缪彦深

摘要：信息安全等级保护是国家在经济发展和信息技术高度发达的新形势下，为维护国家安全、社会稳定而采取的信息化建设基本制度。实行信息安全等级保护制度，能够全面提高信息安全保障水平。本文结合实际案例，谈一谈信息安全等级保护等级过程及方法。对等级保护对象中客体与主体之间的联系进行分析和论证，目的是提请注意关于定级工作的重点，以利用业务信息安全保护等级矩阵形成的系统为系统安全、定级工作提供保障。

关键词：信息安全；等级保护；定级制度

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）03-0045-02

信息安全等级保护制度的建设，是随着经济建设和信息化建设的全面展开而进行的。对国家重要的信息系统等进行定级保护，可以提高信息系统的工作效率，在大数据、云计算的技术支持下，实现全系统的信息安全。为此国家多部门早已出台多项关于信息安全的制度和规定，明确说明国家信息安全保障工作的基本制度之一就是信息安全等级保护制度。其工作流程包含定级、对级别的建设和整改、测评建设整改工作、向主管公安部门备案；监管信息系统。其中首要阶段的定级工作，是作为等级保护的起始，为后面四个阶段的工作奠定基础。

1 信息系统安全等级保护政策概述

我国在信息技术的浪潮退推动下，各行各业都在面临信息化、智能化的转型升级带来的冲击和挑战。需要建设的信息化项目不断增多，很多领域的业务都要采用网络信息系统作为载体，因此，信息系统的数量和结构都在增加和复杂化，对信息进行等级保护就被提上了日程。

2008年，我国首部信息安全等级保护管理办法由公安部下发，信息系统有了等级的划分，并且对信息系统的保护也有了明确的管理规定。2008年，信息系统安全等级保护定级上升到了国家级别的标准，拥有了定级指南，对于信息系统安全等级定级工作来说，意味着拥有了定级的方法和准则。2009年，关于整改信息安全等级保护工作的指导意见证实下发，要求对信息安全等级保护的整改要按照测评工作的标准展开。这是第一次对信息安全等级保护测评体系的建设进行的规定。

2 信息系统的安全定级

在信息安全技术等级定级指南中，对于信息技术的重要性以及遭到破坏的危害性进行了详细的阐述，从公共安全、社会利益、公民权益等几个方面，将信息系统的安全等级划分为五个等级：

第一级为当信息安全被侵犯，国家利益、公共安全等合法权益就会被损坏，但是国家安全、社会利益和公共秩序不会受到损害。

第二级为当信息安全被侵犯，公民的合法权益就会被侵害，但是国家安全不会受到破坏。

第三级为当信息系统受到侵犯后，社会秩序和公共利益被损坏，进而产生对国家安全的损害。

第四级是信息系统受到破坏，社会秩序、公共利益、国家安全都会受到特别严重的损伤。

第五级是信息系统受到侵犯，国家安全被特别严重地损坏。

3 当前信息系统安全定级中存在的问题

1）定级对象不明确是信息系统安全定级中的常见问题。当信息系统在相同的网络环境中被按照独立的系统进行定级时，多个定级对象会重复出现环境和设备。以机房的EPR系统和OA系统以及配套为例，系统中如果使用到网络资源，就有可能产生相同的定级对象同时出现不同的网络设备的情况。

2）根据安全信息国家定级指南中对安全保护等级的定级要求。当受侵害客体为国家、社会、公民安全以及组织法人的合法权益时，客体的侵害程度可以分为一般、严重、特别严重。这种分类是比较抽象的。需要进行具体的描述，但是从目前的发函情况看，对于危害程度的描述还是过于倾向于主观判断，因此对客观情况的定级准确率不足，依据不足。

3）现有的定级报告皆是从模板中引用格式，参考定价指南，提供定级流程，引导结论的验证。从下表我们可以大概地看到定级要素和安全保护等级的关系：

表1

[受侵害的客体＼&一般损害＼&严重损害＼&特别严重的损害＼&公民、法人和组织的合法权益＼&第一级＼&第二级＼&第二级＼&社会利益、公共秩序＼&第二级＼&第三级＼&第四级＼&国家安全＼&第三级＼&第四级＼&第五级＼&]

对于基础数据的描述虽然也能显示出关于信息安全系统定级的重要意义，但是从系统的客观问题以及随时可能出现威胁和侵害的现象角度观察，很多关于信息安全等级定级的新方法还不能保证定级结果的准确性，很多定级报告不完善，缺乏依据，主观判断成分多，无法将信息安全系统的真实情况反映给决策层，对于工作的开展没有好处。

4 等级保护流程

等级保护的工作是循环的、动态发展的。将等级保护工作视为循环性强的工作对于工作流程加以分析，最终得到的是等级保护工作的流程图：

定级阶段：系统划分、等级确定；填写表格；

初步备案阶段：上报材料、专家评审，不符合安全等级规定的重新定级，最终进入初备案。

测评阶段：选定机构、测评、出具报告；

整改阶段：制订方案、专家论证、提出整改措施并实施；

复评阶段：对定级方案进行复评，得到最终的备案；

根据等级保护制度接受监管的阶段。

需要说明的是，等级保护工作的初始阶段：定级工作可以采用自行定级的方法，也可以委托第三方机构进行监管和测评。定级工作是所有阶段工作的基础。初备案阶段有一个重新定级的环节，主要是如果出现不公平、不公正或者定级不合格的情况，要对信息系统的等级评定工作进行复评选，并达到等级保护的要求，才能进行最终的备案。

5 信息安全定级方法

1）定級流程是参照定级指南进行的，包括了业务信息和系统服务等内容。首先是确定定级对象，然后确定业务信息安全受到破坏和侵害的客体，以及系统服务安全受到破坏和侵害的客体。两方面都要进行客体的侵害程度的评定，前者得出业务信息安全等级，后者得出系统服务安全等级，最后形成了定级对象的安全保护等级。

定级对象的选取根据定级指南的规定，具有一些特征，首先是拥有安全责任单位，第二是信息系统要素，第三是承载单一和独立的业务。在定级对象的业务应用上应该拥有共享的机房基础环境和网络设备等，这样就不会产生重复出现的定级对象。而且将物理环境、网络资源等纳入到信息系统中，形成具有单独优先定级权限的定级对象[1]。

对于受侵害的客体的损害程度的评分，要对危害后果等进行权重分析。参照的依据包括国家安全、社会利益、公众秩序、公民法人和组织的权益。客体的侵害程度在定義和解释上是简单而抽象的，要对危害程度进行具体的描述，就要规避主观判断、依据不足的问题。对客体的侵害程度进行确定，是需要参考很多元素的，要得到一个准确的定量，可以采用评分表的方法对危害后果予以打分。

表2

[危害后果＼&得分＼&权重＼&影响工作职能形式＼&＼&＼&降低业务能力＼&＼&＼&引起纠纷需要法律介入＼&＼&＼&财产损失＼&＼&＼&社会不良影响＼&＼&＼&损害到组织和个人＼&＼&＼&其他影响＼&＼&＼&]

根据对表格中的打分得到的数值和权重的分析，可以得出定级对象被破坏后可能产生的危害以及后果。不存在危害的数值为0，有危害程度较轻的数值为1，有危害程度较高的为2，后果严重的为3。不同的信息系统在服务内容、范围、对象上都不同，因此不同的得分和权重最能反映信息安全系统的实际情况。

确定安全保护等级是在所有流程结束后，得到的结论。这个结论包括客体对等级对象的侵害造成的危害，信息安全的保密性、可用性的情况，系统服务安全的及时性、有效性的问题等等。当业务信息安全和服务系统的客体侵害程度不同时，就要在定级过程中处理不同的危害后果。

2）定级表格的细化是为定级报告模板提供基础数据，并保证信息安全系统稳定可靠的重要保障。当系统内部问题导致其难以支撑定级结果后，采用系统定级的方法，就能够将信息系统的情况记载道定级表中。定级表包括了定级系统的用户情况以及定级系统的业务职能等情况，例如在行业和部门内的地位和作用。定级系统需要有备份系统作为应急措施，保证定级系统在关联系统受到破坏后不会受到数据传递等的影响。

6 案例分析

按照等级保护工作测评和定级的规定，确定信息系统的等级。某政府网站信息系统包括的板块为：政务公开、地方行政、法制建设、管理措施、领导讲话、网上办事大厅、新闻动态、政府公告、举报建议等，还专门开辟了一个下载板块，方便下载有用的电子表单加以填报。

在这个政府网站的信息系统中，制订了符合信息安全等级保护定级指南的流程和标准，通过分析，判断，研究等流程确定定级的系统。该网站的拥有者设立的专门的政府网站平台，由指定部门确定相关资料的搜集、采集、整理的过程方案。在这套流程中，信息生产者为企业，产生的资料是信息，管理信息的手段是利用科学技术，对外承担政务信息，拥有独立的业务，如办事流程、新闻发布会等。将各类任务的环境加以构建，就形成了政府网站中具有基本特征和要素的定级对象。对定级客体的邀请，要采取分析的方法，确保信息系统内的保密性和可用性。实际操作中只要能够保证信息的完整性和通用性，又增强了制作、发布、管理的职能建设，激发出参与者的完整性和保密性。提高可用概率。而系统服务安全有力地支撑着系统安全运行，并为信息安全系统提供有效的服务，达到地方网站发挥在定级中的作用，帮助提供服务，满足消费者的需求。采用了这种方法，网站信息系统的业务信息安全和系统服务安全都将是今后在企业运用中需要特别加以注意的。

例如：对于受侵害的客体，必须说明客体的情况，是否受到法律保护，等级保护中牵扯到的社会关系和合法权益。尤其是针对信息系统的客体的先后顺序进行判断，结合政府平台，实施政务信息公开。如果做不到政务信息公开，政府就要设置管理界限，发挥人的主观能动性，在知情权、业务能力、投诉与批评等阶段加大业务办理力度，最大可能地维护法人和代表组织的知情权，排弃受到破坏的客体，法人由于难以掺入个人组织中，直接投诉合法的法律法规，由于业务施工的进度过快，环节纷繁众多[2]。再由于受损教育可以对客体的积极主动性。方便法人和组织知情、办理业务、举报、投诉等。

对于客体造成的侵害进行后果的分析，无论是大型门户网站，还是在金融政策引领下，亲自感受到客体检查结果的影响，如信息安全管理等，都要注重网络平台的临时性。

7 结束语

要做好信息系统的安全保护等级的确定，就要采取正确的 （下转第51页）

（上接第46页）

策略以及方法，对信息安全管控产生依赖，保护过程中采取正确的策略和方法，等等。信息系统、安全等级保护不足的问题，都要求管理觉决策层加熬煮。在实际运行中，还要以定级指南为指导，综合信息系统的业务特征，切实推动信息技术等级保护工作的大力发展。

参考文献：

[1] 杨柳，侯立强，李红莲，等.空调办公建筑能耗预测回归模型[J].西安建筑科技大学学报：自然科学版，2015，47（5）：707-711.

[2] 周永战.谈第三方支付信息安全等级保护定级方法[C]//首届银行和第三方支付行业信息安全等级保护技术大会论文集，2013：69-71.