一、信息系统安全

信息安全的发展大致为以下几个阶段，2O世纪40-70年代，人们通过密码技术解决通信保密，保证数据的保密性和完整性；到了70-90年代，为确保信息系统资产保密性、完整性和可用性的措施和控制，采取安全操作系统设计技术；90年代后，要求综合通信安全和信息系统安全，确保信息在存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务，以及包括检测、记录和对抗此类威胁的措施，代表是安全评估保障CC；今天，要保障信息和信息系统资产，保障组织机构使命的执行，综合技术、管理、过程、人员等，需要更加完善的管理机制和更加先进的技术，出台的有BS7799／IS017799管理文件。

二、信息安全等级保护

信息安全等级保护是指对信息系统分等级实行安全保护，对信息系统中发生的信息安全事件等分等级响应、处置，对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算，同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理，国内2007年下发《信息安全等级保护管理办法》，规范了信息安全等级保护的管理。ISO／IEC 27000是英国标准协会发布的一个关于信息安全管理的标准 。

三、等级保护划分

完整正确地理解安全保护等级的安全要求，并合理地确定目标系统的保护等级，是将等级保护合理地运用于具体信息系统的重要前提 。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》(GB 17859)将我国信息系统安全等级分为5个级别，以第1级用户自主保护级为基础，各级逐渐增强。

第一级：用户自主保护级，通过隔离用户和数据，实施访问控制，以免其他用户对数据的非法读写和破坏。

第二级：系统审计保护级，使用机制来鉴别用户身份，阻止非授权用户访问用户身份鉴别数据。

第三级：安全标记保护级，提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。

第四级：结构化保护级，将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制，系统具有相当的抗渗透能力。

第五级：访问验证保护级，访问监控器仲裁主体对客体的全部访问，具有极强的抗渗透能力。

四、信息系统定级

为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作 ，定级范围包含：

1．电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

2．铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。

3．市(地)级以上党政机关的重要网站和办公信息系统。

4．涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作，保障行业内的信息系统安全。

五、等级保护在行业中应用

(一)等级保护在电力行业信息安全中的应用

国家电网公司承担着为国家发展电力保障的基本使命，对电力系统的信息安全非常重视，已经把信息安全提升到电力生产安全的高度，并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。

(二)电信网安全防护体系研究及标准化进展

《国家信息化领导小组关于加强信息安全保障工作的意见》和(2006 2020年国家信息化发展战略》的出台，明确了我国信息安全保障工作的发展战略 。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络，充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容，将三部分工作有机结合，互为依托和补充，共同构成了电信网安全防护体系。

六、结束语

安全等级保护是指导信息系统安全防护工作的基础管理原则，其核心内容是根据信息系统的重要程度进行安全等级划分，并针对不同的等级，提出安全要求。我国信息安全等级保护正在不断地完善中，相信信息保护工作会越做越好。