信息安全工程师真题考点：计算机系统安全保护能力的5个等级

计算机信息系统安全保护能力等级在当今数字化时代，计算机信息系统的安全保护能力显得格外重要。

随着网络攻击技术的不断发展和改进，计算机系统的安全风险也在不断升高。

建立和完善计算机信息系统安全保护能力等级成为当前亟需解决的问题之一。

本文将围绕这一主题展开深入探讨，剖析其中的深度和广度，并为读者提供全面的认识和理解。

一、计算机信息系统安全保护能力等级的概念计算机信息系统安全保护能力等级指的是根据信息系统的安全性、保密性和可靠性等方面的要求和特点，对信息系统进行分类评定和等级划分。

这种等级划分是为了量化和评估信息系统的安全保护能力，以便采取相应的安全防护措施，确保信息系统的安全性和稳定运行。

在计算机信息系统安全保护能力等级的划分中，一般会考虑到多个方面的因素，包括系统的技术能力、管理能力、应急响应能力等，以便全面评估信息系统的整体安全水平。

二、计算机信息系统安全保护能力等级的评估标准针对不同类型的计算机信息系统，其安全保护能力等级的评估标准也会有所不同。

一般来说，评估计算机信息系统安全保护能力等级的标准包括以下几个方面：1. 技术能力：评估信息系统在防火墙、入侵检测、加密技术等方面的技术应用情况，并根据应用情况的复杂程度、技术水平等因素进行评定。

2. 管理能力：评估信息系统的管理规范性、权限控制、安全策略制定情况等，以及信息系统管理人员的专业素养和经验水平等。

3. 应急响应能力：评估信息系统在面对安全事件时的应急响应能力和应急预案的完善程度，包括漏洞修复、恢复系统功能、数据备份和恢复等方面。

4. 安全意识：评估信息系统用户对安全意识和安全意识培训的情况，以及对安全政策和规范的遵守程度等。

基于以上评估标准，可以对不同的计算机信息系统进行安全保护能力等级的评定，以便进行相应的安全防护和管理。

三、建立完善的计算机信息系统安全保护能力等级体系的重要性建立和完善计算机信息系统安全保护能力等级体系对于保障信息系统的安全运行具有重要意义。

信息安全工程师真题考点：计算机系统安全保护能力的
5个等级
GB 17859-1999《计算机信息安全保护等级划分准则》，规定了计算机系统安全保护能力的5个等级：
1、用户自主保护级。

本级的计算机信息系统可信计算基础通过隔离用户与数据，使用户具备自主安全保护的能力。

2、系统审计保护级。

与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

3、安全标记保护级。

计算机信息系统可信计算基具有系统审计保护级的所有功能。

4、结构化保护级。

计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。

5、访问验证保护级。

计算信息系统可信计算基满足访问监控器需求。

历年信息安全工程师计算机系统安全保护能力的5个等级知识真题：
《计算机信息系统安全保护等级划分准则》中规定了计算机系统安全保护能力的五个等级，其中要求计算机信息系统可信计算基满足访问监控器需求的是（）。

A.系统审计保护级
B.安全标记保护级
C.结构化保护级
D.访问验证保护级
参考答案：D。

GB17859-1999计算机信息系统安全保护等级划分准则中华人民共和国国家标准计算机信息系统安全保护等级划分准则GB 17859-1999Classified criteria for security1 范围本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。

计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2 引用标准下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇3 定义除本章定义外，其他未列出的定义见GB/T 5271。

3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体object信息的载体。

3.4 主体subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道channel系统内的信息传输路径。

计算机信息系统安全保护等级划分准则中华人民共和国国家标准计算机信息系统安全保护等级划分准则 GB 17859—1999 Classified criteria for security1 范围本标准规定了计算机系统安全保护能力的五个等级,即：第一级：用户自主保护级;第二级:系统审计保护级；第三级:安全标记保护级；第四级：结构化保护级;第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。

计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强.2 引用标准下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇3 定义除本章定义外，其他未列出的定义见GB/T 5271。

3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2 计算机信息系统可信计算基 trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

3。

3 客体 object信息的载体。

3。

4 主体 subject引起信息在客体之间流动的人、进程或设备等。

3。

5 敏感标记 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3。

7 信道 channel系统内的信息传输路径.3。

第一章：1.3.2：1、GB17859-1999标准规定了计算机系统安全保护能力的五个等级，即：用户资助保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。

2、目前正在执行的两个分级保护的国家保密标准是BMB17《涉与国家秘密的信息系统分级保护技术要求》和BMB20《涉与国家秘密的信息系统分析保护管理规范》。

3、涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级；4、秘密级，信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术的要求。

机密级，信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。

属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：●信息系统的使用单位为副省级以上的党政首脑机关，以与国防、外交、国家安全、军工等要害部门。

●信息系统中的机密级信息含量较高或数量较多；●信息系统使用单位对信息系统的依赖程度较高；绝密级，信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求。

5、安全监控可以分为网络安全监控和主机安全监控1.3.3信息安全风险评估与管理1、一般可通过以下途径达到降低风险的目的：避免风险、转移风险、减少威胁、减少脆弱性、减少威胁可能的影响、检测以外事件，并做出响应和恢复。

1.4 信息安全标准化知识1、国家标准化指导性技术文件，其代号为“GB/Z”；推荐性国家标准代号为“GB/T”2、目前国际上两个重要的标准化组织，即国际标准化组织ISO和国际电工委员会IEC。

ISO和IEC成立了第一联合技术委员会JTC1制定信息技术领域国际标准；SC27是JTC1中专门从事信息安全通用方法与技术标准化工作的分技术委员会。

3、信息安全标准体系与协调工作组（WG1），主要负责研究信息安全标准体系、跟踪国际信息安全标准发展态势，研究、分析国内信息安全标准的应用需求，研究并提出了新工作项目与设立新工作组的建议、协调各工作组项目。

⽹络安全保护等级划分
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会⽣活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法⼈和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级，从第⼀级到第五级逐级增⾼。

①第⼀级，等级保护对象受到破坏后，会对公民、法⼈和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;
②第⼆级，等级保护对象受到破坏后，会对公民、法⼈和其他组织的合法权益产⽣严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;
③第三级，等级保护对象受到破坏后，会对公民、法⼈和其他组织的合法权益产⽣特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;
④第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;
⑤第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

GB17859-1999《计算机信息系统安全保护等级划分准则》发布时间：2009-07-23 作者：国家质量技术监督局1、范围本标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强.2、引用标准下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性.GB/T5271 数据处理词汇3、定义出本章定义外,其他未列出的定义见GB/T5271.3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统.3.2计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体object信息的载体。

3.4 主体subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道channel系统内的信息传输路径。

3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道/3.9 访问监控器reference monitor监控器主体和客体之间授权访问关系的部件。