对美国信息系统等级化保护的探讨

等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国，作为一直走在信息安全研究前列的大国，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。

一、美国信息系统分级的思路
从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：
1. 资产（包括有形资产和无形资产）（使用资产等级作为判断系统等级重要因素的文件如FIPS199，IATF，DITSCAP，NIST800-37等）；
2. 威胁（使用威胁等级作为判断系统等级重要因素的文件如IATF等）；
3. 破坏后对国家、社会公共利益和单位或个人的影响（使用影响等级作为判断系统等级重要因素的文件如FIPS199，IATF等）；
4. 单位业务对信息系统的依赖程度（DITSCAP）；

根据对上述因素的不同合成方式，分别可以确定：
1.系统强健度等级（IATF）：由信息影响与威胁等级决定；
2.系统认证级（DITSCAP）：由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定；
3.系统影响等级（FIPS199）：根据信息三性的影响确定；
4.安全认证级（NIST800-37）：根据系统暴露程度与保密等级确定。

由于不同的信息系统所隶属的机构不同，美国两大类主要信息系统：联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同，即：所有联邦政府机构按照美国国家标准与技术研究所（NIST）有关标准和指南的分级方法和技术指标；而国防部考虑到本身信息系统及所处理信息的特殊性，则是按照DoD 8500.2的技术方法进行系统分级。下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。

美国联邦信息处理标准（FIPS）是（NIST）制定的一类安全出版物，多为强制性标准。FIPS 199 《联邦信息和信息系统安全分类标准》（2003年12月最终版）描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。

信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。具体以信息和信息系统的三类安全目标（保密性、完整性和可用性）来表现，即，丧失了保密性、完整性或可用性，对机构运行、机构资产和个人产生的影响。FIPS 199定义了三种影响级：低、中、高。
FIPS 199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。

首先，确定系统内的所有信息类型。FIPS 199指出，一个信息系统内可能包含不止一种类型的信息（例如隐私信息、合同商敏感信息、专属信息、系统安全信息等）。
其次，根据三类安全目标，确定不同信息类型的潜在影响级别（低、中、高）。
最后，整合系统内所有信息类型的潜在影响级，按照“取高”原则，即选择较高影响级别作为系统的影响级（低、中、高）。最终，系统安全类别（SC）的通用表达式为：
SC需求系统＝{(保密性，影响级)，(完整性，影响级)，(可用性，影响级)}

为配合FIPS 199的实施，NIST分别于2004年6月推出了SP 800－60第一、二部分，《将信息和信息系统映射到安全类别的指南》及其附件。其中详细的介绍了联邦信息系统中可能运行的所有信息类型；并针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。这样，系统在确定等级的第一步—确认信息类型，并确定其影响级别时，有了很好的参考意见。

而美国国防部对信息系统的分级与联邦政府有所不同，主要把信息系统的信息分类为业务保障类和保密类，同时对这两类进行了分级的要求，该分级要求发布在2003年2月的信息保障实施指导书（8500.2）中。

总的来讲，8500.2也采用了三性：完整性、可用性和保密性对国防部的信息系统进行级别划分。需要特别提出的是，考虑到完整性和可用性在很多时候是相互联系的，无法完全分出，故在8500.2中将二者合为一体，提出一个新概念“业务保障类”。同时考虑到国防部信息系统所处理的信息的特殊性，故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度，分别分为三个等级。

保密类级别根据系统处理信息的保密类型：机密类、敏感类和公开类来确定级别（高、中、基本）。业务保障级别和保密级别是相互独立的，也就是说业务保障类I可以处理公共信息，而业务保障类III可以处理机密信息。不同级别的业务保障类和保密类相互组合，形成九种组合，体现不同系统的等级要求。

综上所述，无论是联邦政府还是国防部，在考虑系统分级因素的时候，都给予了信息系统所处理、传输和存储的信息以很大的权重。NIST的系统影响级是完全建立在信息影响级基础之上的；而国防部考虑到其所处理的信息的密级，故将信息的保密性单独作为一项指标。可见，系统所处理的信息的重要性可作为我们划分等级时的重要依据。

二、安全措施的选择
信息系统的保护等级确定后，有一整套的标准和指南规定如何为其选择相应的安全措施。
NIST 的SP 800－53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集（包括管理、技术和运行类）。为帮助机构对它们的信息系统选择合适的安全控制集，该指南提出了基线这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。针对三类系统影响级，800－53列出三套基线安全控制集（基本、中、高），分别对应于系统的影响等级。

800－53中提出了三类安全控制：管理、技术和运行。每类又分若干个族（共18个），每个族又由不同的安全控制组成（共390个）。集合了美国各方面的控制措施的要求，来源包括:
1.FISCAM (联邦信息系统控制审计手册)；
2.DOD 8500 （信息保障实施指导书）；
3.SP 800-26(信息技术系统安全自评估指南)；
4.CMS （公共健康和服务部，医疗保障和公共医疗补助，核心安全需求）；
5.DCID 6/3 (保护信息系统的敏感隔离信息)；
6.ISO 17799 （信息系统安全管理实践准则）。

来源的广泛性，体现了安全控制措施的适用性和恰当性。需要指出的是，800－53只是作为选择最小安全控制的临时性指南，NIST将于2005年12月推出FIPS 200 《联邦信息系统最小安全控制》标准，以进一步完善信息系统的安全控制。

区别于SP 800-53中“类”的概念，国防部8500.2提出了“域”的概念，八个主题域分别为：安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全控制。对应系统的业务保障类级别和保密类级别，安全控制也分为业务保障类安全控制I、II、III级和保密类安全控制三级。机构可根据自身对业务保障类和保密类安全要求，选择相应的安全控制。

由以上介绍可以看出，美国在推行系统分级实施不同安全措施方面，虽然只是近几年才开展，但已经积累了一些成熟的经验，并形成了一套完整的体系。尤其是联邦政府的信息系统，根据2002年《联邦信息安全管理法案》（FISMA）（公共法律107－347），赋予了NIST以法定责任开发一系列的标准和指南。因此，从系统信息类型定义，到如何确定影响级，到安全控制的选择，直至最终的系统安全验证和授权，NIST都给出了配套的指南或标准来支持。这些都为我国推行等级保护铺垫了良好的基础，提供了有效的经验。

参考文献
1．FIPS PUB 199 , Standards for Security Categorization of Federal Information and Information Systems . 2003.
2．《信息保障技术框架》. 2002.
3． DoD Information Technology Security Certification and Accreditation Process . 1997.
4． NIST SP 800-37, Guide for the Security Certification and Accreditation of Federal Information Systems. 2004.
5． NIST SP 800-60, Volume I: Guide for Mapping Types of Information and Information Systems to Security Categories. 2004.
6． NIST SP 800-60, Volume II: Appendices to Guide for Mapping Types of Information and Information Systems to Security Categories. 2004.