【正文】 說的人為確定并是由哪一個(gè)隨意確定的，而是由有關(guān)主管部門組織業(yè)內(nèi)有關(guān)專家，根據(jù)信息安全等級保護(hù)的需要，參考國際和國外的相關(guān)標(biāo)準(zhǔn)，結(jié)合我國安全技術(shù)發(fā)展和信息系統(tǒng)安全等級劃分的具體情況，認(rèn)真研究確定的。為了貫徹重點(diǎn)保護(hù)和適度保護(hù)的原則，信息系統(tǒng)需要?jiǎng)澐值燃?，信息安全技術(shù)和信息安全管理同樣需要?jiǎng)澐值燃墶Ｒ环矫妗靶畔踩笔且粋€(gè)具有較廣泛概念的稱謂，是包括從中央到地方、從法律到法規(guī)、從管理到技術(shù)、從系統(tǒng)到產(chǎn)品等，涉及國家有關(guān)機(jī)構(gòu)和部門圍繞對信息的安全保護(hù)所進(jìn)行的所有活動(dòng)；另一方面“，信息安全”的所有活動(dòng)則完全是圍繞對信息系統(tǒng)和信息系統(tǒng)中所存儲(chǔ)、傳輸和處理的數(shù)據(jù)信息進(jìn)行安全保護(hù)應(yīng)采取的安全技術(shù)和安全管理措施這一目標(biāo)開展的，并且具體落實(shí)到各個(gè)單位和部門的所有信息系統(tǒng)的建設(shè)和運(yùn)行控制的全過程?？v觀人類社會(huì)活動(dòng)的各個(gè)環(huán)節(jié)，無不存在著按等級管理的情況。安全系統(tǒng)等級與安全技術(shù)等級和安全管理等級既相互關(guān)聯(lián)又各有其不同的含義；6)3SSL其次在安全控制測評的基礎(chǔ)上，重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用，最后才能得出測評結(jié)論。示。測評準(zhǔn)備工作是否充分直接關(guān)系到現(xiàn)場測評工作能否順利開展。三、 測試（test）測評人員通過對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的行為等活動(dòng)，查看、分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法。某些安全控制可能在多個(gè)具體測評對象上實(shí)現(xiàn)（如主機(jī)系統(tǒng)的身份鑒別），在測評時(shí)發(fā)現(xiàn)只有部分測評對象上的安全控制滿足要求，它們的結(jié)果判定應(yīng)根據(jù)實(shí)際情況給出。測評對象是測評實(shí)施過程中涉及到的信息系統(tǒng)的構(gòu)成成分，是客觀存在的人員、文檔、機(jī)制或者設(shè)備等。等級測評工作單元工作單元是安全測評的基本工作單位，對應(yīng)一組相對獨(dú)立和完整的測評內(nèi)容。區(qū)域間物理安全網(wǎng)絡(luò)安全主機(jī)安全管理機(jī)構(gòu)安全管理制度不同信息系統(tǒng)之間整體安全性安全技術(shù)測評包括：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上的安全控制測評；安全管理測評包括：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測評。數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)等級測試1l影響社會(huì)成員使用公共設(shè)施；n社會(huì)秩序n國家安全n定級要素分析通過針對定級對象分別進(jìn)行業(yè)務(wù)信息安全分析和系統(tǒng)服務(wù)安全分析，最終確定信息系統(tǒng)安全等級保護(hù)系統(tǒng)等級。三、 承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨(dú)立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨(dú)享所有信息處理設(shè)備。調(diào)查方法信息系統(tǒng)調(diào)查的實(shí)施包括信息收集、訪談和核查三個(gè)步驟。系統(tǒng)資產(chǎn)調(diào)查表用于調(diào)查信息系統(tǒng)的基本情況，主要包括主機(jī)、網(wǎng)絡(luò)設(shè)備、人員、人員、服務(wù)等信息。11…… 運(yùn)行環(huán)境分析 網(wǎng)絡(luò)拓?fù)湔{(diào)查信息安全等級保護(hù)操作流程1涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。 管理機(jī)構(gòu)分析 確定等級 協(xié)助定級備案圖l這樣，可以保證信息系統(tǒng)安全建設(shè)能夠突出重點(diǎn)、兼顧一般。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。ll公共利益n確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定信息和信息系統(tǒng)受到破壞時(shí)所侵害的客體。一般損害工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財(cái)產(chǎn)損失，有限的社會(huì)不良影響，對其他組織和個(gè)人造成較低損害。確定定級對象的安全保護(hù)等級在確定完成受侵害客體以及對客體的侵害程度后，依據(jù)表2操作系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)工作單元分為安全技術(shù)測評和安全管理測評兩大類。層面間等級測評基本內(nèi)容測評方式是指測評人員依據(jù)測評目的和測評內(nèi)容應(yīng)選取的、實(shí)施特定測評操作的方式方法，包括三種基本測評方式：訪談、檢查和測試。一般來說，單項(xiàng)測評實(shí)施過程的結(jié)論判定不是直接的，常常需要測評人員的主觀判斷，通常認(rèn)為取得正確的、關(guān)鍵性證據(jù)，該單項(xiàng)測評實(shí)施過程就得到滿足。可以使用各種檢查表和相應(yīng)的安全調(diào)查工具實(shí)施檢查。等級測評工作流程一、 測評準(zhǔn)備階段本階段是開展現(xiàn)場測評工作的前提和基礎(chǔ)，是整個(gè)等級測評過程有效性的保證。3首先測評人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合標(biāo)準(zhǔn)要求，確定系統(tǒng)整體測評的具體內(nèi)容。加密設(shè)置，容易導(dǎo)致數(shù)據(jù)被嗅探和非法篡改，但核心系統(tǒng)采用例如，某金融機(jī)構(gòu)，它的網(wǎng)絡(luò)核心設(shè)備對內(nèi)部的訪問控制存在不足，安全風(fēng)險(xiǎn)主要來自內(nèi)部人員的誤用、濫用和惡用，但是它的教育、管理和考核制度都比較完善，對內(nèi)部員工要求也比較嚴(yán)格，所以在一定程度上降低了這種來自內(nèi)部的風(fēng)險(xiǎn)，對網(wǎng)絡(luò)訪問控制進(jìn)行了相應(yīng)的補(bǔ)充和增強(qiáng)。小時(shí)專人值守等措施，可以解決核心數(shù)據(jù)機(jī)房區(qū)域上的物理訪問控制等相應(yīng)措施的安全功能，使其達(dá)到該區(qū)域物理安全所要求的安全保護(hù)強(qiáng)度。風(fēng)險(xiǎn)等級、需求等級、安全保護(hù)等級、安全技術(shù)等級和安全管理等級是信息系統(tǒng)安全等級保護(hù)對等級劃分的全面反映；5)其實(shí)，等級化管理是人類社會(huì)普遍采用的管理方法。這一基本認(rèn)識(shí)表明：信息安全是指信息系統(tǒng)和信息系統(tǒng)中存儲(chǔ)、傳輸和處理的數(shù)據(jù)信息的安全。這一基本認(rèn)識(shí)表明：安全技術(shù)等級和安全管理等級與系統(tǒng)安全等級有著十分密切的關(guān)系但兩者并不是等同的關(guān)系。至于劃分為幾個(gè)等級和每個(gè)安全等級之間的差異，完全是人為確定的。對信息安全等級保護(hù)的管理分為“宏觀管理”和“微觀管理”。實(shí)踐證明，在我國信息系統(tǒng)建設(shè)階段，單位領(lǐng)導(dǎo)的重視與支持對單位的信息系統(tǒng)建設(shè)和發(fā)展的重要性已經(jīng)成為不爭的事實(shí)。在進(jìn)行等級化的信息系統(tǒng)安全設(shè)計(jì)時(shí)，首先采用風(fēng)險(xiǎn)分析的方法確定安全風(fēng)險(xiǎn)程度（等級）和安全需求，然后將這些安全需求轉(zhuǎn)化為相應(yīng)的安全要求，再根據(jù)這些安全要求，確定對應(yīng)的安全技術(shù)和安全管理措施。C C各類數(shù)據(jù)信息的流動(dòng)范圍就是該類數(shù)據(jù)信息實(shí)施安全保護(hù)的范圍。“安全的一致性原理是等級化信息系統(tǒng)安全設(shè)計(jì)的重要思想”，這一基本方法表明：設(shè)計(jì)一個(gè)安全的信息系統(tǒng)，需要采用具有相對一致安全性的安全措施，包括：各個(gè)安全技術(shù)要素之間的相對一致性，安全功能與安全保證的一致性，以及安全管理與安全技術(shù)的一致