国内信息安全风险评估标准-《计算机信息系统安全保护等级划分准则》

学习《计算机网络安全》

国内信息安全风险评估标准

我国早期的标准体系基本上是采取等同、等效的方式借鉴国外的标准，如GB/T 18336等同于ISO/IEC 15408。我国根据具体情况，也加快了信息安全标准化的步伐和力度，相继颁布了如《计算机信息系统安全保护等级划分准则》（GB 17859）、《信息安全风险评估规范》（GB/T 20984—2007）。

1. 《计算机信息系统安全保护等级划分准则》（GB 17859）
   我国国家标准《计算机信息系统安全保护等级划分准则》（GB 17859）于1999年9月正式批准发布，该准则将计算机信息系统安全分为5级，由低至高分别为用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。

第1级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第2级：系统审核保护级。除具备第1级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责。

第3级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

第4级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第5级：访问验证保护级。这个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

目前，我国重要的信息系统，都要求先定级再进行建设。信息系统运行期间要严格执行等级保护相关措施。