【正文】 LSSL安全功能上的削弱會使一個安全控制的引入影響另一個安全控制的功能發(fā)揮或者給其帶來新的脆弱性。安全控制間安全測評安全控制間的安全測評主要考慮同一區(qū)域內(nèi)、同一層面上的不同安全控制間存在的功能增強、補充或削弱等關聯(lián)作用。其次在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用，最后才能得出測評結(jié)論。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很困難的。等級測評基本流程圖示。等級測評基本流程如圖三、 分析與報告編制階段該階段是等級測評工作的最后環(huán)節(jié)，是對被測方系統(tǒng)整體安全保護能力的綜合評價過程。二、 現(xiàn)場實施階段本階段是開展等級測評工作的關鍵階段。測評準備工作是否充分直接關系到現(xiàn)場測評工作能否順利開展。系統(tǒng)漏洞掃描：要是利用掃描工具對系統(tǒng)進行自動檢查，根據(jù)漏洞庫的描述對系統(tǒng)進行模擬攻擊測試，如果系統(tǒng)被成功入侵，說明存在漏洞。滲透性測試：等級測評的一個重要內(nèi)容是對測試目標進行脆弱性分析，探知產(chǎn)品或系統(tǒng)安全脆弱性的存在，其主要目的是確定測試目標能夠抵抗具有不同等級攻擊潛能的攻擊者發(fā)起的滲透性攻擊。三、 測試（test）測評人員通過對測評對象按照預定的方法/工具使其產(chǎn)生特定的行為等活動，查看、分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。二、 檢查（examine）不同于行政執(zhí)法意義上的監(jiān)督檢查，而是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。interview）測評人員通過與信息系統(tǒng)相關人員（個人/群體）進行交流、討論等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。測評方法主要采用訪談、檢查、測試等方法進行等級保護測評。某些安全控制可能在多個具體測評對象上實現(xiàn)（如主機系統(tǒng)的身份鑒別），在測評時發(fā)現(xiàn)只有部分測評對象上的安全控制滿足要求，它們的結(jié)果判定應根據(jù)實際情況給出。在給出整個工作單元的測評結(jié)論前，需要先給出單項測評實施過程的結(jié)論。測評實施描述測評過程中涉及到的具體測評方式、內(nèi)容以及需要實現(xiàn)的和/或應該取得的測評結(jié)果。一般來說，實施測評時，面臨的具體測評對象可以是單個人員、文檔、機制或者設備等，也可能是由多個人員、文檔、機制或者設備等構(gòu)成的集合，它們分別需要使用到某個特定安全控制的功能。測評對象是測評實施過程中涉及到的信息系統(tǒng)的構(gòu)成成分，是客觀存在的人員、文檔、機制或者設備等。工作單元構(gòu)成測評項描述測評目的和測評內(nèi)容，與信息安全等級保護要求的基本安全控制要求相一致。圖2等級測評工作單元工作單元是安全測評的基本工作單位，對應一組相對獨立和完整的測評內(nèi)容。1區(qū)域間物理安全網(wǎng)絡安全主機安全管理機構(gòu)安全管理制度不同信息系統(tǒng)之間整體安全性信息系統(tǒng)等級測評安全控制測評 系統(tǒng)整體測評安全技術測評 安全管理測評安全控制間1因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很困難的。安全技術測評包括：物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個層面上的安全控制測評；安全管理測評包括：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評。對安全控制測評的描述，使用工作單元方式組織?；緝?nèi)容對信息系統(tǒng)安全等級保護狀況進行測試評估，應包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。終端計算機系統(tǒng)安全等級技術要求》數(shù)據(jù)庫管理系統(tǒng)安全技術要求》《信息安全技術網(wǎng)絡基礎安全技術要求》《信息安全技術依據(jù)標準《計算機信息系統(tǒng)安全保護等級劃分準則》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護定級指南》《電子政務信息安全等級保護實施指南》《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全等級保護測評指南》《信息安全技術等級測評是指具有相關資質(zhì)的、獨立的第三方評測服務機構(gòu)，對信息系統(tǒng)的等級保護落實情況與信息安全等級保護相關標準要求之間的符合程度的測試判定。等級測試協(xié)助定級備案在完成初步定級報告后，協(xié)助信息系統(tǒng)管理使用單位進行評審與審批，并最終確定定級報告，完成信息系統(tǒng)備案工作。編寫定級報告根據(jù)定級過程和定級結(jié)果，編寫初步信息系統(tǒng)定級報告。作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級的較高者決定。1 定級要素與安全保護等級的關系l受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表l不同危害后果的三種危害程度危害程度描述如下：lll由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。l影響社會成員接受公共服務等方面；n影響社會成員使用公共設施；nl影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；n影響各種類型的經(jīng)濟活動秩序；n社會秩序n其他影響國家安全的事項。影響國家重要的安全保衛(wèi)工作；n影響國家統(tǒng)一、民族團結(jié)和社會安定；n國家安全n確定受侵害客體定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權(quán)益。最后，綜合業(yè)務信息安全等級和系統(tǒng)服務安全等級得到信息系統(tǒng)安全等級保護系統(tǒng)等級。定級要素分析通過針對定級對象分別進行業(yè)務信息安全分析和系統(tǒng)服務安全分析，最終確定信息系統(tǒng)安全等級保護系統(tǒng)等級。三、 相同的物理位置或相似的運行環(huán)境信息系統(tǒng)內(nèi)的各業(yè)務子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護。為體現(xiàn)重點保護重要信息系統(tǒng)安全，有效控制信息安全建設成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統(tǒng)的劃分時應考慮以