GB 17859-1999 《计算机信息系统安全保护等级划分准则》
GB/T 387-2002 《计算机信息系统安全等级保护网络技术要求》
GB/T 388-2002 《计算机信息系统安全等级保护操作系统技术要求》
GB/T 389-2002 《计算机信息系统安全等级保护数据库管理技术要求》
GB/T 390-2002 《计算机信息系统安全等级保护通用技术要求》
GB/T 391-2002 《计算机信息系统安全等级保护管理要求》
GA 371-2001 《计算机信息系统实体安全技术要求》
第一部分:局域计算环境
二、 需要实施安全等级保护的信息系统
1 党政系统(党委、政府);
2 金融系统(银行、保险、证券)及财税系统(财政、税务、 工商);
3 经贸系统(商业贸易、海关);
4 电信系统(邮电、电信、广播、电视);
5 能源系统(电力、热力、燃气、煤炭、 油料);
6 交通运输系统(航空、航天、铁路、公路、水运、海运);
7 供水系统(水利及水源供给);
8 社会应急服务系统(医疗、消防、紧急救援);
9 教育科研系统(教育、科研、尖端科技);
10 国防建设系统;
11 国有大中型企业系统;
12 互联单位、接入单位、重点网站及向公众提供上网服务场所的计算机信息系统。
三、 计算机信息系统安全保护等级划分
a) 第一级为用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
b) 第二级为系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。
c) 第三级为安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护。
d) 第四级为结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。
第五级为访问验证保护级。这一个级别特别增设了访问认证功能,负责仲裁访问者对访问对象的所有访问活动。