2.4 美国的信息安全等级化发展历程

作为一直走在信息安全研究前列的大国，美国在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并制定了有关的技术标准、指南[11]，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式。早在1970年，由美国国防科学委员会提出了TCSEC标准，它是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1985年12月由美国国防部公布。

2.4.1 美国信息系统分级的思路

从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素[12]主要包括以下内容。

① 资产（包括有形资产和无形资产）：使用资产等级作为判断系统等级重要因素的文件，如FIPS199、IATF、DITSCAP、NIST800-37等。

② 威胁：使用威胁等级作为判断系统等级重要因素的文件，如IATF等。

③ 破坏后对国家、社会公共利益和单位或个人的影响：使用影响等级作为判断系统等级重要因素的文件，如FIPS199，IATF等。

④ 单位业务对信息系统的依赖程度（DITSCAP）。

根据对上述因素的不同合成方式，分别可以确定如下。

① 系统强健度等级（IATF）：由信息影响与威胁等级决定。

② 系统认证级（DITSCAP）：由接口模式、处理模式、业务依赖、三性、不可否认性等7个方面取权值决定。

③ 系统影响等级（FIPS199）：根据信息三性的影响确定。

④ 安全认证级（NIST800-37）：根据系统暴露程度与保密等级确定。

由于不同的信息系统所隶属的机构不同，美国两大类主要信息系统（联邦政府机构的信息系统及国防部信息系统）所参照的分级标准不尽相同，即所有联邦政府机构按照美国国家标准与技术研究所（NIST）有关标准和指南的分级方法和技术指标；而国防部考虑到本身信息系统及所处理信息的特殊性，则是按照Do D 8500.2的技术方法进行系统分级[13]。下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。

美国联邦信息处理标准（FIPS）是NIST制定的一类安全出版物，多为强制性标准。FIPS 199《联邦信息和信息系统安全分类标准》（2003年12月最终版）描述了如何确定一个信息系统的安全类别。确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。

信息和信息系统的安全类别是FIPS 199中提出的一种系统级别概念 [14]。

该定义是建立在某些事件的发生会对机构产生潜在影响的基础上。具体以信息和信息系统的3类安全目标（保密性、完整性和可用性）来表现，即丧失了保密性、完整性或可用性，对机构运行、机构资产和个人产生的影响。FIPS 199定义了3种影响级：低、中、高[13]。

FIPS 199按照确定信息类型—确定信息的安全类别—确定系统的安全类别3个步骤进行系统最终的定级。

首先，确定系统内的所有信息类型。FIPS 199指出，一个信息系统内可能包含不止一种类型的信息（例如隐私信息、合同商敏感信息、专属信息、系统安全信息等）[14]。

其次，根据3类安全目标，确定不同信息类型的潜在影响级别（低、中、高）。

最后，整合系统内所有信息类型的潜在影响级，按照取高原则，即选择较高影响级别作为系统的影响级（低、中、高）。最终，系统安全类别（SC）的通用表达式为[14] SC需求系统＝{（保密性，影响级），（完整性，影响级），（可用性，影响级）}

为配合FIPS 199的实施，NIST分别于2004年6月推出了SP 800-60第一、二部分和《将信息和信息系统映射到安全类别的指南》及其附件。其中详细地介绍了联邦信息系统中可能运行的所有信息类型，并针对每一种信息类型，介绍了如何去选择其影响级别，并给出了推荐采用的级别。这样，系统在确定等级的第一步—确认信息类型，并确定其影响级别时，有了很好的参考意见。

美国国防部对信息系统的分级与联邦政府有所不同，主要把信息系统的信息分类为业务保障类和保密类，同时对这两类进行了分级的要求，该分级要求发布在2003年2月的信息保障实施指导书（8500.2）中。

总的来讲，8500.2也采用了三性（完整性、可用性和保密性）对国防部的信息系统进行级别划分。需要特别提出的是，考虑到完整性和可用性在很多时候是相互联系的，无法完全分出，故在8500.2中将二者合为一体，提出一个新概念——业务保障类。同时考虑到国防部信息系统所处理信息的特殊性，故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度，分别分为3个等级[13]。

保密类级别根据系统处理信息的保密类型（机密类、敏感类和公开类）来确定级别（高、中、基本）。业务保障级别和保密级别是相互独立的，也就是说业务保障类Ⅰ可以处理公共信息，而业务保障类Ⅲ可以处理机密信息。不同级别的业务保障类和保密类相互组合，形成9种组合，体现不同系统的等级要求[14]。

综上所述，无论是联邦政府还是国防部，在考虑系统分级因素时，都给予了信息系统所处理、传输和存储的信息很大的权重。NIST的系统影响级是完全建立在信息影响级基础上；而国防部考虑到其所处理信息的密级，故将信息的保密性单独作为一项指标。可见，系统所处理信息的重要性可作为我们划分等级时的重要依据[14]。

2.4.2 安全措施的选择

信息系统的保护等级确定后，有一整套的标准和指南规定如何为其选择相应的安全措施。

NIST的SP 800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集（包括管理、技术和运行类）。为帮助机构对它们的信息系统选择合适的安全控制集，该指南提出了基线这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。针对3类系统影响级，800-53列出3套基线安全控制集（基本、中、高），分别对应于系统的影响等级[13]。

800-53中提出了3类安全控制：管理、技术和运行。每类又分若干个族（共18个），每个族又由不同的安全控制组成（共390个）。集合了美国各方面的控制措施的要求，来源[14]包括以下几个方面。

① FISCAM：联邦信息系统控制审计手册。

② DOD 8500：信息保障实施指导书。

③ SP 800-26：信息技术系统安全自评估指南。

④ CMS：公共健康和服务部，医疗保障和公共医疗补助，核心安全需求。

⑤ DCID 6/3：保护信息系统的敏感隔离信息。

⑥ ISO 17799：信息系统安全管理实践准则。

来源的广泛性，体现了安全控制措施的适用性和恰当性。需要指出的是，800-53只是作为选择最小安全控制的临时性指南，NIST将于2005年12月推出FIPS 200《联邦信息系统最小安全控制》标准，以进一步完善信息系统的安全控制[12]。

区别于SP 800-53中类的概念，国防部8500.2提出了域的概念，8个主题域分别为：安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全控制。对应系统的业务保障类级别和保密类级别，安全控制也分为业务保障类安全控制Ⅰ、Ⅱ、Ⅲ级和保密类安全控制3级。机构可根据自身对业务保障类和保密类安全要求，选择相应的安全控制[13]。

由以上介绍可以看出，美国在推行系统分级实施不同安全措施方面，虽然只是近几年才开展，但已经积累了一些成熟的经验，并形成了一套完整的体系[12]。

尤其是联邦政府的信息系统，根据 2002 年《联邦信息安全管理法案》（FISMA）（公共法律107-347），赋予了NIST以法定责任开发一系列的标准和指南。因此，从系统信息类型定义，到如何确定影响级，到安全控制的选择，直至最终的系统安全验证和授权，NIST都给出了配套的指南或标准来支持。这些都为我国推行等级保护铺垫了良好的基础，提供了有效的经验[13]。