第2章 信息系統等級保護的意義及發展

2.1 信息安全等級保護概述

2.1.1 信息安全等級保護的概念

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護[1]，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置[1]。

信息系統：由計算機硬件設備（包括服務器設備、客戶端設備、打印機及存儲器等外圍設備）、計算機網絡硬件設備（包括交換機、路由器、各種適配器以及通信線路等）、安裝于這些硬件設備上的軟件、所提供的服務以及相關的人員構成。

定級對象：指需要定級的信息系統，如果信息系統只承載一項業務，可以直接為該信息系統確定等級，不必劃分業務子系統；如果信息系統承載多項業務，應根據各項業務的性質和特點，將信息系統分成若干業務子系統，分別為各業務子系統確定安全保護等級，信息系統的安全保護等級由各業務子系統的最高等級決定。信息系統是進行等級確定和等級保護管理的最終對象[2]。

業務子系統：按照信息系統所承載的業務，對信息系統進行劃分所形成的子系統。業務子系統是信息系統中可以為定級要素賦值的最小單元[3]，業務子系統應具有信息系統的全部特點，應該是由計算機硬件、計算機網絡硬件以及安裝于這些硬件上的軟件、提供的服務以及相關人員構成的一個有形實體，并且承載確定的業務。

業務信息（Business Information）：為完成業務工作而通過信息系統進行采集、加工、存儲、傳輸、檢索和使用的各種信息。

業務信息安全性（Security of Business Information）：保證業務信息機密性、完整性和可用性程度的表征。

業務服務保證性（Assurance of Business Service）：保證信息系統完成業務使命程度的表征。業務使命可能因信息系統無法提供服務或無法提供有效服務而不能完成或不能按照要求的目標完成。

CIA特性：系統信息的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的簡稱。

Wiki：是指一種網上共同協作的超文本系統，可由多人共同對網站內容進行維護和更新。

2.1.2 傳統的安全保障體系與等級保護安全體系的區別

在傳統的安全保障體系設計中，重點強調安全保障的深度及安全保障過程的完整[4]，而沒有考慮到保護對象對安全措施的差異性需求，重要信息系統和一般信息系統在安全保障上一般無法區別實現。隨著信息安全的建設發展、安全需求的不斷變化和深入，保護對象的差異性安全需求日益突出。因此，將保護對象的重要程度納入安全保障體系設計，通過定義信息系統的安全等級和相應安全措施的等級，構建等級化安全體系，成為完善信息安全保障體系設計的一種有效方法[4]。

信息系統的安全保護等級是信息系統的客觀屬性，不以已采取或將采取什么安全保護措施為依據，也不以風險評估為依據，而是以信息系統及其相關服務遭到破壞后對國家安全、社會秩序、公共利益以及運營商權益的危害程度為依據，確定信息系統的安全等級。