技术部门牵头各业务部门配合进行定级工作。

为了更好地开展信息系统的安全保护等级定级及管理工作，我们对信息系统的等级保护定级方法及流程进行规范，并开发了一套等保定级工具。

企业等级保护定级工作遵循五大流程：定级准备、信息收集、等级评定、评审报备和等级变更。定级准备阶段主要工作是组建定级实施团队。信息收集阶段主要工作是根据信息采集需求收集真实、有效的信息和资料。等级评定阶段主要工作是整理采集的信息和资料，在工具中录入信息系统的相关信息，并得到系统的安全保护等级。评审报备阶段主要工作是评审定级结果并编写信息系统安全保护等级备案表。等级变更阶段的主要工作是在等级变更时遵循定级方法和流程重新组织定级。

企业等级保护定级工作采用等级保护定级工具辅助完成。等级保护定级工具内置了定级要素和定级方法，只需要录入信息系统的相关信息，便能得出该信息系统的安全保护等级。等级保护定级工具还提供信息系统的安全保护等级查询及变更管理等功能，实现信息系统的定级和等级变更信息的集中管理，使得管理部门能全面了解内部各信息系统等级分布及变更情况。