计算机信息系统安全 标准
GB17859-1999计算机信息系统安全系统保护等级划分准则
GB17859-1999计算机信息系统安全系统保护等级划分准则本标准规定了计算机信息系统安全保护能力的五个等级,分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。
这些等级是根据安全保护能力的不同而划分的。
随着安全保护等级的提高,计算机信息系统安全保护能力也会逐渐增强。
本标准引用了GB/T 5271数据处理词汇等标准。
在使用本标准时,应尽可能使用这些标准的最新版本。
除本章定义外,其他未列出的定义可参考GB/T 5271.计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
可信计算基是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
客体是信息的载体,主体是引起信息在客体之间流动的人、进程或设备等。
敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
安全策略是有关管理、保护和发布敏感信息的法律、规定和实施细则。
信道是系统内的信息传输路径,而隐蔽信道则允许进程以危害系统安全策略的方式传输信息的通信信道。
访问监控器是监控主体和客体之间授权访问关系的部件。
第一级是用户自主保护级,属于计算机信息系统安全保护等级的最低级别。
在这个级别下,用户需要自主采取措施来保护系统的安全。
本文介绍了计算机信息系统可信计算基的两个保护级别,即自主保护级和系统审计保护级。
自主保护级通过访问控制、身份鉴别和数据完整性等机制,使用户具备自主安全保护的能力。
系统审计保护级实施了更细粒度的自主访问控制,通过登录规程、审计安全性相关事件和隔离资源等方式,使用户对自己的行为负责。
具体来说,自主访问控制机制可以根据用户指定方式或默认方式,阻止非授权用户访问客体。
身份鉴别机制要求用户标识自己的身份,并使用保护机制(例如:口令)来鉴别用户的身份。
GB17859-1999计算机信息系统安全保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体object信息的载体。
3.4 主体subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道channel系统内的信息传输路径。
3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。
3.9 访问监控器reference monitor监控主体和客体之间授权访问关系的部件。
计算机三级等保标准
计算机三级等保标准是指符合国家信息安全等级保护制度三级基本要求的计算机系统安全标准。
以下是关于计算机三级等保标准的800字介绍:
首先,计算机三级等保标准是依据国家信息安全等级保护相关制度制定的,旨在保障计算机及其网络的安全、稳定、可控,防范安全风险。
其次,三级等保标准要求应用系统能够抵御网络攻击、病毒入侵、数据泄露等安全威胁,具备灾难恢复能力,确保数据和系统安全。
具体来说,应用系统需要具备身份鉴别、访问控制、安全审计、数据保护、安全通信、安全检测、抗攻击等安全机制和安全技术措施。
同时,还需要建立完善的安全管理制度、人员管理制度、应急预案等安全管理体系,确保应用系统的安全稳定运行。
第三,三级等保标准要求网络结构符合相关安全要求,能够实现网络隔离控制、入侵检测和阻断、网络加密等安全技术措施。
同时,还需要建立完善的安全管理制度和安全管理体系,确保网络结构的安全稳定。
第四,三级等保标准要求设备和计算环境的安全符合相关要求,能够实现设备和计算环境的身份鉴别、访问控制、安全审计等安全技术措施和管理制度。
同时,还需要建立完善的安全管理制度和安全运维体系,确保设备和计算环境的安全稳定。
最后,三级等保标准还要求建立完善的安全管理流程和制度,包括安全事件处置、安全检查、安全培训等制度,确保安全管理体系的有效运行。
同时,还需要定期进行安全风险评估和漏洞扫描,及时发现和处置安全风险和漏洞。
总之,计算机三级等保标准是一个全面、严格的安全标准,需要综合考虑应用系统、网络结构、设备和计算环境等多个方面的安全因素,采取多种安全技术和措施,建立完善的安全管理体系和制度,以确保计算机及其网络的安全、稳定、可控。
GB17859-1999计算机信息系统安全系统保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体object信息的载体。
3.4 主体subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道channel系统内的信息传输路径。
3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。
3.9 访问监控器reference monitor监控主体和客体之间授权访问关系的部件。
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求(以下简称《通用技术要求》)是中国国家信息安全等级保护测评中用于计算机信息系统安全等级保护测评的技术要求标准。
该标准由中华人民共和国公安部发布,是针对计算机信息系统的安全性进行评估和测试的技术规范。
《通用技术要求》主要从安全需求分析和评估、系统安全设计、系统安全实施与配置、系统安全管理和维护等方面提出了具体要求。
下面是《通用技术要求》的一些主要内容:
1. 安全需求分析和评估:要求对计算机信息系统的安全需求进行全面评估,并根据评估结果确定相应的安全等级。
2. 系统安全设计:要求根据安全等级要求进行系统的安全设计,包括系统边界的划定、安全策略的制定、访问控制的实施等。
3. 系统安全实施与配置:要求在系统实施和配置过程中,采取相应的安全措施,确保系统组件和设备的安全性,同时对系统进行安全审计。
4. 系统安全管理和维护:要求建立完善的系统安全管理和维护机制,包括系统安全管理组织机构的建立、用户管理、安全事件管理等。
《通用技术要求》还提出了具体的技术要求和测试方法,以保证计算机信息系统在不同安全等级下的安全性。
同时,根据具
体的系统类型和安全等级要求,还可以参考其他相关技术规范进行细化和补充。
总之,计算机信息系统安全等级保护通用技术要求是对计算机信息系统安全进行评估和测试的技术标准,通过满足这些要求,可以确保计算机信息系统在不同安全等级下的安全性。
计算机信息系统 安全保护等级划分准则
计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则一、引言计算机信息系统安全是指对计算机及其网络运行环境中的信息系统及其资源进行保护,以确保其机密性、完整性、可用性和可控性。
为了规范计算机信息系统的安全保护工作,各国根据自身的国情和安全需求制定了相应的等级划分准则。
本文将介绍计算机信息系统安全保护等级划分准则的相关内容。
二、计算机信息系统安全等级划分的背景随着计算机信息系统的广泛应用和互联网的快速发展,计算机信息系统安全问题日益突出。
为了有效应对各类网络攻击和安全威胁,各国纷纷制定了计算机信息系统安全等级划分准则,以便对不同级别的信息系统进行分类管理和保护。
三、计算机信息系统安全等级划分的原则1. 保护需求:根据信息系统所处环境、承载的业务和数据敏感性等方面的需求确定相应的安全等级。
2. 安全目标:确定信息系统在保密性、完整性、可用性和可控性等方面的安全目标。
3. 安全控制措施:根据安全等级确定相应的安全控制措施,包括技术措施、管理措施和物理措施等。
四、计算机信息系统安全等级划分的准则根据各国的实际情况和需求,计算机信息系统安全等级划分准则会有所不同。
下面是一个常见的划分准则示例:1. 一般等级:适用于对安全要求较低的信息系统,主要包括普通办公自动化系统、简单数据处理系统等。
该等级的安全保护重点在于基本的安全措施,如防火墙、入侵检测系统等。
2. 重要等级:适用于对安全要求较高的信息系统,主要包括电子商务系统、金融交易系统等。
该等级的安全保护重点在于数据的安全性和完整性,需要采用更加高级的安全控制措施,如访问控制、加密技术等。
3. 核心等级:适用于对安全要求非常高的信息系统,主要包括核心国家机密信息系统、军事指挥信息系统等。
该等级的安全保护重点在于全面防御各类高级威胁和攻击手段,需要采用最高级别的安全控制措施,如多重身份验证、安全审计等。
五、计算机信息系统安全等级划分的意义1. 指导安全保护工作:安全等级划分为计算机信息系统的安全保护工作提供了指导和依据,使安全措施更加有针对性和有效性。
《计算机信息系统安全保护等级划分准则》
《计算机信息系统安全保护等级划分准则》计算机信息系统安全保护等级划分准则(以下简称《准则》)是为了统一计算机信息系统安全保护的等级划分和评定要求,确保计算机信息系统的安全性,保护国家和公民的信息安全,维护社会稳定和经济发展而制定的标准。
《准则》主要包括等级划分原则、等级划分框架、等级划分方法和等级评定要求等四个方面。
下面将对这四个方面进行详细阐述。
首先,等级划分原则是《准则》的基础。
等级划分原则主要有保密性原则、完整性原则、可用性原则和不可抗力原则。
保密性原则要求计算机信息系统具有保护机密信息的能力,防止机密信息泄露。
完整性原则要求计算机信息系统能够防止信息被非法篡改和破坏。
可用性原则要求计算机信息系统正常运行,服务可靠可用。
不可抗力原则要求计算机信息系统能够承受自然灾害和人为破坏等不可预见的事件。
其次,等级划分框架是指根据信息系统的风险级别和重要程度将计算机信息系统划分为不同的等级。
等级划分框架分为四个等级,分别为基础等级、一般等级、重要等级和核心等级。
基础等级适用于一般信息流转的计算机信息系统;一般等级适用于涉密信息流转的计算机信息系统;重要等级适用于国家关键信息基础设施的计算机信息系统;核心等级适用于国家重要信息基础设施的计算机信息系统。
第三,等级划分方法是指根据《等级划分框架》对计算机信息系统进行具体的等级划分。
等级划分方法主要包括等级划分算法和等级划分依据。
等级划分算法是根据信息系统的风险与威胁等级进行计算,得出等级划分结果。
等级划分依据是根据不同信息系统的业务需求和安全要求进行判断,确定其所属的等级。
最后,等级评定要求是《准则》中对不同等级的计算机信息系统提出的具体要求。
等级评定要求包括技术要求和管理要求。
技术要求主要包括安全防护设备和安全防护措施的配置要求,以及信息系统运行和维护的规范要求。
管理要求主要包括安全管理制度和安全管理措施的建立和执行要求,以及安全管理人员和安全意识培训的要求。
计算机安全标准
计算机安全标准计算机安全标准是指为了确保计算机及其相关系统的安全性和可靠性而制定的一系列规范和准则。
这些标准旨在保护计算机系统免受恶意攻击、数据泄露、信息损坏或系统崩溃等威胁。
通过遵守计算机安全标准,组织可以降低其面临的风险,并保护其重要信息和资产的安全性。
计算机安全标准的意义在于为各种类型的计算机和计算机网络提供了一套统一的安全框架,这样可以确保不同系统之间的互操作性,并提供一致的保护机制。
同时,这些标准还可以帮助企业和组织遵守法律法规,以及行业的最佳实践。
在制定计算机安全标准时,需要考虑以下几个方面:1. 身份验证和访问控制:确保只有经过身份认证的用户才能访问计算机系统,并根据用户的权限分配合理的访问权限。
2. 数据保护和加密:采用适当的加密算法和措施,保护存储在计算机系统中的敏感数据,以防止未经授权的访问或泄露。
3. 系统配置和管理:确保计算机系统处于安全的设置状态,并定期进行系统漏洞扫描和修复,以及软件和硬件的更新。
4. 网络安全和防火墙:使用防火墙和其他网络安全设备来阻止未经授权的访问和网络攻击,同时监控网络流量以及检测和阻止潜在的安全威胁。
5. 恶意代码和漏洞管理:定期进行恶意代码扫描和漏洞评估,及时修复系统中存在的漏洞,并使用反病毒软件和防恶意软件来检测和清除恶意代码。
6. 安全审计和事件响应:建立安全审计机制,跟踪和监控系统的安全事件,并对安全事故进行响应和调查。
7. 培训和意识提升:为员工提供计算机安全培训,加强他们的安全意识和技能,以防止内部安全威胁和错误操作。
8. 法规和合规性要求:根据适用的法律法规和行业标准,确保计算机系统符合相应的安全要求和合规性要求。
总之,计算机安全标准是确保计算机系统安全性的关键要素之一。
组织和企业应该制定符合标准的安全策略和措施,并定期评估和更新这些标准,以适应不断发展的安全威胁和技术变化。
通过遵守计算机安全标准,可以提高组织对计算机系统和数据的保护水平,减少安全风险,确保业务的连续性和可靠性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息系统安全标准
计算机信息系统安全是指保护计算机及其相关设备、软件和数据免受非法访问、损失、破坏和干扰的措施和方法。
在计算机信息系统安全领域,有一些标准被广泛采用和参考。
以下是一些相关的标准及其内容的简要介绍:
1. ISO/IEC 27001信息安全管理系统标准:该标准提供了制定、实施、监控和持续改进信息安全管理系统(ISMS)的指南,
以确保组织的信息资产得到有效保护。
包括风险评估和风险管理、安全策略和目标、组织信息安全管理、人员安全、物理和环境安全、通信和运营管理等方面的要求。
2. ISO/IEC 27002信息技术安全技术控制标准:该标准提供了
关于信息安全管理实施的最佳实践指南,包含了一系列的安全控制目标和措施,适用于适度安全水平的组织。
包括安全政策、组织安全、人员安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、信息安全事件管理等方面的要求。
3. NIST SP 800系列标准:这是美国国家标准与技术研究院(NIST)发布的一系列针对信息系统安全的标准和指南。
其中,NIST SP 800-53提供了信息系统安全和隐私控制目录,包
括了安全管理、风险管理、安全控制和持续监控等方面的要求;NIST SP 800-61提供了信息安全事件响应指南,包括快速检测、快速响应和恢复等方面的要求。
4. COBIT(Control Objectives for Information and Related
Technologies):这是一套由IT治理研究机构ISACA发布的
国际性IT治理框架。
COBIT提供了一系列的最佳实践和控制
目标,帮助组织建立和维护信息系统安全。
包括了战略管理、风险管理、资源管理和监督等方面的要求。
5. PCI DSS(Payment Card Industry Data Security Standards):
这是一套由信用卡行业共同制定的安全标准,旨在保护持有信用卡和借记卡信息的组织和商家。
包括建立和维护安全网络、保护持卡人数据、安全管理和监督等方面的要求。
6. ITIL(IT Infrastructure Library):这是一套由英国政府提供
的IT服务管理最佳实践框架。
ITIL涵盖了一系列过程和任务,其中包括安全管理流程,如安全策略、安全设计和安全改进等。
在选择和实施这些标准时,组织需要根据自身实际情况和需求进行评估和调整。
同时,还需要考虑相关法律法规和行业规范的要求,并与其他标准和框架进行综合应用,确保计算机信息系统安全能够有效保护组织的信息资产和业务运营。