等级保护和分级保护之间的关系.pdfVIP

等级保护和分级保护之间的关系--第1页

如何理解信息安全等级保护与分级保护

国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别

的概念。国家安全信息等级保护，重点保护的对象是非涉密的涉及国计民生的重

要信息系统和通信基础信息系统；涉密信息系统分级保护是国家信息安全等级保

护的重要组成部分，是等级保护在涉密领域的具体体现。

在日常工作中和为用户提供服务的过程中，什么是信息系统等级保护？什么

是涉密信息系统分级保护？这两者之间有什么关系？那些系统需要进行等级保

护？涉密信息系统如何分级？这是时常困扰我们的问题。

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统

安全保护等级划分准则》。2003年，中办、国办转发《国家信息化领导小组关于

加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级

保护，建立国家信息安全保障体系的明确要求。2004年9月17日，公安部、国

家必威体育官网网址局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等

级保护工作的实施意见》，明确了信息安全等级保护的重要意义、原则、基本内

容、工作职责分工、要求和实施计划。2006年1月17日，四部门又下发了《信

息安全等级保护管理办法（试行）》，进一步确定职责分工，明确了公安机关负责

全面工作、国家必威体育官网网址工作部门负责涉密信息系统、国家密码管理部门负责密码工

作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国

家信息安全等级保护的基本要求，按照国家必威体育官网网址工作部门涉密信息系统分级保护

的管理规定和技术标准，结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的，

是社会构成、行政组织体系的反映，因而这种系统结构是分层次和级别的，而其

中的各种信息系统具有重要的社会和经济价值，不同的系统具有不同的价值。系

统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重

要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规

律，其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别：

等级保护和分级保护之间的关系--第1页

等级保护和分级保护之间的关系--第2页

第一级：用户自主保护级完全由用户自己来决定如何对资源进行保护，以及

采用何种方式进行保护。

第二级：系统审计保护级本级的安全保护机制受到信息系统等级保护的指导，

支持用户具有更强的自主保护能力，特别是具有访问审计能力。即能创建、维护

受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、

用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统

发生安全问题时，可以根据审计记录，分析追查事故责任人，使所有的用户对自

己行为的合法性负责。

第三级：安全标记保护级除具有第二级系统审计保护级的所有功能外，还它

要求对访问者和访问对象实施强制访问控制，并能够进行记录，以便事后的监督、

审计。通过对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，

实现对访问对象的强制访问控制。

第四级：结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对

象，支持形式化的安全保护策略。其本身构造也是结构化的，将安全保护机制划

分为关键部分和非关键部分，对关键部分强制性地直接控制访问者对访问对象的

存取，使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一

种系统化的安全保护。

第五级：访问验证保