【正文】 一種方法。系統(tǒng)漏洞掃描：要是利用掃描工具對(duì)系統(tǒng)進(jìn)行自動(dòng)檢查，根據(jù)漏洞庫(kù)的描述對(duì)系統(tǒng)進(jìn)行模擬攻擊測(cè)試，如果系統(tǒng)被成功入侵，說(shuō)明存在漏洞。三、 分析與報(bào)告編制階段該階段是等級(jí)測(cè)評(píng)工作的最后環(huán)節(jié)，是對(duì)被測(cè)方系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)過(guò)程。等級(jí)測(cè)評(píng)基本流程安全功能上的削弱會(huì)使一個(gè)安全控制的引入影響另一個(gè)安全控制的功能發(fā)揮或者給其帶來(lái)新的脆弱性。層面間安全測(cè)評(píng)層面間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。例如，某金融機(jī)構(gòu)的核心數(shù)據(jù)機(jī)房位于中心機(jī)房?jī)?nèi)部，它只有一個(gè)出入口，該出入口在中心機(jī)房?jī)?nèi)。整體看，信息安全等級(jí)保護(hù)是制度；分開(kāi)看，信息安全是目的，等級(jí)保護(hù)是方法；2)其基本思想是：重點(diǎn)保護(hù)和適度保護(hù)。等無(wú)不以分等級(jí)的方法對(duì)信息安全技術(shù)的不同要求進(jìn)行描述，盡管他們各自在描述方法上有所不同（CC沒(méi)有對(duì)安全功能要求進(jìn)行等級(jí)劃分，很大程度上是因?yàn)楦鱾€(gè)國(guó)家沒(méi)有取得共識(shí)）。5由于信息系統(tǒng)所處環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級(jí)劃分難以制定出明確的標(biāo)準(zhǔn)，而技術(shù)和管理的安全等級(jí)完全可以根據(jù)其所實(shí)現(xiàn)的安全功能和所采取的安全保證措施制定出明確的劃分標(biāo)準(zhǔn)。這一基本認(rèn)識(shí)表明：安全管理在信息安全等級(jí)保護(hù)制度實(shí)施過(guò)程中重要作用。總之，在信息安全系統(tǒng)生周期的每一個(gè)環(huán)節(jié)，沒(méi)有嚴(yán)格的符合要求的管理，安全技術(shù)的作用就會(huì)打折扣，甚至成為攻擊的弱點(diǎn)和漏洞。構(gòu)建等級(jí)化的信息安全保障體系是實(shí)施信息安全等級(jí)保護(hù)的正確途徑；3)可以幫助我們理解這一觀點(diǎn)的一個(gè)例子是，美國(guó)的這些安全需求的不同主要體現(xiàn)在對(duì)數(shù)據(jù)信息安全保護(hù)的不同要求。這一切都需要根據(jù)數(shù)據(jù)信息的安全保護(hù)要求及其流動(dòng)的范圍確定。又如，安全功能與安全保證的一致性體現(xiàn)在：基于“口令”的身份鑒別有較低（第一級(jí)）的安全保證要求，而基于“數(shù)字證書(shū)”的身份鑒別則有較高（第三級(jí)）的安全保證要求。其中的安全等級(jí)劃分已經(jīng)充分考慮到這些一致性要求。所謂按數(shù)據(jù)分類(lèi)保護(hù)是指，將需要進(jìn)行相同保護(hù)的數(shù)據(jù)信息作為相同的分類(lèi)，將同一類(lèi)數(shù)據(jù)的流動(dòng)范圍劃分為一個(gè)區(qū)域，實(shí)施相同的安全保護(hù)，域的劃分可以是物理的也可以是邏輯的，甚至可能是交叉的，當(dāng)然具體劃分應(yīng)越簡(jiǎn)單越好；所謂分層保護(hù)是指，在同一安全域中，組成該安全域的各個(gè)層次的軟硬件系統(tǒng)應(yīng)具有相同的安全保護(hù)能力，以確保當(dāng)數(shù)據(jù)信息在其控制范圍內(nèi)時(shí)能得到應(yīng)有的安全保護(hù)；所謂分等級(jí)保護(hù)是指，對(duì)在同一區(qū)域和/或不同區(qū)域需要進(jìn)行相同保護(hù)的數(shù)據(jù)信息進(jìn)行相同等級(jí)的安全保護(hù)?！皹?gòu)建等級(jí)化的信息安全保障體系是實(shí)施信息安全等級(jí)保護(hù)的正確途徑”，這一基本方法表明：對(duì)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)，需要根據(jù)其承載的各個(gè)業(yè)務(wù)應(yīng)用的不同安全需求確定不同的安全保護(hù)等級(jí)，從而構(gòu)成等級(jí)化的信息系統(tǒng)安全保障體系。但這里并不要求完全對(duì)應(yīng)。正確實(shí)施信息安全等級(jí)保護(hù)正確實(shí)施信息安全等級(jí)保護(hù)需要采用以下基本方法：1)從微觀管理看，安全管理貫穿從確定信息系統(tǒng)安全需求到控制信息系統(tǒng)安全運(yùn)行的信息系統(tǒng)整個(gè)生命周期的全過(guò)程，是信息安全的每一個(gè)環(huán)節(jié)實(shí)現(xiàn)的前提和保證。對(duì)一個(gè)具體的信息系統(tǒng)，在選擇采用何種等級(jí)的安全技術(shù)和安全管理措施時(shí)，需要考慮目標(biāo)信息系統(tǒng)所處的環(huán)境和條件對(duì)安全性要求的影響，而并非簡(jiǎn)單的按對(duì)應(yīng)等級(jí)進(jìn)行選擇。信息系統(tǒng)的安全等級(jí)是根據(jù)信息系統(tǒng)的風(fēng)險(xiǎn)程度（或者說(shuō)風(fēng)險(xiǎn)等級(jí)）確定的，是與信息系統(tǒng)的重要性（或資產(chǎn)價(jià)值）及其所處的環(huán)境和條件（或安全威脅）有關(guān)的。信息系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)是根據(jù)對(duì)目標(biāo)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析所確定的風(fēng)險(xiǎn)度的表示，66經(jīng)典的安全標(biāo)準(zhǔn)TCSEC整體看，“信息安全等級(jí)保護(hù)”是制度；分開(kāi)看，“信息安全是目的，等級(jí)保護(hù)是方法”，這一基本認(rèn)識(shí)明確定位了信息安全等級(jí)保護(hù)的重要位置以及信息安全與等級(jí)保護(hù)之間的關(guān)系。全面認(rèn)識(shí)信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)的各項(xiàng)工作是圍繞對(duì)信息系統(tǒng)的安全等級(jí)保護(hù)開(kāi)展的。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同區(qū)域上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級(jí)安全控制在特定環(huán)境中達(dá)到高等級(jí)信息系統(tǒng)的安全要求。所以，在進(jìn)行測(cè)評(píng)綜合判定時(shí)，該測(cè)評(píng)項(xiàng)就可以判為通過(guò)。安全控制間安全測(cè)評(píng)安全控制間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。圖二、 現(xiàn)場(chǎng)實(shí)施階段本階段是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵階段。滲透性測(cè)試：等級(jí)測(cè)評(píng)的一個(gè)重要內(nèi)容是對(duì)測(cè)試目標(biāo)進(jìn)行脆弱性分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測(cè)試目標(biāo)能夠抵抗具有不同等級(jí)攻擊潛能的攻擊者發(fā)起的滲透性攻擊。測(cè)評(píng)方法主要采用訪談、檢查、測(cè)試等方法進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。一般來(lái)說(shuō)，實(shí)施測(cè)評(píng)時(shí)，面臨的具體測(cè)評(píng)對(duì)象可以是單個(gè)人員、文檔、機(jī)制或者設(shè)備等，也可能是由多個(gè)人員、文檔、機(jī)制或者設(shè)備等構(gòu)成的集合，它們分別需要使用到某個(gè)特定安全控制的功能。2因此，全面地給出系統(tǒng)整體測(cè)評(píng)要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》等級(jí)測(cè)評(píng)是指具有相關(guān)資質(zhì)的、獨(dú)立的第三方評(píng)測(cè)服務(wù)機(jī)構(gòu)，對(duì)信息系統(tǒng)的等級(jí)保護(hù)落實(shí)情況與信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測(cè)試判定。作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者決定。受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表l影響社會(huì)成員接受公共服務(wù)等方面；n影響各種類(lèi)型的經(jīng)濟(jì)活動(dòng)秩序；n影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；n如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級(jí)，信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫(xiě)工作，同時(shí)收集信息系統(tǒng)所涉及的一系列l(wèi)l信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過(guò)一系列的信息系統(tǒng)情況調(diào)查表對(duì)信息系統(tǒng)基本情況進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類(lèi)型、應(yīng)用、服務(wù)范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。…… 業(yè)務(wù)類(lèi)型分析 號(hào)文件）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字【2004】66號(hào)文件）《電子政務(wù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（試行）》（國(guó)信辦【2005】25定級(jí)工作實(shí)施范圍“