信息安全等級保護操作指南和操作流程DOC.doc

信息安全等級保護操作流程1 信息系統(tǒng)定級1.1 定級工作實施范圍“關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知”對于重要信息系統(tǒng)的范圍規(guī)定如下：（一）電信、廣電行業(yè)的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公眾互聯(lián)網信息服務單位、互聯(lián)網接入服務單位、數據中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產、調度、管理、辦公等重要信息系統(tǒng)。（三）市（地）級以上黨政機關的重要網站和辦公信息系統(tǒng)。（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。注：跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。1.2 定級依據標準國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)【2003】27號文件）關于信息安全等級保護工作的實施意見（公通字【2004】66號文件）電子政務信息系統(tǒng)安全等級保護實施指南（試行）（國信辦【2005】25號文件）信息安全等級保護管理辦法（公通字【2007】43號文件）計算機信息系統(tǒng)安全保護等級劃分準則電子政務信息安全等級保護實施指南信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護測評指南1.3 定級工作流程圖1-1 信息系統(tǒng)定級工作流程1.3.1 信息系統(tǒng)調查信息系統(tǒng)調查是通過一系列的信息系統(tǒng)情況調查表對信息系統(tǒng)基本情況進行摸底調查，全面掌握信息系統(tǒng)的數量、分布、業(yè)務類型、應用、服務范圍、系統(tǒng)結構、管理組織和管理方式等基本情況。同時，通過信息系統(tǒng)調查還可以明確信息系統(tǒng)存在的資產價值、威脅等級、風險等級以及可能造成的影響客體、影響范圍等基本情況。信息系統(tǒng)調查結果將作為信息系統(tǒng)安全等級保護定級工作的主要依據，保證定級結果的客觀、合理和準確。1.3.1.1 調查工具表通常，信息系統(tǒng)調查工具表包括系統(tǒng)資產調查表、系統(tǒng)應用調查表、和管理信息調查表等。l 系統(tǒng)資產調查表用于調查信息系統(tǒng)的基本情況，主要包括主機、網絡設備、人員、人員、服務等信息。在調查過程中，可以得到系統(tǒng)資產的基本信息、主要用途、重要程度、服務對象等相關信息。l 系統(tǒng)應用調查表用于明確系統(tǒng)應用的基本狀況。明確各個系統(tǒng)應用的拓撲信息、邊界信息、應用架構、數據流等基本情況，為確定和分析定級對象提供詳細信息。l 管理信息調查表用于明確信息系統(tǒng)的組織結構、隸屬關系等管理信息。1.3.1.2 調查方法信息系統(tǒng)調查的實施包括信息收集、訪談和核查三個步驟。l 信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產調查表填寫工作，同時收集信息系統(tǒng)所涉及的一系列l(wèi) 訪談l 核查對調查表中的信息進行驗證的過程，驗證包括檢查和測試等方式。1.3.2 確定定級對象一個單位可能運行了比較龐大的信息系統(tǒng)，為了重點保護重要部分，有效控制信息安全建設和管理成本，優(yōu)化信息安全資源配置等保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、相對獨立的、具有不同安全保護等級的定級對象。這樣，可以保證信息系統(tǒng)安全建設能夠突出重點、兼顧一般。1.3.2.1 基本原則如果信息系統(tǒng)只承載一項業(yè)務，可以直接為該信息系統(tǒng)確定等級，不必劃分業(yè)務子系統(tǒng)。如果信息系統(tǒng)承載多項業(yè)務，應根據各項業(yè)務的性質和特點，將信息系統(tǒng)分成若干業(yè)務子系統(tǒng)，分別為各業(yè)務子系統(tǒng)確定安全保護等級，信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高等級決定。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。主要劃分原則有：一、 具有唯一確定的安全責任單位作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的單位。二、 具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件，如服務器、終端、網絡設備等作為定級對象。三、 承載單一或相對獨立的業(yè)務應用定級對象承載“單一”的業(yè)務應用是指該業(yè)務應用的業(yè)務流程獨立，且與其他業(yè)務應用沒有數據交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立，同時與其他業(yè)務應用有少量的數據交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網絡傳輸設備。1.3.2.2 信息系統(tǒng)的劃分方法一個組織機構內可能運行一個或多個信息系統(tǒng)，這些信息系統(tǒng)的安全保護等級可以是相同的，也可以是不同的。為體現重點保護重要信息系統(tǒng)安全，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統(tǒng)的劃分時應考慮以下幾個方面：一、 相同的管理機構信息系統(tǒng)內的各業(yè)務子系統(tǒng)在同一個管理機構的管理控制之下，可以保證遵循相同的安全管理策略。二、 相同的業(yè)務類型信息系統(tǒng)內的各業(yè)務子系統(tǒng)具有相同的業(yè)務類型，安全需求相近，可以保證遵循相同的安全策略。三、 相同的物理位置或相似的運行環(huán)境信息系統(tǒng)內的各業(yè)務子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護。1.3.3 定級要素分析通過針對定級對象分別進行業(yè)務信息安全分析和系統(tǒng)服務安全分析，最終確定信息系統(tǒng)安全等級保護系統(tǒng)等級。在進行業(yè)務信息安全分析和系統(tǒng)服務安全分析時，充分考慮行業(yè)特點、業(yè)務應用特點等因素，細化受侵害客體組成及損害程度判定要素，從而確保信息系統(tǒng)定級的合理準確。1.3.3.1 定級流程根據定級流程，在定級要素分析時需對業(yè)務信息安全等級和系統(tǒng)服務安全等級進行分析，分析內容包括確定受侵害的客體、確定對客體的侵害程度，從而確定相應的業(yè)務信息安全等級和系統(tǒng)服務安全等級。最后，綜合業(yè)務信息安全等級和系統(tǒng)服務安全等級得到信息系統(tǒng)安全等級保護系統(tǒng)等級。1.3.3.2 確定受侵害客體定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權益。l 國家安全n 影響國家政權穩(wěn)固和國防實力；n 影響國家統(tǒng)一、民族團結和社會安定；n 影響國家對外活動中的政治、經濟利益；n 影響國家重要的安全保衛(wèi)工作；n 影響國家經濟競爭力和科技實力；n 其他影響國家安全的事項。l 社會秩序n 影響國家機關社會管理和公共服務的工作秩序；n 影響各種類型的經濟活動秩序；n 影響各行業(yè)的科研、生產秩序；n 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；n 其他影響社會秩序的事項。l 公共利益n 影響社會成員使用公共設施；n 影響社會成員獲取公開信息資源；n 影響社會成員接受公共服務等方面；n 其他影響公共利益的事項。l 公民、法人和其他組織n 由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權益的關系，從而確定信息和信息系統(tǒng)受到破壞時所侵害的客體。1.3.3.3 確定對客體的損害程度在針對不同的受侵害客體進行侵害程度的判斷時，應參照以下的判別基準。l 如果受侵害客體是公民、法人或其他組織的合法權益，則以本人或本單位的總體利益作為判斷侵害程度的基準。l 如果受侵害客體是社會秩序、公共利益或國家安全，則應以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。不同危害后果的三種危害程度危害程度描述如下：l 一般損害工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現較輕的法律問題，較低的財產損失，有限的社會不良影響，對其他組織和個人造成較低損害。l 嚴重損害工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現較嚴重的法律問題，較高的財產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。l 特別嚴重損害工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現極其嚴重的法律問題，極高的財產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。1.3.3.4 確定定級對象的安全保護等級在確定完成受侵害客體以及對客體的侵害程度后，依據表1分別確定業(yè)務信息安全等級和系統(tǒng)服務安全等級。作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者決定。表1 定級要素與安全保護等級的關系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.3.4 編寫定級報告根據定級過程和定級結果，編寫初步信息系統(tǒng)定級報告。1.3.5 協(xié)助定級備案在完成初步定級報告后，協(xié)助信息系統(tǒng)管理使用單位進行評審與審批，并最終確定定級報告，完成信息系統(tǒng)備案工作。2 等級測試2.1 工作內容等級測評是信息安全等級保護實施中的一個重要環(huán)節(jié)。等級測評是指具有相關資質的、獨立的第三方評測服務機構，對信息系統(tǒng)的等級保護落實情況與信息安全等級保護相關標準要求之間的符合程度的測試判定。2.2 依據標準計算機信息系統(tǒng)安全保護等級劃分準則信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護定級指南電子政務信息安全等級保護實施指南信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護測評指南信息安全技術 信息系統(tǒng)通用安全技術要求信息安全技術 網絡基礎安全技術要求信息安全技術 操作系統(tǒng)安全技術要求信息安全技術 數據庫管理系統(tǒng)安全技術要求信息安全技術 服務器技術要求信息安全技術 終端計算機系統(tǒng)安全等級技術要求2.3 等級評測內容2.3.1 基本內容對信息系統(tǒng)安全等級保護狀況進行測試評估，應包括兩個方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎。對安全控制測評的描述，使用工作單元方式組織。工作單元分為安全技術測評和安全管理測評兩大類。安全技術測評包括：物理安全、網絡安全、主機系統(tǒng)安全、應用安全和數據安全等五個層面上的安全控制測評；安全管理測評包括：安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評。系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結構，也關系到信息系統(tǒng)的具體安全功能實現和安全控制配置，與特定信息系統(tǒng)的實際情況緊密相關，內容復雜且充滿系統(tǒng)個性。因此，全面地給出系統(tǒng)整體測評要求的完整內容、具體實施方法和明確的結果判定方法是很困難的。測評人員應根據特定信息系統(tǒng)的具體情況，結合標準要求，確定系統(tǒng)整體測評的具體內容，在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及信息系統(tǒng)整體結構安全性、不同信息系統(tǒng)之間整體安全性等，等級測評基本內容如圖1所示。圖1 等級測評基本內容2.3.2 等級測評工作單元工作單元是安全測評的基本工作單位，對應一組相對獨立和完整的測評內容。工作單元由測評項、測評對象、測評方式、測評實施和結果判定組成，如圖2示。圖2 工作單元構成測評項描述測評目的和測評內容，與信息安全等級保護要求的基本安全控制要求相一致。測評方式是指測評人員依據測評目的和測評內容應選取的、實施特定測評操作的方式方法，包括三種基本測評方式：訪談、檢查和測試。測評對象是測評實施過程中涉及到的信息系統(tǒng)的構成成分，是客觀存在的人員、文檔、機制或者設備等。測評對象是根據該工作單元中的測評項要求提出的，與測評項的要求相適應。一般來說，實施測評時，面臨的具體測評對象可以是單個人員、文檔、機制或者設備等，也可能是由多個人員、文檔、機制或者設備等構成的集合，它們分別需要使用到某個特定安全控制的功能。測評實施是工作單元的主要組成部分，它是依據測評目的，針對具體測評內容開發(fā)出來的具體測評執(zhí)行實施過程要求。測評實施描述測評過程中涉及到的具體測評方式、內容以及需要實現的和/或應該取得的測評結果。結果判定描述測評人員執(zhí)行完測評實施過程，產生各種測評證據后，如何依據這些測評證據來判定被測系統(tǒng)是否滿足測評項要求的方法和原則。在給出整個工作單元的測評結論前，需要先給出單項測評實施過程的結論。一般來說，單項測評實施過程的結論判定不是直接的，常常需要測評人員的主觀判斷，通常認為取得正確的、關鍵性證據，該單項測評實施過程就得到滿足。某些安全控制可能在多個具體測評對象上實現（如主機系統(tǒng)的身份鑒別），在測評時發(fā)現只有部分測評對象上的安全控制滿足要求，它們的結果判定應根據實際情況給出。2.4 測評方法主要采用訪談、檢查、測試等方法進行等級保護測評。一、 訪談（ interview）測評人員通過與信息系統(tǒng)相關人員（個人/群體）進行交流、討論等活動，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。使用各類調查問卷和訪談大綱實施訪談。二、 檢查（examine）不同于行政執(zhí)法意義上的監(jiān)督檢查，而是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法?？梢允褂酶鞣N檢查表和相應的安全調查工具實施檢查。三、 測試（test）測評人員通過對測評對象按照預定的方法/工具使其產生特定的行為等活動，查看、分析輸出結果，獲取證據以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。包括功能測試和滲透性測試、系統(tǒng)漏洞掃描等。滲透性測試：等級測評的一個重要內容是對測試目標進行脆弱性分析，探知產品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測試目標能夠抵抗具有不同等級攻擊潛能的攻擊者發(fā)起的滲透性攻擊。因此，滲透性測試就是在測試目標預期使用環(huán)境下進行的測試，以確定測試目標中潛在的脆弱性的可利用程度。系統(tǒng)漏洞掃描：要是利用掃描工具對系統(tǒng)進行自動檢查，根據漏洞庫的描述對系統(tǒng)進行模擬攻擊測試，如果系統(tǒng)被成功入侵，說明存在漏洞。主要分為網絡漏洞掃描和主機漏洞掃描等方式。2.5 等級測評工作流程一、 測評準備階段本階段是開展現場測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到現場測評工作能否順利開展。本階段的主要工作是掌握被測方系統(tǒng)的詳細情況和為實施現場測評做好方案、文檔及測試工具等方面的準備。二、 現場實施階段本階段是開展等級測評工作的關鍵階段。本階段的主要工作是按照測評方案的總體要求，嚴格執(zhí)行作業(yè)指導書，分步實施所有測評項目，包括單項測評和系統(tǒng)整體測評兩個方面，以了解系統(tǒng)的真實保護情況，獲取足夠證據，發(fā)現系統(tǒng)存在的安全問題。三、 分析與報告編制階段該階段是等級測評工作的最后環(huán)節(jié)，是對被測方系統(tǒng)整體安全保護能力的綜合評價過程。主要工作是根據現場測評結果和測評準則的有關要求，通過單項測評結論判定和系統(tǒng)整體測評分析等方法，分析整個系統(tǒng)的安全保護現狀與相應等級的保護要求之間的差距，編制測評報告。等級測評基本流程如圖3示。圖3 等級測評基本流程2.6 系統(tǒng)整體測評系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結構，也關系到信息系統(tǒng)的具體安全功能實現和安全控制配置，與特定信息系統(tǒng)的實際情況緊密相關，內容復雜且充滿系統(tǒng)個性。因此，全面地給出系統(tǒng)整體測評要求的完整內容、具體實施方法和明確的結果判定方法是很困難的。首先測評人員應根據特定信息系統(tǒng)的具體情況，結合標準要求，確定系統(tǒng)整體測評的具體內容。其次在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用，最后才能得出測評結論。2.6.1 安全控制間安全測評安全控制間的安全測評主要考慮同一區(qū)域內、同一層面上的不同安全控制間存在的功能增強、補充或削弱等關聯(lián)作用。安全功能上的增強和補充可以使兩個不同強度、不同等級的安全控制發(fā)揮更強的綜合效能，可以使單個低等級安全控制在特定環(huán)境中達到高等級信息系統(tǒng)的安全要求。安全功能上的削弱會使一個安全控制的引入影響另一個安全控制的功能發(fā)揮或者給其帶來新的脆弱性。例如，某金融機構的核心系統(tǒng)，它的訪問路徑未采用SSL加密設置，容易導致數據被嗅探和非法篡改，但核心系統(tǒng)采用SSL加速器對網絡上數據傳輸進行加密，可以有效保護網絡數據傳輸的安全。所以，在進行測評綜合判定時，該測評項就可以判為通過。2.6.2 層面間安全測評層面間的安全測評主要考慮同一區(qū)域內的不同層面之間存在的功能增強、補充和削弱等關聯(lián)作用。安全功能上的增強和補充可以使兩個不同層面上的安全控制發(fā)揮更強的綜合效能，可以使單個低等級安全控制在特定環(huán)境中達到高等級信息系統(tǒng)的安全要求。安全功能上的削弱會使一個層面上的安全控制影響另一個層面安全控制的功能發(fā)揮或者給其帶來新的脆弱性。例如，某金融機構，它的網絡核心設備對內部的訪問控制存在不足，安全風險主要來自內部人員的誤用、濫用和惡用，但是它的教育、管理和考核制度都比較完善，對內部員工要求也比較嚴格，所以在一定程度上降低了這種來自內部的風險，對網絡訪問控制進行了相應的補充和增強。2.6.3 區(qū)域間安全測評區(qū)域間的安全測評主要考慮互連互通（包括物理上和邏輯上的互連互通等）的不同區(qū)域之間存在的安全功能增強、補充和削弱等關聯(lián)作用，特別是有數據交換的兩個不同區(qū)域。安全功能上的增強和補充可以使兩個不同區(qū)域上的安全控制發(fā)揮更強的綜合效能，可以使單個低等級安全控制在特定環(huán)境中達到高等級信息系統(tǒng)的安全要求。安全功能上的削弱會使一個區(qū)域上的安全功能影響另一個區(qū)域安全功能的發(fā)揮或者給其帶來新的脆弱性。例如，某金融機構的核心數據機房位于中心機房內部，它只有一個出入口，該出入口在中心機房內。因此，在中心機房的出入口上安排24小時專人值守等措施，可以解決核心數據機房區(qū)域上的物理訪問控制等相應措施的安全功能，使其達到該區(qū)域物理安全所要求的安全保護強度。3 全面認識和正確實施信息安全等級保護3.1 全面認識信息安全等級保護信息安全等級保護信息安全等級保護的各項工作是圍繞對信息系統(tǒng)的安全等級保護開展的。全面認識信息安全等級保護，需要確立以下基本觀點：1) 整體看，信息安全等級保護是制度；分開看，信息安全是目的，等級保護是方法；2) 對信息安全劃分等級是管理的需要；3) 信息安全是圍繞信息系統(tǒng)安全開展的一系列工作的總稱；4) 風險等級、需求等級、安全保護等級、安全技術等級和安全管理等級是信息系統(tǒng)安全等級保護對等級劃分的全面反映；5) 安全系統(tǒng)等級與安全技術等級和安全管理等級既相互關聯(lián)又各有其不同的含義；6) 安全管理是信息安全的生命線。整體看，“信息安全等級保護”是制度；分開看，“信息安全是目的，等級保護是方法”，這一基本認識明確定位了信息安全等級保護的重要位置以及信息安全與等級保護之間的關系。用分等級保護的方法實現國家信息安全的總體目標，既是一項制度，也是一種方法。其基本思想是：重點保護和適度保護。進一步理解可以包括以下含義：方法是可選的，不是唯一的；但制度一經確定就是不可改變的；等級的劃分可以是多種多樣的，但作為要具體執(zhí)行的制度，就應有確定的等級劃分；對已經確定的等級劃分，如果沒有發(fā)現其不可執(zhí)行的缺陷，就不要輕易改變?！皩π畔踩珓澐值燃壥枪芾淼男枰?，這一基本認識表明：分等級保護是從便于管理的角度對實現信息安全的考慮。其實，等級化管理是人類社會普遍采用的管理方法?？v觀人類社會活動的各個環(huán)節(jié)，無不存在著按等級管理的情況。就信息安全而言，等級化管理在國際和國內也是普遍采用的方法。經典的安全標準-TCSEC和最新國際信息安全技術標準-CC等無不以分等級的方法對信息安全技術的不同要求進行描述，盡管他們各自在描述方法上有所不同（CC沒有對安全功能要求進行等級劃分，很大程度上是因為各個國家沒有取得共識）。從我國當前的實際情況出發(fā)，采用分等級保護的方法實現信息安全，無疑是適用于我國當前實際的一種有效的信息安全管理方法?！靶畔踩菄@信息系統(tǒng)安全開展的一系列工作的總稱”。這一基本認識表明：信息安全是指信息系統(tǒng)和信息系統(tǒng)中存儲、傳輸和處理的數據信息的安全。一方面“信息安全”是一個具有較廣泛概念的稱謂，是包括從中央到地方、從法律到法規(guī)、從管理到技術、從系統(tǒng)到產品等，涉及國家有關機構和部門圍繞對信息的安全保護所進行的所有活動；另一方面“，信息安全”的所有活動則完全是圍繞對信息系統(tǒng)和信息系統(tǒng)中所存儲、傳輸和處理的數據信息進行安全保護應采取的安全技術和安全管理措施這一目標開展的，并且具體落實到各個單位和部門的所有信息系統(tǒng)的建設和運行控制的全過程。“風險等級、需求等級、安全保護等級、安全技術和安全管理等級是信息系統(tǒng)安全等級保護對等級劃分的全面反映”這一基本認識表明：圍繞信息系統(tǒng)的安全等級保護，需要對信息系統(tǒng)的安全風險、安全需求、安全保護、安全技術和安全管理等各個階段和層面進行等級劃分。信息系統(tǒng)的安全風險等級是根據對目標信息系統(tǒng)進行風險分析所確定的風險度的表示，66號文件所規(guī)定的5個安全等級，就是建立在對國家各行各業(yè)的信息系統(tǒng)的安全保護要求進行總體風險分析的基礎上確定的信息系統(tǒng)的安全風險框架，是各有關單位確定其所屬信息系統(tǒng)的安全風險等級的基本依據；信息系統(tǒng)安全需求等級是根據目標信息系統(tǒng)的安全風險等級確定的；信息系統(tǒng)的安全保護等級是對信息系統(tǒng)安全保護的總體要求，是確定目標信息系統(tǒng)應選取何種等級的安全保護措施（包括安全技術措施和安全管理措施）的基本依據，這些安全措施共同確保信息系統(tǒng)安全達到其安全性目標；安全技術等級和安全管理等級分別從技術和管理的角度對安全保護措施的安全性進行區(qū)分，為不同安全等級的信息系統(tǒng)進行技術和管理措施的選擇提供支持?！鞍踩到y(tǒng)等級與安全技術等級和安全管理等級既相互關聯(lián)又各有其不同的含義”。這一基本認識表明：安全技術等級和安全管理等級與系統(tǒng)安全等級有著十分密切的關系但兩者并不是等同的關系。為了貫徹重點保護和適度保護的原則，信息系統(tǒng)需要劃分等級，信息安全技術和信息安全管理同樣需要劃分等級。然而，信息系統(tǒng)的安全等級與安全技術的安全等級和安全管理的安全等級（以下簡稱“技術和管理的安全等級”）是兩個既有聯(lián)系又不完全相同的概念。信息系統(tǒng)的安全等級是根據信息系統(tǒng)的風險程度（或者說風險等級）確定的，是與信息系統(tǒng)的重要性（或資產價值）及其所處的環(huán)境和條件（或安全威脅）有關的。而技術和管理的安全等級則是按安全技術和安全管理要素的安全性強度劃分并與環(huán)境和條件無關的。由于信息系統(tǒng)所處環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級劃分難以制定出明確的標準，而技術和管理的安全等級完全可以根據其所實現的安全功能和所采取的安全保證措施制定出明確的劃分標準。到目前為止，所制定的一系列與信息安全等級保護相關的標準，其等級的劃分都是以安全要素為單位進行劃分的。不同安全要素所實現的安全功能的安全性強度（也就是安全等級），根據其所采用的安全機制的不同和安全保證措施的不同而定。至于劃分為幾個等級和每個安全等級之間的差異，完全是人為確定的。當然，這里所說的人為確定并是由哪一個隨意確定的，而是由有關主管部門組織業(yè)內有關專家，根據信息安全等級保護的需要，參考國際和國外的相關標準，結合我國安全技術發(fā)展和信息系統(tǒng)安全等級劃分的具體情況，認真研究確定的。這就是我們當前所制定的一系列安全技術和安全管理標準等級劃分的基礎和依據。對一個具體的信息系統(tǒng)，在選擇采用何種等級的安全技術和安全管理措施時，需要考慮目標信息系統(tǒng)所處的環(huán)境和條件對安全性要求的影響，而并非簡單的按對應等級進行選擇?！鞍踩芾硎切畔踩纳€”。這一基本認識表明：安全管理在信息安全等級保護制度實施過程中重要作用。人們通常用“三分技術，七分管理”來形容管理對技術的重要性。其實，用“安全管理是信息安全的生命線”來描述安全管理對信息安全的重要性可能更為貼切。對信息安全等級保護的管理分為“宏觀管理”和“微觀管理”。宏觀管理是指從國家的政策法規(guī)到設置各種管理機構等全局性的管理措施微觀管理是指圍繞信息系統(tǒng)的安全等級保護所實施的一系具體管理。從宏觀管理看，沒有政策法規(guī)的明確要求，信息安全等級保護就是依據空話。從微觀管理看，安全管理貫穿從確定信息系統(tǒng)安全需求到控制信息系統(tǒng)安全運行的信息系統(tǒng)整個生命周期的全過程，是信息安全的每一個環(huán)節(jié)實現的前提和保證。沒有嚴格的組織管理，無法進行信息安全的需求分析，從而無法確定信息安全的等級需求；無法確定信息系統(tǒng)的安全方案；無法確保信息系統(tǒng)安全工程按確定的安全目標實現；無法確保設計、實現的信息安全系統(tǒng)的運行達到所要求的安全目標；無法應對安全系統(tǒng)運行中出現的新情況和新問題?？傊?，在信息安全系統(tǒng)生周期的每一個環(huán)節(jié)，沒有嚴格的符合要求的管理，安全技術的作用就會打折扣，甚至成為攻擊的弱點和漏洞。技術是手段，管理是前提和保證目標只有一個，那就是信息安全。根據我國的國情，管理的重要性還體現在領導的重要性。實踐證明，在我國信息系統(tǒng)建設階段，單位領導的重視與支持對單位的信息系統(tǒng)建設和發(fā)展的重要性已經成為不爭的事實。同樣，單位領導，特別是主要領導的重視與支持，對單位信息安全系統(tǒng)建設和運行具有十分重要的作用。3.2 正確實施信息安全等級保護正確實施信息安全等級保護需要采用以下基本方法：1) 風險管理與信息安全等級保護相結合是貫穿信息系統(tǒng)整個生命周期的有效措施；2) 構建等級化的信息安全保障體系是實施信息安全等級保護的正確途徑；3) 按區(qū)域分類、分層、分等級保護是對信息系統(tǒng)實施安全等級保護的有效方法；4) 安全的一致性原理是等級化信息系統(tǒng)安全設計的重要思想。在進行等級化的信息系統(tǒng)安全設計時，首先采用風險分析的方法確定安全風險程度（等級）和安全需求，然后將這些安全需求轉化為相應的安全要求，再根據這些安全要求，確定對應的安全技術和安全管理措施。根據這些安全技術和安全管理措施在相關的安全技術標準和安全管理標準中的安全級，從而最終確定信息系統(tǒng)的安全等級。由于安全技術和安全管理標準的等級劃分已經充分考慮到信息系統(tǒng)安全等級的劃分，所以從整體上兩者的等級應該是基本一致的。但這里并不要求完全對應。因為從本質上講，技術和管理的安全等級的劃分是比較單一的，而信息系統(tǒng)安全等級的劃分是比較復雜的，而且與信息系統(tǒng)所在的環(huán)境和條件有關的?？梢詭椭覀兝斫膺@一觀點的一個例子是，美國的NIST系列文檔將信息系統(tǒng)的安全等級劃分為基本級、增強級、強健級三個等級，并通過選取C C中的相應安全組件來構建所需要的信息安全系統(tǒng)。通過風險分析確定安全風險等級，威脅針對脆弱性和資產所產生的后果是，在脆弱性和資產確定的情況下，安全風險隨威脅的增加而增加；在威脅確定的情況下，安全風險隨資產和/或脆弱性的增加而增加；安全需求等級由安全風險等級產生，安全目標等級由安全需求等級確定，安全目標等級通過選擇相應安全等級的安全措施（安全技術措施和安全管理措施）來實現；安全措施通過對抗威脅、保護資產和降低脆弱性來減少安全風險，使剩余風險降低到可接受的范圍，從而達到對信息系統(tǒng)進行安全保護的目標。“構建等級化的信息安全保障體系是實施信息安全等級保護的正確途徑”，這一基本方法表明：對信息系統(tǒng)實施安全等