计算机信息系统安全等级保护

计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求（以下简称《通用技术要求》）是中国国家信息安全等级保护测评中用于计算机信息系统安全等级保护测评的技术要求标准。

该标准由中华人民共和国公安部发布，是针对计算机信息系统的安全性进行评估和测试的技术规范。

《通用技术要求》主要从安全需求分析和评估、系统安全设计、系统安全实施与配置、系统安全管理和维护等方面提出了具体要求。

下面是《通用技术要求》的一些主要内容：
1. 安全需求分析和评估：要求对计算机信息系统的安全需求进行全面评估，并根据评估结果确定相应的安全等级。

2. 系统安全设计：要求根据安全等级要求进行系统的安全设计，包括系统边界的划定、安全策略的制定、访问控制的实施等。

3. 系统安全实施与配置：要求在系统实施和配置过程中，采取相应的安全措施，确保系统组件和设备的安全性，同时对系统进行安全审计。

4. 系统安全管理和维护：要求建立完善的系统安全管理和维护机制，包括系统安全管理组织机构的建立、用户管理、安全事件管理等。

《通用技术要求》还提出了具体的技术要求和测试方法，以保证计算机信息系统在不同安全等级下的安全性。

同时，根据具
体的系统类型和安全等级要求，还可以参考其他相关技术规范进行细化和补充。

总之，计算机信息系统安全等级保护通用技术要求是对计算机信息系统安全进行评估和测试的技术标准，通过满足这些要求，可以确保计算机信息系统在不同安全等级下的安全性。

信息系统安全等级保护定级要素信息系统安全等级保护是指根据信息系统的重要性和敏感程度，将其划分为不同的安全等级，并采取相应的安全保护措施。

信息系统安全等级保护定级要素主要包括保护对象、保护标准、保护措施和保护责任。

一、保护对象保护对象是指需要进行安全保护的信息系统。

信息系统可以是计算机系统、通信系统、数据库系统等各种形式的信息处理系统。

在进行等级保护定级时，需要明确保护对象的边界，确定需要纳入保护范围的要素，如硬件设备、软件系统、网络设备、数据等。

二、保护标准保护标准是根据信息系统的特点和需求，确定信息系统安全等级的基本依据。

保护标准主要包括安全性、可用性、完整性和可控性等几个方面。

安全性是指信息系统在面临各种威胁和风险时能够保持不受损害的能力；可用性是指信息系统在需要时能够正常使用的能力；完整性是指信息系统的数据和功能能够保持完整和正确的能力；可控性是指信息系统能够按照规定的政策和流程进行管理和控制的能力。

三、保护措施保护措施是指采取的技术和管理手段来保障信息系统的安全。

保护措施主要包括物理安全、网络安全、系统安全和数据安全等方面。

物理安全是指通过门禁、监控等手段，保护信息系统的硬件设备免受物理攻击和破坏；网络安全是指通过防火墙、入侵检测系统等技术手段，保护信息系统的网络免受网络攻击和恶意访问；系统安全是指通过操作系统和应用软件的安全配置和漏洞修复，保护信息系统的软件系统免受恶意代码和攻击；数据安全是指通过加密、备份和权限控制等手段，保护信息系统中的数据不被非法获取和篡改。

四、保护责任保护责任是指各个相关方在信息系统安全等级保护中应承担的责任和义务。

保护责任主要包括政府责任、企业责任和个人责任。

政府在信息系统安全等级保护中应制定相应的法律法规和政策，对信息系统进行监管和管理；企业在信息系统安全等级保护中应建立健全的安全管理体系，为信息系统提供安全保障；个人在信息系统安全等级保护中应遵守相关规定，不泄露机密信息，不进行非法操作。

GB 17859-1999计算机信息系统安全保护等级划分准则Classified criteria for security protection ofComputer information system1999-09-13发布 2001-01-01实施 国家质量技术监督局 发布ICS35.020L 09中华人民共和国国家标准GB 17859-1999前言（略）中华人民共和国国家标准计算机信息系统GB 17859-1999安全保护等级划分准则Classified criteria for securityprotection of computer information system1范围本标准规定了计算机信息系统安全保护能力的五个等级，即：第一级:用户自主保护级；第二级:系统审计保护级；第三级:安全标记保护级；第四级:结构化保护级；第五级:访问验证保护级；本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2引用标准下列标准所包含的条文，通过在标准中引用而构成本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T5271 数据处理词汇3定义出本章定义外，其他未列出的定义见GB/T5271。

3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2计算机信息系统可信计算基 trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。

计算机信息系统等级保护二级
计算机信息系统等级保护是指根据我国《中华人民共和国网络
安全法》和《计算机信息系统安全保护等级保护管理办法》的规定，对计算机信息系统按照其重要程度和安全性要求进行分级保护的制度。

根据《办法》，计算机信息系统等级保护分为四个等级，分别
是一级、二级、三级和四级，其中一级为最低级别，四级为最高级别。

对于计算机信息系统等级保护二级，它主要适用于对国家重要
部门、重要行业和关键领域的计算机信息系统进行保护。

具体来说，对于等级保护二级的计算机信息系统，需要具备以下特点和要求：
1. 安全保护措施更加严格，相较于一级保护，二级保护需要在
网络安全、数据安全、系统安全等方面采取更加严格的措施，确保
系统的安全性和完整性。

2. 风险防范能力更强，二级保护的计算机信息系统需要具备更
强的风险防范和应急响应能力，能够及时发现和应对各类安全威胁
和攻击。

3. 信息安全管理更加规范，对于二级保护的系统，需要建立健
全的信息安全管理制度，包括权限管理、日志审计、安全培训等，
以确保系统的安全运行。

4. 安全保护技术更先进，二级保护的系统需要采用更加先进的
安全保护技术，包括加密技术、访问控制技术、安全认证技术等，
以提高系统的安全性和可靠性。

总的来说，计算机信息系统等级保护二级需要在安全保护措施、风险防范能力、信息安全管理和安全保护技术等方面达到更高的要求，以确保系统能够抵御各种安全威胁和风险，保障系统的安全稳
定运行。

计算机信息系统安全等级保护随着计算机技术的不断发展和应用，计算机信息系统的安全性问题也日益突出。

为了保护计算机系统中的信息不受到未经授权的访问、篡改、破坏等威胁，人们开始关注和研究计算机信息系统的安全等级保护。

计算机信息系统安全等级保护是一种综合的安全保护措施，旨在保护计算机系统的各种信息资产免受来自内部和外部的威胁。

它主要包括安全等级划分、安全需求分析、安全设计、安全实施和安全评估等方面的内容。

安全等级划分是计算机信息系统安全等级保护的第一步。

根据信息系统的重要性和安全风险，将其划分为不同的安全等级，以确定不同等级的安全需求和保护措施。

安全等级划分应该基于风险评估和安全需求分析，综合考虑信息的保密性、完整性和可用性等要素。

安全需求分析是计算机信息系统安全等级保护的核心环节。

通过分析各个安全等级的需求，确定信息系统的安全目标和安全要求。

安全需求分析要考虑信息的保密性、完整性、可用性、可审计性、抗攻击性等多个方面，确保信息系统在各个安全等级下能够满足相应的安全需求。

然后，安全设计是计算机信息系统安全等级保护的关键环节。

在进行安全设计时，需要根据安全需求分析的结果，确定安全控制措施和技术手段，以保证信息系统在各个安全等级下的安全性。

安全设计包括网络安全设计、访问控制设计、数据加密设计等多个方面，要综合考虑系统的整体安全性和易用性。

接着，安全实施是计算机信息系统安全等级保护的具体操作。

在进行安全实施时，需要按照安全设计的要求，对信息系统进行安全配置、安全部署、安全测试等操作，以确保系统在运行过程中的安全性。

安全实施包括安全设备的部署、安全策略的执行、安全培训的开展等多个方面，要全面考虑系统的各个环节和要素。

安全评估是计算机信息系统安全等级保护的重要环节。

通过对信息系统的安全性进行评估，可以发现系统的安全漏洞和风险，为系统的安全优化提供依据。

安全评估包括安全漏洞扫描、安全漏洞修复、安全事件响应等多个方面，要及时发现和解决系统存在的安全问题。

信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》，结合国家信息安全等级保护标准，对信息系统按照其承载信息的重要性和保密等级，划分为不同的安全等级，并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。

信息系统安全等级保护标准体系的建立和实施，对于保障国家重要信息基础设施和关键信息系统的安全运行，维护国家安全和社会稳定，具有重要意义。

首先，信息系统安全等级保护标准体系的建立，能够有力地提高国家信息系统的整体安全水平。

通过对信息系统进行安全等级划分和分类管理，可以根据信息系统承载的信息重要性和保密等级，有针对性地制定相应的安全保护要求和措施，从而有效地提高信息系统的安全性和可靠性。

其次，信息系统安全等级保护标准体系的建立，有利于加强对关键信息基础设施和关键信息系统的保护。

针对国家重要信息基础设施和关键信息系统，可以通过严格的安全等级划分和保护要求，加强对其安全运行的监测和管理，有效地防范和应对各类网络安全威胁和风险，确保其安全稳定运行。

此外，信息系统安全等级保护标准体系的建立，有助于促进信息系统安全保护工作的规范化和标准化。

通过统一的安全等级划分标准和保护要求，可以使各类信息系统的安全保护工作更加规范和标准化，为相关安全管理和技术人员提供明确的指导和依据，提高安全管理工作的科学性和有效性。

总的来说，信息系统安全等级保护标准体系的建立和实施，对于提高信息系统整体安全水平，加强关键信息基础设施和关键信息系统的保护，促进安全保护工作的规范化和标准化，都具有重要意义和价值。

希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施，切实加强对信息系统安全的管理和保护，共同维护国家信息安全和社会稳定。

计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则是指根据信息系统的重要性和保密性等级，对信息系统进行等级划分，并按照相应的安全保护要求进行安全保护的规范。

在信息化时代，计算机信息系统的安全保护至关重要，不仅关乎国家安全和社会稳定，也关系到个人隐私和财产安全。

因此，制定和实施计算机信息系统安全保护等级划分准则对于保障信息系统安全具有重要意义。

首先，计算机信息系统安全保护等级划分准则需要根据信息系统的重要性和保密性等级进行划分。

信息系统的重要性可根据其对国家安全、经济发展、社会稳定等方面的影响程度来评定，而保密性等级则是根据信息系统所涉及的信息的机密程度来划分。

根据不同的等级划分，可以对信息系统的安全保护要求进行相应的规范，以确保信息系统的安全性。

其次，计算机信息系统安全保护等级划分准则需要明确不同等级信息系统的安全保护要求。

对于不同等级的信息系统，其安全保护要求也会有所不同。

一般来说，高等级的信息系统需要具备更严格的安全保护要求，包括严格的访问控制、完善的安全审计、可靠的数据备份和恢复机制等。

而对于低等级的信息系统，安全保护要求则相对较低，但也不能忽视安全保护的必要性。

此外，计算机信息系统安全保护等级划分准则还需要明确不同等级信息系统的安全保护措施。

针对不同等级的信息系统，需要采取相应的安全保护措施来确保其安全性。

这些安全保护措施包括加密通信、安全接入控制、恶意代码防护、安全审计和监控等方面的措施。

通过采取这些安全保护措施，可以有效地提高信息系统的安全性，防范各类安全威胁和风险。

最后，计算机信息系统安全保护等级划分准则需要建立健全的安全管理制度和安全保护责任制。

安全管理制度是保障信息系统安全的重要基础，它包括安全策略、安全标准、安全流程和安全管理措施等方面的内容。

同时，建立健全的安全保护责任制也是确保信息系统安全的关键，只有明确各方的安全保护责任，才能有效地推动安全保护工作的落实。