SP800-53实现安全分级

等级保护制度已经被列入《关于加强信息安全保障工作的意见》之中,如何对信息系统实行分等级保护一直是社会各方关注的热点。

美国，作为一直走在信息安全研究前列的大国之一，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。NIST SP 800-53联邦信息系统就是这样一个标准。它提供了安全控制的层次化、结构化的安全控制措施要求，意识和培训、认证、认可和安全评估、配置管理、持续性规划、事件响应、维护、介质保护、物理和环境保护、规划、人员安全、风险评估、系统和服务采购、系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。

从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:

·资产（包括有形资产和无形资产）（使用资产等级作为判断系统等级重要因素的文件，如:FIPS199，IATF，DITSCAP，NIST800-37等）；

·威胁（使用威胁等级作为判断系统等级重要因素的文件如IATF等）；

·破坏后对国家、社会公共利益和单位或个人的影响（使用影响等级作为判断系统等级重要因素的文件，如:FIPS199，IATF等）；

·单位业务对信息系统的依赖程度（DITSCAP）；

信息系统的保护等级确定后，有一整套的标准和指南规定如何为其选择相应的安全措施。NIST 的SP 800－53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集（包括管理、技术和运行类）。为帮助机构对它们的信息系统选择合适的安全控制集，该指南提出了基线这一概念。基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。针对三类系统影响级，800－53列出三套基线安全控制集（基本、中、高），分别对应于系统的影响等级。

需要指出的是，800－53只是作为选择最小安全控制的临时性指南，NIST将于2005年12月推出FIPS 200 《联邦信息系统最小安全控制》标准，以进一步完善信息系统的安全控制。区别于SP 800-53中“类”的概念，国防部8500.2提出了“域”的概念，八个主题域分别为：安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。每个主题域包含若干个安全控制。机构可根据自身对业务保障类和保密类安全要求，选择相应的安全控制。美国在推行系统分级实施不同安全措施方面，虽然只是近几年才开展，但已经积累了一些成熟的经验，并形成了一套完整的体系，这些实践也为我国推行等级保护铺垫了良好的基础，提供了有效的经验。