《GAT 390-2002计算机信息系统安全等级保护通用技术要求》作为一项中华人民共和国公共安全行业标准,主要内容涉及计算机信息系统安全等级保护的通用技术要求。该标准自2002年7月18日起发布并实施,旨在确保计算机信息系统的安全可靠运行,防止数据的非法泄露、篡改和破坏。
该标准界定了计算机信息系统安全等级保护的基本概念,明确了在技术要求上的规范性引用文件,并给出了一系列术语和定义。标准中提到的术语和定义是理解和实施等级保护要求的基础,比如“TCB”(Trusted Computing Base,可信计算基)是指实现系统安全策略的一组硬件、软件、固件和规范的集合。
安全功能技术要求是等级保护标准的核心,被细分为物理安全、运行安全、信息安全三个方面。物理安全关注的是确保计算机信息系统硬件环境的安全,包括环境安全、设备安全和记录介质安全。比如环境安全要求机房必须具备相应的安全防护措施,如防水、防震、防火、防尘等。
运行安全主要涉及风险分析、系统安全性检测分析、网络安全监控、安全审计和备份与故障恢复等要素,目的是通过有效的管理和技术手段,确保信息系统的稳定运行和抵抗外来的安全威胁。
信息安全部分则包含标识和鉴别、信息交换的安全鉴别、隐密、标记、自主和强制访问控制等要求,旨在保护数据的安全性和完整性。例如,信息交换的安全鉴别要求保障数据在传输过程中不被未授权访问或篡改。
安全保证技术要求则关注可信计算基(TCB)的自身安全保护,以及TCB的设计和实现。TCB的自身安全保护需要对系统运行进行安全测试、失败保护、确保数据的可用性、保密性和完整性。同时,标准中还强调了TCB在生命周期中安全管理的重要性,如TSF功能的管理、安全属性的管理等。
此外,标准详细划分了计算机信息系统安全保护等级,从第一级用户自主保护级到第五级访问验证保护级,每个等级对应不同的安全要求和保护措施。例如,在最高等级的第五级访问验证保护级中,对TCB自身安全保护的要求包括对输出TSF数据的可用性、保密性和完整性测试,以及对物理安全保护的严格控制。
标准的附录部分提供了相关的组成与相互关系说明、安全等级划分、主体客体的定义、TCB、TSF、TSP、SFP的相互关系等重要信息。这些内容对于全面理解标准要求、制定具体的保护措施至关重要。
在实际应用中,安全等级保护标准为组织提供了明确的安全建设方向和要求。企业或机构在搭建或维护自身的计算机信息系统时,必须根据等级保护标准的要求,从物理安全、运行安全、信息安全等多方面综合考虑,制定出一套既符合自身业务需求又满足安全等级要求的保护方案。
通过《GAT 390-2002计算机信息系统安全等级保护通用技术要求》,可以指导信息技术相关工作人员对计算机信息系统进行等级划分,采取相应的安全保护措施,从而有效保障信息系统的安全性。
