關于信息應是指在信息系統中存儲、傳輸、處理的數字化信息。那么信息系統則是指由計算機及其配套的設備、設施構成的,按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或網絡。信息網絡安全是指通過采取必要的措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據信息的完整性、保密性、可用性的能力。信息安全等級保護從與信息系統(或網絡)安全相關的物理層面、網絡層面、系統層面、應用層面和管理層面對信息和信息系統實施分等級安全保護。
欲具體了解信息系統安全等級保護介紹的請進入。
為此,我國在關于信息系統安全等級保護方面發布了一整套的國家標準,這些標準可以分為三種。其一是信息系統安全等級保護的基礎性標準;其二是信息系統安全等級保護的擴展性標準;其三是信息系統安全等級保護的細化性標準。下述對這三種情況中的國家標準情況分別給予介紹。
一、基礎性標準:GB 17859-1999
信息系統安全等級保護的基礎性標準是指我國于1999年9月13日批準發布的GB 17859《計算機信息系統 安全保護等級劃分準則》強制性國家標準,并于2001年1月1日起開始實施。該標準是為了配合我國在1994年2月18日頒發的《中華人民共和國計算機信息系統安全保護條例》(中華人民共和國國務院令第147號)的實施而提供技術支撐。該標準又是信息系統安全等級保護方面的擴展性標準和細化性標準的編制依據和基礎。它至今沒有修訂并一直有效。該標準的主要內容是由4章所構成,其章節的名稱詳見下表1。
表 1:GB 17859-1999標準的目錄
欲詳細了解GB 17859-1999標準具體內容的請進入。
二、擴展性標準
1、標準的基本情況
所謂信息系統安全等級保護方面的擴展性標準,即它們以GB 17859-1999規定的五個等級要求為基礎,對信息系統安全方面進一步分別給出其管理要求和技術要求等。這些標準可以理解為,是在信息系統安全方面擴展對信息系統安全等級保護方面的應用。標準主要有:GB/T 20269《信息安全技術 信息系統安全管理要求》、GB/T 20270《信息安全技術 網絡基礎安全技術要求》、GB/T 20271《信息安全技術 信息系統通用安全技術要求》和GB/T 20282《信息安全技術 信息系統安全工程管理要求》等。它們的首版都發布于2006年,至今沒有被修訂。下表2-1匯總了這些標準的基本情況,包括標準的編號與名稱、標準的發布時間與實施時間、標準的概要和適用范圍等。
表 2-1:信息系統安全等級保護的擴展性國家標準的基本情況
2、標準的內容構成情況
GB/T 20269-2006《信息安全技術 信息系統安全管理要求》標準以安全管理要素作為描述安全管理要求的基本組件。安全管理要素是指,為實現信息系統安全等級保護所規定的安全要求;從管理角度應采取的主要控制方法和措施。根據GB 17859-1999對安全等級保護的劃分,不同的安全等級會有不同的安全管理要求,可以體現在管理要素的增加和管理強度的增加兩個方面。因此,該標準的主要內容是由6章和2個資料性附錄所構成,其章節和附錄的名稱詳見下表2-2-1;若要詳細了解該標準具體內容的請查閱下附件2-1。
表 2-2-1:GB/T 20269-2006標準的目錄
附件 2-1:GB/T 20269-2006《信息安全技術 信息系統安全管理要求》
GB/T 20270-2006《信息安全技術 網絡基礎安全技術要求》標準以指導設計者如何設計和實現具有所需要的安全保護等級的網絡系統,主要說明為實現GB 17859-1999中每一等級的安全要求,網絡系統應采用的安全技術措施,以及各安全技術要求在不同安全等級中的具體差異。因此,該標準的主要內容是由7章和1個資料性附錄所構成,其章節和附錄的名稱詳見下表2-2-2;若要詳細了解該標準具體內容的請查閱下附件2-2。
表 2-2-2:GB/T 20270-2006標準的目錄
附件 2-2:GB/T 20270-2006《信息安全技術 網絡基礎安全技術要求》
GB/T 20271-2006《信息安全技術 信息系統通用安全技術要求》標準主要從信息系統安全等級劃分的角度,說明為實現GB 17859-1999每一安全保護等級的安全功能要求采取的安全技術措施,以及各安全保護等級的安全功能在具體實現上的差異。因此,該標準的主要內容是由6章和3個資料性附錄所構成,其章節和附錄的名稱詳見下表2-2-3;若要詳細了解該標準具體內容的請查閱下附件2-3。
表 2-2-3:GB/T 20271-2006標準的目錄
附件 2-3:GB/T 20271-2006《信息安全技術 信息系統通用安全技術要求》
GB/T 20282-2006《信息安全技術 信息系統安全工程管理要求》標準是對信息系統安全工程中所涉及到的需求方、實施方與第三方工程實施的指導,各方可以此為依據建立安全工程管理體系。本標準按照GB 17859-1999劃分的五個安全保護等級,規定了信息系統安全工程管理的不同要求。因此,該標準的主要內容是由10章和1個資料性附錄所構成,其章節和附錄的名稱詳見下表2-2-4;若要詳細了解該標準具體內容的請查閱下附件2-4。
表 2-2-4:GB/T 20282-2006標準的目錄
附錄 2-4:GB/T 20282-2006《信息安全技術 信息系統安全工程管理要求》
三、細化性標準
所謂信息系統安全等級保護的細化性標準,即是在GB 17859-1999標準和上述擴展性標準的基礎上,專門針對信息系統安全等級保護方面的相關要求內容做進一步細化而制定的國家標準。這些標準是從2008年開始陸續首次發布的,主要包括有六個標準,且從2018年開始陸續都被進行了第一次修訂。修訂版本與首版標準變化較大。
欲詳細了解信息系統安全等級保護的細化性標準情況的請進入。
信息系統安全等級保護技術,是信息系統安全技術的重要內容,且是基礎性的內容。信息系統安全技術內容多是以信息系統安全等級保護技術的內容而開展的。但采用分等安全保護的,還有電信網與互聯網的安全等級防護。
欲進一步了解我國電信網與互聯網安全等級防護標準情況的請進入。
