- 计算机信息系统安全保护等级划分准则
- 计算机信息系统安全保护能力的五个等级:
- 用户自主保护级;
- 系统审计保护级;
- 安全标记保护级;
- 结构化保护级;
- 访问验证保护级;
- 信息安全技术 信息系统安全等级保护实施指
- 信息安全技术 信息系统安全等级保护定级指南
- 信息系统的安全保护等级划分以下五级:
- 第一级,信息系统受到破坏后,会对公民,法人和其他组织的合法权益造成损害,但不损害国家安全,社会秩序和公共利益。
- 第二级,信息系统受到破坏后,会对公民,法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害
- 信息系统安全保护等级的定级要素:
- 等级保护对象受到破坏时所侵害的客体
- 对客体造成侵害的程度
- 受侵害的客体
- 公民,法人和其他组织的合法权益;
- 社会秩序,公共利益;
- 国家安全
- 对客体的侵害程度:
- 造成一般损害;
- 造成严重损害;
- 造成特别严重损害;
- 定级要素与等级的关系
如图所示
- 信息安全技术 信息系统安全等级保护基本要求
- 基本技术的三种类型
- 保护数据在存储,传输,处理过程中不被泄露,破坏和免受未授权的修改的业务信息安全类要求(简称为 S);
- 保护系统连续正常的运行,免受对系统的未授权修改,破坏而导致系统不可用的服务保证类要求(简称为 A);
- 通用安全保护类要求(简称为G)
- 保证信息系统的整体安全保护能力还要考虑以下总体特性要求:
- 构建纵深的防御体系;
- 采取互补的安全措施;
- 保证一致的安全强度;
- 建立统一的支撑平台;
- 进行集中的安全管理;
- 信息系统定级后,不同安全保护等级的信息系统可能形成的定级结果组合如下表所示
- 信息安全技术 信息系统安全等级保护测评要求
- 测评原则
- 客观性和公正性原则
- 经济性和可重用性原则
- 可重复性和可再现性原则
- 符合性原则
- 测评内容
信息系统安全等级测评主要包括:
单元测评 和 整体测评
单元测评是等级测评工作的基本活动,每个单元测评包括测评指标,测评实施和结果判定三个部分。
整体测评是在单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统实施的综合安全测评。主要包括安全控制点间,层面间和区域间相互作用的安全测评以及系统结构的安全测评等。
测评方法:是指测评人员在测评实施过程中所使用的方法,主要包括:访谈,检查和测试
- 信息安全技术 信息系统安全等级保护测评过程指南
- 等级测评过程分为四个基本测评活动:测评准备活动,方案编制活动,现场测评活动,分析与报告编制活动
1.1测评准备活动的主要任务:
1)等级测评项目启动
2)信息收集和分析
3)工具和表单准备
1.2方案编制活动的主要任务:
1)测评对象确定
2)测评指标确定
3)测试工具接入点确定
4)测评内容确定
5)测评指导书开发
6)测评方案编制
1.3现场测评活动的主要任务:
1)现场测评准备
2)现场测评和结果记录
3)结果确认和资料归还
1.4分析与报告编制活动的主要任务:
1)单项测评结果判定
2)单元测评结果判定
3)整体测评
4)风险分析
5)等级测评结论形成
6)测评报告编制