计算机信息系统安全保护等级划分准则GB17859-1999中国信息安全等级保护的基石
《计算机信息系统安全保护等级划分准则》(GB17859-1999):中国信息安全等级保护的基石
《计算机信息系统安全保护等级划分准则》(GB17859-1999):中国信息安全等级保护的基石
《计算机信息系统安全保护等级划分准则》(GB17859-1999) 是中国信息安全领域具有里程碑意义的强制性国家标准,它首次系统性地定义了计算机信息系统安全保护能力的五个递进等级。该标准不仅是我国“信息安全等级保护制度”(简称“等保”)的理论基础和核心依据,更是指导各类信息系统进行安全规划、建设、测评与监管的权威框架。它从访问控制、审计、身份鉴别、安全标记、系统完整性等多个维度,为不同重要程度和风险等级的信息系统设定了明确的安全目标与技术要求。理解这五个等级的内涵,是构建符合中国法规要求的安全体系的首要前提,对政府、金融、能源、通信等关键行业的信息系统安全至关重要。
一、等级保护框架/介绍
GB17859-1999 采用分等级、递进式的安全保护思想,将信息系统的安全能力划分为五个由低到高的级别。每个高级别都完全包含前一级别的所有安全功能,并在此基础上增加更严格、更全面的安全机制。这种设计体现了“适度安全”的原则,允许根据系统所处理信息的重要性和面临的风险,选择相应的保护等级,避免“一刀切”带来的资源浪费或保护不足。
等级保护的核心安全维度:
- 身份鉴别 (Identification & Authentication):确认用户身份的真实性。
- 访问控制 (Access Control):决定主体(用户、进程)对客体(文件、数据、设备)的操作权限。
- 安全审计 (Security Audit):记录和审查系统活动,用于追溯和分析。
- 数据完整性 (Data Integrity):防止数据被非授权篡改。
- 数据保密性 (Data Confidentiality):防止数据被非授权泄露。
- 客体重用 (Object Reuse):确保被释放的资源(如内存、磁盘空间)中的敏感信息被清除。
- 用户数据保护 (User Data Protection):保护用户信息的机密性和完整性。
- 可信路径 (Trusted Path):为用户提供与系统安全功能之间安全的通信通道。
- 隐蔽通道分析 (Covert Channel Analysis):识别和处理非正常通信路径带来的信息泄露风险。
- 可信恢复 (Trusted Recovery):系统故障后能安全地恢复到正常状态。
五个等级的演进关系:
第1级: 用户自主保护级
第2级: 系统审计保护级
第3级: 安全标记保护级
第4级: 结构化保护级
第5级: 访问验证保护级
二、五个安全保护等级详解
2.1 第1级:用户自主保护级 (User Autonomous Protection Level)
这是最低级别的安全保护,主要面向普通用户环境,如个人计算机或小型办公网络。
- 核心机制:
- 自主访问控制 (DAC):系统提供基本的用户账户管理,允许用户(或文件所有者)自主地为其创建的文件或数据设置访问权限(如读、写、执行)。权限的授予和撤销由用户自行决定。
- 用户与数据隔离:通过用户账户和文件权限,实现不同用户之间的数据隔离,防止普通用户随意访问他人数据。
- 安全目标:
- 保护用户个人数据的基本机密性,防止来自同一系统内其他普通用户的非授权访问。
- 提供最基础的身份鉴别(如用户名/密码登录)。
- 局限性:
- 缺乏强制性的安全策略,安全性依赖于用户的自我管理。
- 无审计功能,无法追踪用户行为。
- 无法抵御来自系统管理员或恶意软件的攻击。
- 典型应用:家庭电脑、非关键业务的内部办公电脑。
2.2 第2级:系统审计保护级 (System Audit Protection Level)
在第1级的基础上,增加了审计功能和更细粒度的访问控制,适用于对安全性有一定要求的一般性业务系统。
- 核心增强:
- 更细粒度的自主访问控制:权限控制可以细化到更具体的对象和操作。
- 安全审计 (Security Audit):系统能够选择性地记录与安全相关的事件,如用户登录/登出、重要文件的访问、权限变更等。审计记录应包含事件类型、主体、客体、事件结果、时间戳等信息。
- 审计追踪保护:审计记录本身需要受到保护,防止被未授权的访问、修改或删除。
- 安全目标:
- 实现对用户行为的可追溯性。当发生安全事件时,可以通过审计日志进行调查和责任认定。
- 通过审计威慑,减少内部人员的恶意或疏忽行为。
- 提供比第1级更强的资源隔离能力。
- 典型应用:中小企业内部的财务系统、人事管理系统、一般性的网站后台。
2.3 第3级:安全标记保护级 (Security Labels Protection Level)
这是等级保护实践中的关键分水岭,引入了强制访问控制 (MAC) 和安全标记,适用于处理重要信息的系统,是许多关键行业(如政府、金融)的基本要求。
- 核心增强:
- 安全标记 (Security Labels):为系统中的主体(用户、进程)和客体(文件、数据、设备)分配不可篡改的安全属性标签。这些标签通常包含密级(如绝密、机密、秘密、内部)和范畴(如部门、项目)。
- 强制访问控制 (MAC):访问决策不再由用户自主决定,而是由系统根据预定义的强制安全策略(如Bell-LaPadula模型)和主体/客体的安全标记自动仲裁。例如,“高密级用户可以读取低密级文件,但低密级用户不能读取高密级文件”(不上读),“高密级用户可以向低密级文件写入,但低密级用户不能向高密级文件写入”(不下写)。
- 输出信息标记:系统在输出信息(如打印、显示、网络传输)时,必须准确地附带其安全标记,确保信息在离开系统后仍能被识别和保护。
- 安全目标:
- 实现信息的机密性和完整性的强制性保护,有效防止信息的越权访问和泄露。
- 建立基于策略的、系统级的安全管控,减少对用户自觉性的依赖。
- 典型应用:政府机关的办公自动化系统、金融机构的核心交易系统、涉及国家秘密或敏感商业信息的系统。
2.4 第4级:结构化保护级 (Structured Protection Level)
在第3级的基础上,强调安全功能的结构化设计和形式化验证,适用于处理极其重要信息且面临高威胁环境的系统。
- 核心增强:
- 形式化安全策略模型:安全策略需要有明确定义的、数学化的模型作为基础,确保其逻辑的严密性和完备性。
- 结构化设计:将系统划分为关键保护元素(如安全内核、访问控制模块)和非关键元素,并对关键元素进行结构化设计,降低其复杂性,便于分析和验证。
- 隐蔽通道分析:系统需要识别和评估潜在的隐蔽通道(Covert Channels),即那些未被设计为通信路径但可用于传递信息的非正常通道(如通过文件大小、系统负载等)。并采取措施带宽限制或消除这些通道。
- 增强的鉴别机制:采用更强大的身份鉴别技术,如双因素认证(密码+令牌/生物特征)。
- 增强的配置管理:对系统安全相关的配置进行严格控制和审计。
- 安全目标:
- 提供高抗渗透能力,能够抵御来自外部的复杂攻击和内部的恶意行为。
- 确保安全机制本身的设计是健壮和可信的。
- 典型应用:国家级关键信息基础设施、军事指挥系统、核心电力调度系统。
2.5 第5级:访问验证保护级 (Access Verification Protection Level)
这是最高等级的安全保护,要求系统具备形式化验证和高抗篡改能力,适用于保护绝密级信息的极端关键系统。
- 核心增强:
- 访问监控器 (Reference Monitor):系统必须实现一个访问监控器,它是一个逻辑上的模块,负责仲裁(Arbitrate)每一次主体对客体的访问请求。它必须满足三个关键特性:
- 总在仲裁 (Always Invoked):每次访问都必须经过它。
- 防篡改 (Tamperproof):监控器本身不能被修改或绕过。
- 可分析 (Small Enough to Be Subject to Analysis):其设计足够简单,可以进行形式化验证,证明其正确实现了安全策略。
- 最小化复杂性 (Minimal Complexity):系统设计遵循“最小特权”和“简单性”原则,减少潜在的漏洞。
- 支持安全管理员职能:提供专门的安全管理功能,如安全策略配置、审计日志分析、用户权限管理等,并对安全管理员的操作进行严格审计。
- 增强的审计和系统恢复:审计功能更全面,支持更复杂的分析。具备强大的可信恢复 (Trusted Recovery) 能力,确保系统在崩溃或被攻击后能安全地恢复到已知的良好状态。
- 访问监控器 (Reference Monitor):系统必须实现一个访问监控器,它是一个逻辑上的模块,负责仲裁(Arbitrate)每一次主体对客体的访问请求。它必须满足三个关键特性:
- 安全目标:
- 提供极高的抗渗透和抗篡改能力,能够抵御国家级别的高级持续性威胁(APT)。
- 通过形式化方法,数学上证明系统安全策略的正确实现。
- 典型应用:国家最高机密的处理系统、核武器控制系统等极少数极端关键的系统。
三、总结
GB17859-1999 五个安全等级核心能力对比:
| 安全能力 | 第1级 | 第2级 | 第3级 | 第4级 | 第5级 |
|---|---|---|---|---|---|
| 访问控制 | 自主访问控制 (DAC) | 细粒度DAC | DAC + 强制访问控制 (MAC) | DAC + MAC | DAC + MAC |
| 安全标记 | 无 | 无 | 主体/客体标记 | 主体/客体标记 | 主体/客体标记 |
| 安全审计 | 无 | 基本审计 | 增强审计 | 增强审计 | 全面审计 |
| 身份鉴别 | 基本 | 基本 | 基本 | 增强 (如双因素) | 增强 |
| 策略模型 | 无 | 无 | 安全策略 | 形式化模型 | 形式化验证 |
| 隐蔽通道 | 无 | 无 | 无 | 分析与处理 | 分析与处理 |
| 系统结构 | 无要求 | 无要求 | 无要求 | 结构化设计 | 结构化设计 |
| 访问监控器 | 无 | 无 | 无 | 无 | 防篡改、可验证 |
| 可信恢复 | 无 | 无 | 无 | 基本 | 增强 |
| 典型应用场景 | 个人电脑 | 一般业务系统 | 重要信息系统 (等保三级) | 极其重要系统 | 绝密级系统 |
核心演进路径:
- 从自主到强制:安全控制从依赖用户(DAC)发展到系统强制执行(MAC)。
- 从无审计到可追溯:引入审计功能,实现行为的可追溯和责任认定。
- 从经验到形式化:安全策略从经验性描述发展到基于形式化模型的精确定义和验证。
- 从功能到结构:关注点从实现安全功能,扩展到安全功能的结构化设计和可信性。
- 从防外部到防内部:防护能力从抵御外部攻击,深化到防范内部威胁和系统自身漏洞(如隐蔽通道)。
架构师洞见:
GB17859-1999 不仅是技术标准,更是中国网络安全治理的“宪法性”文件。等级保护是合规的底线,更是安全的起点:对于架构师而言,确定系统的等保级别是项目启动的首要任务。这直接决定了系统在身份认证、访问控制、审计日志、数据加密、网络隔离、安全运维等方面的最低技术要求。一个未通过等保测评的系统,在中国是无法正式上线的。因此,架构设计必须从一开始就将等保要求内建 (Built-in) 到系统中,而非事后补救。
第3级是分水岭,是实践的主战场:在实际项目中,等保三级是绝大多数关键业务系统的“标配”。架构师必须深刻理解强制访问控制 (MAC) 和安全标记的实现。这要求在系统设计时:
- 数据分类分级:必须建立完善的数据分类分级制度,为数据打上准确的标签。
- 权限模型设计:传统的RBAC(基于角色的访问控制)往往不足以满足MAC要求,可能需要结合ABAC(基于属性的访问控制)或设计专门的策略引擎。
- 审计日志设计:日志必须包含足够的上下文信息(如用户身份、操作对象、安全标记、操作结果),并确保其完整性和防篡改性,以满足监管要求。
安全架构是系统架构的子集:安全不是附加功能,而是系统架构的固有组成部分。例如,实现第4级的“结构化保护”,要求架构师在设计时就考虑模块化、最小化原则,将安全核心功能(如访问控制、加密服务)设计为独立、可验证的组件。实现“隐蔽通道分析”,则要求对系统资源(CPU、内存、磁盘、网络)的使用有深刻理解。
未来趋势:从静态合规到动态防护:随着云计算、大数据、人工智能的发展,传统的基于边界的静态防护模式面临挑战。未来的安全架构将更加强调零信任 (Zero Trust)、持续自适应风险与信任评估 (CARTA) 和主动防御。然而,GB17859所奠定的分等级、重基础、强审计的原则依然适用。等保制度也在不断演进(如等保2.0),将云计算、物联网、移动互联等新技术纳入监管范围。架构师必须在遵循等保这一“底线框架”的同时,拥抱更先进的安全理念和技术,构建兼具合规性与先进性的动态安全体系。