文章总结： 本文作者深入研读GB17859-1999标准，指出第三级以上需实施强制访问控制，质疑当前业界在复杂MAC环境下的实战能力。文章还辨析了专控保护级术语的来源，对比了不同时期文件对等级保护五个级别定义的演变，强调了对客体影响的重要性。 综合评分： 78 文章分类： 政策法规,技术标准,安全建设

夜读：GB 17859-1999安全保护等级划分准则

原创

何威风 何威风

河南等级保护测评

2026年1月30日 11:20 河南

昨天夜里，又用三个多小时，仔细研读学习整理了一遍《计算机信息系统 安全等级保护划分准则》（GB 17859-1999）这个强制性国家标准。

经常有人说，等级保护如何如何，回归到GB 17859-1999这个标准，我们会发现第三级、第四级、第五级，引入强制访问控制等内容。

试问，如果真的基于强制访问控制的操作系统做开发、配置、管理、运营，面对强制访问环境下的前期设计与策略实施复杂、策略管理负担重、调试与维护困难等难题，那么现在的软件开发企业以及网络安全企业，有多少成熟的熟练工呢？又能做到什么程度？真的能做到如同在自主访问控制下的应对自如吗？

有时，这些专业术语名词，就已经吓退一大批人了，实践起来也不是三言两语能解决的，那么这样去理解，等级保护最初的理想技术第三级、第四级、第五级的强制访问控制、安全标记、可信等等，扑面而来。

题外话：昨天，有个小伙问我一个公众号文章，写的怎么样，他说转发量很高。我说“乍一看很不错，不耐看！”，他有点不解。

我说有人工智能痕迹，其中一点“专控保护级”并不是来自《网络安全等级保护基本要求》，而是出自《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号），这个文件逐步将纯技术的分级方法论，向对客体的影响作为分级因素转变。

| | | — | | 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。 第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。 |

后来，在《信息安全等级保护管理办法（试行）》中依然采用这种描述，后面在《信息安全等级保护管理办法》（公通字〔2007〕43号）就不再采用这种描述方式。43号文关于五个级别的描述如下：

| | | — | | 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《夜读：GB 17859-1999安全保护等级划分准则》