- 信息安全等級保護測評與整改指導手冊
- 郭鑫編著
- 2873字
- 2021-04-14 11:36:27
3.1.5 定級方法
1.定級的一般流程
信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定。
從業務信息安全角度反映的信息系統安全保護等級稱為業務信息安全保護等級。
從系統服務安全角度反映的信息系統安全保護等級稱為系統服務安全保護等級。
確定信息系統安全保護等級的一般流程如下。
1)確定作為定級對象的信息系統。
2)確定業務信息安全受到破壞時所侵害的客體。
3)根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度。
4)依據表3.2,得到業務信息安全保護等級。
5)確定系統服務安全受到破壞時所侵害的客體。
6)根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度。
7)依據表3.3,得到系統服務安全保護等級。
8)將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級。
上述步驟如圖3.1所示。

● 圖3.1 確定等級的一般流程
2.確定定級對象
一個單位內運行的信息系統可能比較龐大,為了體現重要部分的重點保護,有效控制信息安全建設成本,優化信息安全資源配置的等級保護原則,可將較大的信息系統劃分為若干個較小的、可能具有不同安全保護等級的定級對象。
作為定級對象的信息系統應具有如下基本特征。
1)具有唯一確定的安全責任單位。作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任,則這個下級單位可以成為信息系統的安全責任單位;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。
2)具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。
3)承載單一或相對獨立的業務應用。定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立,且與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。
3.確定受侵害的客體
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。
侵害國家安全的事項包括以下方面。
● 影響國家政權穩固和國防實力。
● 影響國家統一、民族團結和社會安定。
● 影響國家對外活動中的政治、經濟利益。
● 影響國家重要的安全保衛工作。
● 影響國家經濟競爭力和科技實力。
● 其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面。
● 影響國家機關社會管理和公共服務的工作秩序。
● 影響各種類型的經濟活動秩序。
● 影響各行業的科研、生產秩序。
● 影響公眾在法律約束和道德規范下的正常生活秩序等。
● 其他影響社會秩序的事項。
影響公共利益的事項包括以下方面。
● 影響社會成員使用公共設施。
● 影響社會成員獲取公開信息資源。
● 影響社會成員接受公共服務等方面。
● 其他影響公共利益的事項。
影響公民、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。
確定作為定級對象的信息系統受到破壞后所侵害的客體時,應首先判斷是否侵害國家安全,然后判斷是否侵害社會秩序或公眾利益,最后判斷是否侵害公民、法人和其他組織的合法權益。
各行業可根據本行業業務特點,分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關系,從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。
4.確定對客體的侵害程度
(1)侵害的客觀方面
在客觀方面,對客體的侵害外在表現為對定級對象的破壞,其危害方式表現為對信息安全的破壞和對信息系統服務的破壞,其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等,系統服務安全是指確保信息系統可以及時、有效地提供服務,以完成預定的業務目標。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同,在定級過程中,需要分別處理這兩種危害方式。
信息安全和系統服務安全受到破壞后,可能產生以下危害后果。
● 影響行使工作職能。
● 導致業務能力下降。
● 引起法律糾紛。
● 導致財產損失。
● 造成社會不良影響。
● 對其他組織和個人造成損失。
● 其他影響。
(2)綜合判定侵害程度
侵害程度是客觀方面的不同外在表現的綜合體現,因此,應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同,例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍、用戶人數或業務量等不同方面確定,業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。
在針對不同的受侵害客體進行侵害程度的判斷時,應參照以下不同的判別基準。
● 如果受侵害客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判斷侵害程度的基準。
● 如果受侵害客體是社會秩序、公共利益或國家安全,則應以整個行業或國家的總體利益作為判斷侵害程度的基準。
不同危害后果的三種危害程度描述如下。
● 一般損害:工作職能受到局部影響,業務能力有所降低但不影響主要功能的執行,出現較輕的法律問題,較低的財產損失,有限的社會不良影響,對其他組織和個人造成較低損害。
● 嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能執行,出現較嚴重的法律問題,較高的財產損失,較大范圍的社會不良影響,對其他組織和個人造成比較嚴重的損害。
● 特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業務能力嚴重下降且或功能無法執行,出現極其嚴重的法律問題,極高的財產損失,大范圍的社會不良影響,對其他組織和個人造成非常嚴重的損害。
信息安全和系統服務安全被破壞后對客體的侵害程度,由對不同危害結果的危害程度進行綜合評定得出。由于各行業信息系統所處理的信息種類和系統服務特點各不相同,信息安全和系統服務安全受到破壞后關注的危害結果、危害程度的計算方式均可能不同,各行業可根據本行業信息特點和系統服務特點,制訂危害程度的綜合評定方法,并給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。
5.確定定級對象的安全保護等級
根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表3.2業務信息安全保護等級矩陣表,即可得到業務信息安全保護等級。
表3.2 業務信息安全保護等級矩陣表

根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表3.3系統服務安全保護等級矩陣表,即可得到系統服務安全保護等級。
表3.3 系統服務安全保護等級矩陣表

作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。
- Extending Symfony2 Web Application Framework
- DevSecOps敏捷安全
- 白帽子講Web安全(紀念版)
- 黑客攻防入門秘笈
- Penetration Testing with Perl
- 走進新安全:讀懂網絡安全威脅、技術與新思想
- Kali Linux Network Scanning Cookbook(Second Edition)
- ARM匯編與逆向工程:藍狐卷·基礎知識
- 云原生安全技術實踐指南
- 信息安全等級保護測評與整改指導手冊
- 信息安全導論(第2版)
- 捍衛隱私
- Cybersecurity Threats,Malware Trends,and Strategies
- Mastering Python for Networking and Security
- 云計算安全防護技術