【正文】 體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個性。工作單元由測評項(xiàng)、測評對象、測評方式、測評實(shí)施和結(jié)果判定組成，如圖本階段的主要工作是掌握被測方系統(tǒng)的詳細(xì)情況和為實(shí)施現(xiàn)場測評做好方案、文檔及測試工具等方面的準(zhǔn)備。區(qū)域間安全測評區(qū)域間的安全測評主要考慮互連互通（包括物理上和邏輯上的互連互通等）的不同區(qū)域之間存在的安全功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用，特別是有數(shù)據(jù)交換的兩個不同區(qū)域。安全管理是信息安全的生命線。“風(fēng)險等級、需求等級、安全保護(hù)等級、安全技術(shù)和安全管理等級是信息系統(tǒng)安全等級保護(hù)對等級劃分的全面反映”這一基本認(rèn)識表明：圍繞信息系統(tǒng)的安全等級保護(hù)，需要對信息系統(tǒng)的安全風(fēng)險、安全需求、安全保護(hù)、安全技術(shù)和安全管理等各個階段和層面進(jìn)行等級劃分。這就是我們當(dāng)前所制定的一系列安全技術(shù)和安全管理標(biāo)準(zhǔn)等級劃分的基礎(chǔ)和依據(jù)。通過風(fēng)險分析確定安全風(fēng)險等級，威脅針對脆弱性和資產(chǎn)所產(chǎn)生的后果是，在脆弱性和資產(chǎn)確定的情況下，安全風(fēng)險隨威脅的增加而增加；在威脅確定的情況下，安全風(fēng)險隨資產(chǎn)和/或脆弱性的增加而增加；安全需求等級由安全風(fēng)險等級產(chǎn)生，安全目標(biāo)等級由安全需求等級確定，安全目標(biāo)等級通過選擇相應(yīng)安全等級的安全措施（安全技術(shù)措施和安全管理措施）來實(shí)現(xiàn)；安全措施通過對抗威脅、保護(hù)資產(chǎn)和降低脆弱性來減少安全風(fēng)險，使剩余風(fēng)險降低到可接受的范圍，從而達(dá)到對信息系統(tǒng)進(jìn)行安全保護(hù)的目標(biāo)。及其相關(guān)的一系列信息安全等級保護(hù)標(biāo)準(zhǔn)就是按照這種一致性要求制定的。看來，數(shù)據(jù)信息成為安全域劃分的關(guān)鍵因素。NIST技術(shù)是手段，管理是前提和保證目標(biāo)只有一個，那就是信息安全。到目前為止，所制定的一系列與信息安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)，其等級的劃分都是以安全要素為單位進(jìn)行劃分的。從我國當(dāng)前的實(shí)際情況出發(fā)，采用分等級保護(hù)的方法實(shí)現(xiàn)信息安全，無疑是適用于我國當(dāng)前實(shí)際的一種有效的信息安全管理方法。對信息安全劃分等級是管理的需要；3)安全功能上的增強(qiáng)和補(bǔ)充可以使兩個不同層面上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個低等級安全控制在特定環(huán)境中達(dá)到高等級信息系統(tǒng)的安全要求。系統(tǒng)整體測評系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個性。主要分為網(wǎng)絡(luò)漏洞掃描和主機(jī)漏洞掃描等方式。結(jié)果判定描述測評人員執(zhí)行完測評實(shí)施過程，產(chǎn)生各種測評證據(jù)后，如何依據(jù)這些測評證據(jù)來判定被測系統(tǒng)是否滿足測評項(xiàng)要求的方法和原則。整體結(jié)構(gòu)安全整體拓?fù)?局部結(jié)構(gòu)系統(tǒng)人員安全管理應(yīng)用安全數(shù)據(jù)安全安全系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準(zhǔn)。其他影響社會秩序的事項(xiàng)。如果一個單位的某個下級單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過程的全部安全責(zé)任，則這個下級單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個單位中的不同下級單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級單位共同所屬的單位。l 物理位置分析（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。號文件）《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字【2004】66號文件）《電子政務(wù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南（試行）》（國信辦【2005】25 ……信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過一系列的信息系統(tǒng)情況調(diào)查表對信息系統(tǒng)基本情況進(jìn)行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用、服務(wù)范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫工作，同時收集信息系統(tǒng)所涉及的一系列l(wèi)影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定；n影響社會成員接受公共服務(wù)等方面；n受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表等級測評是指具有相關(guān)資質(zhì)的、獨(dú)立的第三方評測服務(wù)機(jī)構(gòu)，對信息系統(tǒng)的等級保護(hù)落實(shí)情況與信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)要求之間的符合程度的測試判定。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。2測評方法主要采用訪談、檢查、測試等方法進(jìn)行等級保護(hù)測評。二、 現(xiàn)場實(shí)施階段本階段是開展等級測評工作的關(guān)鍵階段。安全控制間安全測評安全控制間的安全測評主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。安全功能上的增強(qiáng)和補(bǔ)充可以使兩個不同區(qū)域上的安全控制發(fā)揮更強(qiáng)的綜合效能，可以使單個低等級安全控制在特定環(huán)境中達(dá)到高等級信息系統(tǒng)的安全要求。整體看，“信息安全等級保護(hù)”是制度；分開看，“信息安全是目的，等級保護(hù)是方法”，這一基本認(rèn)識明確定位了信息安全等級保護(hù)的重要位置以及信息安全與等級保護(hù)之間的關(guān)系。信息系統(tǒng)的安全風(fēng)險等級是根據(jù)對目標(biāo)信息系統(tǒng)進(jìn)行風(fēng)險分析所確定的風(fēng)險度的表示，66對一個具體的信息系統(tǒng)，在選擇采用何種等級的安全技術(shù)和安全管理措施時，需要考慮目標(biāo)信息系統(tǒng)所處的環(huán)境和條件對安全性要求的影響，而并非簡單的按對應(yīng)等級進(jìn)行選擇。正確實(shí)施信息安全等級保護(hù)正確實(shí)施信息安全等級保護(hù)需要采用以下基本方法：1)“構(gòu)建等級化的信息安全保障體系是實(shí)施信息安全等級保護(hù)的正確途徑”，這一基本方法表明：對信息系統(tǒng)實(shí)施安全等級保護(hù)，需要根據(jù)其承載的各個業(yè)務(wù)應(yīng)用的不同安全需求確定不同的安全保護(hù)等級，從而構(gòu)成等級化的信息系統(tǒng)安全保障體系。其中的安全等級劃分已經(jīng)充分考慮到這些一致性要求。這一切都需要根據(jù)數(shù)據(jù)信息的安全保護(hù)要求及其流動的范圍確定?？梢詭椭覀兝斫膺@一觀點(diǎn)的一個例子是，美國的總之，在信息安全系統(tǒng)生周期的每一個環(huán)節(jié)，沒有嚴(yán)格的符合要求的管理，安全技術(shù)的作用就會打折扣，甚至成為攻擊的弱點(diǎn)和漏洞。由于信息系統(tǒng)所處環(huán)境和條件的各不相同，信息系統(tǒng)的安全等級劃分難以制定出明確的標(biāo)準(zhǔn)，而技術(shù)和管理的安全等級完全可以根據(jù)其所實(shí)現(xiàn)的安全功能和所采取的安全保證措施制定出明確的劃分標(biāo)準(zhǔn)。等無不以分等級的