一、概述
依据GB/T 25069《信息安全技术 术语》,计算机安全(computer security)是指:采取适当措施保护数据和资源使计算机系统免受偶然或恶意的修改、损害、访问、泄露等操作的危害。计算机信息系统是指:由计算机及其相关的和配套的设备设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。那么,计算机信息系统安全就是采取措施使计算机信息系统免受相应的危害。安全分级是指:根据业务信息和系统服务的重要性和受损影响,确定实施某种程度的保护,并对该保护程度给以命名。依据访问数据和信息需求而确定的特定保护程度,同时赋予相应的保护等级。鉴于上述些定义,计算机信息系统安全将实现安全等级保护,使计算机信息系统免受诸如非法侵入、篡改、泄露等危害。
二、法规要求
1、行政法规
为了保护计算机信息系统的安全,促进计算机的应用与发展,保障社会主义现代化建设的顺利进行,在1994年2月18日国务院颁发了《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令第147号)。该《条例》第九条明确规定:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
欲详细了解《中华人民共和国计算机信息系统安全保护条例》的请进入。
2、部门管理规定
于是,在2007年6月22日公安部联合国家保密局、国家密码管理局、国务院信息化工作办公室颁布了《信息安全等级保护管理办法》(公通字[2007] 43号)。在该《办法》中,根据信息和信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对信息系统的安全保护等级定级为五级,具体详见下表2-2。该《办法》还要求信息系统的运营或使用单位应按安全等级进行保护,国家有关信息安全职能部门对其保护工作进行监督管理,具体要求也列入表2-2中。安全等级越高,其保护与监督的要求越高。
表 2-2:信息系统安全保护等级的定级与保护及监督要求
欲详细了解《信息安全等级保护管理办法》具体相关要求的请进入。
三、相关标准规范要求
1、GB 17859《计算机信息系统安全保护等级划分准则》
在1999年9月我国专门发布了强制性国家标准GB 17859《计算机信息系统安全保护等级划分准则》。该标准的发布主要有三个目的:一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据(如上述《信息安全等级保护管理办法》);二是为安全产品的研制提供技术支持;三是为安全系统的建设和管理提供技术指导。该标准目前仍然有效。
欲更多了解计算机信息系统安全专用产品的分类要求的请进入。
该标准为了计算机信息系统安全保护技术能力等级的划分,规定了计算机信息系统安全保护能力的五个等级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。五个等级的名称及释义详见下表3-1-1。下表3-1-2列出了计算机信息系统安全保护能力的五个等级中,各等级所列出的安全功能的名称。划分准则的各等级中各安全功能的要求,具体详见该标准的原文,即查阅下附件3-1。
表 3-1-1:计算机信息系统安全保护能力的等级名称与释义
表 3-1-2:各等级划分准则所列出的安全功能名称
附件 3-1:GB 17859-1999《计算机信息系统安全保护等级划分准则》
欲更多了解GB 17859标准情况的请进入。
2、GA/T 671《信息安全技术 终端计算机系统安全等级技术要求》
GA/T 671《信息安全技术 终端计算机系统安全等级技术要求》标准用以指导设计者如何设计和实现终端计算机系统,使其达到信息系统所需安全等级,主要从信息系统安全保护等级划分的角度来说明对终端计算机系统的技术要求,即主要说明终端计算机系统为实现GB 17859-1999 中每一个保护等级的安全要求应采取的安全技术措施,以及各安全技术要求在不同安全等级中具体实现上的差异。本标准首先对安全等级保护中终端计算机系统所涉及的安全功能技术要求做了比较全面的描述,然后按GB 17859-1999 五个安全等级的划分,对每一个安全等级的安全功能技术要求和安全保证技术要求做了详细描述。若要详细了解该标准具体内容的请查阅下附件3-2。
附件 3-2:GA/T 671-2006《信息安全技术 终端计算机系统安全等级技术要求》
终端计算机系统是指:一种个人使用的计算机系统,是信息系统的重要组成部分,为用户访问网络服务器提供支持。终端计算机系统表现为桌面型计算机系统和膝上型计算机系统两种形态。终端计算机系统一般由硬件系统、操作系统和应用系统(包括为用户访问网络服务器提供支持的工具软件和其他应用软件)等部分组成。
四、相关说明
一是,GB 17859-1999在编制是参照了美国相关技术文件,即:1985年美国国防部出版的《计算机可信系统评价准则》(DoD 5200.28-STD)及《可信计算机网络系统说明》(NCSC-TG-005)。为了使该评价准则中的评价方法适用于网络,美国国家计算机安全中心于1987年出版了《可信网络指南》。因此,为了使计算机系统可按这一标准划分,必须要求系统在以下四个方面达到相应的技术水准:安全策略、可说明性、保险程度和文档资料。划分的等级从D级到A1级(共7级),表示安全级别依次增强,如下表4-1所示,以供了解。
表 4-1:可信系统评价准则的等级
二是,早期往往是称“计算机信息系统”,随之信息通信技术(ICT)的融合发展,现代统称为“信息系统”。其实,计算机信息系统应是信息系统的重要组成内容。因此,这里仅介绍的是计算机信息系统安全等级的定级与保护的直接相关标准要求。事实上,我国对于信息系统安全的等级定级与保护也专门有相应的法规规定和一系列标准规范的
欲进一步了解我国关于信息系统安全的等级定级与保护要求的请进入。
476.47KB