一、概述

依據(jù)GB/T 25069《信息安全技術(shù) 術(shù)語》，計(jì)算機(jī)安全（computer security）是指：采取適當(dāng)措施保護(hù)數(shù)據(jù)和資源使計(jì)算機(jī)系統(tǒng)免受偶然或惡意的修改、損害、訪問、泄露等操作的危害。計(jì)算機(jī)信息系統(tǒng)是指：由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。那么，計(jì)算機(jī)信息系統(tǒng)安全就是采取措施使計(jì)算機(jī)信息系統(tǒng)免受相應(yīng)的危害。安全分級(jí)是指：根據(jù)業(yè)務(wù)信息和系統(tǒng)服務(wù)的重要性和受損影響，確定實(shí)施某種程度的保護(hù)，并對(duì)該保護(hù)程度給以命名。依據(jù)訪問數(shù)據(jù)和信息需求而確定的特定保護(hù)程度，同時(shí)賦予相應(yīng)的保護(hù)等級(jí)。鑒于上述些定義，計(jì)算機(jī)信息系統(tǒng)安全將實(shí)現(xiàn)安全等級(jí)保護(hù)，使計(jì)算機(jī)信息系統(tǒng)免受諸如非法侵入、篡改、泄露等危害。

二、法規(guī)要求

1、行政法規(guī)

為了保護(hù)計(jì)算機(jī)信息系統(tǒng)的安全，促進(jìn)計(jì)算機(jī)的應(yīng)用與發(fā)展，保障社會(huì)主義現(xiàn)代化建設(shè)的順利進(jìn)行，在1994年2月18日國務(wù)院頒發(fā)了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（中華人民共和國國務(wù)院令第147號(hào)）。該《條例》第九條明確規(guī)定：計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。

欲詳細(xì)了解《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的請(qǐng)進(jìn)入。

2、部門管理規(guī)定

于是，在2007年6月22日公安部聯(lián)合國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室頒布了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007] 43號(hào)）。在該《辦法》中，根據(jù)信息和信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)定級(jí)為五級(jí)，具體詳見下表2-2。該《辦法》還要求信息系統(tǒng)的運(yùn)營或使用單位應(yīng)按安全等級(jí)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對(duì)其保護(hù)工作進(jìn)行監(jiān)督管理，具體要求也列入表2-2中。安全等級(jí)越高，其保護(hù)與監(jiān)督的要求越高。

表 2-2：信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)與保護(hù)及監(jiān)督要求

欲詳細(xì)了解《信息安全等級(jí)保護(hù)管理辦法》具體相關(guān)要求的請(qǐng)進(jìn)入。

三、相關(guān)標(biāo)準(zhǔn)規(guī)范要求

1、GB 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

在1999年9月我國專門發(fā)布了強(qiáng)制性國家標(biāo)準(zhǔn)GB 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》。該標(biāo)準(zhǔn)的發(fā)布主要有三個(gè)目的：一是為計(jì)算機(jī)信息系統(tǒng)安全法規(guī)的制定和執(zhí)法部門的監(jiān)督檢查提供依據(jù)（如上述《信息安全等級(jí)保護(hù)管理辦法》）；二是為安全產(chǎn)品的研制提供技術(shù)支持；三是為安全系統(tǒng)的建設(shè)和管理提供技術(shù)指導(dǎo)。該標(biāo)準(zhǔn)目前仍然有效。

欲更多了解計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品的分類要求的請(qǐng)進(jìn)入。

該標(biāo)準(zhǔn)為了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)技術(shù)能力等級(jí)的劃分，規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力隨著安全保護(hù)等級(jí)的增高，逐漸增強(qiáng)。五個(gè)等級(jí)的名稱及釋義詳見下表3-1-1。下表3-1-2列出了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)中，各等級(jí)所列出的安全功能的名稱。劃分準(zhǔn)則的各等級(jí)中各安全功能的要求，具體詳見該標(biāo)準(zhǔn)的原文，即查閱下附件3-1。

表 3-1-1：計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力的等級(jí)名稱與釋義

表 3-1-2：各等級(jí)劃分準(zhǔn)則所列出的安全功能名稱

附件 3-1：GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》

欲更多了解GB 17859標(biāo)準(zhǔn)情況的請(qǐng)進(jìn)入。

2、GA/T 671《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》

GA/T 671《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》標(biāo)準(zhǔn)用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)終端計(jì)算機(jī)系統(tǒng)，使其達(dá)到信息系統(tǒng)所需安全等級(jí)，主要從信息系統(tǒng)安全保護(hù)等級(jí)劃分的角度來說明對(duì)終端計(jì)算機(jī)系統(tǒng)的技術(shù)要求，即主要說明終端計(jì)算機(jī)系統(tǒng)為實(shí)現(xiàn)GB 17859-1999 中每一個(gè)保護(hù)等級(jí)的安全要求應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全等級(jí)中具體實(shí)現(xiàn)上的差異。本標(biāo)準(zhǔn)首先對(duì)安全等級(jí)保護(hù)中終端計(jì)算機(jī)系統(tǒng)所涉及的安全功能技術(shù)要求做了比較全面的描述，然后按GB 17859-1999 五個(gè)安全等級(jí)的劃分，對(duì)每一個(gè)安全等級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求做了詳細(xì)描述。若要詳細(xì)了解該標(biāo)準(zhǔn)具體內(nèi)容的請(qǐng)查閱下附件3-2。

附件 3-2：GA/T 671-2006《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》

終端計(jì)算機(jī)系統(tǒng)是指：一種個(gè)人使用的計(jì)算機(jī)系統(tǒng)，是信息系統(tǒng)的重要組成部分，為用戶訪問網(wǎng)絡(luò)服務(wù)器提供支持。終端計(jì)算機(jī)系統(tǒng)表現(xiàn)為桌面型計(jì)算機(jī)系統(tǒng)和膝上型計(jì)算機(jī)系統(tǒng)兩種形態(tài)。終端計(jì)算機(jī)系統(tǒng)一般由硬件系統(tǒng)、操作系統(tǒng)和應(yīng)用系統(tǒng)（包括為用戶訪問網(wǎng)絡(luò)服務(wù)器提供支持的工具軟件和其他應(yīng)用軟件）等部分組成。

四、相關(guān)說明

一是，GB 17859-1999在編制是參照了美國相關(guān)技術(shù)文件，即：1985年美國國防部出版的《計(jì)算機(jī)可信系統(tǒng)評(píng)價(jià)準(zhǔn)則》（DoD 5200.28-STD）及《可信計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)說明》（NCSC-TG-005）。為了使該評(píng)價(jià)準(zhǔn)則中的評(píng)價(jià)方法適用于網(wǎng)絡(luò)，美國國家計(jì)算機(jī)安全中心于1987年出版了《可信網(wǎng)絡(luò)指南》。因此，為了使計(jì)算機(jī)系統(tǒng)可按這一標(biāo)準(zhǔn)劃分，必須要求系統(tǒng)在以下四個(gè)方面達(dá)到相應(yīng)的技術(shù)水準(zhǔn)：安全策略、可說明性、保險(xiǎn)程度和文檔資料。劃分的等級(jí)從D級(jí)到A1級(jí)（共7級(jí)），表示安全級(jí)別依次增強(qiáng)，如下表4-1所示，以供了解。

表 4-1：可信系統(tǒng)評(píng)價(jià)準(zhǔn)則的等級(jí)

二是，早期往往是稱“計(jì)算機(jī)信息系統(tǒng)”，隨之信息通信技術(shù)（ICT）的融合發(fā)展，現(xiàn)代統(tǒng)稱為“信息系統(tǒng)”。其實(shí)，計(jì)算機(jī)信息系統(tǒng)應(yīng)是信息系統(tǒng)的重要組成內(nèi)容。因此，這里僅介紹的是計(jì)算機(jī)信息系統(tǒng)安全等級(jí)的定級(jí)與保護(hù)的直接相關(guān)標(biāo)準(zhǔn)要求。事實(shí)上，我國對(duì)于信息系統(tǒng)安全的等級(jí)定級(jí)與保護(hù)也專門有相應(yīng)的法規(guī)規(guī)定和一系列標(biāo)準(zhǔn)規(guī)范的

欲進(jìn)一步了解我國關(guān)于信息系統(tǒng)安全的等級(jí)定級(jí)與保護(hù)要求的請(qǐng)進(jìn)入。