【正文】 試：等級測評的一個重要內(nèi)容是對測試目標(biāo)進(jìn)行脆弱性分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測試目標(biāo)能夠抵抗具有不同等級攻擊潛能的攻擊者發(fā)起的滲透性攻擊。二、 現(xiàn)場實(shí)施階段本階段是開展等級測評工作的關(guān)鍵階段。等級測評基本流程如圖圖因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。安全控制間安全測評安全控制間的安全測評主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。SSL所以，在進(jìn)行測評綜合判定時，該測評項(xiàng)就可以判為通過。安全功能上的削弱會使一個層面上的安全控制影響另一個層面安全控制的功能發(fā)揮或者給其帶來新的脆弱性。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個不同區(qū)域上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個低等級安全控制在特定環(huán)境中達(dá)到高等級信息系統(tǒng)的安全要求。24全面認(rèn)識信息安全等級保護(hù)信息安全等級保護(hù)信息安全等級保護(hù)的各項(xiàng)工作是圍繞對信息系統(tǒng)的安全等級保護(hù)開展的。信息安全是圍繞信息系統(tǒng)安全開展的一系列工作的總稱；4)整體看，“信息安全等級保護(hù)”是制度；分開看，“信息安全是目的，等級保護(hù)是方法”，這一基本認(rèn)識明確定位了信息安全等級保護(hù)的重要位置以及信息安全與等級保護(hù)之間的關(guān)系?！皩π畔踩珓澐值燃壥枪芾淼男枰?，這一基本認(rèn)識表明：分等級保護(hù)是從便于管理的角度對實(shí)現(xiàn)信息安全的考慮。經(jīng)典的安全標(biāo)準(zhǔn)TCSEC“信息安全是圍繞信息系統(tǒng)安全開展的一系列工作的總稱”。信息系統(tǒng)的安全風(fēng)險等級是根據(jù)對目標(biāo)信息系統(tǒng)進(jìn)行風(fēng)險分析所確定的風(fēng)險度的表示，66“安全系統(tǒng)等級與安全技術(shù)等級和安全管理等級既相互關(guān)聯(lián)又各有其不同的含義”。信息系統(tǒng)的安全等級是根據(jù)信息系統(tǒng)的風(fēng)險程度（或者說風(fēng)險等級）確定的，是與信息系統(tǒng)的重要性（或資產(chǎn)價值）及其所處的環(huán)境和條件（或安全威脅）有關(guān)的。不同安全要素所實(shí)現(xiàn)的安全功能的安全性強(qiáng)度（也就是安全等級），根據(jù)其所采用的安全機(jī)制的不同和安全保證措施的不同而定。對一個具體的信息系統(tǒng)，在選擇采用何種等級的安全技術(shù)和安全管理措施時，需要考慮目標(biāo)信息系統(tǒng)所處的環(huán)境和條件對安全性要求的影響，而并非簡單的按對應(yīng)等級進(jìn)行選擇。其實(shí)，用“安全管理是信息安全的生命線”來描述安全管理對信息安全的重要性可能更為貼切。從微觀管理看，安全管理貫穿從確定信息系統(tǒng)安全需求到控制信息系統(tǒng)安全運(yùn)行的信息系統(tǒng)整個生命周期的全過程，是信息安全的每一個環(huán)節(jié)實(shí)現(xiàn)的前提和保證。根據(jù)我國的國情，管理的重要性還體現(xiàn)在領(lǐng)導(dǎo)的重要性。正確實(shí)施信息安全等級保護(hù)正確實(shí)施信息安全等級保護(hù)需要采用以下基本方法：1)安全的一致性原理是等級化信息系統(tǒng)安全設(shè)計(jì)的重要思想。但這里并不要求完全對應(yīng)。系列文檔將信息系統(tǒng)的安全等級劃分為基本級、增強(qiáng)級、強(qiáng)健級三個等級，并通過選取“構(gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑”，這一基本方法表明：對信息系統(tǒng)實(shí)施安全等級保護(hù)，需要根據(jù)其承載的各個業(yè)務(wù)應(yīng)用的不同安全需求確定不同的安全保護(hù)等級，從而構(gòu)成等級化的信息系統(tǒng)安全保障體系。等級化主要體現(xiàn)在對具有不同安全保護(hù)要求的數(shù)據(jù)信息的不同安全保護(hù)方面。所謂按數(shù)據(jù)分類保護(hù)是指，將需要進(jìn)行相同保護(hù)的數(shù)據(jù)信息作為相同的分類，將同一類數(shù)據(jù)的流動范圍劃分為一個區(qū)域，實(shí)施相同的安全保護(hù)，域的劃分可以是物理的也可以是邏輯的，甚至可能是交叉的，當(dāng)然具體劃分應(yīng)越簡單越好；所謂分層保護(hù)是指，在同一安全域中，組成該安全域的各個層次的軟硬件系統(tǒng)應(yīng)具有相同的安全保護(hù)能力，以確保當(dāng)數(shù)據(jù)信息在其控制范圍內(nèi)時能得到應(yīng)有的安全保護(hù)；所謂分等級保護(hù)是指，對在同一區(qū)域和/或不同區(qū)域需要進(jìn)行相同保護(hù)的數(shù)據(jù)信息進(jìn)行相同等級的安全保護(hù)。于是，根據(jù)數(shù)據(jù)信息需要保護(hù)的程度，合理分布和控制數(shù)據(jù)信息的流動便成為等級化信息系統(tǒng)安全保障體系設(shè)計(jì)的重要環(huán)節(jié)。其中的安全等級劃分已經(jīng)充分考慮到這些一致性要求。又如，安全功能與安全保證的一致性體現(xiàn)在：基于“口令”的身份鑒別有較低（第一級）的安全保證要求，而基于“數(shù)字證書”的身份鑒別則有較高（第三級）的安全保證要求。GB178591999這一切都需要根據(jù)數(shù)據(jù)信息的安全保護(hù)要求及其流動的范圍確定。“按數(shù)據(jù)分類分區(qū)域、分層、分等級保護(hù)是對信息系統(tǒng)實(shí)施安全等級保護(hù)的有效方法”，這一基本方法表明：對一個大型復(fù)雜的信息系統(tǒng)，需要根據(jù)其不同保護(hù)要求，劃分不同的安全保護(hù)域，并對每一個安全域?qū)嵤┎煌燃壍陌踩Ｗo(hù)，從而在整體上實(shí)現(xiàn)多級安全保護(hù)。這些安全需求的不同主要體現(xiàn)在對數(shù)據(jù)信息安全保護(hù)的不同要求。中的相應(yīng)安全組件來構(gòu)建所需要的信息安全系統(tǒng)?？梢詭椭覀兝斫膺@一觀點(diǎn)的一個例子是，美國的根據(jù)這些安全技術(shù)和安全管理措施在相關(guān)的安全技術(shù)標(biāo)準(zhǔn)和安全管理標(biāo)準(zhǔn)中的安全級，從而最終確定信息系統(tǒng)的安全等級。構(gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑；3)同樣，單位領(lǐng)導(dǎo)，特別是主要領(lǐng)導(dǎo)的重視與支持，對單位信息安全系統(tǒng)建設(shè)和運(yùn)行具有十分重要的作用?？傊谛畔踩到y(tǒng)生周期的每一個環(huán)節(jié)，沒有嚴(yán)格的符合要求的管理，安全技術(shù)的作用就會打折扣，甚至成為攻擊的弱點(diǎn)和漏洞。宏觀管理是指從國家的政策法規(guī)到設(shè)置各種管理機(jī)構(gòu)等全局性的管理措施微觀管理是指圍繞信息系統(tǒng)的安全等級保護(hù)所實(shí)施的一系具體管理。這一基本認(rèn)識表明：安全管理在信息安全等級保護(hù)制度實(shí)施過程中重要作用。當(dāng)然，這里所說的人為確定并是由哪一個隨意確定的，而是由有關(guān)主管部門組織業(yè)內(nèi)有關(guān)專家，根據(jù)信息安全等級保護(hù)的需要，參考國際和國外的相關(guān)標(biāo)準(zhǔn)，結(jié)合我國安全技術(shù)發(fā)展和信息系統(tǒng)安全等級劃分的具體情況，認(rèn)真研究確定的。由于信息系統(tǒng)所處環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級劃分難以制定出明確的標(biāo)準(zhǔn)，而技術(shù)和管理的安全等級完全可以根據(jù)其所實(shí)現(xiàn)的安全功能和所采取的安全保證措施制定出明確的劃分標(biāo)準(zhǔn)。為了貫徹重點(diǎn)保護(hù)和適度保護(hù)的原則，信息系統(tǒng)需要劃分等級，信息安全技術(shù)和信息安全管理同樣需要劃分等級。5一方面“信息安全”是一個具有較廣泛概念的稱謂，是包括從中央到地方、從法律到法規(guī)、從管理到技術(shù)、從系統(tǒng)到產(chǎn)品等，涉及國家有關(guān)機(jī)構(gòu)和部門圍繞對信息的安全保護(hù)所進(jìn)行的所有活動；另一方面“，信息安全”的所有活動則完全是圍繞對信息系統(tǒng)和信息系統(tǒng)中所存儲、傳輸和處理的數(shù)據(jù)信息進(jìn)行安全保護(hù)應(yīng)采取的安全技術(shù)和安全管理措施這一目標(biāo)開展的，并且具體落實(shí)到各個單位和部門的所有信息系統(tǒng)的建設(shè)和運(yùn)行控制的全過程。等無不以分等級的方法對信息安全技術(shù)的不同要求進(jìn)行描述，盡管他們各自在描述方法上有所不同（CC沒有對安全功能要求進(jìn)行等級劃分，很大程度上是因?yàn)楦鱾€國家沒