【正文】 LOGO 信息安全等級保護 何曉霞 本章內(nèi)容安排 ?信息安全等級保護制度 ?信息系統(tǒng)安全等級保護實施 ?信息系統(tǒng)安全等級確定 ?信息系統(tǒng)安全等級保護要求 ?信息系統(tǒng)安全風險評估 第一節(jié) 信息安全等級保護制度 ?一、信息安全等級保護管理 ?二、信息系統(tǒng)安全等級劃分 ?三、信息系統(tǒng)安全等級保護相關(guān)標準 一、信息安全等級保護管理 信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 背景 ? 1994年， 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 規(guī)定， “計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定 ” 。 ? 1995年 2月 18日人大 12次會議通過并實施的 《 中華人民共和國警察法 》 第二章第六條第十二款規(guī)定，公安機關(guān)人民警察依法履行 “監(jiān)督管理計算機信息系統(tǒng)的安全保護工作 ”。 ——法律依據(jù)。 ? 1999年，強制性國家標準－ 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 GB 17859）。 2023年，中辦、國辦轉(zhuǎn)發(fā)的 《 國家信息化領(lǐng)導(dǎo)小組 關(guān)于 加強信息安全保障工作的意見 》 （中辦發(fā) [2023]27號）明確指出 “實行信息安全等級保護 ”。 “要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南 ” 。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關(guān)于信息安全等級保護工作的實施意見》 （ 66號文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級保護管理辦法 》 （公通字 [2023]7號） 政府層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技術(shù)標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產(chǎn)品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導(dǎo)。 用戶層面 ：公民、法人和其他組織應(yīng)當按照國家有關(guān)等級保護的管理規(guī)范和技術(shù)標準開展等級保護工作，服從國家對信息安全等級保護工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。 社會層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風險評估等安全服務(wù)機構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標準，開展相應(yīng)工作，并接受國家信息安全職能部門的監(jiān)督管理。 等級保護制度的基本思想 信息安全等級保護的工作進展 一是 2023年 1月制定出臺了 《 信息安全等級保護管理辦法（試行） 》 。 二是 2023年 5月 18日組織召開了國家信息安全等級保護工作協(xié)調(diào)小組第一次會議。 三是制定了等級保護系列技術(shù)標準。 四是開展了等級保護基礎(chǔ)調(diào)查工作。 五是部署開展信息安全等級保護試點工作。 六是出臺新的 《 信息安全等級保護管理辦法 》 。 七是籌備召開全國信息系統(tǒng)定級工作。 二、信息系統(tǒng)安全等級劃分 ?根據(jù) 《 信息系統(tǒng)安全等級保護實施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個安全等級，國家對不同級別的信息和信息系統(tǒng)實行不同強度的監(jiān)管政策。 ?（一）第一級為自主保護級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但 不危害國家安全、社會秩序和公共利益。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護。 二、信息系統(tǒng)安全等級劃分 ?（二）第二級為指導(dǎo)保護級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，必要時信息安全監(jiān)管職能部門對其進行指導(dǎo)。 二、信息系統(tǒng)安全等級劃分 ?（三）第三級為監(jiān)督保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。 二、信息系統(tǒng)安全等級劃分 ?（四）第四級為強制保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查。 二、信息系統(tǒng)安全等級劃分 ?（五）第五級為?？乇Ｗo級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標準進行自主保護，國家指定專門部門、專門機構(gòu)進行專門監(jiān)督、檢查。 二、安全保護等級的劃分 等級 對象 侵害客體 侵害程度 監(jiān)管強度 第一級 合法權(quán)益 損害 自主保護 合法權(quán)益 嚴重損害 第二級 一般系統(tǒng) 社會秩序和公共利益 損害 指導(dǎo) 社會秩序和公共利益 嚴重損害 第三級 國家安全 損害 監(jiān)督檢查 社會秩序和公共利益 特別嚴重損害 第四級 重要系統(tǒng) 國家安全 嚴重損害 強制監(jiān)督檢查 第五級 極端重要系統(tǒng) 國家安全 特別嚴重損害 專門監(jiān)督檢查 三、信息系統(tǒng)安全等級保護相關(guān)標準 ?我國正式頒布的信息系統(tǒng)安全等級保護的強制性國家標準是 GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ，該準則于 1999年 9月 13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布， 2023年 1月 1日起實施。隨后圍繞 GB 17859 — 1999編寫和制定了一系列與信息系統(tǒng)安全等級保護有關(guān)的標準和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級保護實施過程中的活動。 （一） GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ?GB 17859 — 1999是建立計算機信息系統(tǒng)安全等級保護制度，實施安全等級管理的重要基礎(chǔ)性標準。 ?它將計算機信息系統(tǒng)安全保護等級劃分為五個等級，通過規(guī)范、科學和公正的評定和監(jiān)督管理， ? 一是為計算機信息系統(tǒng)安全等級保護管理法規(guī)的制定和執(zhí)法部門的監(jiān)督、檢查提供依據(jù)； ? 二是為計算機信息系統(tǒng)安全產(chǎn)品的研制提供技術(shù)支持； ? 三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。 （一） GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? GB 17859 — 1999規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級； ?定義了計算機信息系統(tǒng)、計算機信息系統(tǒng)可信計算機、客體、主體、敏感標記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個等級的細則。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施了 GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 。 ? GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 作為計算機信息系統(tǒng)安全等級保護要求系列的基礎(chǔ)標準，詳細說明了計算機信息系統(tǒng)為實現(xiàn) GB 17859 — 1999所提出的安全等級要求應(yīng)采取的通用的安全技術(shù)，以及為確保這些安全技術(shù)所實現(xiàn)的安全功能達到其應(yīng)具有的安全性而采取的保證措施，并將對計算機信息系統(tǒng)五個安全保護等級每一級的要求，從技術(shù)要求方面進行詳細描述。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術(shù)要求，包括物理安全、運行安全、信息安全。 ? （ 2）安全保證技術(shù)要求，包括 TCB自身安全保護、TCB設(shè)計和實現(xiàn)、 TCB安全管理。 ? （ 3）五個安全等級劃分要求技術(shù)方面細則。 （三） GA/T 388 — 2023《 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全等級進行劃分來說明其技術(shù)要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對操作系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進行詳細描述。 （四） GA/T 389 — 2023《 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施。 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全等級進行劃分來說明其技術(shù)要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對數(shù)據(jù)庫管理系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實現(xiàn)的差異。 ?對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進行詳細描述。 （四） GA/T 389 — 2023《 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?GA/T 389 — 2023主要內(nèi)容為： ? （ 1）數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求，包括身份鑒別、標記與訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)庫安全審計、客體重用、數(shù)據(jù)庫可信恢復(fù)、隱蔽信道分析、可信路徑、推理控制。 ? （ 2）五個安全等級劃分要求技術(shù)方面細則。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實現(xiàn)具有所需要的安全等級的網(wǎng)絡(luò)系統(tǒng)，主要從對網(wǎng)絡(luò)系統(tǒng)的安全等級進行劃分來