第2章 信息系统等级保护的意义及发展

2.1 信息安全等级保护概述

2.1.1 信息安全等级保护的概念

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护[1]，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置[1]。

信息系统：由计算机硬件设备（包括服务器设备、客户端设备、打印机及存储器等外围设备）、计算机网络硬件设备（包括交换机、路由器、各种适配器以及通信线路等）、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。

定级对象：指需要定级的信息系统，如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统；如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象[2]。

业务子系统：按照信息系统所承载的业务，对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元[3]，业务子系统应具有信息系统的全部特点，应该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体，并且承载确定的业务。

业务信息（Business Information）：为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。

业务信息安全性（Security of Business Information）：保证业务信息机密性、完整性和可用性程度的表征。

业务服务保证性（Assurance of Business Service）：保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。

CIA特性：系统信息的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的简称。

Wiki：是指一种网上共同协作的超文本系统，可由多人共同对网站内容进行维护和更新。

2.1.2 传统的安全保障体系与等级保护安全体系的区别

在传统的安全保障体系设计中，重点强调安全保障的深度及安全保障过程的完整[4]，而没有考虑到保护对象对安全措施的差异性需求，重要信息系统和一般信息系统在安全保障上一般无法区别实现。随着信息安全的建设发展、安全需求的不断变化和深入，保护对象的差异性安全需求日益突出。因此，将保护对象的重要程度纳入安全保障体系设计，通过定义信息系统的安全等级和相应安全措施的等级，构建等级化安全体系，成为完善信息安全保障体系设计的一种有效方法[4]。

信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统及其相关服务遭到破坏后对国家安全、社会秩序、公共利益以及运营商权益的危害程度为依据，确定信息系统的安全等级。