信息安全等級保護操作指南和操作流程

1、信息安全等級保護操作流程1 信息系統(tǒng)定級1.1 定級工作實施范圍“關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知”對 于重要信息系統(tǒng)的范圍規(guī)定如下：（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信 息網(wǎng)絡，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù) 據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外 交、科技、發(fā)展改革、 國防科技、公安、人事勞動和社會保障、 財政、 審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工 商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信 息系統(tǒng)。（三）市（地）級以上黨政機關的重要網(wǎng)站和辦

2、公信息系統(tǒng)。（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)” ）。注：跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一 確定安全保護等級。 涉密信息系統(tǒng)的等級確定按照國家保密局的有關 規(guī)定和標準執(zhí)行。1.2 定級依據(jù)標準國家信息化領導小組關于加強信息安全保障工作的意見 （中辦 發(fā)【 2003】 27 號文件）關于信息安全等級保護工作的實施意見 （公通字【 2004】66 號文件）電子政務信息系統(tǒng)安全等級保護實施指南（試行） （國信辦 【2005】25 號文件）信息安全等級保護管理辦法 （公通字【 2007】43 號文件）計算機信息系統(tǒng)安全保護等級劃分準則電子政務信息安全等級保護實施指

3、南信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護測評指南1.3定級工作流程圖1-1信息系統(tǒng)定級工作流程信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過一系列的信息系統(tǒng)情況調(diào)查表對信息系統(tǒng)基 本情況進行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務類型、 應用、服務范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。 同時, 通過信息系統(tǒng)調(diào)查還可以明確信息系統(tǒng)存在的資產(chǎn)價值、威脅等級、 風險等級以及可能造成的影響客體、影響范圍等基本情況。信息系統(tǒng)調(diào)查結(jié)果將作為信息系統(tǒng)安全等級保護定級工作的主要依據(jù)，保證定級結(jié)果的客觀、合理和準確1.3.1.1 調(diào)查工具表通常，信息

4、系統(tǒng)調(diào)查工具表包括系統(tǒng)資產(chǎn)調(diào)查表、系統(tǒng)應用調(diào)查 表、和管理信息調(diào)查表等。系統(tǒng)資產(chǎn)調(diào)查表用于調(diào)查信息系統(tǒng)的基本情況，主要包括主機、網(wǎng)絡設備、人員、 人員、服務等信息。在調(diào)查過程中，可以得到系統(tǒng)資產(chǎn)的基本信息、 主要用途、重要程度、服務對象等相關信息。系統(tǒng)應用調(diào)查表用于明確系統(tǒng)應用的基本狀況。明確各個系統(tǒng)應用的拓撲信息、 邊界信息、應用架構(gòu)、數(shù)據(jù)流等基本情況，為確定和分析定級對象提 供詳細信息。管理信息調(diào)查表用于明確信息系統(tǒng)的組織結(jié)構(gòu)、隸屬關系等管理信息。1.3.1.2 調(diào)查方法信息系統(tǒng)調(diào)查的實施包括信息收集、訪談和核查三個步驟。信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫工作，同時 收

5、集信息系統(tǒng)所涉及的一系列訪談核查對調(diào)查表中的信息進行驗證的過程， 驗證包括檢查和測試等方式。確定定級對象一個單位可能運行了比較龐大的信息系統(tǒng)，為了重點保護重要部 分，有效控制信息安全建設和管理成本， 優(yōu)化信息安全資源配置等保 護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、相對獨立的、具 有不同安全保護等級的定級對象。 這樣，可以保證信息系統(tǒng)安全建設 能夠突出重點、兼顧一般。1.3.2.1 基本原則如果信息系統(tǒng)只承載一項業(yè)務， 可以直接為該信息系統(tǒng)確定等級， 不必劃分業(yè)務子系統(tǒng)。如果信息系統(tǒng)承載多項業(yè)務，應根據(jù)各項業(yè)務的性質(zhì)和特點，將 信息系統(tǒng)分成若干業(yè)務子系統(tǒng)， 分別為各業(yè)務子系統(tǒng)確定安全保護

6、等 級，信息系統(tǒng)的安全保護等級由各業(yè)務子系統(tǒng)的最高等級決定。 信息 系統(tǒng)是進行等級確定和等級保護管理的最終對象。主要劃分原則有：一、具有唯一確定的安全責任單位作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位。如 果一個單位的某個下級單位負責信息系統(tǒng)安全建設、 運行維護等過程 的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單 位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應是這些下級單位共同所屬的 單位。二、具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按 照一定的應用目標和規(guī)則組合而成的有形實體。 應避

7、免將某個單一的 系統(tǒng)組件，如服務器、終端、網(wǎng)絡設備等作為定級對象。三、承載單一或相對獨立的業(yè)務應用定級對象承載 “單一 ”的業(yè)務應用是指該業(yè)務應用的業(yè)務流程獨 立，且與其他業(yè)務應用沒有數(shù)據(jù)交換，且獨享所有信息處理設備。定 級對象承載 “相對獨立 ”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程 獨立，同時與其他業(yè)務應用有少量的數(shù)據(jù)交換， 定級對象可能會與其 他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備。1.3.2.2 信息系統(tǒng)的劃分方法一個組織機構(gòu)內(nèi)可能運行一個或多個信息系統(tǒng)，這些信息系統(tǒng)的 安全保護等級可以是相同的， 也可以是不同的。 為體現(xiàn)重點保護重要 信息系統(tǒng)安全， 有效控制信息安全建設成本， 優(yōu)

8、化信息安全資源配置 的等級保護原則，在進行信息系統(tǒng)的劃分時應考慮以下幾個方面： 一、 相同的管理機構(gòu)信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)在同一個管理機構(gòu)的管理控制之下， 可以保證遵循相同的安全管理策略。相同的業(yè)務類型信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)具有相同的業(yè)務類型， 安全需求相近， 可以保證遵循相同的安全策略。三、 相同的物理位置或相似的運行環(huán)境信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護。定級要素分析通過針對定級對象分別進行業(yè)務信息安全分析和系統(tǒng)服務安全分 析，最終確定信息系統(tǒng)安全等級保護系統(tǒng)等級。在進行業(yè)務信息安全分析和系統(tǒng)服務安全分析時，充

9、分考慮行業(yè)特點、業(yè)務應用特點等因素， 細化受侵害客體組成及損害程度判定要 素，從而確保信息系統(tǒng)定級的合理準確。133.1定級流程根據(jù)定級流程，在定級要素分析時需對業(yè)務信息安全等級和系統(tǒng) 服務安全等級進行分析，分析內(nèi)容包括確定受侵害的客體、確定對客 體的侵害程度，從而確定相應的業(yè)務信息安全等級和系統(tǒng)服務安全等 級。最后，綜合業(yè)務信息安全等級和系統(tǒng)服務安全等級得到信息系統(tǒng) 安全等級保護系統(tǒng)等級。確定受侵害客體定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權益。國家安全影響國家政權穩(wěn)固和國防實力;影響國家統(tǒng)一、民族團結(jié)和社會安定；影響國家對外活動中的政治、

10、經(jīng)濟利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟競爭力和科技實力；其他影響國家安全的事項。社會秩序影響國家機關社會管理和公共服務的工作秩序；影響各種類型的經(jīng)濟活動秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會秩序的事項。公共利益影響社會成員使用公共設施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務等方面；其他影響公共利益的事項。公民、法人和其他組織由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應首 先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利

11、益， 最后判斷是否侵害公民、 法人和其他組織的合法權益的關系， 從而確 定信息和信息系統(tǒng)受到破壞時所侵害的客體。1.3.3.3 確定對客體的損害程度在針對不同的受侵害客體進行侵害程度的判斷時，應參照以下的 判別基準。如果受侵害客體是公民、 法人或其他組織的合法權益， 則以本 人或本單位的總體利益作為判斷侵害程度的基準。如果受侵害客體是社會秩序、 公共利益或國家安全， 則應以整 個行業(yè)或國家的總體利益作為判斷侵害程度的基準。不同危害后果的三種危害程度危害程度描述如下：一般損害工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功 能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會 不良影響，

12、對其他組織和個人造成較低損害。嚴重損害工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要 功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍 的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重 下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的財產(chǎn) 損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重 損害。133.4確定定級對象的安全保護等級在確定完成受侵害客體以及對客體的侵害程度后，依據(jù)表1分別確定業(yè)務信息安全等級和系統(tǒng)服務安全等級。 作為定級對象的信息系 統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高

13、 者決定。表1定級要素與安全保護等級的關系受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利、人 益第二級第三級第四級國家安全第三級第四級第五級編寫定級報告根據(jù)定級過程和定級結(jié)果，編寫初步信息系統(tǒng)定級報告。協(xié)助定級備案在完成初步定級報告后，協(xié)助信息系統(tǒng)管理使用單位進行評審與 審批，并最終確定定級報告，完成信息系統(tǒng)備案工作。2 等級測試2.1 工作內(nèi)容等級測評是信息安全等級保護實施中的一個重要環(huán)節(jié)。等級測評 是指具有相關資質(zhì)的、 獨立的第三方評測服務機構(gòu)， 對信息系統(tǒng)的等 級保護落實情況與信息安全等級保護相關標準要求之間的符合

14、程度 的測試判定。2.2 依據(jù)標準計算機信息系統(tǒng)安全保護等級劃分準則信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護定級指南電子政務信息安全等級保護實施指南信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護測評指南信息安全技術信息系統(tǒng)通用安全技術要求信息安全技術網(wǎng)絡基礎安全技術要求信息安全技術操作系統(tǒng)安全技術要求信息安全技術數(shù)據(jù)庫管理系統(tǒng)安全技術要求信息安全技術服務器技術要求信息安全技術終端計算機系統(tǒng)安全等級技術要求2.3 等級評測內(nèi)容2.3.1 基本內(nèi)容對信息系統(tǒng)安全等級保護狀況進行測試評估，應包括兩個方面的 內(nèi)容：一是安全控制測評， 主要測評信息安全等級保護要求的基本安 全控制在信息系統(tǒng)中的

15、實施配置情況； 二是系統(tǒng)整體測評， 主要測評 分析信息系統(tǒng)的整體安全性。 其中，安全控制測評是信息系統(tǒng)整體安 全測評的基礎。對安全控制測評的描述，使用工作單元方式組織。工作單元分為 安全技術測評和安全管理測評兩大類。 安全技術測評包括： 物理安全、 網(wǎng)絡安全、主機系統(tǒng)安全、 應用安全和數(shù)據(jù)安全等五個層面上的安全 控制測評；安全管理測評包括：安全管理機構(gòu)、安全管理制度、人員 安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評。系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結(jié)構(gòu)，也關系到 信息系統(tǒng)的具體安全功能實現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實 際情況緊密相關，內(nèi)容復雜且充滿系統(tǒng)個性。因

16、此，全面地給出系統(tǒng) 整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很 困難的。測評人員應根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合標準要求， 確定系統(tǒng)整體測評的具體內(nèi)容，在安全控制測評的基礎上，重點考慮 安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，測評安全控制間、 層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及信 息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等，等級測評 基本內(nèi)容如圖1所示。信息系統(tǒng)等級測評安全控制測評I系統(tǒng)整體測評安全技術測評安全管理測評安全控制間層面間區(qū)域間物理安全網(wǎng)絡安全應用安全數(shù)據(jù)安全主機系統(tǒng)安全安全管理機構(gòu)安全 管理 制度人員安全管理系統(tǒng)建設管理系統(tǒng)

17、 運維 管理不同信息系統(tǒng)之間整體安全性整體結(jié)構(gòu)安全整體拓撲/局部結(jié)構(gòu)1 11 I1u圖1等級測評基本內(nèi)容等級測評工作單元工作單元是安全測評的基本工作單位，對應一組相對獨立和完整 的測評內(nèi)容。工作單元由測評項、測評對象、測評方式、測評實施和 結(jié)果判定組成，如圖2示。工作單元測評項 k具萍技術和晉理要求測評方式訪談屜查股滋人員戊檔澈制/設備 1測評實施 >測評方式*對象+操作廣it里生繪亠呈否符合測評頊要求11J圖2工作單元構(gòu)成測評項描述測評目的和測評內(nèi)容，與信息安全等級保護要求的基 本安全控制要求相一致。測評方式是指測評人員依據(jù)測評目的和測評內(nèi)容應選取的、實施 特定測評操作的方式方法，包括

18、三種基本測評方式：訪談、檢查和測 試。測評對象是測評實施過程中涉及到的信息系統(tǒng)的構(gòu)成成分，是客 觀存在的人員、文檔、機制或者設備等。測評對象是根據(jù)該工作單元 中的測評項要求提出的，與測評項的要求相適應。一般來說，實施測 評時，面臨的具體測評對象可以是單個人員、 文檔、機制或者設備等, 也可能是由多個人員、文檔、機制或者設備等構(gòu)成的集合，它們分別 需要使用到某個特定安全控制的功能。測評實施是工作單元的主要組成部分，它是依據(jù)測評目的，針對 具體測評內(nèi)容開發(fā)出來的具體測評執(zhí)行實施過程要求。 測評實施描述 測評過程中涉及到的具體測評方式、內(nèi)容以及需要實現(xiàn)的和 / 或應該 取得的測評結(jié)果。結(jié)果判定描述測

19、評人員執(zhí)行完測評實施過程，產(chǎn)生各種測評證據(jù) 后，如何依據(jù)這些測評證據(jù)來判定被測系統(tǒng)是否滿足測評項要求的方 法和原則。 在給出整個工作單元的測評結(jié)論前， 需要先給出單項測評 實施過程的結(jié)論。 一般來說， 單項測評實施過程的結(jié)論判定不是直接 的，常常需要測評人員的主觀判斷，通常認為取得正確的、關鍵性證 據(jù)，該單項測評實施過程就得到滿足。 某些安全控制可能在多個具體 測評對象上實現(xiàn)（如主機系統(tǒng)的身份鑒別） ，在測評時發(fā)現(xiàn)只有部分 測評對象上的安全控制滿足要求， 它們的結(jié)果判定應根據(jù)實際情況給 出。2.4 測評方法主要采用訪談、檢查、測試等方法進行等級保護測評。一、 訪談（ interview）測評人

20、員通過與信息系統(tǒng)相關人員（個人 / 群體）進行交流、討論 等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種 方法。使用各類調(diào)查問卷和訪談大綱實施訪談。二、 檢查（ examine）不同于行政執(zhí)法意義上的監(jiān)督檢查，而是指測評人員通過對測評 對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全等 級保護措施是否有效的一種方法。 可以使用各種檢查表和相應的安全 調(diào)查工具實施檢查。三、 測試（ test）測評人員通過對測評對象按照預定的方法 / 工具使其產(chǎn)生特定的 行為等活動，查看、分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等 級保護措施是否有效的一種方法。 包括功能測試和滲透性測試、

21、 系統(tǒng) 漏洞掃描等。滲透性測試 ：等級測評的一個重要內(nèi)容是對測試目標進行脆弱性 分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在， 其主要目的是確定測試目 標能夠抵抗具有不同等級攻擊潛能的攻擊者發(fā)起的滲透性攻擊。因 此，滲透性測試就是在測試目標預期使用環(huán)境下進行的測試， 以確定 測試目標中潛在的脆弱性的可利用程度。系統(tǒng)漏洞掃描： 要是利用掃描工具對系統(tǒng)進行自動檢查，根據(jù)漏 洞庫的描述對系統(tǒng)進行模擬攻擊測試， 如果系統(tǒng)被成功入侵， 說明存 在漏洞。主要分為網(wǎng)絡漏洞掃描和主機漏洞掃描等方式。2.5 等級測評工作流程一、測評準備階段本階段是開展現(xiàn)場測評工作的前提和基礎，是整個等級測評過程 有效性的保證。測評準備

22、工作是否充分直接關系到現(xiàn)場測評工作能否 順利開展。本階段的主要工作是掌握被測方系統(tǒng)的詳細情況和為實施 現(xiàn)場測評做好方案、文檔及測試工具等方面的準備。二、現(xiàn)場實施階段本階段是開展等級測評工作的關鍵階段。本階段的主要工作是按 照測評方案的總體要求， 嚴格執(zhí)行作業(yè)指導書， 分步實施所有測評項 目，包括單項測評和系統(tǒng)整體測評兩個方面， 以了解系統(tǒng)的真實保護 情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。三、分析與報告編制階段該階段是等級測評工作的最后環(huán)節(jié)，是對被測方系統(tǒng)整體安全保 護能力的綜合評價過程。 主要工作是根據(jù)現(xiàn)場測評結(jié)果和 測評準則 的有關要求， 通過單項測評結(jié)論判定和系統(tǒng)整體測評分析等方法，

23、 分 析整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距， 編制 測評報告。等級測評基本流程如圖 3 示。等級測評項目啟動信息收集和分析編制測評方案工具和文檔準備現(xiàn)場測評和記錄結(jié)果結(jié)果確認和資料歸還方案確認和資源協(xié)調(diào)分析與報告編制階段分析測評結(jié)果形成等級評測結(jié)論編制測評報告說明：圖中虛線框中的活動不是一個獨立的活動或稱，它貫穿等級 測評的各個階段中，需要雙方配合共同完成等級測評工作。圖3等級測評基本流程2.6系統(tǒng)整體測評系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結(jié)構(gòu)，也關系到 信息系統(tǒng)的具體安全功能實現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實 際情況緊密相關，內(nèi)容復雜且充滿系統(tǒng)個性。因此，全面地

24、給出系統(tǒng) 整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很 困難的首先測評人員應根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合標準要求， 確定系統(tǒng)整體測評的具體內(nèi)容。 其次在安全控制測評的基礎上， 重點 考慮安全控制間、 層面間以及區(qū)域間的相互關聯(lián)關系， 測評安全控制 間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用， 最后才能得出測評結(jié)論。安全控制間安全測評安全控制間的安全測評主要考慮同一區(qū)域內(nèi)、同一層面上的不同 安全控制間存在的功能增強、 補充或削弱等關聯(lián)作用。 安全功能上的 增強和補充可以使兩個不同強度、 不同等級的安全控制發(fā)揮更強的綜 合效能，可以使單個低等級安全控制在特定環(huán)境

25、中達到高等級信息系 統(tǒng)的安全要求。安全功能上的削弱會使一個安全控制的引入影響另一 個安全控制的功能發(fā)揮或者給其帶來新的脆弱性。 例如，某金融機構(gòu) 的核心系統(tǒng)，它的訪問路徑未采用 SSL加密設置，容易導致數(shù)據(jù)被嗅 探和非法篡改，但核心系統(tǒng)采用SSL加速器對網(wǎng)絡上數(shù)據(jù)傳輸進行加 密，可以有效保護網(wǎng)絡數(shù)據(jù)傳輸?shù)陌踩?。所以，在進行測評綜合判定 時，該測評項就可以判為通過。層面間安全測評層面間的安全測評主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功 能增強、補充和削弱等關聯(lián)作用。 安全功能上的增強和補充可以使兩 個不同層面上的安全控制發(fā)揮更強的綜合效能， 可以使單個低等級安全控制在特定環(huán)境中達到高等級信息系統(tǒng)

26、的安全要求。 安全功能上的 削弱會使一個層面上的安全控制影響另一個層面安全控制的功能發(fā) 揮或者給其帶來新的脆弱性。例如，某金融機構(gòu)，它的網(wǎng)絡核心設備 對內(nèi)部的訪問控制存在不足， 安全風險主要來自內(nèi)部人員的誤用、 濫 用和惡用，但是它的教育、 管理和考核制度都比較完善，對內(nèi)部員工 要求也比較嚴格， 所以在一定程度上降低了這種來自內(nèi)部的風險， 對 網(wǎng)絡訪問控制進行了相應的補充和增強。區(qū)域間安全測評區(qū)域間的安全測評主要考慮互連互通（包括物理上和邏輯上的互 連互通等） 的不同區(qū)域之間存在的安全功能增強、 補充和削弱等關聯(lián) 作用，特別是有數(shù)據(jù)交換的兩個不同區(qū)域。 安全功能上的增強和補充 可以使兩個不同區(qū)

27、域上的安全控制發(fā)揮更強的綜合效能， 可以使單個 低等級安全控制在特定環(huán)境中達到高等級信息系統(tǒng)的安全要求。 安全 功能上的削弱會使一個區(qū)域上的安全功能影響另一個區(qū)域安全功能 的發(fā)揮或者給其帶來新的脆弱性。 例如，某金融機構(gòu)的核心數(shù)據(jù)機房 位于中心機房內(nèi)部，它只有一個出入口，該出入口在中心機房內(nèi)。因 此，在中心機房的出入口上安排 24 小時專人值守等措施，可以解決 核心數(shù)據(jù)機房區(qū)域上的物理訪問控制等相應措施的安全功能， 使其達 到該區(qū)域物理安全所要求的安全保護強度。3 全面認識和正確實施信息安全等級保護3.1 全面認識信息安全等級保護信息安全等級保護信息安全等級保護的各項工作是圍繞對信息系 統(tǒng)的安

28、全等級保護開展的。 全面認識信息安全等級保護， 需要確立以 下基本觀點：1) 整體看，信息安全等級保護是制度； 分開看，信息安全是目的， 等級保護是方法；2) 對信息安全劃分等級是管理的需要；3) 信息安全是圍繞信息系統(tǒng)安全開展的一系列工作的總稱；4) 風險等級、需求等級、安全保護等級、安全技術等級和安全管 理等級是信息系統(tǒng)安全等級保護對等級劃分的全面反映；5) 安全系統(tǒng)等級與安全技術等級和安全管理等級既相互關聯(lián)又 各有其不同的含義；6) 安全管理是信息安全的生命線。整體看，“信息安全等級保護”是制度；分開看， “信息安全是目 的，等級保護是方法” ，這一基本認識明確定位了信息安全等級保護 的

29、重要位置以及信息安全與等級保護之間的關系。 用分等級保護的方 法實現(xiàn)國家信息安全的總體目標，既是一項制度，也是一種方法。其 基本思想是：重點保護和適度保護。進一步理解可以包括以下含義： 方法是可選的，不是唯一的；但制度一經(jīng)確定就是不可改變的；等級 的劃分可以是多種多樣的， 但作為要具體執(zhí)行的制度， 就應有確定的 等級劃分；對已經(jīng)確定的等級劃分， 如果沒有發(fā)現(xiàn)其不可執(zhí)行的缺陷， 就不要輕易改變?！皩π畔踩珓澐值燃壥枪芾淼男枰?，這一基本認識表明： 分等 級保護是從便于管理的角度對實現(xiàn)信息安全的考慮。 其實，等級化管 理是人類社會普遍采用的管理方法?？v觀人類社會活動的各個環(huán)節(jié)， 無不存在著按等

30、級管理的情況。 就信息安全而言， 等級化管理在國際 和國內(nèi)也是普遍采用的方法。經(jīng)典的安全標準 -TCSEC和最新國際信 息安全技術標準 -CC 等無不以分等級的方法對信息安全技術的不同 要求進行描述，盡管他們各自在描述方法上有所不同（ CC 沒有對安 全功能要求進行等級劃分，很大程度上是因為各個國家沒有取得共 識）。從我國當前的實際情況出發(fā)，采用分等級保護的方法實現(xiàn)信息 安全，無疑是適用于我國當前實際的一種有效的信息安全管理方法。“信息安全是圍繞信息系統(tǒng)安全開展的一系列工作的總稱” 。這一 基本認識表明： 信息安全是指信息系統(tǒng)和信息系統(tǒng)中存儲、 傳輸和處 理的數(shù)據(jù)信息的安全。一方面“信息安全”

31、是一個具有較廣泛概念的 稱謂，是包括從中央到地方、從法律到法規(guī)、從管理到技術、從系統(tǒng) 到產(chǎn)品等，涉及國家有關機構(gòu)和部門圍繞對信息的安全保護所進行的 所有活動；另一方面“，信息安全”的所有活動則完全是圍繞對信息 系統(tǒng)和信息系統(tǒng)中所存儲、 傳輸和處理的數(shù)據(jù)信息進行安全保護應采 取的安全技術和安全管理措施這一目標開展的， 并且具體落實到各個 單位和部門的所有信息系統(tǒng)的建設和運行控制的全過程。風險等級、需求等級、安全保護等級、安全技術和安全管理等級是信息系統(tǒng)安全等級保護對等級劃分的全面反映” 這一基本認識表 明：圍繞信息系統(tǒng)的安全等級保護，需要對信息系統(tǒng)的安全風險、安 全需求、 安全保護、 安全技術和

32、安全管理等各個階段和層面進行等級 劃分。信息系統(tǒng)的安全風險等級是根據(jù)對目標信息系統(tǒng)進行風險分析 所確定的風險度的表示， 66 號文件所規(guī)定的 5 個安全等級，就是建 立在對國家各行各業(yè)的信息系統(tǒng)的安全保護要求進行總體風險分析 的基礎上確定的信息系統(tǒng)的安全風險框架， 是各有關單位確定其所屬 信息系統(tǒng)的安全風險等級的基本依據(jù)； 信息系統(tǒng)安全需求等級是根據(jù) 目標信息系統(tǒng)的安全風險等級確定的； 信息系統(tǒng)的安全保護等級是對 信息系統(tǒng)安全保護的總體要求， 是確定目標信息系統(tǒng)應選取何種等級 的安全保護措施（包括安全技術措施和安全管理措施）的基本依據(jù)， 這些安全措施共同確保信息系統(tǒng)安全達到其安全性目標； 安全

33、技術等 級和安全管理等級分別從技術和管理的角度對安全保護措施的安全 性進行區(qū)分，為不同安全等級的信息系統(tǒng)進行技術和管理措施的選擇 提供支持?！鞍踩到y(tǒng)等級與安全技術等級和安全管理等級既相互關聯(lián)又各 有其不同的含義”。這一基本認識表明：安全技術等級和安全管理等 級與系統(tǒng)安全等級有著十分密切的關系但兩者并不是等同的關系。 為 了貫徹重點保護和適度保護的原則， 信息系統(tǒng)需要劃分等級， 信息安 全技術和信息安全管理同樣需要劃分等級。 然而，信息系統(tǒng)的安全等 級與安全技術的安全等級和安全管理的安全等級 （以下簡稱 “技術和管理的安全等級”）是兩個既有聯(lián)系又不完全相同的概念。信息系統(tǒng) 的安全等級是根據(jù)信息

34、系統(tǒng)的風險程度（或者說風險等級）確定的， 是與信息系統(tǒng)的重要性（或資產(chǎn)價值）及其所處的環(huán)境和條件（或安 全威脅）有關的。而技術和管理的安全等級則是按安全技術和安全管 理要素的安全性強度劃分并與環(huán)境和條件無關的。由于信息系統(tǒng)所處 環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級劃分難以制定出明確的 標準，而技術和管理的安全等級完全可以根據(jù)其所實現(xiàn)的安全功能和 所采取的安全保證措施制定出明確的劃分標準。 到目前為止，所制定 的一系列與信息安全等級保護相關的標準，其等級的劃分都是以安全 要素為單位進行劃分的。不同安全要素所實現(xiàn)的安全功能的安全性強 度（也就是安全等級），根據(jù)其所采用的安全機制的不同和安全保證

35、 措施的不同而定。至于劃分為幾個等級和每個安全等級之間的差異， 完全是人為確定的。當然，這里所說的人為確定并是由哪一個隨意確 定的，而是由有關主管部門組織業(yè)內(nèi)有關專家， 根據(jù)信息安全等級保 護的需要，參考國際和國外的相關標準，結(jié)合我國安全技術發(fā)展和信 息系統(tǒng)安全等級劃分的具體情況，認真研究確定的。這就是我們當前 所制定的一系列安全技術和安全管理標準等級劃分的基礎和依據(jù)。對一個具體的信息系統(tǒng)，在選擇采用何種等級的安全技術和安全管理措 施時，需要考慮目標信息系統(tǒng)所處的環(huán)境和條件對安全性要求的影 響，而并非簡單的按對應等級進行選擇?！鞍踩芾硎切畔踩纳€”。這一基本認識表明：安全管理 在信息安

36、全等級保護制度實施過程中重要作用。 人們通常用“三分技術，七分管理”來形容管理對技術的重要性。其實，用“安全管理是 信息安全的生命線”來描述安全管理對信息安全的重要性可能更為貼 切。對信息安全等級保護的管理分為“宏觀管理”和“微觀管理”。宏觀管理是指從國家的政策法規(guī)到設置各種管理機構(gòu)等全局性的管 理措施微觀管理是指圍繞信息系統(tǒng)的安全等級保護所實施的一系具 體管理。從宏觀管理看，沒有政策法規(guī)的明確要求，信息安全等級保 護就是依據(jù)空話。從微觀管理看，安全管理貫穿從確定信息系統(tǒng)安全 需求到控制信息系統(tǒng)安全運行的信息系統(tǒng)整個生命周期的全過程，是信息安全的每一個環(huán)節(jié)實現(xiàn)的前提和保證。 沒有嚴格的組織管理

37、，無 法進行信息安全的需求分析，從而無法確定信息安全的等級需求； 無 法確定信息系統(tǒng)的安全方案；無法確保信息系統(tǒng)安全工程按確定的安 全目標實現(xiàn)；無法確保設計、實現(xiàn)的信息安全系統(tǒng)的運行達到所要求 的安全目標；無法應對安全系統(tǒng)運行中出現(xiàn)的新情況和新問題。 總之, 在信息安全系統(tǒng)生周期的每一個環(huán)節(jié)，沒有嚴格的符合要求的管理， 安全技術的作用就會打折扣，甚至成為攻擊的弱點和漏洞。技術是手 段，管理是前提和保證目標只有一個，那就是信息安全。根據(jù)我國的 國情，管理的重要性還體現(xiàn)在領導的重要性。實踐證明，在我國信息 系統(tǒng)建設階段，單位領導的重視與支持對單位的信息系統(tǒng)建設和發(fā)展 的重要性已經(jīng)成為不爭的事實。同

38、樣，單位領導，特別是主要領導的 重視與支持，對單位信息安全系統(tǒng)建設和運行具有十分重要的作用。3.2 正確實施信息安全等級保護正確實施信息安全等級保護需要采用以下基本方法：1) 風險管理與信息安全等級保護相結(jié)合是貫穿信息系統(tǒng)整個生 命周期的有效措施；2) 構(gòu)建等級化的信息安全保障體系是實施信息安全等級保護的 正確途徑；3) 按區(qū)域分類、 分層、分等級保護是對信息系統(tǒng)實施安全等級保 護的有效方法；4) 安全的一致性原理是等級化信息系統(tǒng)安全設計的重要思想。在進行等級化的信息系統(tǒng)安全設計時，首先采用風險分析的方法 確定安全風險程度(等級)和安全需求，然后將這些安全需求轉(zhuǎn)化為 相應的安全要求， 再根據(jù)這

39、些安全要求， 確定對應的安全技術和安全 管理措施。根據(jù)這些安全技術和安全管理措施在相關的安全技術標準 和安全管理標準中的安全級， 從而最終確定信息系統(tǒng)的安全等級。 由 于安全技術和安全管理標準的等級劃分已經(jīng)充分考慮到信息系統(tǒng)安 全等級的劃分， 所以從整體上兩者的等級應該是基本一致的。 但這里 并不要求完全對應。 因為從本質(zhì)上講， 技術和管理的安全等級的劃分 是比較單一的， 而信息系統(tǒng)安全等級的劃分是比較復雜的， 而且與信 息系統(tǒng)所在的環(huán)境和條件有關的。 可以幫助我們理解這一觀點的一個 例子是，美國的NIST系列文檔將信息系統(tǒng)的安全等級劃分為基本級、 增強級、強健級三個等級，并通過選取 CC中的

40、相應安全組件來構(gòu)建所需要的信息安全系統(tǒng)通過風險分析確定安全風險等級，威脅針對脆弱性和資產(chǎn)所產(chǎn)生 的后果是， 在脆弱性和資產(chǎn)確定的情況下， 安全風險隨威脅的增加而 增加；在威脅確定的情況下，安全風險隨資產(chǎn)和 / 或脆弱性的增加而 增加；安全需求等級由安全風險等級產(chǎn)生， 安全目標等級由安全需求 等級確定， 安全目標等級通過選擇相應安全等級的安全措施 （安全技 術措施和安全管理措施）來實現(xiàn)；安全措施通過對抗威脅、保護資產(chǎn) 和降低脆弱性來減少安全風險， 使剩余風險降低到可接受的范圍， 從 而達到對信息系統(tǒng)進行安全保護的目標?！皹?gòu)建等級化的信息安全保障體系是實施信息安全等級保護的正 確途徑”，這一基本方法表明：對信息系統(tǒng)實施安全等級