GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南

等级保护对象受到破坏时所侵害的客体包括以下三个方面： a）公民、法人和其他组织的合法权益； b）社会秩序、公共利益；

4.2.2对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的辅助软件，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危 害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a）造成一般损害； b）造成严重损害； c）造成特别严重损害。

定级要素与信息系统安全保护等级的关系如表1所示。

表1定级要素与安全保护等级的关系

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害 不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定， 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下： a）确定作为定级对象的信息系统； b) 确定业务信息安全受到破坏时所侵害的客体； c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； d) 依据表2，得到业务信息安全保护等级； e) 确定系统服务安全受到破坏时所侵害的客体； f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； 依据表3，得到系统服务安全保护等级；

GB/T 22240—2008

h）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护 等级。 上述正璐加图1确定等级一般流程所示

图1确定等级一般流程

一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成 本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同 安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征： a）具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单 位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任， 则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承 担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属 的单位。 b） 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按 照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终 端、网络设备等作为定级对象。 c）承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流 程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独 立的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交 换.定级对象可能会与其他业务应用共章一此设备尤其是网络传输设备

5.3确定受侵害的客体

定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织 为合法权益。 侵害国家安全的事项包括以下方面： 影响国家政权稳固和国防实力

5.4确定对客体的侵害程度

5.4. 2 综合判定侵害程

侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害 后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，

管件标准5.5确定定级对象的安全保护等级

体以及对相应客体的侵害程度，依据表2业务信息安 等级矩阵表，即可得到业务信息安全保护等级

表2业务信息安全保护等级矩阵表

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表3系统服务安 等级矩阵表，即可得到系统服务安全保护等级

表3系统服务安全保护等级矩阵

定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较

GB/T22240—2008

任信息系统的 当的变更，尤其是当状态变化可能导至 客体和对客体的 侵害程度有较大的变化 拉伸强度测试标准，可能影响到系 级方法重新定级。