等级保护与分级保护.docx

For personal use only in study and research; not for commercial use 等级保护与分级保护 一、信息系统等级保护 1999 年国家发布并于 2001年 1 月 1 日开始实施 GB17859《计算机信息系统 安全保护等级划分准则》。 2003 年，中办、国办转发《国家信息化领导小组关 于加强信息安全保障工作的意见》 (中办发〔 2003〕 27 号)，提出实行信息安全等 级保护，建立国家信息安全保障体系的明确要求。 2004 年 9 月 17 日，公安部、 国家保密局、 国家密码管理委员会办公室、 国务院信息办下发了 《关于信息安全 等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本 内容、 工作职责分工、 要求和实施计划。 2006 年 1 月 17 日， 四部门又下发了 《信 息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负 责全面工作、 国家保密工作部门负责涉密信息系统、 国家密码管理部门负责密码 工作、 国务院信息办负责的管理职责和要求。 涉及国家秘密的信息系统应当依据 国家信息安全等级保护的基本要求， 按照国家保密工作部门涉密信息系统分级保 护的管理规定和技术标准，结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的， 是社会构成、 行政组织体系的反映， 因而这种系统结构是分层次和级别的， 而其 中的各种信息系统具有重要的社会和经济价值， 不同的系统具有不同的价值。 系 统基础资源和信息资源的价值大小、 用户访问权限的大小、 大系统中各子系统重 要程度的区别等就是级别的客观体现。 信息安全保护必须符合客观存在和发展规 律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别： 第一级：用户自主保护级 完全由用户自己来决定如何对资源进行保护，以 及采用何种方式进行保护。 第二级：系统审计保护级 本级的安全保护机制受到信息系统等级保护的指 导，支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、 维护受保护对象的访问审计跟踪记录， 记录与系统安全相关事件发生的日期、 时 间、 用户和事件类型等信息， 所有和安全相关的操作都能够被记录下来， 以便当 系统发生安全问题时， 可以根据审计记录， 分析追查事故责任人， 使所有的用户 对自己行为的合法性负责。 第三级：安全标记保护级 除具有第二级系统审计保护级的所有功能外，还 它要求对访问者和访问对象实施强制访问控制， 并能够进行记录， 以便事后的监 督、审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权 限，实现对访问对象的强制访问控制。 第四级：结构化保护级 将前三级的安全保护能力扩展到所有访问者和访问 对象， 支持形式化的安全保护策略。 其本身构造也是结构化的， 将安全保护机制 划分为关键部分和非关键部分， 对关键部分强制性地直接控制访问者对访问对象 的存取， 使之具有相当的抗渗透能力。 本级的安全保护机制能够使信息系统实施 一种系统化的安全保护。 第五级：访问验证保护级 这一个级别除了具备前四级的所有功能外还特别 增设了访问验证功能， 负责仲裁访问者对访问对象的所有访问活动， 仲裁访问者 能否访问某些对象从而对访问对象实行专控， 保护信息不能被非授权获取。 因此， 本级的安全保护机制不易被攻击、被篡改，具有极强的抗渗透的保护能力。 在等级保护的实际操作中，强调从五个部分进行保护，即： 物理部分：包括周边环境，门禁检查，防火、防水、防潮、防鼠、虫害和防 雷，防电磁泄漏和干扰，电源备份和管理，设备的标识、使用、存放和管理等； 支撑系统：包括计算机系统、操作系统、数据库系统和通信系统； 网络部分： 包括网络的拓扑结构、 网络的布线和防护、 网络设备的管理和报 警，网络攻击的监察和处理； 应用系统：包括系统登录、权限划分与识别、数据备份与容灾处理，运行管 理和访问控制，密码保护机制和信息存储管理； 管理制度：包括管理的组织机构和各级的职责、权限划分和责任追究制度， 人员的管