计算机信息系统安全保护等级划分准则是我国关于计算机信息系统安全保护的重要标准,它规定了计算机信息系统安全保护能力的五个等级。这一准则由国家公安部提出并组织制定,国家质量技术监督局发布,并于2001年1月1日正式实施。以下是关于这五个等级的详细划分:
第一级:用户自主保护级
- 定义:这是计算机信息系统安全保护等级的最低级别。
- 特点:用户需要自主采取措施来保护系统的安全,如通过访问控制、身份鉴别和数据完整性等机制,使用户具备自主安全保护的能力。
- 主要措施:包括自主访问控制、身份鉴别和数据完整性保护等。自主访问控制允许用户或用户组以特定的方式控制对系统资源的访问;身份鉴别则通过口令等机制来验证用户的身份;数据完整性保护则通过自主完整性策略来阻止非授权用户修改或破坏敏感信息。
第二级:系统审计保护级
- 定义:在用户自主保护级的基础上,增加了审计功能。
- 特点:实施粒度更细的自主访问控制,并通过登录规程、审计安全性相关事件和隔离资源等措施,使用户对自己的行为负责。
- 主要措施:除了第一级的措施外,还包括了审计功能。系统能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。审计记录包括事件的日期和时间、用户、事件类型等信息。
第三级:安全标记保护级
- 定义:在系统审计保护级的基础上,增加了安全标记和强制访问控制。
- 特点:对所有主体及其所控制的客体(如进程、文件、设备等)实施强制访问控制,为这些主体及客体指定敏感标记,以这些标记为依据进行强制访问控制。
- 主要措施:包括自主访问控制、强制访问控制、标记等功能。强制访问控制确保仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类时,主体才能访问客体。
第四级:结构化保护级
- 定义:在安全标记保护级的基础上,提出了更高级别的结构化要求。
- 特点:详细描述了安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,并具有准确地标记输出信息的能力。
- 主要措施:这一级别的具体实现可能因标准的具体内容和版本而有所不同,但一般而言,它提供了更高级别的安全防护措施,如更精细的安全策略管理、更全面的安全审计等。
第五级:访问验证保护级
- 定义:计算机信息系统安全保护等级的最高级别。
- 特点:提供最高级别的安全防护,包括更严格的访问验证、更精细的安全策略管理和更全面的安全审计等。
- 主要措施:这一级别的具体安全保护要求和技术措施可能因标准的具体内容和版本而有所不同,但一般而言,它将关注物理设备和设施的安全、操作系统和中间件的安全性、数据的完整性、保密性和可用性等方面,以及网络和应用程序的安全性。