济南信息安全等级保护体系

济南信息安全等级保护体系

由于对信息系统和安全产品的安全性评估事关国家安全和社会安全，任何国家不会轻易相信和接受由别的国家所作的评估结果，为保险起见，要通过本国标准的测试才认为可靠。因此，没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评估标准、评估体系和评估结果的基础上。而是在充分借鉴国际标准的前提下，制定自己的安全评估标准。1989年公安部开始设计起草法律和标准，在起草过程中经过长期的对国内外广泛的调查和研究，特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究，使我们认识到要从法律、管理和技术三个方面着手；采取的措施要从国家制度的角度来看问题，对信息安全要实行等级保护制度。

国家标准《准则》就是要从安全整体上进行保护，从整体上、根本上、基础上来解决等级保护问题。要建立良好的国家整体保护制度，标准体系是基础。由国家的统一标准要求对系统进行评估，《准则》的配套标准分两类：一是《计算机信息系统安全保护等级划分准则应用指南》，它包括技术指南、建设指南和管理指南；二是《计算机信息系统安全保护等级评估准则》，它包括安全操作系统、安全数据库、网关、防火墙、路由器和身份认证管理等。目前，国家正在组织有关单位完善信息系统安全等级保护制度的标准体系。

《准则》对计算机信息系统安全保护能力划分了五个等级，计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。高级别的安全要求是低级别要求的超集。

《准则》将计算机安全保护划分为以下五个级别：

第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，是所有的用户对自己行为的合法性负责。

第三级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

需要实施安全等级保护的信息系统为：

- 党政系统(党委、政府)； 

- 金融系统(银行、保险、证券)； 

- 财税系统(财政、税务、工商)； 

- 经贸系统(商业贸易、海关)； 

- 电信系统(邮电、电信、广播、电视)； 

- 能源系统(电力、热力、燃气、煤炭、油料)； 

- 交通运输系统(航空、航天、铁路、公路、水运、海运)； 

- 供水系统(水利及水源供给)； 

- 社会应急服务系统(医疗、消防、紧急救援)； 

- 教育科研系统(教育、科研、尖端科技)； 

- 国防建设系统