2.3 信息安全等级化保护思想的起源及发展

信息安全主要经历了信息保密、信息保护和信息保障3个发展阶段。信息保密是人们最早认识到的安全需求，20世纪80年代以前，人们对信息安全的认识仅停留在信息保密性的层次上；20世纪80年代至90年代，计算机网络的发展，使得计算机系统成为信息安全的主要保护对象，因此根据新的需求提出了保密性以外的另外两个安全属性—完整性和可用性，并把信息安全共识为保密性、完整性和可用性。20世纪90年代以后，随着Internet的全球化发展和应用，如何确定人们的身份和责任成为网络应用中必须考虑的新问题，为此提出了新的安全属性—可认证性（Authenticity）、不可否认性（Non-repudiation）和可追究性（Accountability）。此时，单纯的被动保护已经不能适应网络发展的安全需要，因此又延伸出了信息保障的概念，并在保护（Protect）、检测（Detect）、响应（React）和恢复（Restore）4个环节的基础上提出了纵深防御的思想。等级保护的概念同时在20世纪90年代提出，但当时因为等级保护的概念和安全要求复杂，技术门槛高，难以应用实施。近年来，由于网络应用的高速发展以及随之带来的众多信息安全问题的困扰，世界各国逐步从国家层面的高度，加强了等级保护安全体系的研究实施力度。

2.3.1 等级思想的起源

等级保护原本是美军的文件保密制度，即著名的多级安全（Multilevel Security，MLS）体系：人员授权和文件都分为绝密、机密、秘密和公开4个从高到低的安全等级，低安全等级的操作人员不应获取高安全等级的文件[9]。

20世纪60年代，正在大力进行信息化的美军发现，使用计算机系统无法实现这一真实世界中的体系，当不同安全等级的数据存放于同一个计算机系统中时，低密级的人员总能找到办法获取高密级的文件。这个问题是计算机系统的分时性（Time-Sharing）带来的：从计算方面看，使用多道程序（Multiprogramming）意味着多个作业同时驻留在计算机的主存中；从存储方面看，各个用户的数据都存储在同一个计算机中，因此一个用户的作业有可能会读取另一个用户的信息[9]。

1970年，兰德公司Ware指出，要把真实世界的等级保护体系映射到计算机中，在计算机系统中建立等级保护体系，必须重新设计现有的计算机系统。

1973年，数学家D.E.Bell和L.J.La Padula提出第一个形式化的安全模型—Bell-La Padula模型（简称BLP模型），从数学上证明在计算机中实现等级保护是可行的。BLP模型用一系列数学定理证明，满足以下3条规则的计算机系统可以具备多级安全保护能力[9]。

① 基本安全规则：操作人员可以读文件的充分必要条件是其等级不低于文件的等级。

② *-规则：操作人员可以修改文件的充分必要条件是其等级不高于文件的等级。

③ 自主安全规则：操作人员可以读或修改文件的充分必要条件是他得到了授权，可以读或修改该文件。

其中，基本安全规则是文件保密体系的翻版，*-规则是计算机特有的规则，是计算机系统要拥有多级安全支持能力必须具备的规则。规则①和规则②被合称为强制访问控制规则。规则③是一般计算机系统都支持的访问控制规则，优先级相对较低，对于规则③允许进行的操作，如果它违反了规则①和规则②，系统将会拒绝进行这种操作。

基于BLP模型，Honeywell公司开发出了第一个完全符合BLP模型的安全信息系统——SCOMP。实践证明该系统可以建立起符合等级保护要求的工作环境。

2.3.2 橘皮书和通用准则

很快，美国政府于1983年发布了《可信计算机系统评估准则》（TCSEC，即著名的橘皮书）。TCSEC分为7个测评等级，从低到高分别是D、C1、C2、B1、B2、B3和A1。随着安全等级的升高，系统要提供更多的安全功能点，每个高等级的需求都是建立在低等级的需求基础上，如图2-1所示。

第一个通过A1级测评的信息系统是SCOMP，此后有数十个信息系统通过测评，如曾在中国销售的HP VVOS。通过这些系统的开发，访问控制、身份鉴别、安全审计、可信路径、可信恢复和客体重用等安全机制的研究取得了巨大进展，结构化、层次化及信息隐藏等先进的软件工程设计理念也得到极大的推动，今天所使用的Windows、Linux、Oracle与DB2等软件都从中受益。但这些系统普遍没能在市场上大行其道，主要原因有以下几个方面[9]。

①美国对信息安全产品出口的限制影响了产品的市场拓展。

②这些系统为了达到高安全目标，不得不在性能、兼容性和易用性等方面做牺牲。

③ TCSEC自身不完备：TCSEC问世于1983年，当时网络时代已经曙光初现，但TCSEC仍然从主机时代的需求出发，没有针对网络安全提出明确要求。

尽管美国此后又推出了包括TCSEC面向可信网络的解释（TNI）等30多个解释性文件，但仍不能很好地测评网络应用安全软件。此外，该标准偏重于测评安全功能，不重视安全保证。

由于按照TCSEC测评的产品难以适应市场需求，所以TCSEC逐步退出历史舞台。随着TCSEC缺点的日益暴露，1991年，英、德、法、荷4国抛弃了TCSEC，制定了《信息技术安全评定标准》（ITSEC）。1996年，NSA宣布不再用TCSEC测评系统。随后，美国和加拿大与欧共体国家一起制定了1999年通过ISO认可的《通用准则》（ISO/IEC15408，即CC标准）。CC问世后完全取代了TCSEC和ITSEC等标准，成为信息技术安全评估领域唯一的国际标准[9]。

CC标准包括两个部分：一部分继承TCSEC，定义信息技术产品的安全功能需求；另一部分继承ITSEC，定义信息安全产品的安全保证需求。安全保证需求就是告诉用户信息系统在多大程度上达到了其声称具有的安全保护能力。CC标准根据安全保证要求的不同，建立了从功能性测试到形式化验证设计和测试的7级评估体系[9]。

从等级保护的思想上说，CC比TCSEC更认同实现安全的渠道多样性，从而扩充了测评的范围。TCSEC对信息安全保障的思路一刀切，对各类信息系统规定统一的安全要求，认为必须具备若干功能点的系统才算某个等级的可信系统。而CC则承认各类信息系统有灵活多样的信息安全解决方案，安全产品无需具有很多的功能点，而只需证明自己确实能够提供某种功能。

2.3.3 等级保护架构的发展

随着信息安全的技术和管理都发展到信息保障阶段，人们认识到，构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略和工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。安全架构IATF就是在这种背景下诞生的[9]。

2002年问世的IATF 3.1是IATF的最新版本，其最早的前身是1998年NSA推出的NSF 1.0。IATF为保护美国政府和工业界的信息与信息技术设施提供技术指南，它从整体和过程的角度看待信息安全问题，强调人、技术与操作3个核心原则，提出信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，其核心理念是：人借助技术的支持，实施一系列的操作过程，最终实现信息保障目标[9]。

IATF架构与信息安全等级保护在思想深处是相通的，都强调信息价值和安全管理成本的平衡，因此它所建立的安全原则，如全面保护（保护多个位置）和分层防护（纵深防御）等都已被纳入中国的等级保护体系架构中。

2.3.4 等级保护体系的新综合

在用户的安全需求和安全技术、管理安全及架构安全各方面进步的推动下，等级保护思想不断丰富和完善，等级保护体系迎来了一个新的综合时代。

2003年12月，美国通过了《联邦信息和信息系统安全分类标准》（FIPS199），描述了如何确定一个信息系统的安全类别。所谓安全类别，是指一个等级保护概念，其定义建立在事件的发生对机构产生潜在影响的基础上，具体以安全性的CIA三大目标来表现。其确定系统级别的依据是系统所处理、传输和存储的信息的重要性，包含低、中、高3个影响等级[9]。

为配合FIPS 199的实施，NIST分别于2004年6月推出了SP800-60第一、第二部分《将信息和信息系统映射到安全类别的指南》及其附件，详细介绍了联邦信息系统中可能运行的所有信息类型，针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。

信息系统的保护等级确定后，有一整套的标准和指南规定如何为其选择相应的安全措施。NIST的SP800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集（包括管理、技术和运行类）[10]。800-53还提出了3类安全控制：管理、技术和运行。800-53汇集了美国各方面的控制措施的要求，包括FISCAM（联邦信息系统控制审计手册）、SP800-26（信息技术系统安全自评估指南）和ISO17799（信息系统安全管理实践准则）等。无论从思想上、架构上还是行文上，800-53等标准都对GB/T22239等标准有直接的影响[9]。