【正文】 LOGO 信息安全等級保護(hù) 何曉霞 本章內(nèi)容安排 ?信息安全等級保護(hù)制度 ?信息系統(tǒng)安全等級保護(hù)實(shí)施 ?信息系統(tǒng)安全等級確定 ?信息系統(tǒng)安全等級保護(hù)要求 ?信息系統(tǒng)安全風(fēng)險評估 第一節(jié) 信息安全等級保護(hù)制度 ?一、信息安全等級保護(hù)管理 ?二、信息系統(tǒng)安全等級劃分 ?三、信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn) 一、信息安全等級保護(hù)管理 信息安全等級保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 背景 ? 1994年， 《 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 規(guī)定， “計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定 ” 。 ? 1995年 2月 18日人大 12次會議通過并實(shí)施的 《 中華人民共和國警察法 》 第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行 “監(jiān)督管理計算機(jī)信息系統(tǒng)的安全保護(hù)工作 ”。 ——法律依據(jù)。 ? 1999年，強(qiáng)制性國家標(biāo)準(zhǔn)－ 《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 GB 17859）。 2023年，中辦、國辦轉(zhuǎn)發(fā)的 《 國家信息化領(lǐng)導(dǎo)小組 關(guān)于 加強(qiáng)信息安全保障工作的意見 》 （中辦發(fā) [2023]27號）明確指出 “實(shí)行信息安全等級保護(hù) ”。 “要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南 ” 。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》 （ 66號文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級保護(hù)管理辦法 》 （公通字 [2023]7號） 政府層面：國家制定統(tǒng)一信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息安全產(chǎn)品的使用分等級實(shí)行管理，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、指導(dǎo)。 用戶層面 ：公民、法人和其他組織應(yīng)當(dāng)按照國家有關(guān)等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級保護(hù)工作，服從國家對信息安全等級保護(hù)工作的監(jiān)督、指導(dǎo)，保障信息系統(tǒng)安全。 社會層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風(fēng)險評估等安全服務(wù)機(jī)構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展相應(yīng)工作，并接受國家信息安全職能部門的監(jiān)督管理。 等級保護(hù)制度的基本思想 信息安全等級保護(hù)的工作進(jìn)展 一是 2023年 1月制定出臺了 《 信息安全等級保護(hù)管理辦法（試行） 》 。 二是 2023年 5月 18日組織召開了國家信息安全等級保護(hù)工作協(xié)調(diào)小組第一次會議。 三是制定了等級保護(hù)系列技術(shù)標(biāo)準(zhǔn)。 四是開展了等級保護(hù)基礎(chǔ)調(diào)查工作。 五是部署開展信息安全等級保護(hù)試點(diǎn)工作。 六是出臺新的 《 信息安全等級保護(hù)管理辦法 》 。 七是籌備召開全國信息系統(tǒng)定級工作。 二、信息系統(tǒng)安全等級劃分 ?根據(jù) 《 信息系統(tǒng)安全等級保護(hù)實(shí)施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個安全等級，國家對不同級別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)度的監(jiān)管政策。 ?（一）第一級為自主保護(hù)級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但 不危害國家安全、社會秩序和公共利益。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。 二、信息系統(tǒng)安全等級劃分 ?（二）第二級為指導(dǎo)保護(hù)級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，必要時信息安全監(jiān)管職能部門對其進(jìn)行指導(dǎo)。 二、信息系統(tǒng)安全等級劃分 ?（三）第三級為監(jiān)督保護(hù)級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行監(jiān)督、檢查。 二、信息系統(tǒng)安全等級劃分 ?（四）第四級為強(qiáng)制保護(hù)級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴(yán)重?fù)p害。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，信息安全監(jiān)管職能部門對其進(jìn)行強(qiáng)制監(jiān)督、檢查。 二、信息系統(tǒng)安全等級劃分 ?（五）第五級為?？乇Ｗo(hù)級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務(wù)信息安全性或業(yè)務(wù)服務(wù)保證性受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴(yán)重?fù)p害。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，國家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督、檢查。 二、安全保護(hù)等級的劃分 等級 對象 侵害客體 侵害程度 監(jiān)管強(qiáng)度 第一級 合法權(quán)益 損害 自主保護(hù) 合法權(quán)益 嚴(yán)重?fù)p害 第二級 一般系統(tǒng) 社會秩序和公共利益 損害 指導(dǎo) 社會秩序和公共利益 嚴(yán)重?fù)p害 第三級 國家安全 損害 監(jiān)督檢查 社會秩序和公共利益 特別嚴(yán)重?fù)p害 第四級 重要系統(tǒng) 國家安全 嚴(yán)重?fù)p害 強(qiáng)制監(jiān)督檢查 第五級 極端重要系統(tǒng) 國家安全 特別嚴(yán)重?fù)p害 專門監(jiān)督檢查 三、信息系統(tǒng)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn) ?我國正式頒布的信息系統(tǒng)安全等級保護(hù)的強(qiáng)制性國家標(biāo)準(zhǔn)是 GB 17859 — 1999《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ，該準(zhǔn)則于 1999年 9月 13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布， 2023年 1月 1日起實(shí)施。隨后圍繞 GB 17859 — 1999編寫和制定了一系列與信息系統(tǒng)安全等級保護(hù)有關(guān)的標(biāo)準(zhǔn)和指南，旨在規(guī)范和指導(dǎo)信息系統(tǒng)安全等級保護(hù)實(shí)施過程中的活動。 （一） GB 17859 — 1999《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ?GB 17859 — 1999是建立計算機(jī)信息系統(tǒng)安全等級保護(hù)制度，實(shí)施安全等級管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。 ?它將計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為五個等級，通過規(guī)范、科學(xué)和公正的評定和監(jiān)督管理， ? 一是為計算機(jī)信息系統(tǒng)安全等級保護(hù)管理法規(guī)的制定和執(zhí)法部門的監(jiān)督、檢查提供依據(jù)； ? 二是為計算機(jī)信息系統(tǒng)安全產(chǎn)品的研制提供技術(shù)支持； ? 三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。 （一） GB 17859 — 1999《 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 》 ? GB 17859 — 1999規(guī)定了計算機(jī)信息系統(tǒng)安全保護(hù)能力的五個等級； ?定義了計算機(jī)信息系統(tǒng)、計算機(jī)信息系統(tǒng)可信計算機(jī)、客體、主體、敏感標(biāo)記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個等級的細(xì)則。 （二） GA/T 390 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施了 GA/T 390 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 》 。 ? GA/T 390 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 》 作為計算機(jī)信息系統(tǒng)安全等級保護(hù)要求系列的基礎(chǔ)標(biāo)準(zhǔn)，詳細(xì)說明了計算機(jī)信息系統(tǒng)為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級要求應(yīng)采取的通用的安全技術(shù)，以及為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)到其應(yīng)具有的安全性而采取的保證措施，并將對計算機(jī)信息系統(tǒng)五個安全保護(hù)等級每一級的要求，從技術(shù)要求方面進(jìn)行詳細(xì)描述。 （二） GA/T 390 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術(shù)要求，包括物理安全、運(yùn)行安全、信息安全。 ? （ 2）安全保證技術(shù)要求，包括 TCB自身安全保護(hù)、TCB設(shè)計和實(shí)現(xiàn)、 TCB安全管理。 ? （ 3）五個安全等級劃分要求技術(shù)方面細(xì)則。 （三） GA/T 388 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計算機(jī)信息系統(tǒng)安全等級保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的操作系統(tǒng)，主要從對操作系統(tǒng)的安全等級進(jìn)行劃分來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級要求對操作系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實(shí)現(xiàn)的差異。對計算機(jī)信息系統(tǒng)五個安全保護(hù)等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （四） GA/T 389 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施。 ?該標(biāo)準(zhǔn)作為計算機(jī)信息系統(tǒng)安全等級保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全等級進(jìn)行劃分來說明其技術(shù)要求，即主要說明為實(shí)現(xiàn) GB 17859 — 1999所提出的安全等級要求對數(shù)據(jù)庫管理系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全級中具體實(shí)現(xiàn)的差異。 ?對計算機(jī)信息系統(tǒng)五個安全保護(hù)等級每一級的安全功能技術(shù)要求和安全保證技術(shù)要求進(jìn)行詳細(xì)描述。 （四） GA/T 389 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?GA/T 389 — 2023主要內(nèi)容為： ? （ 1）數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求，包括身份鑒別、標(biāo)記與訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)庫安全審計、客體重用、數(shù)據(jù)庫可信恢復(fù)、隱蔽信道分析、可信路徑、推理控制。 ? （ 2）五個安全等級劃分要求技術(shù)方面細(xì)則。 （五） GA/T 387 — 2023《 計算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實(shí)施 ?該標(biāo)準(zhǔn)作為計算機(jī)信息系統(tǒng)安全等級保護(hù)要求系列標(biāo)準(zhǔn)的重要組成部分，用于指導(dǎo)設(shè)計者如何設(shè)計和實(shí)現(xiàn)具有所需要的安全等級的網(wǎng)絡(luò)系統(tǒng)，主要從對網(wǎng)絡(luò)系統(tǒng)的安全等級進(jìn)行劃分來