信息安全等级保护政策及标准解读.pdf

等级保护政策及标准解读 董瑞峰 1 一．计算机信息系统等级保护起源 1. 1960 美军文件保密制度MLS （Multilevel Security ） 2. 1983 美国政府发布《可信计算机系统评估准则》 （TCSEC ，Trusted Computer Security Evaluation Criteria) 3. 1991年英、德、法、荷4 国淘汰（TCSEC) ，制定《信息技术安全评定标准》 （ITSEC） 4. 1999年 ISO/IEC 15408 ：2009 （俗称CC标准） CC取代了TCSEC 和ITSEC 成为信息技术安全评估领域的唯一国际标准2 二、我国等级保护制定发展历程 1. 1984年 开始关注并收集国外等级保护资讯 2. 1994年 国务院颁发《中华人民共和国计算机信息系统安全保护条例》 （国务院147号令） 3. 1999年 《计算机信息系统等级保护划分准则》GB17859—1999 为此、后续发布了超过60个关于等级保护的指导性文件 3 4 二、重点阅读、理解的保护标准 信息系统安全等级保护定级指南（GB/T 22240—2008） 安全 定级 信息系统 信息系统 信息系统 安全等级 信息系统 安全等级 等级保护 保护测评 等级保护 信息系统 方法 保护实施 安全设计 要求ＧＢ 测评过程 态 析 安全等级 指导 指南ＧＢ 技术要求 指南 状 分 ／Ｔ２５ ／Ｔ２ GB/T2844 建设整改 ０５８— GB/T2507 8448—２ 0—2010 92—2012 ２０１０ ０１2 基本 要求 信息系统安全等级保护基本要求（GB/T 22239—2008） 计算机信息系统安全保护等级划分准则（GB17859—1999） 5 三、解读计算机信息系统安全保护等级划分准则 GB 17859—1999 1. 划分了5个等级、明确各个保护级别的保护措施 ①用户自主保护级 ②系统审计保护级 ③安全标记保护级 ④结构化保护级 ⑤访问验证保