-《计算机信息系统安全专用产品分类原则》

8.6.1　GA163-1997《计算机信息系统安全专用产品分类原则》

为配合《计算机信息系统安全专用产品检测和销售许可证管理办法》的实施，公安部1997年4月21日发布了GA163-1997《计算机信息系统安全专用产品分类原则》，该标准从1997年7月1日起实施。

《计算机信息系统安全专用产品分类原则》主要包括以下四个方面的内容：

1．标准的适用范围

本标准规定了计算机信息系统安全专用产品分类原则。

本标准适用于保护计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。

实体安全包括环境安全，设备安全和媒体安全三个方面。

运行安全包括风险分析，审计跟踪，备份与恢复，应急四个方面。

信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。

2．标准所采用的分类原则

（1）适度的前瞻性；

（2）标准的可操作性；

（3）分类体系的完整性；

（4）与传统的兼容性；

（5）按产品功能分类。

3．定义了相关的概念

（1）计算机信息系统（Computer Information System）。

是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

（2）计算机信息系统安全专用产品（Security Products for Computer Information Systems）。

是指用于保护计算机信息系统安全的专用硬件和软件产品。

（3）实体安全（Physical Security）。

保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施、过程。

（4）运行安全（Operation Security）。

为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。

（5）信息安全（Information Security）。

防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。

（6）黑客（Hacker）。

对计算机信息系统进行非授权访问的人员。

（7）应急计划（Contingency Plan）。

在紧急状态下，使系统能够尽量完成原定任务的计划。

（8）证书授权（Certificate Authority）。

通过证书的形式证明实体（如用户身份，用户的公开密钥等）的真实性。

（9）安全操作系统（Secure Operation System）。

为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统。

（10）访问控制（Access Control）。

指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。

（11）防火墙（Fire Wall）。

设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合。

（12）计算机病毒（Computer Virus）。

是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。

4．确立了安全专用产品的类别体系，并详细描述了各类产品的安全功能

本标准确立了安全专用产品的三级分类体系，如表8-19所示。

表8-19　安全专用产品的三级分类体系