计算机信息系统 安全保护等级划分准则
计算机信息系统安全保护等级划分准则完整版
计算机信息系统安全保护等级划分准则完整版此级别适用于对计算机信息系统安全保护要求不高的用户,用户自行实施安全措施,包括密码保护、防病毒软件等。
第二级系统审计保护级:此级别适用于对计算机信息系统安全保护要求较高的用户,需要对系统进行审计,记录并分析安全事件,以保护系统的完整性和可用性。
第三级安全标记保护级:此级别适用于对计算机信息系统安全保护要求更高的用户,需要对客体进行安全标记,以确保在访问控制中强制执行安全策略。
第四级结构化保护级:此级别适用于对计算机信息系统安全保护要求极高的用户,需要采用结构化的安全保护措施,包括物理隔离、加密等。
第五级访问验证保护级:此级别适用于对计算机信息系统安全保护要求最高的用户,需要采用强制访问控制和多重身份验证等措施,以确保系统安全。
本标准适用于计算机信息系统安全保护技术能力等级的划分,随着安全保护等级的增高,计算机信息系统安全保护能力逐渐增强。
此标准引用了GB/T5271数据处理词汇标准,使用本标准的各方应尽可能使用最新版本的标准。
计算机信息系统是由计算机及其相关的和配套的设备、设施(包括网络)构成的人机系统,用于对信息进行采集、加工、存储、传输、检索等处理。
可信计算基是计算机信息系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体,用于建立一个基体的保护环境并提供可信计算系统所需的附加用户服务。
客体是信息的载体,主体是引起信息在客体之间流动的人、进程或设备等。
敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中将其作为强制访问控制决策的依据。
安全策略是有关管理、保护和发布敏感信息的法律、规定和实施细则。
信道是系统内的信息传输路径,而隐蔽信道是允许进程以危害系统安全策略的方式传输信息的通信信道。
访问监控器是监控器主体和客体之间授权访问关系的部件。
计算机信息系统可信计算基是一种安全保护机制,通过隔离用户与数据,使用户具备自主安全保护的能力。
计算机系统安全保护能力的5个等级
计算机系统安全保护能力的5个等级是根据GB 17859-1999《计算机信息安全保护等级划分准则》进行划分的,具体如下:1. 用户自主保护级:这是计算机信息系统可信计算基的基础保护级别。
它主要通过隔离用户与数据,使用户具备自主安全保护的能力。
这一级别的保护主要针对普通内联网用户。
2. 系统审计保护级:与用户自主保护级相比,这一级别的计算机信息系统可信计算基实施了粒度更细的自主访问控制。
它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
这一级别的保护适用于内联网或国际网进行商务活动的非重要单位。
3. 安全标记保护级:这一级别的计算机信息系统可信计算基不仅具有系统审计保护级的所有功能,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。
它还具有准确地标记输出信息的能力,并能消除通过测试发现的任何错误。
适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通、大型工商与信息技术企业、重点工程建设等单位。
4. 结构化保护级:这一级别的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将自主和强制访问控制扩展到所有主体与客体。
此外,还需要考虑隐蔽通道。
适用于中央级国家机关、广播电视部门、重点物资存储单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
5. 访问验证保护级:这是最高级别的保护,它适用于国家关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
这一级别的计算机信息系统可信计算基进行最严格形式的访问控制,并对访问者的身份进行验证。
这五个等级逐级提升,为计算机系统的安全保护提供了全面的框架和指导。
在实际应用中,根据计算机系统的安全需求和风险程度,可以选择适合的保护等级进行配置和管理。
1。
计算机信息系统安全保护等级划分准则
定义:该等级提 供了对信息以及 信息处理设施的 标识和强制控制, 主要适用于电子 政务、电子商务 等重要领域。
保护对象:包括 国家关键基础设 施、重要机构等。
访问控制:要求 对所有主体和客 体进行强制标记, 对主体的访问请 求进行基于强制 标记的授权控制。
安全审计:要求 提供对安全相关 活动的审计功能, 包括系统日志、 安全事件记录等。
等级调整的程序:包 括确定调整需求、组 织评审、报备审查、 实施调整四个步骤。
调整后的管理要求: 等级调整后,需重新 确定安全保护要求, 并加强安全管理。
动态管理:计算机 信息系统安全保护 等级需进行动态管 理,定期进行复评 。
主体:信息系统运营使用单位
责任:制定安全保护等级管理规定,确定信息系统安全保护等级,落实安全保护责 任制,保障信息系统安全稳定运行。
保护对象:主要包括国家重要数据、关键业务数据和敏感个人信息等。
安全控制措施:需要采取多层次的安全控制措施,包括物理安全、网络安全、应用安全等方面 的防护手段,以及安全审计、事件处置等方面的管理措施。
访问控制要求:要求对用户进行身份认证和权限管理,确保只有经过授权的用户才能访问相应 的数据和系统资源。同时,需要对重要数据的访问进行严格控制,防止未经授权的访问和泄露。
物理安全:严 格控制访问区 域,限制人员 进出,对所有 进出人员身份 进行验证和记 录
网络安全:多 重安全防护措 施,包括防火 墙、入侵检测、 加密传输等, 确保网络通信 安全
数据安全:数 据加密存储, 采用多副本容 错技术,保证 数据的安全性 和可用性
应用安全:对 应用程序进行 全面安全测试 和漏洞扫描, 确保应用程序 的安全性和可 靠性
安全性要求:要求 建立完善的用户身 份认证和访问控制 机制,对用户的操 作进行记录和监控, 防止未经授权的访 问和操作。
GB17859-1999计算机信息系统安全系统保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体object信息的载体。
3.4 主体subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道channel系统内的信息传输路径。
3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。
3.9 访问监控器reference monitor监控主体和客体之间授权访问关系的部件。
信息安全等级保护体系解读
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指
况
导
分
安全要求
析
信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)
GB17859-1999计算机信息系统安全保护等级划分准则名师制作优质教学资料
GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体object信息的载体。
3.4 主体subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道channel系统内的信息传输路径。
3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。
3.9 访问监控器reference monitor监控主体和客体之间授权访问关系的部件。
《计算机信息系统安全保护等级划分准则》-15页文档资料
计算机信息系统安全保护等级划分准则GB 17859-19991 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2 引用标准下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基 trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体 object信息的载体。
3.4 主体 subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道 channel系统内的信息传输路径。
3.8 隐蔽信道 covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。
GB17859_1999计算机信息系统安全保护等级划分准则
GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。
计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。
本标准出版时,所示版本均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
GB/T 5271 数据处理词汇3 定义除本章定义外,其他未列出的定义见GB/T 5271。
3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。
它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3 客体 object信息的载体。
3.4 主体 subject引起信息在客体之间流动的人、进程或设备等。
3.5 敏感标记 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
3.6 安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。
3.7 信道 channel系统内的信息传输路径。
3.8 隐蔽信道 covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机信息系统安全保护等级划分准则
计算机信息系统安全保护等级划分准则
随着信息技术的快速发展,计算机信息系统安全问题日益突出。
为了保护计算机信息系统的安全,许多国家和组织都制定了相应的安全保护等级划分准则。
本文将介绍计算机信息系统安全保护等级划分准则的相关内容。
一、背景介绍
计算机信息系统安全保护等级划分准则旨在为计算机信息系统的安全保护提供指导和标准,确保系统能够抵御各种安全威胁和攻击。
这些准则通常包括对系统的安全需求、安全控制措施和安全保护等级的定义。
二、等级划分原则
计算机信息系统安全保护等级划分准则的制定通常遵循以下原则:1.系统的价值和重要性:根据计算机信息系统的价值和重要性,确定相应的安全保护等级。
通常将系统分为一般级、重要级、关键级等不同等级。
2.系统的威胁程度:根据计算机信息系统所面临的威胁程度,包括可能的攻击方式和攻击者的能力,确定相应的安全保护等级。
3.系统的安全需求:根据计算机信息系统的安全需求,确定相应的安全保护等级。
安全需求包括机密性、完整性、可用性等方面。
三、等级划分内容
计算机信息系统安全保护等级划分准则通常包括以下内容:
1.安全保护等级的定义:明确不同安全保护等级的含义和要求,确定各个等级的安全目标和安全控制措施。
2.安全需求的规定:根据系统的安全需求,确定各个等级的安全保护要求,包括机密性、完整性、可用性等方面的要求。
3.安全保护措施的规定:根据安全需求,确定各个等级的安全保护措施,包括物理安全、网络安全、系统安全等各个方面的措施。
4.安全评估方法的规定:确定对计算机信息系统进行安全评估的方法和标准,包括安全评估的流程和评估指标。
四、实施和应用
计算机信息系统安全保护等级划分准则在实施和应用过程中,需要注意以下几点:
1.准则的普适性:准则应该适用于不同类型的计算机信息系统,包括网络系统、操作系统、数据库系统等。
2.准则的灵活性:准则应该具有一定的灵活性,能够根据具体系统的特点和需求进行调整和适配。
3.准则的可操作性:准则应该具有一定的可操作性,能够为实施者提供明确的指导和标准,便于实施和应用。
4.准则的更新性:准则应该与时俱进,能够及时跟踪和适应新的安全威胁和攻击方式,保持与技术的发展同步。
五、国际标准和实践
在国际上,许多国家和组织都制定了计算机信息系统安全保护等级划分准则。
例如,美国国家安全局(NSA)制定了“信息保护系统评估标准”(Information Assurance Evaluation Criteria,简称IAEC),用于评估和划分计算机信息系统的安全等级。
欧洲网络和信息安全局(ENISA)也制定了相应的安全保护等级划分准则。
六、总结
计算机信息系统安全保护等级划分准则是保护计算机信息系统安全的重要工具。
通过明确安全需求、规定安全保护措施和评估方法,可以提高计算机信息系统的安全性,防范各种安全威胁和攻击。
在实施和应用过程中,应注意准则的普适性、灵活性、可操作性和更新性,同时参考国际标准和实践,不断提高计算机信息系统的安全保护水平。