关于信息应是指在信息系统中存储、传输、处理的数字化信息。那么信息系统则是指由计算机及其配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或网络。信息网络安全是指通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据信息的完整性、保密性、可用性的能力。信息安全等级保护从与信息系统(或网络)安全相关的物理层面、网络层面、系统层面、应用层面和管理层面对信息和信息系统实施分等级安全保护。
欲具体了解信息系统安全等级保护介绍的请进入。
为此,我国在关于信息系统安全等级保护方面发布了一整套的国家标准,这些标准可以分为三种。其一是信息系统安全等级保护的基础性标准;其二是信息系统安全等级保护的扩展性标准;其三是信息系统安全等级保护的细化性标准。下述对这三种情况中的国家标准情况分别给予介绍。
一、基础性标准:GB 17859-1999
信息系统安全等级保护的基础性标准是指我国于1999年9月13日批准发布的GB 17859《计算机信息系统 安全保护等级划分准则》强制性国家标准,并于2001年1月1日起开始实施。该标准是为了配合我国在1994年2月18日颁发的《中华人民共和国计算机信息系统安全保护条例》(中华人民共和国国务院令第147号)的实施而提供技术支撑。该标准又是信息系统安全等级保护方面的扩展性标准和细化性标准的编制依据和基础。它至今没有修订并一直有效。该标准的主要内容是由4章所构成,其章节的名称详见下表1。
表 1:GB 17859-1999标准的目录
欲详细了解GB 17859-1999标准具体内容的请进入。
二、扩展性标准
1、标准的基本情况
所谓信息系统安全等级保护方面的扩展性标准,即它们以GB 17859-1999规定的五个等级要求为基础,对信息系统安全方面进一步分别给出其管理要求和技术要求等。这些标准可以理解为,是在信息系统安全方面扩展对信息系统安全等级保护方面的应用。标准主要有:GB/T 20269《信息安全技术 信息系统安全管理要求》、GB/T 20270《信息安全技术 网络基础安全技术要求》、GB/T 20271《信息安全技术 信息系统通用安全技术要求》和GB/T 20282《信息安全技术 信息系统安全工程管理要求》等。它们的首版都发布于2006年,至今没有被修订。下表2-1汇总了这些标准的基本情况,包括标准的编号与名称、标准的发布时间与实施时间、标准的概要和适用范围等。
表 2-1:信息系统安全等级保护的扩展性国家标准的基本情况
2、标准的内容构成情况
GB/T 20269-2006《信息安全技术 信息系统安全管理要求》标准以安全管理要素作为描述安全管理要求的基本组件。安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求;从管理角度应采取的主要控制方法和措施。根据GB 17859-1999对安全等级保护的划分,不同的安全等级会有不同的安全管理要求,可以体现在管理要素的增加和管理强度的增加两个方面。因此,该标准的主要内容是由6章和2个资料性附录所构成,其章节和附录的名称详见下表2-2-1;若要详细了解该标准具体内容的请查阅下附件2-1。
表 2-2-1:GB/T 20269-2006标准的目录
附件 2-1:GB/T 20269-2006《信息安全技术 信息系统安全管理要求》
GB/T 20270-2006《信息安全技术 网络基础安全技术要求》标准以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统,主要说明为实现GB 17859-1999中每一等级的安全要求,网络系统应采用的安全技术措施,以及各安全技术要求在不同安全等级中的具体差异。因此,该标准的主要内容是由7章和1个资料性附录所构成,其章节和附录的名称详见下表2-2-2;若要详细了解该标准具体内容的请查阅下附件2-2。
表 2-2-2:GB/T 20270-2006标准的目录
附件 2-2:GB/T 20270-2006《信息安全技术 网络基础安全技术要求》
GB/T 20271-2006《信息安全技术 信息系统通用安全技术要求》标准主要从信息系统安全等级划分的角度,说明为实现GB 17859-1999每一安全保护等级的安全功能要求采取的安全技术措施,以及各安全保护等级的安全功能在具体实现上的差异。因此,该标准的主要内容是由6章和3个资料性附录所构成,其章节和附录的名称详见下表2-2-3;若要详细了解该标准具体内容的请查阅下附件2-3。
表 2-2-3:GB/T 20271-2006标准的目录
附件 2-3:GB/T 20271-2006《信息安全技术 信息系统通用安全技术要求》
GB/T 20282-2006《信息安全技术 信息系统安全工程管理要求》标准是对信息系统安全工程中所涉及到的需求方、实施方与第三方工程实施的指导,各方可以此为依据建立安全工程管理体系。本标准按照GB 17859-1999划分的五个安全保护等级,规定了信息系统安全工程管理的不同要求。因此,该标准的主要内容是由10章和1个资料性附录所构成,其章节和附录的名称详见下表2-2-4;若要详细了解该标准具体内容的请查阅下附件2-4。
表 2-2-4:GB/T 20282-2006标准的目录
附录 2-4:GB/T 20282-2006《信息安全技术 信息系统安全工程管理要求》
三、细化性标准
所谓信息系统安全等级保护的细化性标准,即是在GB 17859-1999标准和上述扩展性标准的基础上,专门针对信息系统安全等级保护方面的相关要求内容做进一步细化而制定的国家标准。这些标准是从2008年开始陆续首次发布的,主要包括有六个标准,且从2018年开始陆续都被进行了第一次修订。修订版本与首版标准变化较大。
欲详细了解信息系统安全等级保护的细化性标准情况的请进入。
信息系统安全等级保护技术,是信息系统安全技术的重要内容,且是基础性的内容。信息系统安全技术内容多是以信息系统安全等级保护技术的内容而开展的。但采用分等安全保护的,还有电信网与互联网的安全等级防护。
欲进一步了解我国电信网与互联网安全等级防护标准情况的请进入。
