前言
信息安全领域是目前很多政府、企业十分注重的一个领域,而其中等级保护和分级保护又是这个领域经常要遇到的概念,它们是国家衡量一个单位的安全是否可靠的标准。
信息安全技术信息系统安全等级保护基本要求 GB/T 22239-2008
等级保护
为什么做等级保护
保护企业形象、维护信息安全、帮助企业整改
什么是等级保护
非涉密系统的安全防护标准,由公安系统负责检查监督。
等级
一共五级,五级最高
一级
简单说是自己玩,无需测评,由用户自己决定该如何保护数据。二级
可无测评,具有访问审计能力 — 能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。三级
市级以上,必须测评。除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计四级
结构化,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
五级
访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。
要求
三分建设、七分管理。
按系统分 :
技术要求
- 物理安全
- 网络安全
- 主机安全
- 应用安全
- 数据安全
管理要求
安全管理制度
安全管理机构
人员管理
系统建设管理
运维的管理
作用
- 对用户来说
- 划清责任。★
- 保证一定的安全基线,整体安全防护效果不降低。
- 保护用户投资。
- 根据被保护目标的安全需求,指导用户进行安全建设。
测评流程
定级/备案 –> 招标 –> 配合测评机构整理资料
测评项权重
风险评估–基本符合
分级保护
什么是分级保护
涉密系统的安全防护标准,由保密局检查监督。
级别
- 秘密(对应等级保护三级)
- 机密(对应等级保护四级)
- 绝密(对应等级保护五级)