【正文】 1999《 計算機信息系統安全保護等級劃分準則 》 ，該準則于 1999年 9月 13日經國家質量技術監(jiān)督局發(fā)布， 2023年 1月 1日起實施。 （一） GB 17859 — 1999《 計算機信息系統安全保護等級劃分準則 》 ? GB 17859 — 1999規(guī)定了計算機信息系統安全保護能力的五個等級； ?定義了計算機信息系統、計算機信息系統可信計算機、客體、主體、敏感標記、安全策略、信道、隱蔽信道、訪問監(jiān)控器； ?描述了五個等級的細則。 ? （ 2）安全保證技術要求，包括 TCB自身安全保護、TCB設計和實現、 TCB安全管理。 （四） GA/T 389 — 2023《 計算機信息系統安全等級保護數據庫管理系統技術要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施。 ? （ 2）五個安全等級劃分要求技術方面細則。 ? （ 2）詳細描述了網絡基本安全技術，包括自主訪問控制、強制訪問控制、標記、用戶身份鑒別、剩余信息保護、安全審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復、抗抵賴、密碼支持等。 ?該標準作為 GB 17859 — 1999《 計算機信息系統安全保護等級劃分準則 》 的管理要求，是根據 《 計算機信息系統安全保護條例 》 的規(guī)定編寫的，是 GB 17859 — 1999的配套標準中的重要標準之一，與上述所介紹的技術要求共同組成計算機信息系統的安全等級保護體系。 ? （ 2）五個安全等級劃分要求管理方面細則。 （八） 《 信息系統安全保護等級定級指南 》 ?《 信息系統安全保護等級定級指南 》 為各單位開展、實施等級保護提供了一個通用標準奠定了堅實的基礎。每一級別的技術措施和管理手段具體要求都被明確提出并分類組織。評價信息系統是否達到了相應級別的安全保護要求的過程，是對信息系統等級保護進行測評的活動。安全控制測評是信息系統整體安全性測評的基礎。 一、基本原則 ?（三）重點保護原則 ? 根據信息系統的重要程度、業(yè)務特點，通過劃分不同的安全等級，實現不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務或關鍵信息資產的信息系統。次要角色將參與等級保護實施過程的某一個或多個活動。 等級保護實施過程中各類角色的職責 ?（四）信息安全監(jiān)管機構 ? 信息安全監(jiān)管機構的主要責任是對不同重要程度的信息系統的等級保護工作給予相應的指導，確保等級保護工作順利開展；按照等級保護的管理規(guī)范和技術標準的要求，重點對第三級、第四級信息系統的等級保護狀況進行監(jiān)督檢查；發(fā)現存在安全隱患或未達到等級保護的管理規(guī)范和技術標準要求的要限期整改，使信息系統的安全保護措施更加完善；對信息系統中使用的信息安全產品的等級進行監(jiān)督檢查。 ?通常情況下，系統定級階段包括系統識別和描述、信息系統劃分和安全等級確定等幾個主要活動。 ?通常情況下，安全實施階段包括安全方案詳細設計、等級保護安全測評、等級保護技術實施和等級保護管理實施等幾個主要活動。 （五）系統終止階段 ?系統終止階段是對信息系統的過時或無用部分進行報廢處理的過程，主要涉及對信息、設備、存儲介質或整個信息系統的廢棄處理。 ?安全等級保護實施活動與信息系統生命周期中的其他活動有著不可分割的關系；同時，安全等級保護實施活動又有自己的特點，安全等級保護工作將貫穿信息系統生命周期的各個階段。 已建信息系統安全等級保護的實施 ?已建信息系統通常處于系統運行維護階段，但由于在啟動準備階段、設計 /開發(fā)階段和實施 /實現階段可能沒有同步考慮國家等級保護的要求，因此，應在信息系統運行維護階段開始啟動等級保護工作，等級保護實施過程中的系統定級階段、安全規(guī)劃設計階段、安全實施階段的主要活動都將在信息系統生命周期的系統運行維護階段完成。 ?《 信息系統安全保護等級定級指南 》 中闡述了如何對信息系統的安全級別進行定級，提出了量化流程和方法，各行業(yè)信息系統的主管部門可以根據該指南制定適合本行業(yè)或部門的具體定級方法和指導意見。信息系統內的各業(yè)務子系統一般有較為緊密的關聯，可能存在共用設備或較為頻繁的數據交換。 ?如果信息系統只承載一項業(yè)務，可以直接為該信息系統確定安全等級，不必劃分業(yè)務子系統。 二、決定信息系統安全保護等級的因素 ?信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度決定。 信息系統所屬類型舉例 賦值 信息系統的社會影響 屬于一般企事業(yè)單位處理其內部事務的信息系統。 屬于黨政機關處理國家事務的信息系統。 1 業(yè)務信息保密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成一定損害。 3 業(yè)務信息保密性、完整性或可用性被破壞會對國家安全利益和國家經濟建設造成損害。 省級范圍的服務網絡。 決定信息系統重要性的要素 ? （四）業(yè)務對信息系統的依賴程度 ? 根據信息系統因完整性和可用性受到破壞，無法提供服務或無法提供有效服務對單位完成其業(yè)務使命的最大影響程度，典型的業(yè)務依賴程度、賦值及相關影響如下表所示。 2 信息系統無法提供服務或無法提供有效服務對單位完成其業(yè)務使命影響較大。 ? 全局性原則 ? 信息系統安全等級保護是針對全國范圍內、涵蓋各個行業(yè)信息系統的管理制度，信息系統安全保護等級的劃分也必須從國家層面考慮，體現全局性。 ? 信息系統主要處理的業(yè)務信息類別。為體現重點保護重要信息系統安全，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統的劃分時應考慮以下幾個方面： 相同的管理機構 相同的業(yè)務類型 相同的物理位置或相似的運行環(huán)境 信息系統劃分 定級對象： 如果信息系統只承載一項業(yè)務，可以直接為該信息系統確定等級。 業(yè)務子系統是按照信息系統所承載的業(yè)務對信息系統進行劃分所形成的子系統。 信息系統類型賦值 表 1：信息系統所屬類型賦值表 信息系統所屬類型賦值 信息系統的社會影響 1 信息系統受到破壞會對單位利益有直接影響 2 信息系統受到破壞會對公共利益有直接影響，或對國家安全利益有間接影響 3 信息系統受到破壞會對國家安全利益有直接影響 信息系統類型舉例 典型的信息系統所屬類型 信息系統所屬類型賦值 信息系統所屬類型 1 屬于一般企事業(yè)單位，處理其內部事務的信息系統 2 屬于重要行業(yè)、重要領域和國家基礎設施，為國計民生、經濟建設等提供重要服務的信息系統，或本身雖屬一般企事業(yè)單位，但為黨政或重要信息系統提供支撐服務的信息系統。 調節(jié)因子賦值表 賦值描述 調節(jié)因子 k 信息系統所承載業(yè)務的中斷會造成國家安全利益損失 ? k ? 信息系統所承載業(yè)務的中斷會造成較大范圍的公共利益損失 ? k ? 信息系統所承載業(yè)務的中斷會造成局部利益損失 ? k ? 0 調節(jié)結果 調節(jié)后的業(yè)務服務保證性等級 業(yè)務服務保證性取值 調節(jié)因子 業(yè)務服務保證性等級 2 k ? 1 2 ? k ? 2 3 k ? 1 3 ? k ? 2 3 ? k ? 3 4 k ? 1 4 ? k ? 2 4 ? k ? 3 4 ? k ? 4 確定信息系統安全保護等級 業(yè)務子系統的安全保護等級由業(yè)務信息安全性等級和業(yè)務服務保證性等級較高者決定。 – 業(yè)務依賴程度在將來會進一步提高，或隨著信息系統所承載的業(yè)務不斷完善和穩(wěn)定，與信息系統并行的手工處理（或老的系統）的業(yè)務將有可能取消。政務服務工作主要通過網絡之外完成，網絡僅提供相關信息和表單下載，因此其業(yè)務自動化處理程度應為 1； 查表知 ZFWZ系統的業(yè)務服務保證性等級為 2，如下表所示： 例 1系統定級 系統等級分析 業(yè)務服務保證性等級矩陣 信息系統服務范圍 業(yè)務依賴程度 1 2 3 1 1 2 3 2 2 3 4 3 3 4 4 例 1系統定級 系統等級分析 考慮到 ZFWZ系統中斷僅造成局部利益的損失，一般不會造成社會利益的重要損失，調節(jié)因子可選為 ，查表 12知，調節(jié)后ZFWZ系統的業(yè)務服務保證性等級為 1級； ZFWZ系統的安全保護等級為 2級。 第四節(jié) 信息系統安全等級保護要求 ?一、安全保護能力等級劃分 ?二、基本要求 安全保護能力等級劃分 ?基本原理： ?1級安全保護能力 ：應具有能夠對抗來自個人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災難（災難發(fā)生的強度弱、持續(xù)時間很短、系統局部范圍等）以及其他相當危害程度威脅的能力，并在威脅發(fā)生后，能夠恢復部分功能。 二、基本要求 ?技術要求和管理要求 ?技術要求分類 ?基本要求的選擇 技術要求與管理要求 ?信息系統的安全等級保護是依據信息系統的安全等級情況保證它們具有相應等級的基本安全保護能力，不同安全等級的信息系統要求具有不同的安全保護能力。 技術要求分類 ?根據安全機制的保護側重點，技術類安全要求又進一步細分為三類 : ? 業(yè)務信息安全類（簡記為 S類） ? 關注的是保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改； ? 業(yè)務服務保證類（簡記為 A類） ? 關注的是保護系統連續(xù)正常的運行，免受對系統的未授權修改、破壞而導致系統不可用； ? 通用安全保護類（簡記為 G類） ? 沒有明顯的側重，既關注保護業(yè)務信息的安全性，同時也關注保護系統的連續(xù)可用性。一級系統應該選擇第一級的基本要求，二級系統應該選擇第二級的基本要求，三級系統應該選擇第三級的基本要求，四級系統應該選擇第四級的基本要求。 ? 對于涉密的信息系統在確定安全等級后，除應按照該標準規(guī)定的相應安全等級的基本要求進行保護外，還應按照國家保密工作部門和國家密碼管理部門的相關規(guī)定進行要求和保護。 :10:5123:10Mar238Mar23 ? 1故人江海別，幾度隔山川。 。 , March 8, 2023 ? 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 :10:5123:10:51March 8, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 8日星期三 11時 10分 51秒 23:10:518 March 2023 ? 1空山新雨后，天氣晚來秋。 :10:5123:10Mar238Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 3月 8日星期三 下午 11時 10分 51秒 23:10: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提