国内信息安全风险评估标准-《计算机信息系统安全保护等级划分准则》

学习《计算机网络安全》

国内信息安全风险评估标准

我国早期的标准体系基本上是采取等同、等效的方式借鉴国外的标准,如GB/T 18336等同于ISO/IEC 15408。我国根据具体情况,也加快了信息安全标准化的步伐和力度,相继颁布了如《计算机信息系统安全保护等级划分准则》(GB 17859)、《信息安全风险评估规范》(GB/T 20984—2007)。

  1. 《计算机信息系统安全保护等级划分准则》(GB 17859)
    我国国家标准《计算机信息系统安全保护等级划分准则》(GB 17859)于1999年9月正式批准发布,该准则将计算机信息系统安全分为5级,由低至高分别为用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。

第1级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。

第2级:系统审核保护级。除具备第1级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己行为的合法性负责。

第3级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。

第4级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。

第5级:访问验证保护级。这个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。

目前,我国重要的信息系统,都要求先定级再进行建设。信息系统运行期间要严格执行等级保护相关措施。

你可能感兴趣的:(国内信息安全风险评估标准-《计算机信息系统安全保护等级划分准则》)