【正文】 一種方法。系統(tǒng)漏洞掃描：要是利用掃描工具對系統(tǒng)進(jìn)行自動檢查，根據(jù)漏洞庫的描述對系統(tǒng)進(jìn)行模擬攻擊測試，如果系統(tǒng)被成功入侵，說明存在漏洞。三、 分析與報(bào)告編制階段該階段是等級測評工作的最后環(huán)節(jié)，是對被測方系統(tǒng)整體安全保護(hù)能力的綜合評價(jià)過程。等級測評基本流程安全功能上的削弱會使一個(gè)安全控制的引入影響另一個(gè)安全控制的功能發(fā)揮或者給其帶來新的脆弱性。層面間安全測評層面間的安全測評主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。例如，某金融機(jī)構(gòu)的核心數(shù)據(jù)機(jī)房位于中心機(jī)房內(nèi)部，它只有一個(gè)出入口，該出入口在中心機(jī)房內(nèi)。整體看，信息安全等級保護(hù)是制度；分開看，信息安全是目的，等級保護(hù)是方法；2)其基本思想是：重點(diǎn)保護(hù)和適度保護(hù)。等無不以分等級的方法對信息安全技術(shù)的不同要求進(jìn)行描述，盡管他們各自在描述方法上有所不同（CC沒有對安全功能要求進(jìn)行等級劃分，很大程度上是因?yàn)楦鱾€(gè)國家沒有取得共識）。5由于信息系統(tǒng)所處環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級劃分難以制定出明確的標(biāo)準(zhǔn)，而技術(shù)和管理的安全等級完全可以根據(jù)其所實(shí)現(xiàn)的安全功能和所采取的安全保證措施制定出明確的劃分標(biāo)準(zhǔn)。這一基本認(rèn)識表明：安全管理在信息安全等級保護(hù)制度實(shí)施過程中重要作用。總之，在信息安全系統(tǒng)生周期的每一個(gè)環(huán)節(jié)，沒有嚴(yán)格的符合要求的管理，安全技術(shù)的作用就會打折扣，甚至成為攻擊的弱點(diǎn)和漏洞。構(gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑；3)可以幫助我們理解這一觀點(diǎn)的一個(gè)例子是，美國的這些安全需求的不同主要體現(xiàn)在對數(shù)據(jù)信息安全保護(hù)的不同要求。這一切都需要根據(jù)數(shù)據(jù)信息的安全保護(hù)要求及其流動的范圍確定。又如，安全功能與安全保證的一致性體現(xiàn)在：基于“口令”的身份鑒別有較低（第一級）的安全保證要求，而基于“數(shù)字證書”的身份鑒別則有較高（第三級）的安全保證要求。其中的安全等級劃分已經(jīng)充分考慮到這些一致性要求。所謂按數(shù)據(jù)分類保護(hù)是指，將需要進(jìn)行相同保護(hù)的數(shù)據(jù)信息作為相同的分類，將同一類數(shù)據(jù)的流動范圍劃分為一個(gè)區(qū)域，實(shí)施相同的安全保護(hù)，域的劃分可以是物理的也可以是邏輯的，甚至可能是交叉的，當(dāng)然具體劃分應(yīng)越簡單越好；所謂分層保護(hù)是指，在同一安全域中，組成該安全域的各個(gè)層次的軟硬件系統(tǒng)應(yīng)具有相同的安全保護(hù)能力，以確保當(dāng)數(shù)據(jù)信息在其控制范圍內(nèi)時(shí)能得到應(yīng)有的安全保護(hù)；所謂分等級保護(hù)是指，對在同一區(qū)域和/或不同區(qū)域需要進(jìn)行相同保護(hù)的數(shù)據(jù)信息進(jìn)行相同等級的安全保護(hù)。“構(gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑”，這一基本方法表明：對信息系統(tǒng)實(shí)施安全等級保護(hù)，需要根據(jù)其承載的各個(gè)業(yè)務(wù)應(yīng)用的不同安全需求確定不同的安全保護(hù)等級，從而構(gòu)成等級化的信息系統(tǒng)安全保障體系。但這里并不要求完全對應(yīng)。正確實(shí)施信息安全等級保護(hù)正確實(shí)施信息安全等級保護(hù)需要采用以下基本方法：1)從微觀管理看，安全管理貫穿從確定信息系統(tǒng)安全需求到控制信息系統(tǒng)安全運(yùn)行的信息系統(tǒng)整個(gè)生命周期的全過程，是信息安全的每一個(gè)環(huán)節(jié)實(shí)現(xiàn)的前提和保證。對一個(gè)具體的信息系統(tǒng)，在選擇采用何種等級的安全技術(shù)和安全管理措施時(shí)，需要考慮目標(biāo)信息系統(tǒng)所處的環(huán)境和條件對安全性要求的影響，而并非簡單的按對應(yīng)等級進(jìn)行選擇。信息系統(tǒng)的安全等級是根據(jù)信息系統(tǒng)的風(fēng)險(xiǎn)程度（或者說風(fēng)險(xiǎn)等級）確定的，是與信息系統(tǒng)的重要性（或資產(chǎn)價(jià)值）及其所處的環(huán)境和條件（或安全威脅）有關(guān)的。信息系統(tǒng)的安全風(fēng)險(xiǎn)等級是根據(jù)對目標(biāo)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析所確定的風(fēng)險(xiǎn)度的表示，66經(jīng)典的安全標(biāo)準(zhǔn)TCSEC整體看，“信息安全等級保護(hù)”是制度；分開看，“信息安全是目的，等級保護(hù)是方法”，這一基本認(rèn)識明確定位了信息安全等級保護(hù)的重要位置以及信息安全與等級保護(hù)之間的關(guān)系。全面認(rèn)識信息安全等級保護(hù)信息安全等級保護(hù)信息安全等級保護(hù)的各項(xiàng)工作是圍繞對信息系統(tǒng)的安全等級保護(hù)開展的。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同區(qū)域上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級安全控制在特定環(huán)境中達(dá)到高等級信息系統(tǒng)的安全要求。所以，在進(jìn)行測評綜合判定時(shí)，該測評項(xiàng)就可以判為通過。安全控制間安全測評安全控制間的安全測評主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。圖二、 現(xiàn)場實(shí)施階段本階段是開展等級測評工作的關(guān)鍵階段。滲透性測試：等級測評的一個(gè)重要內(nèi)容是對測試目標(biāo)進(jìn)行脆弱性分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測試目標(biāo)能夠抵抗具有不同等級攻擊潛能的攻擊者發(fā)起的滲透性攻擊。測評方法主要采用訪談、檢查、測試等方法進(jìn)行等級保護(hù)測評。一般來說，實(shí)施測評時(shí)，面臨的具體測評對象可以是單個(gè)人員、文檔、機(jī)制或者設(shè)備等，也可能是由多個(gè)人員、文檔、機(jī)制或者設(shè)備等構(gòu)成的集合，它們分別需要使用到某個(gè)特定安全控制的功能。2因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》等級測評是指具有相關(guān)資質(zhì)的、獨(dú)立的第三方評測服務(wù)機(jī)構(gòu)，對信息系統(tǒng)的等級保護(hù)落實(shí)情況與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測試判定。作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表l影響社會成員接受公共服務(wù)等方面；n影響各種類型的經(jīng)濟(jì)活動秩序；n影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；n如果信息系統(tǒng)承載多項(xiàng)業(yè)務(wù)，應(yīng)根據(jù)各項(xiàng)業(yè)務(wù)的性質(zhì)和特點(diǎn)，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護(hù)等級，信息系統(tǒng)的安全保護(hù)等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫工作，同時(shí)收集信息系統(tǒng)所涉及的一系列l(wèi)l信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過一系列的信息系統(tǒng)情況調(diào)查表對信息系統(tǒng)基本情況進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用、服務(wù)范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。…… 業(yè)務(wù)類型分析 號文件）《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字【2004】66號文件）《電子政務(wù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南（試行）》（國信辦【2005】25定級工作實(shí)施范圍“