海委信息安全等级保护分析

1信息系统等级保护

信息系统等级保护[1]的发展经历了如下几个阶段。1999年国家发布并于2001年1月1日开始实施《计算机信息系统安全保护等级划分准则》（gb17859）。2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》，提出实行信息安全等级保护、建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信息安全等级保护管理办法（试行）》，进一步确定职责分工，各司其责。由于信息系统是应社会发展、生活和工作的需求而设计建立的，是社会构成、行政组织体系的反映，因此这种信息系统是分层次和分级别的，而其中的各种系统具有不同的社会和经济价值。系统的基础资源及信息资源的价值大小、用户访问权限大小的区别等级即是信息系统级别的客观体现。信息安全等级保护必须符合客观存在的发展规律，其分级、分区域、分类和分阶段是做好信息安全保护的重要前提。信息安全等级保护根据信息在国家安全、经济建设、人们的工作生活中的重要程度而划分等级。《国家信息化领导小组关于加强信息安全保障工作意见》中明确了建立国家信息安全保障体系的要求，将信息安全等级划分为五级。第一级为用户自主保护级。该级别完全由用户自己来判断如何以及用何种方式对信息资源进行保护。第二级为系统审计保护级。该级别具有更强的自主保护能力，特别具有访问审计能力。用户可以收集安全事件发生的时间、地点、涉及到的人员、时间类型等所有与安全相关的操作都被记录下来，以便当系统发生安全问题时，可以根据审计记录，分析追查事故责任人，以督促所有用户对自己的行为和操作负责。第三级为安全标记保护级。该级别除了第二级的审计保护系统外，它将用户设置为不同的访问权限，通过权限来限制用户的访问范围和行为，从而保护信息安全。第四级为结构化保护级。该级别采用形式化的保护体系，具有很强的抗渗透能力。它将整个保护机制分为关键部分和非关键部分，并采取不同的保证措施，对关键部分强制性地直接控制访问者对访问对象的存取。第五级为访问验证保护级。与前4个级别相比，该级别具有更强的抗渗透能力，保护措施更强硬，同时增加了访问验证功能。该级别负责管理所有访问活动，并对访问对象实行专控，保证信息不被篡改、攻击。

2海委信息系统等级保护