济南公司怎么办理网络安全等级保护体系
由于对信息系统和安全产品的安全性评估事关国家安全和社会安全,任何国家不会轻易相信和接受由别的国家
所作的评估结果,为保险起见,要通过本国标准的测试才认为可靠。因此,没有一个国家会把事关国家安全利
益的信息安全产品和系统的安全可信性建立在别人的评估标准、评估体系和评估结果的基础上。而是在充分借
鉴国际标准的前提下,制定自己的安全评估标准。1989年公安部开始设计起草法律和标准,在起草过程中经过
长期的对国内外广泛的调查和研究,特别是对国外的法律法规、政府政策、标准和计算机犯罪的研究,使我们
认识到要从法律、管理和技术三个方面着手;采取的措施要从国家制度的角度来看问题,对信息安全要实行等
级保护制度。
国家标准《准则》就是要从安全整体上进行保护,从整体上、根本上、基础上来解决等级保护问题。要建立良
好的国家整体保护制度,标准体系是基础。由国家的统一标准要求对系统进行评估,《准则》的配套标准分两
类:一是《计算机信息系统安全保护等级划分准则应用指南》,它包括技术指南、建设指南和管理指南;二是
《计算机信息系统安全保护等级评估准则》,它包括安全操作系统、安全数据库、网关、防火墙、路由器和身
份认证管理等。目前,国家正在组织有关单位完善信息系统安全等级保护制度的标准体系。
《准则》对计算机信息系统安全保护能力划分了五个等级,计算机信息系统安全保护能力随着安全保护等级的
增高,逐渐增强。高级别的安全要求是低级别要求的超集。
《准则》将计算机安全保护划分为以下五个级别:
第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读
写破坏。
第二级:系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所
有的用户对自己行为的合法性负责。
第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的
访问权限,实现对访问对象的强制访问。
第四级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部
分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
第五级:访问验证保护级。这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动
。
需要实施安全等级保护的信息系统为:
- 党政系统(党委、政府);
- 金融系统(银行、保险、证券);
- 财税系统(财政、税务、工商);
- 经贸系统(商业贸易、海关);
- 电信系统(邮电、电信、广播、电视);
- 能源系统(电力、热力、燃气、煤炭、油料);
- 交通运输系统(航空、航天、铁路、公路、水运、海运);
- 供水系统(水利及水源供给);
- 社会应急服务系统(医疗、消防、紧急救援);
- 教育科研系统(教育、科研、尖端科技);
- 国防建设系统
联系我时,请说是在老客网上看到的,谢谢!