信息網絡的全球化使得信息網絡的安(ān)全問題也全球化起來，任何與互聯網相連接的信息系統都必 須面對世界範圍内的網絡攻擊、數據竊取、身份 假冒等安(ān)全問題。發達國(guó)家普遍發生的有(yǒu)關利用(yòng) 計算機進行犯罪的案件，絕大部分(fēn)已經在我國(guó)出現。
　　
　　當前計算機信息系統的建設者、管理(lǐ)者和使用(yòng)者都面臨着一個共同的問題，就是他(tā)們建設、管理(lǐ) 或使用(yòng)的信息系統是否是安(ān)全的？如何評價系統 的安(ān)全性？
　　
　　這就需要有(yǒu)一整套用(yòng)于規範計算機信息系統安(ān)全建設和使用(yòng)的标準和管理(lǐ)辦(bàn)法。
　　
　　1994 年，國(guó)務(wù)院發布了《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》，該條例是計算機信息系統安(ān)全保護的法 律基礎。其中(zhōng)第九條規定“計算機信息系統實行安(ān)全等級保護。安(ān)全等級的劃分(fēn)标準和安(ān)全等級保護的具(jù)體(tǐ)辦(bàn)法，
　　
　　由公(gōng)安(ān)部會同有(yǒu)關部門制定。”
　　
　　公(gōng)安(ān)部在《條例》發布實施後便着手開始了計算機信息系統安(ān)全等級保護的研究和準備工(gōng)作(zuò)。等級管理(lǐ)的思想和方法具(jù)有(yǒu)科(kē)學(xué)、合理(lǐ)、規範、便于理(lǐ)解、掌握和運用(yòng)等優點， 因此，對計算機信息系統實行安(ān)全等級保護制度，是我國(guó)計算機信息系統安(ān)全保護工(gōng)作(zuò)的重要發展思路，對于正在
　　
　　發展中(zhōng)的信息系統安(ān)全保護工(gōng)作(zuò)更有(yǒu)着十分(fēn)重要的意義。
　　
　　等級保護制度的意義
　　
　　為(wèi)切實加強重要領域信息系統安(ān)全的規範化建設和管理(lǐ)， 全面提高國(guó)家信息系統安(ān)全保護的整體(tǐ)水平，使公(gōng)安(ān)機關 公(gōng)共信息網絡安(ān)全監察工(gōng)作(zuò)更加科(kē)學(xué)、規範，指導工(gōng)作(zuò)更 具(jù)體(tǐ)、明确，公(gōng)安(ān)部組織制訂了《計算機信息系統安(ān)全保護等級劃分(fēn)準則》國(guó)家标準，并于1999年9 月13日由國(guó)家 質(zhì)量技(jì )術監督局審查通過并正式批準發布，已于 2001年1 月1日執行。
　　
　　該準則的發布為(wèi)計算機信息系統安(ān)全法規和配套标準的制 定和執法部門的監督檢查提供了依據，為(wèi)安(ān)全産(chǎn)品的研制 提供了技(jì )術支持，為(wèi)安(ān)全系統的建設和管理(lǐ)提供了技(jì )術指 導，是我國(guó)計算機信息系統安(ān)全保護等級工(gōng)作(zuò)的基礎。
　　
　　美國(guó)國(guó)防部早在80年代就針對國(guó)防部門的計算機 安(ān)全保密開展了一系列有(yǒu)影響的工(gōng)作(zuò)，後來成立了所屬的機構--國(guó)家計算機安(ān)全中(zhōng)心（NCSC）繼續進行有(yǒu)關工(gōng)作(zuò)。
　　
　　1984年美國(guó)國(guó)防部發布的《可(kě)信計算機系統評估準則》（Trusted Computer System Evaluation Criteria）即桔皮書。
　　
　　目的：
　　
　　為(wèi)制造商(shāng)提供一個安(ān)全标準；
　　
　　為(wèi)國(guó)防部各部門提供一個度量标準，用(yòng)來評估計算機 系統或其他(tā)敏感信息的可(kě)信度；
　　
　　在分(fēn)析、研究規範時，為(wèi)指定安(ān)全需求提供基礎。
　　
　　TCSEC采用(yòng)等級評估的方法，将計算機安(ān)全分(fēn)為(wèi)A、B、C、D四個等級八個級别，D等級安(ān)全級别最低，風險最高，A等級安(ān)全級别最高，風險最低；
　　
　　評估類别：
　　
　　安(ān)全策略
　　
　　可(kě)審計性
　　
　　保證
　　
　　文(wén)檔
　　
　　無保護級（D級）
　　
　　是為(wèi)那些經過評估，但不滿足較高評估等級要 求的系統設計的，隻具(jù)有(yǒu)一個級别
　　
　　該類是指不符合要求的那些系統，因此，這種 系統不能(néng)在多(duō)用(yòng)戶環境下處理(lǐ)敏感信息
　　
　　自主保護級（C級）
　　
　　具(jù)有(yǒu)一定的保護能(néng)力，采用(yòng)的措施是身份認證、自主訪問控制和審計跟蹤
　　
　　一般隻适用(yòng)于具(jù)有(yǒu)一定等級的多(duō)用(yòng)戶環境
　　
　　具(jù)有(yǒu)對主體(tǐ)責任及其動作(zuò)審計的能(néng)力
　　
　　自主安(ān)全保護級（C1級)
　　
　　控制訪問保護級（C2級）
　　
　　強制保護級 （B級）
　　
　　B類系統中(zhōng)的客體(tǐ)必須攜帶敏感标記（安(ān)全等級）
　　
　　TCB應維護完整的敏感标記，并在此基礎上執行一系列 強制訪問控制規則
　　
　　标記安(ān)全保護級（B1級）
　　
　　結構保護級（B2級）
　　
　　強制安(ān)全區(qū)域級（B3級）
　　
　　驗證保護級（A級）
　　
　　A類的特點是使用(yòng)形式化的安(ān)全驗證方法，保證系統的自主和強制 安(ān)全控制措施能(néng)夠有(yǒu)效地保護系統中(zhōng)存儲和處理(lǐ)的秘密信息或其他(tā)敏感信息
　　
　　為(wèi)證明TCB滿足設計、開發及實現等各個方面的安(ān)全要求，系統應 提供豐富的文(wén)檔信息
　　
　　Trusted Computing Base可(kě)靠計算基礎。就是計算系統中(zhōng)的每 個事物(wù)都提供了一個安(ān)全環境。這包括操作(zuò)系統和它提供的安(ān)全 機制，硬件，物(wù)理(lǐ)定位，網絡硬件和軟件，指定處理(lǐ)過程。具(jù)有(yǒu) 代表性的是控制訪問的防備，對特殊資源的授權，支持用(yòng)戶身份 驗證，抵抗病毒和其他(tā)對系統的滲透，還有(yǒu)數據備份。假設可(kě)靠 計算基礎已經或必須被測試和驗證通過。
　　
　　驗證設計級（A1級）
　　
　　超A1級
　　
　　TCSEC 帶動了國(guó)際計算機安(ān)全的評估研究。
　　
　　90年代西歐四國(guó)（英、法、荷、德(dé)）聯合提出了信息技(jì )術 安(ān)全評估标準（ITSEC），ITSEC（又(yòu)稱歐洲白皮書）除 了吸收TCSEC 的成功經驗外，首次提出了信息安(ān)全的保密性、完整性、可(kě)用(yòng)性的概念，把可(kě)信計算機的概念提高 到可(kě)信信息技(jì )術的高度上來認識。他(tā)們的工(gōng)作(zuò)成為(wèi)歐共體(tǐ) 信息安(ān)全計劃的基礎，并對國(guó)際信息安(ān)全的研究、實施帶 來深刻的影響。
　　
　　來自六國(guó)七方的安(ān)全标準組織組合成的單一的、能(néng)被廣泛使用(yòng)的IT安(ān)全準則。
　　
　　目的：解決各标準中(zhōng)出現的概念和技(jì )術上的差異，并把結 果作(zuò)為(wèi)國(guó)際标準提交給ISO。
　　
　　内容：對信息系統的安(ān)全功能(néng)、安(ān)全保障給出了分(fēn)類描述， 并綜合考慮信息系統的資産(chǎn)價值、威脅等因素後，對被評估對象提出了安(ān)全需求（保護輪廓PP）及安(ān)全實現（安(ān)全目标ST）等方面的評估。
　　
　　重點考慮人為(wèi)的威脅，也用(yòng)于非人為(wèi)因素導緻的威脅。
　　
　　CC适用(yòng)于硬件、固件和軟件實現的信息技(jì )術安(ān)全措施，而某些内容因涉及特殊專業技(jì )術或僅是信息技(jì )術安(ān)全的外圍技(jì )術不在CC的範圍内。
　　
　　通用(yòng)準則(Common Criteria,CC)是目前國(guó)際上最全面的 信息技(jì )術安(ān)全性評估準則,它具(jù)有(yǒu)國(guó)際互認的優勢,因此研究CC評估、建立CC評估體(tǐ)系對我國(guó)的信息安(ān)全發展具(jù)有(yǒu) 重大意義。通用(yòng)評估方法CEM(Common Evaluation Methodology,CEM)是CC評估配套的評估方法。
　　
　　1989年公(gōng)安(ān)部開始設計起草(cǎo)法律和标準，在起草(cǎo)過程中(zhōng)經過長(cháng)期的對國(guó)内外廣泛的調查和研究，特 别是對國(guó)外的法律法規、政府政策、标準和計算機 犯罪的研究，使我們認識到要從法律、管理(lǐ)和技(jì )術 三個方面着手；采取的措施要從國(guó)家制度的角度來 看問題，對信息安(ān)全要實行等級保護制度。
　　
　　《計算機信息系統安(ān)全保護等級劃分(fēn)準則》
　　
　　意義：
　　
　　該準則的發布為(wèi)計算機信息系統安(ān)全法規和配套标準 的制定和執法部門的監督檢查提供了依據
　　
　　為(wèi)安(ān)全産(chǎn)品的研制提供了技(jì )術支持
　　
　　為(wèi)安(ān)全系統的建設和管理(lǐ)提供了技(jì )術指導是我國(guó)計算 機信息系統安(ān)全保護等級工(gōng)作(zuò)的基礎
　　
　　将計算機信息系統安(ān)全保護等級劃分(fēn)為(wèi)五個級别。
　　
　　第一級：用(yòng)戶自主保護級
　　
　　第二級：系統審計保護級
　　
　　第三級：安(ān)全标記保護級
　　
　　第四級：結構化保護級
　　
　　第五級：訪問驗證保護級
　　
　　第一級：用(yòng)戶自主保護級：
　　
　　計算機信息系統可(kě)信計算基通過隔離用(yòng)戶與數據， 使用(yòng)戶具(jù)備自主安(ān)全保護的能(néng)力。
　　
　　它具(jù)有(yǒu)多(duō)種形式的控制能(néng)力，對用(yòng)戶實施訪問控 制，即為(wèi)用(yòng)戶提供可(kě)行的手段，保護用(yòng)戶和用(yòng)戶 組信息，避免其他(tā)用(yòng)戶對數據的非法讀寫與破壞
　　
　　第二級：系統審計保護級：
　　
　　與用(yòng)戶自主保護級相比，計算機信息系統可(kě)信計 算基實施了粒度更細的自主訪問控制
　　
　　它通過登錄規程、審計安(ān)全性相關事件和隔離資源，使用(yòng)戶對自己的行為(wèi)負責
　　
　　第三級：安(ān)全标記保護級：
　　
　　計算機信息系統可(kě)信計算基具(jù)有(yǒu)系統審計保護級 所有(yǒu)功能(néng)
　　
　　此外，還提供有(yǒu)關安(ān)全策略模型、數據标記以及主體(tǐ)對客體(tǐ)強制訪問控制的非形式化描述
　　
　　具(jù)有(yǒu)準确地标記輸出信息的能(néng)力
　　
　　消除通過測試發現的任何錯誤
　　
　　第四級：結構化保護級：
　　
　　計算機信息系統可(kě)信計算基建立于一個明确定義的形式化安(ān)全策略模型之上
　　
　　要求将第三級系統中(zhōng)的自主和強制訪問控制擴展到所有(yǒu)主體(tǐ)與客體(tǐ)
　　
　　此外，還要考慮隐蔽通道
　　
　　計算機信息系統可(kě)信計算基必須結構化為(wèi)關鍵保護元素和非關鍵保護元素
　　
　　計算機信息系統可(kě)信計算基的接口也必須明确定義，使其設計與實現 能(néng)經受更充分(fēn)的測試和更完整的複審
　　
　　加強了鑒别機制
　　
　　支持系統管理(lǐ)員和操作(zuò)員的職能(néng)
　　
　　提供可(kě)信設施管理(lǐ)
　　
　　增強了配置管理(lǐ)控制
　　
　　系統具(jù)有(yǒu)相當的抗滲透能(néng)力
　　
　　第五級：訪問驗證保護級：
　　
　　計算機信息系統可(kě)信計算基滿足訪問監控器需求
　　
　　訪問監控器仲裁主體(tǐ)對客體(tǐ)的全部訪問
　　
　　訪問監控器本身是抗篡改的；必須足夠小(xiǎo)，能(néng)夠分(fēn)析和測 試支持安(ān)全管理(lǐ)員職能(néng)
　　
　　擴充審計機制，當發生與安(ān)全相關的事件時發出信号
　　
　　提供系統恢複機制
　　
　　系統具(jù)有(yǒu)很(hěn)高的抗滲透能(néng)力
　　
　　- 黨政系統(黨委、政府)；
　　
　　- 金融系統(銀行、保險、證券)；
　　
　　- 财稅系統(财政、稅務(wù)、工(gōng)商(shāng))；
　　
　　- 經貿系統(商(shāng)業貿易、海關)；
　　
　　- 電(diàn)信系統(郵電(diàn)、電(diàn)信、廣播、電(diàn)視)；
　　
　　- 能(néng)源系統(電(diàn)力、熱力、燃氣、煤炭、油料)；
　　
　　- 交通運輸系統(航空、航天、鐵路、公(gōng)路、水運、海運)；
　　
　　- 供水系統(水利及水源供給)；
　　
　　- 社會應急服務(wù)系統(醫(yī)療、消防、緊急救援)；
　　
　　- 教育科(kē)研系統(教育、科(kē)研、尖端科(kē)技(jì ))；
　　
　　- 國(guó)防建設系統;
　　
　　-國(guó)有(yǒu)大中(zhōng)型企業系統；
　　
　　-互聯單位、接入單位、重點網站及向公(gōng)衆提供上網服務(wù)場所的計算機信息 系統.
　　
　　2017/6/30 27/41
　　
　　信息安(ān)全等級保護是《中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例》規定的法定保護制度，具(jù)有(yǒu)強制性；
　　
　　以國(guó)家制度推進信息和信息系統安(ān)全保護責任的落實；
　　
　　符合客觀實際，具(jù)有(yǒu)科(kē)學(xué)性；
　　
　　具(jù)有(yǒu)自我保護與國(guó)家保護相結合的長(cháng)效保護機制；
　　
　　突出保護重點，國(guó)家優先重點保護涉及國(guó)計民(mín)生的信息系統， 國(guó)家基礎信息網絡和重要信息系統内分(fēn)級重點保護三級以上的局域網和子系統安(ān)全；
　　
　　具(jù)有(yǒu)整體(tǐ)保護性，在突出重點，兼顧一般的原則下，着重加 強重點、要害部位,由點到面進行保護，逐步實現信息安(ān)全整 體(tǐ)保障。國(guó)家實行信息安(ān)全等級保護，必須緊緊抓住抓好五個關鍵環節，形成長(cháng)效信息安(ān)全等級保護運行機制。國(guó)家信息 安(ān)全等級保護制度運行機制有(yǒu)以下關鍵環節構成：
　　
　　1．法律規範
　　
　　2．管理(lǐ)與技(jì )術規範
　　
　　3．實施過程控制
　　
　　4．結果控制
　　
　　5．監督管理(lǐ)。
　　
　　3．實施過程控制：明确落實系統擁有(yǒu)者的安(ān)全責任制，系
　　
　　統擁有(yǒu)者按法律規定和安(ān)全等級标準的要求進行信息系統的建 設和管理(lǐ)，并承擔應急管理(lǐ)責任，在信息系統生命周期内進行 自管、自查、自評，建立安(ān)全管理(lǐ)體(tǐ)系。安(ān)全産(chǎn)品的研發者提 供符合安(ān)全等級标準要求的技(jì )術産(chǎn)品。
　　
　　5．監督管理(lǐ)：公(gōng)安(ān)機關依法行政，督促安(ān)全等級保護
　　
　　責任制的落實，以等級保護标準監督、檢查、指導基礎信 息網絡和重要信息系統安(ān)全等級保護建設、管理(lǐ)。對安(ān)全 等級技(jì )術産(chǎn)品實行監管，對監測評估機構實施監管。政府 其他(tā)職能(néng)部門應當認真履行職責，依法行政，按職責開展 信息安(ān)全等級保護專項制度建設工(gōng)作(zuò)，完善信息安(ān)全監督 體(tǐ)系。
　　
　　首先，公(gōng)安(ān)、國(guó)家保密、國(guó)家密碼管理(lǐ)、技(jì )術監督、
　　
　　信息産(chǎn)業等國(guó)家有(yǒu)關信息網絡安(ān)全的行政主管部門要在國(guó)家 信息化領導小(xiǎo)組的統一領導下，制定我國(guó)開展信息網絡安(ān)全 等級保護工(gōng)作(zuò)的發展政策，統一制定針對不同安(ān)全保護等級 的管理(lǐ)規定和技(jì )術标準，對不同信息網絡确定不同安(ān)全保護等級和實施不同的監督管理(lǐ)措施，既包括依法進行行政監督、 檢查和指導，也包括依據國(guó)家技(jì )術标準進行的技(jì )術檢查和評 估。
　　
　　第三，等級保護實行“國(guó)家主導； 重點單位強制，一般單位自願；高保護 級别強制，低保護級别自願”的監管原則。
　　
　　第四，信息網絡安(ān)全狀況等級的技(jì )術檢測是等級保護的重點。
　　
　　由國(guó)家授權的技(jì )術檢測機構通過技(jì )術檢測 來進行評定。技(jì )術檢測機構需取得國(guó)家主管部 門的技(jì )術資質(zhì)和授權後，方可(kě)從事信息網絡安(ān) 全等級保護的技(jì )術檢測。
　　
　　計劃在五年左右的時間在全國(guó)範圍内分(fēn)三個階段實施信息安(ān)全等級保護制度：
　　
　　1、準備階段
　　
　　2、試行階段
　　
　　3、全面實行階段
　　
　　信息系統等級的劃分(fēn)方法（自主評級）
　　
　　實施步驟：
　　
　　業務(wù)影響分(fēn)析、劃分(fēn)子系統 确定子系統邊界
　　
　　确定安(ān)全保護等級
　　
　　子系統間訪問關系的模型化
　　
　　安(ān)全風險分(fēn)析與控制措施調整 确定系統保護安(ān)全計劃
　　
　　系統等級和安(ān)全計劃的批準