2.4 美國的信息安全等級化發展歷程

作為一直走在信息安全研究前列的大國，美國在計算機信息系統安全方面，突出體現了系統分類分級實施保護的發展思路，并制定了有關的技術標準、指南[11]，對國家一些重要的信息系統實現了安全分級、采用不同管理的工作模式。早在1970年，由美國國防科學委員會提出了TCSEC標準，它是計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1985年12月由美國國防部公布。

2.4.1 美國信息系統分級的思路

從目前的資料上看，美國在計算機信息系統的分級存在多樣性，但基本的思路是一致的，只不過分級的方法不同而已，已在不同分級方法中出現的作為劃分信息系統安全等級的因素[12]主要包括以下內容。

① 資產（包括有形資產和無形資產）：使用資產等級作為判斷系統等級重要因素的文件，如FIPS199、IATF、DITSCAP、NIST800-37等。

② 威脅：使用威脅等級作為判斷系統等級重要因素的文件，如IATF等。

③ 破壞后對國家、社會公共利益和單位或個人的影響：使用影響等級作為判斷系統等級重要因素的文件，如FIPS199，IATF等。

④ 單位業務對信息系統的依賴程度（DITSCAP）。

根據對上述因素的不同合成方式，分別可以確定如下。

① 系統強健度等級（IATF）：由信息影響與威脅等級決定。

② 系統認證級（DITSCAP）：由接口模式、處理模式、業務依賴、三性、不可否認性等7個方面取權值決定。

③ 系統影響等級（FIPS199）：根據信息三性的影響確定。

④ 安全認證級（NIST800-37）：根據系統暴露程度與保密等級確定。

由于不同的信息系統所隸屬的機構不同，美國兩大類主要信息系統（聯邦政府機構的信息系統及國防部信息系統）所參照的分級標準不盡相同，即所有聯邦政府機構按照美國國家標準與技術研究所（NIST）有關標準和指南的分級方法和技術指標；而國防部考慮到本身信息系統及所處理信息的特殊性，則是按照Do D 8500.2的技術方法進行系統分級[13]。下面重點介紹美國聯邦政府和國防部的有關標準和指南性文件。

美國聯邦信息處理標準（FIPS）是NIST制定的一類安全出版物，多為強制性標準。FIPS 199《聯邦信息和信息系統安全分類標準》（2003年12月最終版）描述了如何確定一個信息系統的安全類別。確定系統級別的落腳點在于系統中所處理、傳輸、存儲的所有信息類型的重要性。

信息和信息系統的安全類別是FIPS 199中提出的一種系統級別概念 [14]。

該定義是建立在某些事件的發生會對機構產生潛在影響的基礎上。具體以信息和信息系統的3類安全目標（保密性、完整性和可用性）來表現，即喪失了保密性、完整性或可用性，對機構運行、機構資產和個人產生的影響。FIPS 199定義了3種影響級：低、中、高[13]。

FIPS 199按照確定信息類型—確定信息的安全類別—確定系統的安全類別3個步驟進行系統最終的定級。

首先，確定系統內的所有信息類型。FIPS 199指出，一個信息系統內可能包含不止一種類型的信息（例如隱私信息、合同商敏感信息、專屬信息、系統安全信息等）[14]。

其次，根據3類安全目標，確定不同信息類型的潛在影響級別（低、中、高）。

最后，整合系統內所有信息類型的潛在影響級，按照取高原則，即選擇較高影響級別作為系統的影響級（低、中、高）。最終，系統安全類別（SC）的通用表達式為[14] SC需求系統＝{（保密性，影響級），（完整性，影響級），（可用性，影響級）}

為配合FIPS 199的實施，NIST分別于2004年6月推出了SP 800-60第一、二部分和《將信息和信息系統映射到安全類別的指南》及其附件。其中詳細地介紹了聯邦信息系統中可能運行的所有信息類型，并針對每一種信息類型，介紹了如何去選擇其影響級別，并給出了推薦采用的級別。這樣，系統在確定等級的第一步—確認信息類型，并確定其影響級別時，有了很好的參考意見。

美國國防部對信息系統的分級與聯邦政府有所不同，主要把信息系統的信息分類為業務保障類和保密類，同時對這兩類進行了分級的要求，該分級要求發布在2003年2月的信息保障實施指導書（8500.2）中。

總的來講，8500.2也采用了三性（完整性、可用性和保密性）對國防部的信息系統進行級別劃分。需要特別提出的是，考慮到完整性和可用性在很多時候是相互聯系的，無法完全分出，故在8500.2中將二者合為一體，提出一個新概念——業務保障類。同時考慮到國防部信息系統所處理信息的特殊性，故其分級依據為系統其對業務保障類的要求及所處理信息的保密程度，分別分為3個等級[13]。

保密類級別根據系統處理信息的保密類型（機密類、敏感類和公開類）來確定級別（高、中、基本）。業務保障級別和保密級別是相互獨立的，也就是說業務保障類Ⅰ可以處理公共信息，而業務保障類Ⅲ可以處理機密信息。不同級別的業務保障類和保密類相互組合，形成9種組合，體現不同系統的等級要求[14]。

綜上所述，無論是聯邦政府還是國防部，在考慮系統分級因素時，都給予了信息系統所處理、傳輸和存儲的信息很大的權重。NIST的系統影響級是完全建立在信息影響級基礎上；而國防部考慮到其所處理信息的密級，故將信息的保密性單獨作為一項指標。可見，系統所處理信息的重要性可作為我們劃分等級時的重要依據[14]。

2.4.2 安全措施的選擇

信息系統的保護等級確定后，有一整套的標準和指南規定如何為其選擇相應的安全措施。

NIST的SP 800-53《聯邦信息系統推薦安全控制》為不同級別的系統推薦了不同強度的安全控制集（包括管理、技術和運行類）。為幫助機構對它們的信息系統選擇合適的安全控制集，該指南提出了基線這一概念。基線安全控制是基于FIPS 199中的系統安全分類方法的最小安全控制集。針對3類系統影響級，800-53列出3套基線安全控制集（基本、中、高），分別對應于系統的影響等級[13]。

800-53中提出了3類安全控制：管理、技術和運行。每類又分若干個族（共18個），每個族又由不同的安全控制組成（共390個）。集合了美國各方面的控制措施的要求，來源[14]包括以下幾個方面。

① FISCAM：聯邦信息系統控制審計手冊。

② DOD 8500：信息保障實施指導書。

③ SP 800-26：信息技術系統安全自評估指南。

④ CMS：公共健康和服務部，醫療保障和公共醫療補助，核心安全需求。

⑤ DCID 6/3：保護信息系統的敏感隔離信息。

⑥ ISO 17799：信息系統安全管理實踐準則。

來源的廣泛性，體現了安全控制措施的適用性和恰當性。需要指出的是，800-53只是作為選擇最小安全控制的臨時性指南，NIST將于2005年12月推出FIPS 200《聯邦信息系統最小安全控制》標準，以進一步完善信息系統的安全控制[12]。

區別于SP 800-53中類的概念，國防部8500.2提出了域的概念，8個主題域分別為：安全設計與配置、標識與鑒別、飛地與計算環境、飛地邊界防御、物理和環境、人員、連續性、脆弱性和事件管理。每個主題域包含若干個安全控制。對應系統的業務保障類級別和保密類級別，安全控制也分為業務保障類安全控制Ⅰ、Ⅱ、Ⅲ級和保密類安全控制3級。機構可根據自身對業務保障類和保密類安全要求，選擇相應的安全控制[13]。

由以上介紹可以看出，美國在推行系統分級實施不同安全措施方面，雖然只是近幾年才開展，但已經積累了一些成熟的經驗，并形成了一套完整的體系[12]。

尤其是聯邦政府的信息系統，根據 2002 年《聯邦信息安全管理法案》（FISMA）（公共法律107-347），賦予了NIST以法定責任開發一系列的標準和指南。因此，從系統信息類型定義，到如何確定影響級，到安全控制的選擇，直至最終的系統安全驗證和授權，NIST都給出了配套的指南或標準來支持。這些都為我國推行等級保護鋪墊了良好的基礎，提供了有效的經驗[13]。