做好新型信息技术发展应用的

信息安全等级保护工作

国家信息化专家咨询委员会委员
沈昌祥 院士
当前，我国信 工业控制信息化
息化发展正进 三网融合
入全面深化的 物联网
新阶段 云计算

这些新型信息技术发展应用，给我国网络与信
息安全保障工作提出了新任务，对信息安全等
级保护工作进行了全面挑战
1 ）我国信息安全面临的新问题与新挑战

1 工业控制系统

2010 年“网震”病毒事件破坏了伊朗核设施，
震惊全球。这标志着网络攻击从传统“软攻击
”阶段升级为直接攻击电力、金融、通信、核
设施等核心要害系统的“硬摧毁”阶段。应对
APT 已成为确保国家关键基础设施安全，保障
国家安全、社会稳定、经济发展、人民生活安
定的核心问题

传统的封堵安全防护做法难以解决封闭实时处
理的工业控制系统安全问题
2 三网融合

电信网、广电网和互联网三网融合后，信息安全
风险将主要来自于网络开放性、终端复杂性、信
息可信性等方面。信息量急剧增加，信息内容控
制将对信息保密防范技术提出更高要求。终端智
能化和移动等多接入方式，使其将面临更复杂的
攻击

另外，大规模的用户数量将给监管带来重大挑战
。也存在原有法律与三网融合新要求相冲突的问
题。应建立新的监管体制和法律体系
3 物 联 网

物联网将传感、通信和信息处理整合成网路系统。把物品
与互联网连接起来，实现智能化识别、定位、跟踪监控和
管理，这必然会成为影响社会稳定、国家安全的重要因素
之一

物联网运用大量感知节点（智能设备和传感器），将成为
窃取情报、盗窃隐私的攻击对象，而且庞大节点以集群方
式连接将对网络通信的依赖更加敏感，对分布式的物联网
核心网络的管理平台安全性、可信性要求更高

另外，对数据传输的安全性和身份认证的可信性提出了更
高的要求
4 云 计 算

云计算是一种能够动态伸缩的虚拟化资源，通过网
络以服务的方式提供给用户的计算模式，用户不需
要知道如何管理那些支持云计算的基础设施。类似
宾馆服务模式，其安全风险在于：

（ 1 ）由不可控、不可信的云经营商统管 IT 资源
和计算基础设施

（ 2 ）更大规模异构共享和虚拟动态的运营环境
难以控制
如何保证云中 IT 资源安全、用户隐私保
护以及云计算环境的可信可靠，已成为
阻碍云计算进一步发展的主要因素

另外，制定相应的云计算法律法规，明
确用户和运营商法律责任也是发展云计
算必不可少的
2 ）信息安全等级保护制度适用于新型信息技术应
用的信息安全保障

新型信息技术应用系统都是依托网络技术构建不
同应用模式的计算环境
工业控制系统：

输入 / 输出 远程控制 通信 监控 / 数据采集
协议
计量传感器 服务器
智能电子设备 以太网
串口 应急管理系统
现场设备
远程控制单元 无线
集散控制系统

现场设备 控制器 通信网

三网融合：

综 合 业 务 应 用

电 信 广 电 互联网

业 务 融 合

网 络 基 础 设 施
物联网：

传 应用处理
网络
感 通信
器 环境
域
云计算：
用 户

软件即服务（ SaaS ）
（行业应用、工具应用等）

平台即服务（ PaaS ）
（可扩展的运行环境、数据存储等）

基础架构即服务（ IaaS ）
（虚拟服务器、存储、网络）

硬件设施
信息安全等级保护是按信息处理系统
的计算资源和信息资源重要程度不同
实施不同保护强度的保障措施

安全保护等级划分准则（ GB/17859-
1999 ）核心是对信息系统从三个方面
实施保护
 针对计算资源（软硬件）构建
1 、可信
You can 保护环境，以可信计算基（ TCB
Be like
God
）为基础，层层扩充，对计算资源
进行保护

针对信息资源（数据及应用）
2 、可控
You can 构建业务流程控制链，以访问控
Be like
God 制为核心，实行主体（用户）按
策略规则访问客体（信息资源）

保证资源安全必须实行科学管
3 、可管
You can 理，强调最小权限管理，尤其是
Be like
God 高等级系统实行三权分离管理体
制，不许设超级用户
针对上述四类新应用，按 GB/17859 要
求，构建在 安全管理中心 支持下的

计算环境 区域边界 通信网络

三重防御体系是必要的，可行的

具体设计可参照（ GB/T25070-2010 ）
 要坚持正确的技术路线，从国情出发，
按需适度安全，逐步发展完善

要加强定级对象信息系统整体防护，建
1
设管理中心支持下的计算环境、区域边界
、通信网络三重防护体系结构

要重点做好操作人员使用的终端防护，
2
把住攻击发起的源头关，做到操作使用安全
3 防内为主，内外兼防，提高计算节点自身
防护能力，减少从外部入口上的封堵

加强技术平台支持下的安全管理，应与业务
4
处理、监控及日常安全管理制度相结合

为便于技术方案实施，整改时不改或少改原
5
有的应用系统。以信息处理流程制定安全策略，
实施访问控制
 3 ）新型信息技术应用的等级保护
技术框架

下面以云计算为例，介绍等级保护技术框架

信息系统云化是指其信息处理流程在云计算中心
完成。因此云计算中心负有安全保障责任，也有
信息系统用户的行为安全责任

云计算中心可以同时运行多个不同安全级别的信
息系统。云计算中心安全级别不低于承运最高等
级信息系统的级别
云中心一般由用户网络接入、访问应用边界
、计算环境和管理平台组成（如下图所示），
可形成虚拟应用、虚拟计算节点以及虚拟（逻辑
）计算环境，由此构建可信计算安全主体结构

可信计算是指：计算处理结果与预期的相一致，
中间过程可控制管理、可度量验证
 云中心组成架构
用户 接入边界 计算环境 管理平台

端用 访问接口 软件应用层 服务管理员

户
终
应用多用户 应用虚拟化

WEB 运维管理
平台层
通信 WEB 中间层服务 数据库服务
网络
业务管理
服务
基础架构层 安全管理
虚拟化服务
端用
户 服务器 网络 存储
终
物理资源
 可信云计算体系安全架构

可信计算环境
可信通
可 信网络
信 用户
应用服务资源
在安全管理中心支撑下的 接 终端
入
计 平台
可信计算环境 边
算可信边界 虚 界
节可信通信网络
拟层
点
三重防护架构
计算
可信计算设备
单元
系统 安全 审
计
安全管理中心
1 、可信云计算环境 可信链传递
计算环境 从基础设施可信根出发
度量基础设施、计算平台
应用服务
验证虚拟计算资源可信
可 可 用户服务请求
支持应用服务的可信
控 信
信
链
制
流 确保计算环境可信
接
计算平台 入
传 程
可 平 服务提供
递 计 虚拟化 信 台
算
由用户确定主体
节 /
客体关系，制定访
点 基础设施
问控制策略，确保
（可信根）
控制流程可信
2 、可信云计算应用边界
计算环境

应用服务

可 可 用户服务请求
控 信
信 制
接
链 流
入
传 计算平台 程
可 平 服务提供
递 计 虚拟化 台
可信接入
算
信

节
验证用户请求和连接的计
点 基础设施
算资源可信
（可信根）
3 、可信云计算通信网络

可信计算环境
可信通
可 信网络
应用服务资源 信 用户
接 终端
计 平台 入
算 边
虚 界
节
拟层
点
计算
保证用户与云中心通信安全
可信计算设备
单元 可信

系统 安全 审
计
安全管理中心
4 、可信云计算安全管理

可信计算环境
基于策略的管理
系统管理保证资源可信 可信通
可 信网络
应用服务资源
（中心） 信 用户
接 终端
平台
计 安全管理负责授权和策略 入 （用
算 户） 边
虚 界
节
拟层
点 审计管理负责追踪和应急处理（双方）
计算
可信计算设备
单元

系统 安全 审
计
安全管理中心