word 格式文档
1 概述
1.1 背景分析
《中华人民共和国计算机信息系统安全保护条例》(国务院令第 147 号)明确规定我国
“计算机信息系统实行安全等级保护”。依据国务院 147 号令要求而制订发布的强制性国家
标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保
护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》
(中办发[2003]27 号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系
国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)和《信息安全等级保护管
理办法》(公通字[2007]43 号)确定了实施信息安全等级保护制度的原则、工作职责划分、
实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法
等。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息
安全等级保护工作的开展提供了法律、政策、标准保障。2007 年起公安部组织编制了《信
息安全技术 信息系统等级保护安全设计技术要求》,为已定级信息系统的设计、整改提供标
准依据,至 2008 年 11 月已报批为国标。与此同时,2007 年 7 月全国开展重要信息系统等
级保护定级工作,标志着信息安全等级保护工作在我国全面展开。
依据《计算机信息系统安全保护等级划分准则》,将信息系统安全保护能力划分为五个
等级;分别为:
第一级:用户自主保护级;由用户来决定如何对资源进行保护,以及采用何种方式进行
保护。
第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特
别是具有访问审记能力,即它能创建、维护受保护对象的访问审计跟踪记录,记录与系统安
全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记
录下来,以便当系统发生安全问题时,可以根据审记记录,分析追查事故责任人。
第三级:安全标记保护级;具有第二级系统审计保护级的所有功能,并对访问者及其访
问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象,支持
专业整理
