GB17859-1999计算机信息系统安全保护等级划分准则

信息安全等级保护标准
1. 安全目标：明确了信息系统安全保护的目标，包括机密性、完整性和可用性。

2. 安全等级划分：根据信息系统的安全需求和重要性，将其划分为不同的安全等级。

3. 安全技术要求：包括物理安全、网络安全、系统安全等方面的技术要求，如访问控制、身份认证、加密传输等。

4. 安全管理措施：包括组织结构、人员管理、安全培训等方面的管理措施，以保证信息安全的有效管理。

5. 安全测试评估：对信息系统进行定期的安全测试和评估，发现系统中存在的安全漏洞和风险，并及时采取措施进行修复。

6. 安全事件响应：建立健全的安全事件响应机制，对安全事件进行及时处理和跟踪，同时进行安全事故的调查与处理。

等保标准适用于政府机关、企事业单位等组织，旨在加强信息系统的安全保护，防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。

对于不同行业和领域的组织，根据其安全需求和实际情况，可以进行相应的等级划分和安全措施的实施。

GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。

计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2 引用标准下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇3 定义除本章定义外，其他未列出的定义见GB/T 5271。

3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体object信息的载体。

3.4 主体subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道channel系统内的信息传输路径。

3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。

3.9 访问监控器reference monitor监控主体和客体之间授权访问关系的部件。

全国信息网络安全专业技术人员继续教育培训教材信息安全管理教程习题及答案一、判断题1．根据ISO 13335标准，信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。

(√) ( 课本1)2．信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

(×) ( 课本4 )(注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection 和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。

)3．只要投资充足，技术措施完备，就能够保证百分之百的信息安全。

(×)4．我国在2006年提出的《2006～2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。

(√) ( 课本8)5．2003年7月国家信息化领导小组第三次会议发布的27号文件，是指导我国信息安全保障工作和加快推进信息化的纲领性文献。

(√)(注释：2003年7月22日，国家信息化领导小组第三次会议在北京召开。

中共中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持会议并作重要讲话。

2003年9月中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发［2003]27号)中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

” )6．在我国，严重的网络犯罪行为也不需要接受刑法的相关处罚。

(×) ( 课本18 )7．安全管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。

(√) ( 课本32 )8．windows2000／XP系统提供了口令安全策略，以对帐户口令安全进行保护。

等保与分保摘要：信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。

国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。

国家安全信息等级保护，重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统；涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。

关键字：国家信息安全公众信息国家秘密信息等级保护分级保护在日常工作中和为用户提供服务的过程中，什么是信息系统等级保护？什么是涉密信息系统分级保护？这两者之间有什么关系？那些系统需要进行等级保护？涉密信息系统如何分级？这是时常困扰我们的问题。

一、信息系统等级保护1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。

2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信息安全保障体系的明确要求。

2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。

2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。

涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求，按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。

计算机安全 ２００５·１１57ＧＢ１７８５９和ＧＢ／Ｔ１８３３６等级保护两个标准的关系北京天融信公司 苑向兵２００３年中共中央办公厅、国务院办公厅转发的２７号文件和２００４年９月中央四部局办联合发布的６６号文件出台以后，等级保护政策的实施工作进入了实质的推进阶段。

按照６６号文件的安排，到２００５年９月份应该推出一系列相关的法规、办法、指南等。

以目前的情况来看，这个阶段的计划基本肯定要向后推延。

作为等级保护工作的重中之重的《管理办法》、《实施指南》、《评估指南》等法规的制定，很明显遇到了一定的困难。

等级保护的思想确立，最早可以追溯到１９９４年的《中华人民共和国信息系统安全保护条例》，人们都会问：经历了这么多年酝酿，现在等级保护的配套法规还是难产，其根源是什么？诚然，我国的信息安全标准研究，与国际上信息化水平较高的国家还存在不小的差距。

但笔者认为，目前的问题直接与很多有关的人对ＧＢ　１７８５９和ＧＢ／Ｔ　１８３３６两个国家标准的本质理解不到位相关。

其中比较有代表性的想法是：两个标准不相容，关系难以调和；ＧＢ１７８５９已经过时，等级保护应该遵从最新的国际公认标准。

实际上，这两个标准之间没有任何不相容之处，它们完全可以共存，并有效结合。

要正确认识等级保护的两个国标，关键在于一要弄清两个标准的渊源关系，二要弄清两个标准内容上各自的特点和差异。

一、　ＧＢ１７８５９与ＧＢ／Ｔ１８３３６的渊源从起源上说，ＧＢ１７８５９的制定主要参考了美国的ＴＣＳＥＣ，而ＧＢ／Ｔ　１８３３６则直接等同于国际标准ＩＳＯ／ＩＥＣ　１５４０８，也就是美国、英国、德国、加拿大等国家共同制定的ＣＣ（本文后面也延用ＣＣ这个通俗名称代表ＧＢ／Ｔ　１８３３６）。

ＴＣＳＥＣ是８０年代，美国国防部根据军事计算机系统的保密需要，在７０年代的基础理论研究成果计算机保密模型（Ｂｅｌｌ＆Ｌａ　ｐａｄｕｌａ模型）的基础上制订的，亦称为“橙皮书”。

１９８５年正式发布。

GB 17859-1999计算机信息系统安全保护等级划分准则Classified criteria for security protection ofComputer information system1999-09-13发布 2001-01-01实施 国家质量技术监督局 发布ICS35.020L 09中华人民共和国国家标准GB 17859-1999前言（略）中华人民共和国国家标准计算机信息系统GB 17859-1999安全保护等级划分准则Classified criteria for securityprotection of computer information system1范围本标准规定了计算机信息系统安全保护能力的五个等级，即：第一级:用户自主保护级；第二级:系统审计保护级；第三级:安全标记保护级；第四级:结构化保护级；第五级:访问验证保护级；本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2引用标准下列标准所包含的条文，通过在标准中引用而构成本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T5271 数据处理词汇3定义出本章定义外，其他未列出的定义见GB/T5271。

3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2计算机信息系统可信计算基 trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。

信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。