关注公众号回复“hndb210822” 可自取“GB 17859思维导图清晰版”在1994年国务院出台的《计算机信息系统安全保护条例》中就明确地提出了,在我国要实行信息安全等级保护制度。1999年出台了第一个关于信息安全等级保护的国家标准《计算机信息系统安全等级划分准则》(GB 17859-1999)。GB 17859-1999是1999年9月13日发布,2001年1月1日实施的一个国家标准,也是信息安全领域的唯一一个强制性标准,是我国等级保护工作开展的遵循的国家标准的上位标准,我国网络安全等级保护的源头,所以称之为网络安全等级保护第一标准,是名至所归。
《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》(GB 17859)是等级保护的基础性标准,《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以上述标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求。在这里,我们看到是以“现有技术水平”制定了《基本要求》,一方面说明GB 17859的先进性,另一方面也说明当时的《基本要求》是因国内的技术水平和人才沉淀各种因素不得已,制定的一个标准,所以它在制定之初就注定有改进和修订的必要,随着技术发展从等级保护1.0到等级保护2.0,GB 17859继续行使使命,而《基本要求》等标准则进行了全面升级。下面,我们参考1429号文中附件信息安全等级保护安全建设整改工作指南,对该标准的主要用途、主要内容、使用说明予以介绍。该标准对计算机信息系统的安全保护能力划分了五个等级,并明确了各个保护级别的技术保护措施要求。本标准是国家强制性技术规范,其主要用途包括:一是用于规范和指导计算机信息系统安全保护有关标准的制定;二是为安全产品的研究开发提供技术支持;三是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据。该标准界定了计算机信息系统的基本概念:计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的、按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。信息系统安全保护能力五级划分。信息系统按照安全保护能力划分为五个等级:第一级用户自主保护级,第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级,第五级访问验证保护级。从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面,采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。该标准是等级保护的基础性标准,其提出的某些安全保护技术要求受限于当时的技术水平尚难以实现,但其构造的安全保护体系应随着科学技术的发展逐步落实。随着技术发展,我国等级保护工作已经进入2.0阶段,标准中的技术基本上都已经得到落实,所以技术在进步,国家的信息化与网络安全水平也不断提升。
GB 17859一1999存在的不足:
(1)标准制定的出发点停留在了基于“局域网和单机的系统”,没有考虑复杂的信息系统,更没有考虑到互联网;
(2)侧重点保护的是信息的机密性,而对信息的完整性、可用性考虑得不多,更没有考虑对信息的抗抵赖、信息内容的可控等方面的属性;
(3) 将TCB(可信计算基) 即:存取控制、标记、身份鉴别、客体重用、审计、数据完整性等多项安全机制(安全功能)的多少作为确定安全等级的依据。而不是以承载的业务作为保护对象。
还没有评论,来说两句吧...