B.1 安全需求與分等級保護

B.1 安全需求與分等級保護

安全需求是進行信息系統安全設計的基本依據，分等級保護是實現信息系統安全保護的有效方法。兩者都是按照信息安全等級保護要求進行信息系統安全設計的基礎和前提。本章對確定信息系統安全需求和分等級保護的一般方法進行簡要描述，以信息系統的一般結構為模型，在做出某些假定的前提下，確定以數據保護為中心的安全需求，以數據分類保護為基礎，把數據分類保護與等級保護要求相結合，形成按等級保護要求設計信息系統安全的安全需求。
實現信息系統安全所采用的安全技術和安全機制，在物理上會分布在信息系統各個部位，而在邏輯上構成一個完整的系統，通常稱為信息系統安全子系統，也稱信息安全系統。信息安全系統應該用系統化的方法設計和實現。

B.1.1 確定安全需求的基本方法

風險分析是確定信息系統安全需求的基本方法。通過對信息系統資產價值的評估、對信息系統所受到威脅的評估以及對信息系統的脆弱性評估，經綜合分析，確定信息系統的風險程度。可以用定性的或定量的方法進行風險分析。一般應按風險分析的相關標準進行信息系統的風險分析。

B.1.2 分等級保護的基本思想

以信息資產安全保護為中心，按數據信息分類進行分區域分等級保護，是信息系統實施分等級保護的基本思想，貫穿于信息系統安全設計的全過程。
a）信息資產安全保護是信息系統安全的中心內容
對信息系統中任何資產的保護，都可以歸結為對數據信息的保護。信息系統資產的價值完全可以由信息的價值充分體現。信息系統在各個領域的應用，都是通過信息起作用的，這是各類信息系統的共同點。可以說，只有確保數據信息安全，信息系統的各種應用才能得到應有的保證。
b）按數據信息分類分區域分等級保護是實現信息系統安全分等級保護的有效方法
按數據信息分類進行分區域分級保護的思想是指，對信息系統中所存儲、傳輸和處理的數據信息，按其風險度進行分類，并在此基礎上對不同類的數據信息，按照適度保護和剩余風險可接受原則，分區域進行不同安全保護等級的保護。這樣，既可以解決大規模復雜系統難以實現整體高級別保護的問題，又可以以適當的投入使需要重點保護的數據信息得到應有的安全保護。

B.1.3 劃分安全保護等級的假定

以下假定作為本附錄信息系統安全設計中劃分安全保護等級的基礎：
a)已經采用風險分析方法對需要進行安全設計的信息系統的安全風險進行了分析，確定了為緩解或削弱威脅和脆弱性所應采取的安全措施；
b)按照數據信息保護是信息系統安全保護的中心的思想，以對信息的安全保護要求，作為確定對信息系統安全保護要求；

• 第一類數據信息：需要進行第一級安全保護的數據信息。該類數據信息受到破壞后，會對公民、法人和其他組織的權益有一定影響，但不危害國家安全、社會秩序、經濟建設和公共利益。
• 第二類數據信息：需要進行第二級安全保護的數據信息。該類數據信息受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成一定損害。
• 第三類數據信息：需要進行第三級安全保護的數據信息。該類數據信息受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。
• 第四類數據信息：需要進行第四級安全保護的數據信息。該類數據信息受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。
• 第五類數據信息：需要進行第五級安全保護的數據信息。該類數據信息受到破壞后，會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。
  需要特別說明的是，上述關于數據信息的分類，應在風險分析時就要有意識地加以考慮。風險分析要求落實到數據信息，要對不同數據信息的風險加以區別，而不是對整個信息系統進行風險分析。為了簡化描述，在以后的描述中，數據信息類與安全保護等級完全對應。比如，第三類數據信息對應于第三級安全保護，其余類推。

  B.1.4 劃分和確定安全保護等級的原則和方法

  B.1.4.1 安全域和安全保護等級劃分的原則

  B.1.4.1.1 分區域保護原則

  對于一個大規模的復雜信息系統，按數據信息類分區域保護是劃分安全保護等級的基本原則和方法。區域的劃分應以數據信息分類為基礎，并根據應用系統業務處理的需要和同類數據信息的流動范圍確定。最理想的區域劃分應是需要進行相同安全保護的數據信息在同一個域中實現存儲、傳輸和處理。實際情況往往要復雜的多。
  從等級劃分的角度，典型信息系統的安全域可以劃分為安全計算域、安全用戶域和安全網絡域。需要進行相同安全保護的安全計算域、安全用戶域和安全網絡域，共同組成該信息系統的一個具有相同安全等級的安全域。
  a)安全計算域
  安全計算域是信息系統中由一個主機/服務器組成的，或多個主機/服務器經局域網連接組成的存儲和處理數據信息的區域。安全計算域應有明確的邊界。當一個安全計算域由多個主機/服務器組成時，其相互之間應通過局域網連接。安全計算域的劃分應根據數據信息的存儲和處理所涉及的范圍確定。同類的數據信息應盡量集中在單一的或物理位置較近主機/服務器上進行存儲和處理，以便于組成易于進行安全保護的安全計算域。
  b)安全用戶域
  安全用戶域是信息系統中由一個或多個用戶終端計算機組成的存儲、處理和使用數據信息的區域。安全用戶域應有明確的邊界，以便于進行保護。安全用戶域的劃分應以用戶所能訪問的計算域中的數據信息類和用戶計算機所處的物理位置來確定。能訪問同類數據信息，并且物理位置較近的用戶，可以組成一個安全用戶域，以便于進行相同級別的安全保護。
  c)安全網絡域
  安全網絡域是信息系統中連接安全計算域與安全計算域、安全計算域與安全用戶域之間的網絡系統組成的區域。安全網絡域分為局域網環境和廣域網環境兩種情況。在局域網環境組成的安全網絡域可以用于單一計算機構成的安全計算域之間的連接，也可以用于多計算機構成的安全計算域之間的連接。對于后一種情況，該安全網絡域實際上是安全計算域的組成部分。在廣域網環境組成的安全網絡域用于遠地的安全計算域之間、安全計算域與安全用戶域之間的連接。安全網絡域是邏輯域。在一個物理的網絡環境上可以組成多個不同的安全網絡域。

  B.1.4.1.2 安全域和安全保護等級劃分的具體原則

  以下安全域和安全保護等級劃分的原則具有一定的普遍適用性：
  a)按系統網絡結構和數據信息的分類分布，把一個大規模復雜系統劃分為多個實施相同安全保護等級的安全域。
  b)安全域的劃分可以是物理的或邏輯的，兩者都應充分考慮安全保護的因素，比如，應有確定的邊界。
  c)按物理的或邏輯的結構，確定可以實施相同等級保護的安全計算域、安全用戶域和安全網絡域。安全域的范圍與數據類的流動范圍應完全一致。
  d)一個安全計算域可以由一臺主機/服務器組成，也可以由一個局域網環境組成。
  e)按安全域中的數據類，確定該安全域應具有的安全保護等級。
  f)安全計算域和安全用戶域可以視為安全網絡域的節點。
  g)高級別（四級和五級）安全域應盡量按物理結構劃分，并在同一安全域中只有一類數據信息。
  h)三級以下的安全域可以是嵌套結構。比如，在一個局域網組成的二級安全計算域中，可以有一個主機/服務器構成三級安全域。
  i)需要進行較低安全保護等級保護的數據信息所涉及的范圍一般大于需要進行較高安全保護等級保護的數據信息所涉及的范圍。
  j)需要進行高安全保護等級（如四級和五級）保護的數據信息通常應限定在較小的范圍內，就像傳統的辦公保密文件需要在保密室存檔一樣。

  B.1.4.2 安全域和安全保護等級劃分的方法

  a)明確信息系統中需要進行保護的數據信息的類別。
  在一個復雜的信息系統中，需要進行保護的數據信息可能涉及到各種數據信息類別。一般情況是：需要進行低級別保護的數據信息類分布比較廣泛；需要進行高級別保護的數據信息類分布相對集中。某些系統環境可以有五類數據信息中的每一類，另一些系統環境則只有其中的某幾類或某一類數據信息。在進行安全域和安全保護等級劃分前，首先要明確信息系統中需要進行保護的數據信息類別。
  b)按照同類數據信息相對集中的原則進行數據分布。
  根據信息系統中需要進行保護的數據信息類別，按照同類數據信息相對集中的原則進行數據分布，以便組織不同安全等級的安全域。對于與新設計信息系統同步進行安全設計的情況，這種數據信息相對集中的原則比較容易實現。對于已有信息系統安全方案的設計，由于各方面原因，會出現在一個主機/服務器上有多類數據存儲和處理的情況（高級別，如四級或五級應避免這種情況）。但是在可能的情況下應盡量考慮同類數據信息的存儲和處理相對集中。
  c)按數據信息類的分布，設置和確定安全計算域的安全保護等級
  對于第五類數據信息，原則上應設置專門的主機/服務器，按物理結構組成安全計算域。并在該安全域中只存儲和處理第五類數據信息，以便于實施最嚴格的安全保護。
  對于第四類數據信息，應盡量設置專門的主機/服務器，避免與低安全保護等級（一級、二級、三級）數據信息共用主機/服務器，按物理結構組成安全計算域，以便于實施嚴格的安全保護。
  對于第三類數據信息，可根據實際情況，單獨設置主機/服務器組成單一安全保護等級（三級）的安全計算域，或與第一類和第二類數據信息共用主機/服務器組成具有多安全保護等級（三級及以下各安全級）的安全計算域。
  對于第二類數據信息，可根據實際情況，單獨設置主機/服務器組成單一安全保護等級（二級）的安全計算域，或與第一類數據信息共用主機/服務器組成具有多安全保護等級（二級和一級）的安全計算域。
  對于只有第一類數據信息的信息系統，按地域相近的原則，構成一個或多各具有一級安全的安全計算域。
  d)按用戶所能訪問的數據信息類別，確定用戶域的安全保護等級
  安全用戶域的安全保護等級，完全取決于用戶所能訪問的數據信息的類別。并且，一個安全用戶域的安全保護等級，應根據該安全用戶域中的用戶能訪問的最高級別數據類來確定。在劃分安全用戶域時，就應考慮到把能訪問相同數據類且地域上接近的用戶終端計算機劃分為一個安全用戶域。
  e)按網絡所連接的安全計算域和安全用戶域的安全保護等級，確定安全網絡域的安全保護等級
  用于連接相同安全保護等級的安全計算域和/或安全用戶域的網絡環境構成的安全網絡域應具有與安全計算域同樣的安全保護等級。作為安全計算域組成部分的局域網所構成的安全網絡域應具有與該安全計算域相同的安全保護等級。