信息系统安全等级保护的基本技术要求

　　GB 17859-1999 《计算机信息系统安全保护等级划分准则》

　　GB/T 387-2002 《计算机信息系统安全等级保护网络技术要求》

　　GB/T 388-2002 《计算机信息系统安全等级保护操作系统技术要求》

　　GB/T 389-2002 《计算机信息系统安全等级保护数据库管理技术要求》

　　GB/T 390-2002 《计算机信息系统安全等级保护通用技术要求》

　　GB/T 391-2002 《计算机信息系统安全等级保护管理要求》

　　GA 371-2001 《计算机信息系统实体安全技术要求》

　　第一部分：局域计算环境

　　二、 需要实施安全等级保护的信息系统

　　1 党政系统（党委、政府）；

　　2 金融系统（银行、保险、证券）及财税系统（财政、税务、 工商）；

　　3 经贸系统（商业贸易、海关）；

　　4 电信系统（邮电、电信、广播、电视）；

　　5 能源系统（电力、热力、燃气、煤炭、 油料）；

　　6 交通运输系统（航空、航天、铁路、公路、水运、海运）；

　　7 供水系统（水利及水源供给）；

　　8 社会应急服务系统（医疗、消防、紧急救援）；

　　9 教育科研系统（教育、科研、尖端科技）；

　　10 国防建设系统；

　　11 国有大中型企业系统；

　　12 互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统。

　　三、 计算机信息系统安全保护等级划分

　　a) 第一级为用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

　　b) 第二级为系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。

　　c) 第三级为安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。

　　d) 第四级为结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

　　第五级为访问验证保护级。这一个级别特别增设了访问认证功能，负责仲裁访问者对访问对象的所有访问活动。