等級保護域

近年來，隨著我國信息化發展的逐步深入，我們對信息系統的依賴越來越強，國家信息基礎設施和重要信息系統能否安全正常地運行直接關係到國家安全和社會秩序。但是大型信息系統的安全保障體系建設是一個極為複雜的工作，為大型組織設計一套完整和有效的安全體系一直是個世界性的難題。一些行業性機構或大型企業的信息系統套用眾多、結構複雜、覆蓋地域廣闊、涉及的行政部門和人員眾多；系統面臨著各種性質的安全威脅，間諜、黑客、病毒蠕蟲、木馬後門、非法的合作夥伴、本地維護的第三方、內部員工等；安全保障要求的內容極為廣泛，從物理安全、網路安全、系統安全、套用安全一直到安全管理、安全組織建設等等，凡是涉及到影響正常運行的和業務連續性的都可以認為是信息安全問題；不同業務系統、不同發展階段、不同地域和行政隸屬層次的安全要求屬性和強度存在較大差異性。

面對嚴峻的形勢和嚴重的問題，如何解決大型信息系統的信息安全問題，是擺在我國信息化建設人員面前的重大關鍵問題。美國及西方已開發國家為了抵禦信息網路的脆弱性和安全威脅，制定了一系列強化信息網路安全建設的政策和標準，其中一個很重要思想就是按照安全保護強度劃分不同的安全等級，以指導不同領域的信息安全工作。經過我國信息安全領域有關部門和專家學者的多年研究，在借鑑國外先進經驗和結合我國國情的基礎上，提出了分等級保護的策略來解決我國信息網路安全問題，即針對信息系統建設和使用單位，根據其單位的重要程度、信息系統承載業務的重要程度、信息內容的重要程度、系統遭到攻擊破壞後造成的危害程度等安全需求以及安全成本等因素，依據國家規定的等級劃分標準，設定其保護等級，自主進行信息系統安全建設和安全管理，提高安全保護的科學性、整體性、實用性。

2003年，中央辦公廳、國務院辦公廳轉發的《國家信息化領導小組關於加強信息安全保障工作的意見》(27號文)中，已將信息安全等級保護作為國家信息安全保障工作的重中之重，要求各級黨委、人民政府認真組織貫徹落實。《意見》中明確指出，信息化發展的不同階段和不同的信息系統，有著不同的安全需求，必須從實際出發，綜合平衡安全成本和風險，最佳化信息安全資源的配置，確保重點。

之後，一系列的國家部委、行業組織下發了關於信息系統等級保護方面的政策和規範。2004年，公安部、國家保密局、國家密碼管理委員會辦公室、國務院信息化工作辦公室聯合下發了《關於信息安全等級保護工作的實施意見》（66號文）。2005年國信辦下發了《電子政務信息安全等級保護實施指南》（25號文）。2005年底，公安部下發了《關於開展信息系統安全等級保護基礎調查工作的通知》（公信安[2005]1431號），並從2006年1月由全國各級公安機關組織開展了全國範圍內各行業、企業信息系統的基礎信息調研工作，並先後出台了《信息系統安全保護等級定級指南（試用稿）》、《信息系統安全等級保護基本要求（試用稿）》、《信息系統安全等級保護測評準則（送審稿）》、《信息系統安全等級保護實施指南（送審稿）》等指導性檔案。

對大型信息系統進行等級保護，不是對整個系統進行同一等級的保護，而是針對系統內部的不同業務區域進行不同等級的保護。因此，安全域劃分是進行信息安全等級保護的首要步驟。

安全域是指同一系統內根據信息的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網或網路，每一個邏輯區域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區域間具有相互信任關係，而且相同的網路安全域共享同樣的安全策略。當然，安全域的劃分不能單純從安全形度考慮，而是應該以業務角度為主，輔以安全形度，並充分參照現有網路結構和管理現狀，才能以較小的代價完成安全域劃分和網路梳理，而又能保障其安全性。以某單位信息系統總體信息系統安全域劃分和單獨一個業務區域內部安全域劃分為例（參考例圖1和例圖2），對信息系統安全域（保護對象）的劃分應主要考慮如下方面因素：

1.業務和功能特性

–業務系統邏輯和套用關聯性

–業務系統對外連線：對外業務，支撐，內部管理

2.安全特性的要求

–安全要求相似性：可用性、保密性和完整性的要求

–威脅相似性：威脅來源、威脅方式和強度

–資產價值相近性：重要與非重要資產分離

3.參照現有狀況

–現有網路結構的狀況：現有網路結構、地域和機房等

–參照現有的管理部門職權劃分

劃分一個獨立的業務信息系統的內部安全域的劃分主要參考如下步驟：

1.查看網路上承載的業務系統的訪問終端與業務主機的訪問關係以及業務主機之間的訪問關係，若業務主機之間沒有任何訪問關係的則單獨考慮各業務系統安全域的劃分，若業務主機之間有訪問關係，則幾個業務系統一起考慮安全域的劃分；

2.劃分安全計算域：根據業務系統的業務功能實現機制、保護等級程度進行安全計算域的劃分，一般分為核心處理域和訪問域，其中資料庫伺服器等後台處理設備歸入核心處理域，前台直接面對用戶的套用伺服器歸入訪問域；{參考：區域網路訪問域可以有多種類型，包括：開發區，測試區，數據共享區，數據交換區，第三方維護管理區，VPN接入區等；區域網路的內部核心處理域包括：資料庫，安全控制管理，後台維護區（網管工作區）等，核心處理域應具有隔離設備對該區域進行安全隔離，如防火牆，路由器（使用ACL），交換機（使用VLAN）等。}

3.劃分安全用戶域：根據業務系統的訪問用戶分類進行安全用戶域的劃分，訪問同類數據的用戶終端、需要進行相同級別保護劃為一類安全用戶域，一般分為管理用戶域、內部用戶域、外部用戶域；

4.劃分安全網路域：安全網路域是由連線具有相同安全等級的計算域和（或）用戶域組成的網路域。網路域的安全等級的確定與網路所連線的安全用戶域和（或）安全計算域的安全等級有關。一般同一網路內化分三種安全域：外部域、接入域、內部域。

安全保護級別的確定和等級管理

信息系統的安全保護可以理解為：為確保信息系統能夠抗禦來自人為的和自然的原因引起的威脅和破壞而採取的有效機制和措施。這些機制和措施包括技術和管理兩方面的內容。信息系統安全等級保護所規定的五個安全保護等級，是實施安全等級保護的基礎。計算機信息系統安全保護能力隨著安全保護等級的增高，逐漸增強。安全域的等級和安全保護等級之間有一定的關係，主要體現在當安全域屬於同一個網路時，安全域的保護等級隨著這種等級的增高而增高，但當安全域屬於不同的網路，且網路的等級不相同時，和安全保護等級沒有直接的關係，如對於同處在內部區域的不同等級的安全域的安全保護等級可能是相同的。

安全保護級別的確定主要根據業務系統中套用的重要程度、敏感程度以及信息資產的客觀條件。信息系統包含了多個作業系統和多個資料庫，以及多個獨立的網路產品，網路系統也十分複雜。在對大型信息系統的安全保護等級進行劃分時，通常需要對構成信息系統的作業系統、網路系統、資料庫系統和獨立的網路產品等子系統的安全性進行考慮，在確定各子系統對應的安全等級保護技術要求的前提下，依據木桶原理綜合分析，確定對該計算機信息系統安全保護等級的劃分。

目前，國內對信息系統等級定級可以參考公安部的《信息系統安全保護等級定級指南（試用稿）》。等級保護的定級問題是一個比較複雜的問題，確定的等級將涉及以下幾個方面因素：

1）信息系統所屬類型，即信息系統資產的安全利益主體。

2）信息系統主要處理的業務信息類別。

3）信息系統服務範圍，包括服務對象和服務網路覆蓋範圍。

4）業務對信息系統的依賴程度。

信息系統的安全保護等級確定之後，系統管理人員應根據安全域劃分情況進行邊界整合和最佳化，確定對重要安全域的重點保護、分類保護，制定不同子安全域的基線安全保護策略和入域安全策略。目前，系統管理人員可以參考《信息系統安全等級保護基本要求（試用稿）》進行相應等級的安全技術和安全管理建設。安全技術方面主要包括：身份鑑別與訪問控制、物理安全、網路安全、節點安全、套用與數據安全等方面；安全管理方面主要包括：政策和制度、機構與人員、安全風險管理、工程建設管理、運行與維護管理、業務連續性管理、符合性管理等方面。

安全域與等級化安全體系的設計需要充分考慮大型信息系統的複雜性和信息安全保障的系統性與長期性，需要系統化的統一規劃設計。信息系統的管理者應堅持在風險評估的基礎上，採取適當、管用、足夠的措施來加強其信息系統的安全。實現等級保護，應該採取分級、分類、分階段的策略堅持分級實施保護，加強安全，突出關注重點、要害部位，實現縱深防護；依據各大系統套用和結構的不同特點，採取不同的方法，分類加以指導和推進；照顧信息化發展階段的不平衡，依據信息資產的大小，信息化依賴度的不同，按階段分步驟，逐步實現等級保護的各項要求。（作者為中聯綠盟信息技術（北京）有限公司專業服務部高級諮詢顧問，多次參加國家網路安全標準的制定與大型企業的安全建設諮詢工作。）