【正文】 體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個(gè)性。工作單元由測(cè)評(píng)項(xiàng)、測(cè)評(píng)對(duì)象、測(cè)評(píng)方式、測(cè)評(píng)實(shí)施和結(jié)果判定組成，如圖本階段的主要工作是掌握被測(cè)方系統(tǒng)的詳細(xì)情況和為實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)做好方案、文檔及測(cè)試工具等方面的準(zhǔn)備。區(qū)域間安全測(cè)評(píng)區(qū)域間的安全測(cè)評(píng)主要考慮互連互通（包括物理上和邏輯上的互連互通等）的不同區(qū)域之間存在的安全功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用，特別是有數(shù)據(jù)交換的兩個(gè)不同區(qū)域。安全管理是信息安全的生命線?！帮L(fēng)險(xiǎn)等級(jí)、需求等級(jí)、安全保護(hù)等級(jí)、安全技術(shù)和安全管理等級(jí)是信息系統(tǒng)安全等級(jí)保護(hù)對(duì)等級(jí)劃分的全面反映”這一基本認(rèn)識(shí)表明：圍繞信息系統(tǒng)的安全等級(jí)保護(hù)，需要對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)、安全需求、安全保護(hù)、安全技術(shù)和安全管理等各個(gè)階段和層面進(jìn)行等級(jí)劃分。這就是我們當(dāng)前所制定的一系列安全技術(shù)和安全管理標(biāo)準(zhǔn)等級(jí)劃分的基礎(chǔ)和依據(jù)。通過(guò)風(fēng)險(xiǎn)分析確定安全風(fēng)險(xiǎn)等級(jí)，威脅針對(duì)脆弱性和資產(chǎn)所產(chǎn)生的后果是，在脆弱性和資產(chǎn)確定的情況下，安全風(fēng)險(xiǎn)隨威脅的增加而增加；在威脅確定的情況下，安全風(fēng)險(xiǎn)隨資產(chǎn)和/或脆弱性的增加而增加；安全需求等級(jí)由安全風(fēng)險(xiǎn)等級(jí)產(chǎn)生，安全目標(biāo)等級(jí)由安全需求等級(jí)確定，安全目標(biāo)等級(jí)通過(guò)選擇相應(yīng)安全等級(jí)的安全措施（安全技術(shù)措施和安全管理措施）來(lái)實(shí)現(xiàn)；安全措施通過(guò)對(duì)抗威脅、保護(hù)資產(chǎn)和降低脆弱性來(lái)減少安全風(fēng)險(xiǎn)，使剩余風(fēng)險(xiǎn)降低到可接受的范圍，從而達(dá)到對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的目標(biāo)。及其相關(guān)的一系列信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)就是按照這種一致性要求制定的?？磥?lái)，數(shù)據(jù)信息成為安全域劃分的關(guān)鍵因素。NIST技術(shù)是手段，管理是前提和保證目標(biāo)只有一個(gè)，那就是信息安全。到目前為止，所制定的一系列與信息安全等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)，其等級(jí)的劃分都是以安全要素為單位進(jìn)行劃分的。從我國(guó)當(dāng)前的實(shí)際情況出發(fā)，采用分等級(jí)保護(hù)的方法實(shí)現(xiàn)信息安全，無(wú)疑是適用于我國(guó)當(dāng)前實(shí)際的一種有效的信息安全管理方法。對(duì)信息安全劃分等級(jí)是管理的需要；3)安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同層面上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級(jí)安全控制在特定環(huán)境中達(dá)到高等級(jí)信息系統(tǒng)的安全要求。系統(tǒng)整體測(cè)評(píng)系統(tǒng)整體測(cè)評(píng)涉及到信息系統(tǒng)的整體拓?fù)洹⒕植拷Y(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個(gè)性。主要分為網(wǎng)絡(luò)漏洞掃描和主機(jī)漏洞掃描等方式。結(jié)果判定描述測(cè)評(píng)人員執(zhí)行完測(cè)評(píng)實(shí)施過(guò)程，產(chǎn)生各種測(cè)評(píng)證據(jù)后，如何依據(jù)這些測(cè)評(píng)證據(jù)來(lái)判定被測(cè)系統(tǒng)是否滿足測(cè)評(píng)項(xiàng)要求的方法和原則。整體結(jié)構(gòu)安全整體拓?fù)?局部結(jié)構(gòu)系統(tǒng)人員安全管理應(yīng)用安全數(shù)據(jù)安全安全系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖其中，安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全，則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判斷侵害程度的基準(zhǔn)。其他影響社會(huì)秩序的事項(xiàng)。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。l 物理位置分析（四）涉及國(guó)家秘密的信息系統(tǒng)（以下簡(jiǎn)稱“涉密信息系統(tǒng)”）。號(hào)文件）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字【2004】66號(hào)文件）《電子政務(wù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（試行）》（國(guó)信辦【2005】25 ……信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過(guò)一系列的信息系統(tǒng)情況調(diào)查表對(duì)信息系統(tǒng)基本情況進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用、服務(wù)范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫(xiě)工作，同時(shí)收集信息系統(tǒng)所涉及的一系列l(wèi)影響國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定；n影響社會(huì)成員接受公共服務(wù)等方面；n受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)表等級(jí)測(cè)評(píng)是指具有相關(guān)資質(zhì)的、獨(dú)立的第三方評(píng)測(cè)服務(wù)機(jī)構(gòu)，對(duì)信息系統(tǒng)的等級(jí)保護(hù)落實(shí)情況與信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測(cè)試判定。因此，全面地給出系統(tǒng)整體測(cè)評(píng)要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。2測(cè)評(píng)方法主要采用訪談、檢查、測(cè)試等方法進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。二、 現(xiàn)場(chǎng)實(shí)施階段本階段是開(kāi)展等級(jí)測(cè)評(píng)工作的關(guān)鍵階段。安全控制間安全測(cè)評(píng)安全控制間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個(gè)不同區(qū)域上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個(gè)低等級(jí)安全控制在特定環(huán)境中達(dá)到高等級(jí)信息系統(tǒng)的安全要求。整體看，“信息安全等級(jí)保護(hù)”是制度；分開(kāi)看，“信息安全是目的，等級(jí)保護(hù)是方法”，這一基本認(rèn)識(shí)明確定位了信息安全等級(jí)保護(hù)的重要位置以及信息安全與等級(jí)保護(hù)之間的關(guān)系。信息系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)是根據(jù)對(duì)目標(biāo)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析所確定的風(fēng)險(xiǎn)度的表示，66對(duì)一個(gè)具體的信息系統(tǒng)，在選擇采用何種等級(jí)的安全技術(shù)和安全管理措施時(shí)，需要考慮目標(biāo)信息系統(tǒng)所處的環(huán)境和條件對(duì)安全性要求的影響，而并非簡(jiǎn)單的按對(duì)應(yīng)等級(jí)進(jìn)行選擇。正確實(shí)施信息安全等級(jí)保護(hù)正確實(shí)施信息安全等級(jí)保護(hù)需要采用以下基本方法：1)“構(gòu)建等級(jí)化的信息安全保障體系是實(shí)施信息安全等級(jí)保護(hù)的正確途徑”，這一基本方法表明：對(duì)信息系統(tǒng)實(shí)施安全等級(jí)保護(hù)，需要根據(jù)其承載的各個(gè)業(yè)務(wù)應(yīng)用的不同安全需求確定不同的安全保護(hù)等級(jí)，從而構(gòu)成等級(jí)化的信息系統(tǒng)安全保障體系。其中的安全等級(jí)劃分已經(jīng)充分考慮到這些一致性要求。這一切都需要根據(jù)數(shù)據(jù)信息的安全保護(hù)要求及其流動(dòng)的范圍確定?？梢詭椭覀兝斫膺@一觀點(diǎn)的一個(gè)例子是，美國(guó)的總之，在信息安全系統(tǒng)生周期的每一個(gè)環(huán)節(jié)，沒(méi)有嚴(yán)格的符合要求的管理，安全技術(shù)的作用就會(huì)打折扣，甚至成為攻擊的弱點(diǎn)和漏洞。由于信息系統(tǒng)所處環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級(jí)劃分難以制定出明確的標(biāo)準(zhǔn)，而技術(shù)和管理的安全等級(jí)完全可以根據(jù)其所實(shí)現(xiàn)的安全功能和所采取的安全保證措施制定出明確的劃分標(biāo)準(zhǔn)。等無(wú)不以分等級(jí)的