中国GB17859-1999计算机信息系统安全保护五级划分详解

《计算机信息系统安全保护等级划分准则》是中国的一项国家标准，GB17859-1999，旨在规范计算机系统的安全防护能力，将其划分为五个等级，以确保信息系统的安全性逐渐提升。这些等级包括： 1. 用户自主保护级 (First Level)：这是最低级别的保护，系统主要依赖用户的自我管理来保护信息安全。用户拥有对数据的基本控制，可以通过设置简单的密码或权限，对自己访问的信息进行基本的限制。 2. 系统审计保护级 (Second Level)：在此级别，系统增加了审计功能，可以记录和跟踪用户的操作行为，以便于事后检查和故障排查，提高了对潜在安全威胁的监控能力。 3. 安全标记保护级 (Third Level)：此阶段引入了安全标记（sensitivity label），这是一种明确标记信息敏感性的机制，确保只有经过授权的主体才能访问相应标记的客体，实现了强制访问控制。 4. 结构化保护级 (Fourth Level)：这一层次的安全保护更为严密，不仅有访问控制，还可能采用多层防御机制，如防火墙、加密技术等，同时要求有详细的安全策略文档和复杂的认证过程，以抵御更高级别的攻击。 5. 访问验证保护级 (Fifth Level)：这是最高级别的保护，系统具备强大的访问验证功能，如身份验证、访问控制列表、多因素认证等，以及针对隐蔽信道（covert channel）的防范措施，确保信息的绝对安全。 整个准则明确了计算机信息系统中的关键术语，如计算机信息系统、可信计算基、客体、主体、敏感标记、安全策略、信道和隐蔽信道等，以及访问监控器的角色。每个级别的划分都对应着不同的安全控制措施，旨在适应不同场景下的信息安全需求，为保护信息资产提供了科学的指导框架。遵循这个准则，有助于组织根据自身业务特点和安全需求，合理配置和提升信息安全保护能力。