第1章 信息安全等级保护及其发展状况

信息安全等级保护可以简单地理解为通过划分等级的方法实现保护信息安全的目标。由于安全保护主要针对信息系统的存储、传输和处理的数据信息，所以从信息系统安全方案设计的角度，本书将信息安全等级保护称为“信息系统等级保护”。

划分等级的方法是指将涉及信息安全的相关内容和方法划分为不同等级，以实现不同的安全保护目标。其中信息安全保护的相关内容和方法包括对数据信息进行存储、传输和处理的信息系统的安全保护所采用的安全技术措施和安全管理措施。

划分等级的方法可以分为两大类，一类是从技术角度划分，另一类是从管理角度划分。二者的根本区别在于从技术角度划分主要以信息安全的基本要素为单位，对实现相应安全功能的安全技术和机制提出不同要求；从管理角度划分主要是以信息系统的安全为目标，对实现不同安全要求的信息系统提出不同要求。从实施信息安全等级保护制度出发，由于作为最终目标的信息安全是通过对信息和信息系统的安全保护实现的，所以从技术角度或管理角度进行安全等级划分，进而为实现不同安全等级信息系统的安全保护提供支持。当然对于没有实施信息安全等级保护制度的情况，从技术角度所进行的安全等级划分对于研究和区别不同安全技术和机制所实现的具有不同安全等级的信息安全产品，进而合理地使用这些产品同样具有十分重要的意义和作用。这就是为什么在国外虽然没有把信息安全等级保护作为一项制度，但仍然对信息安全技术和产品进行安全等级划分的原因。

在国外，最早的信息安全标准是美国国防部推出的《可信计算机系统评估准则》（TCSEC），以及由此产生的一系列从技术角度进行等级划分的信息安全标准。这种类型的标准对信息安全所进行的等级划分，其主要特点是以信息安全的要素作为划分安全等级的基本单位。不同安全等级对各个安全要素有不同的要求，从而确定不同安全产品的不同安全等级。我国最早的信息安全分等级标准GB 17859—1999《计算机信息系统安全保护等级划分准则》也是从技术的角度进行等级划分，它根据我国信息安全技术发展的实际情况，以TCSEC为基本参考确定了10个安全要素并按这些安全要素对计算机信息系统的安全保护等级进行划分。显然随着信息技术和信息安全技术的发展，这10个安全要素已经远远不能覆盖当前信息系统所涉及的信息安全问题。

我国当前所实施的信息安全等级保护制度是从管理角度进行等级划分的典型代表，公通字[2004] 66号文件和公通字[2007]43号文件关于对信息和信息系统进行等级划分的描述是从管理角度对信息和信息系统进行的等级划分，或者说是根据信息和信息系统对安全保护的需求进行的等级划分。如果说中办[2003]27 号文件确定了信息安全等级保护作为我国实现国家信息安全的一项基本制度的话，那么在这之前我国所制定的一些标准主要是从技术角度进行安全等级划分，而在此之后则转变为从管理角度进行安全等级划分。按照我国信息安全等级保护制度的要求，从管理角度划分安全等级所涉及的内容应该涵盖从技术角度划分安全等级的内容。因为一项制度的实施既要有管理方面的措施，也需要有技术方面的支持。从管理角度划分安全等级的要求主要体现在信息安全的有关政策法规中，而从技术角度划分安全等级的要求则主要体现在信息安全的相关标准中。

需要指出的是，到目前为止，把信息安全等级保护明确规定为一项实现国家信息安全的制度在国外还不多见。所以说，我国当前所实行的信息安全等级保护制度是一种具有创新性和挑战性的工作。如果说我国是通过实施信息安全等级保护制度，采用对信息系统进行分等级管理的方法实现信息系统的安全保护，那么国外普遍采用的则是通过风险管理的方法来实现信息系统的安全保护。这两种实现信息系统安全保护的管理方法都需要按照从技术角度进行安全等级划分所提供的不同安全等级的安全技术和安全产品的支持，因为重点保护和适度保护的思想无论对于哪一种管理方法都是适用的。

由于信息安全技术与信息技术是密不可分的，所以信息安全技术所反映的特性也称为“信息技术的安全性”。信息安全技术的发展寓于信息技术的发展之中，信息安全等级保护是信息安全的组成部分，所以本章关于信息安全等级保护及其发展状况的描述只能是对信息技术、信息安全技术和信息安全等级保护及其发展状况的统一描述。

本章将从信息安全发展简介、理解和认识我国信息安全等级保护，以及国外信息安全等级划分等方面说明信息安全等级保护及其发展状况。