【正文】 1999《 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 ，該準(zhǔn)則于 1999年 9月 13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布， 2023年 1月 1日起實施。 （一） GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 ? GB 17859 — 1999規(guī)定了計算機信息系統(tǒng)安全保護能力的五個等級； ?定義了計算機信息系統(tǒng)、計算機信息系統(tǒng)可信計算機、客體、主體、敏感標(biāo)記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個等級的細(xì)則。 ? （ 2）安全保證技術(shù)要求，包括 TCB自身安全保護、TCB設(shè)計和實現(xiàn)、 TCB安全管理。 （四） GA/T 389 — 2023《 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施。 ? （ 2）五個安全等級劃分要求技術(shù)方面細(xì)則。 ? （ 2）詳細(xì)描述了網(wǎng)絡(luò)基本安全技術(shù)，包括自主訪問控制、強制訪問控制、標(biāo)記、用戶身份鑒別、剩余信息保護、安全審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)、抗抵賴、密碼支持等。 ?該標(biāo)準(zhǔn)作為 GB 17859 — 1999《 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 》 的管理要求，是根據(jù) 《 計算機信息系統(tǒng)安全保護條例 》 的規(guī)定編寫的，是 GB 17859 — 1999的配套標(biāo)準(zhǔn)中的重要標(biāo)準(zhǔn)之一，與上述所介紹的技術(shù)要求共同組成計算機信息系統(tǒng)的安全等級保護體系。 ? （ 2）五個安全等級劃分要求管理方面細(xì)則。 （八） 《 信息系統(tǒng)安全保護等級定級指南 》 ?《 信息系統(tǒng)安全保護等級定級指南 》 為各單位開展、實施等級保護提供了一個通用標(biāo)準(zhǔn)奠定了堅實的基礎(chǔ)。每一級別的技術(shù)措施和管理手段具體要求都被明確提出并分類組織。評價信息系統(tǒng)是否達到了相應(yīng)級別的安全保護要求的過程，是對信息系統(tǒng)等級保護進行測評的活動。安全控制測評是信息系統(tǒng)整體安全性測評的基礎(chǔ)。 一、基本原則 ?（三）重點保護原則 ? 根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同的安全等級，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。次要角色將參與等級保護實施過程的某一個或多個活動。 等級保護實施過程中各類角色的職責(zé) ?（四）信息安全監(jiān)管機構(gòu) ? 信息安全監(jiān)管機構(gòu)的主要責(zé)任是對不同重要程度的信息系統(tǒng)的等級保護工作給予相應(yīng)的指導(dǎo)，確保等級保護工作順利開展；按照等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重點對第三級、第四級信息系統(tǒng)的等級保護狀況進行監(jiān)督檢查；發(fā)現(xiàn)存在安全隱患或未達到等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求的要限期整改，使信息系統(tǒng)的安全保護措施更加完善；對信息系統(tǒng)中使用的信息安全產(chǎn)品的等級進行監(jiān)督檢查。 ?通常情況下，系統(tǒng)定級階段包括系統(tǒng)識別和描述、信息系統(tǒng)劃分和安全等級確定等幾個主要活動。 ?通常情況下，安全實施階段包括安全方案詳細(xì)設(shè)計、等級保護安全測評、等級保護技術(shù)實施和等級保護管理實施等幾個主要活動。 （五）系統(tǒng)終止階段 ?系統(tǒng)終止階段是對信息系統(tǒng)的過時或無用部分進行報廢處理的過程，主要涉及對信息、設(shè)備、存儲介質(zhì)或整個信息系統(tǒng)的廢棄處理。 ?安全等級保護實施活動與信息系統(tǒng)生命周期中的其他活動有著不可分割的關(guān)系；同時，安全等級保護實施活動又有自己的特點，安全等級保護工作將貫穿信息系統(tǒng)生命周期的各個階段。 已建信息系統(tǒng)安全等級保護的實施 ?已建信息系統(tǒng)通常處于系統(tǒng)運行維護階段，但由于在啟動準(zhǔn)備階段、設(shè)計 /開發(fā)階段和實施 /實現(xiàn)階段可能沒有同步考慮國家等級保護的要求，因此，應(yīng)在信息系統(tǒng)運行維護階段開始啟動等級保護工作，等級保護實施過程中的系統(tǒng)定級階段、安全規(guī)劃設(shè)計階段、安全實施階段的主要活動都將在信息系統(tǒng)生命周期的系統(tǒng)運行維護階段完成。 ?《 信息系統(tǒng)安全保護等級定級指南 》 中闡述了如何對信息系統(tǒng)的安全級別進行定級，提出了量化流程和方法，各行業(yè)信息系統(tǒng)的主管部門可以根據(jù)該指南制定適合本行業(yè)或部門的具體定級方法和指導(dǎo)意見。信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)一般有較為緊密的關(guān)聯(lián)，可能存在共用設(shè)備或較為頻繁的數(shù)據(jù)交換。 ?如果信息系統(tǒng)只承載一項業(yè)務(wù)，可以直接為該信息系統(tǒng)確定安全等級，不必劃分業(yè)務(wù)子系統(tǒng)。 二、決定信息系統(tǒng)安全保護等級的因素 ?信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度決定。 信息系統(tǒng)所屬類型舉例 賦值 信息系統(tǒng)的社會影響 屬于一般企事業(yè)單位處理其內(nèi)部事務(wù)的信息系統(tǒng)。 屬于黨政機關(guān)處理國家事務(wù)的信息系統(tǒng)。 1 業(yè)務(wù)信息保密性、完整性或可用性被破壞會對公共利益或本單位經(jīng)濟利益造成一定損害。 3 業(yè)務(wù)信息保密性、完整性或可用性被破壞會對國家安全利益和國家經(jīng)濟建設(shè)造成損害。 省級范圍的服務(wù)網(wǎng)絡(luò)。 決定信息系統(tǒng)重要性的要素 ? （四）業(yè)務(wù)對信息系統(tǒng)的依賴程度 ? 根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無法提供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命的最大影響程度，典型的業(yè)務(wù)依賴程度、賦值及相關(guān)影響如下表所示。 2 信息系統(tǒng)無法提供服務(wù)或無法提供有效服務(wù)對單位完成其業(yè)務(wù)使命影響較大。 ? 全局性原則 ? 信息系統(tǒng)安全等級保護是針對全國范圍內(nèi)、涵蓋各個行業(yè)信息系統(tǒng)的管理制度，信息系統(tǒng)安全保護等級的劃分也必須從國家層面考慮，體現(xiàn)全局性。 ? 信息系統(tǒng)主要處理的業(yè)務(wù)信息類別。為體現(xiàn)重點保護重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統(tǒng)的劃分時應(yīng)考慮以下幾個方面： 相同的管理機構(gòu) 相同的業(yè)務(wù)類型 相同的物理位置或相似的運行環(huán)境 信息系統(tǒng)劃分 定級對象： 如果信息系統(tǒng)只承載一項業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級。 業(yè)務(wù)子系統(tǒng)是按照信息系統(tǒng)所承載的業(yè)務(wù)對信息系統(tǒng)進行劃分所形成的子系統(tǒng)。 信息系統(tǒng)類型賦值 表 1：信息系統(tǒng)所屬類型賦值表 信息系統(tǒng)所屬類型賦值 信息系統(tǒng)的社會影響 1 信息系統(tǒng)受到破壞會對單位利益有直接影響 2 信息系統(tǒng)受到破壞會對公共利益有直接影響，或?qū)野踩嬗虚g接影響 3 信息系統(tǒng)受到破壞會對國家安全利益有直接影響 信息系統(tǒng)類型舉例 典型的信息系統(tǒng)所屬類型 信息系統(tǒng)所屬類型賦值 信息系統(tǒng)所屬類型 1 屬于一般企事業(yè)單位，處理其內(nèi)部事務(wù)的信息系統(tǒng) 2 屬于重要行業(yè)、重要領(lǐng)域和國家基礎(chǔ)設(shè)施，為國計民生、經(jīng)濟建設(shè)等提供重要服務(wù)的信息系統(tǒng)，或本身雖屬一般企事業(yè)單位，但為黨政或重要信息系統(tǒng)提供支撐服務(wù)的信息系統(tǒng)。 調(diào)節(jié)因子賦值表 賦值描述 調(diào)節(jié)因子 k 信息系統(tǒng)所承載業(yè)務(wù)的中斷會造成國家安全利益損失 ? k ? 信息系統(tǒng)所承載業(yè)務(wù)的中斷會造成較大范圍的公共利益損失 ? k ? 信息系統(tǒng)所承載業(yè)務(wù)的中斷會造成局部利益損失 ? k ? 0 調(diào)節(jié)結(jié)果 調(diào)節(jié)后的業(yè)務(wù)服務(wù)保證性等級 業(yè)務(wù)服務(wù)保證性取值 調(diào)節(jié)因子 業(yè)務(wù)服務(wù)保證性等級 2 k ? 1 2 ? k ? 2 3 k ? 1 3 ? k ? 2 3 ? k ? 3 4 k ? 1 4 ? k ? 2 4 ? k ? 3 4 ? k ? 4 確定信息系統(tǒng)安全保護等級 業(yè)務(wù)子系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級較高者決定。 – 業(yè)務(wù)依賴程度在將來會進一步提高，或隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務(wù)將有可能取消。政務(wù)服務(wù)工作主要通過網(wǎng)絡(luò)之外完成，網(wǎng)絡(luò)僅提供相關(guān)信息和表單下載，因此其業(yè)務(wù)自動化處理程度應(yīng)為 1； 查表知 ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為 2，如下表所示： 例 1系統(tǒng)定級 系統(tǒng)等級分析 業(yè)務(wù)服務(wù)保證性等級矩陣 信息系統(tǒng)服務(wù)范圍 業(yè)務(wù)依賴程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 例 1系統(tǒng)定級 系統(tǒng)等級分析 考慮到 ZFWZ系統(tǒng)中斷僅造成局部利益的損失，一般不會造成社會利益的重要損失，調(diào)節(jié)因子可選為 ，查表 12知，調(diào)節(jié)后ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)保證性等級為 1級； ZFWZ系統(tǒng)的安全保護等級為 2級。 第四節(jié) 信息系統(tǒng)安全等級保護要求 ?一、安全保護能力等級劃分 ?二、基本要求 安全保護能力等級劃分 ?基本原理： ?1級安全保護能力 ：應(yīng)具有能夠?qū)箒碜詡€人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強度弱、持續(xù)時間很短、系統(tǒng)局部范圍等）以及其他相當(dāng)危害程度威脅的能力，并在威脅發(fā)生后，能夠恢復(fù)部分功能。 二、基本要求 ?技術(shù)要求和管理要求 ?技術(shù)要求分類 ?基本要求的選擇 技術(shù)要求與管理要求 ?信息系統(tǒng)的安全等級保護是依據(jù)信息系統(tǒng)的安全等級情況保證它們具有相應(yīng)等級的基本安全保護能力，不同安全等級的信息系統(tǒng)要求具有不同的安全保護能力。 技術(shù)要求分類 ?根據(jù)安全機制的保護側(cè)重點，技術(shù)類安全要求又進一步細(xì)分為三類 : ? 業(yè)務(wù)信息安全類（簡記為 S類） ? 關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改； ? 業(yè)務(wù)服務(wù)保證類（簡記為 A類） ? 關(guān)注的是保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用； ? 通用安全保護類（簡記為 G類） ? 沒有明顯的側(cè)重，既關(guān)注保護業(yè)務(wù)信息的安全性，同時也關(guān)注保護系統(tǒng)的連續(xù)可用性。一級系統(tǒng)應(yīng)該選擇第一級的基本要求，二級系統(tǒng)應(yīng)該選擇第二級的基本要求，三級系統(tǒng)應(yīng)該選擇第三級的基本要求，四級系統(tǒng)應(yīng)該選擇第四級的基本要求。 ? 對于涉密的信息系統(tǒng)在確定安全等級后，除應(yīng)按照該標(biāo)準(zhǔn)規(guī)定的相應(yīng)安全等級的基本要求進行保護外，還應(yīng)按照國家保密工作部門和國家密碼管理部門的相關(guān)規(guī)定進行要求和保護。 :10:5123:10Mar238Mar23 ? 1故人江海別，幾度隔山川。 。 , March 8, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :10:5123:10:51March 8, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 8日星期三 11時 10分 51秒 23:10:518 March 2023 ? 1空山新雨后，天氣晚來秋。 :10:5123:10Mar238Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 3月 8日星期三 下午 11時 10分 51秒 23:10: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提