（交通運(yùn)輸部職業(yè)資格中心 北京 100029）

1 引言

近年來，信息系統(tǒng)安全已經(jīng)成為人們關(guān)注的焦點(diǎn)問題之一，專家、學(xué)者就這個(gè)問題進(jìn)行了一系列的研究，其中提出的等級(jí)保護(hù)制度為信息系統(tǒng)安全如何進(jìn)行指明了方向，這個(gè)制度的核心思想包括合理利用資源、保護(hù)重點(diǎn)[1]，將信息系統(tǒng)分為不同的等級(jí)，依據(jù)相關(guān)的標(biāo)準(zhǔn)建設(shè)系統(tǒng)，落實(shí)管理和監(jiān)督工作。在整個(gè)信息系統(tǒng)的生命周期中，等級(jí)保護(hù)是持續(xù)循環(huán)的重復(fù)性過程，但是不同等級(jí)系統(tǒng)也會(huì)對等級(jí)保護(hù)提出不同的要求，信息系統(tǒng)的建設(shè)者或運(yùn)作者對這個(gè)問題都顯示出特別的關(guān)注度。因此，信息系統(tǒng)應(yīng)該在哪幾方面有安全保護(hù)的能力，不同的安全保護(hù)能力都有什么差別，如何通過安全框架對各種安全保護(hù)程度予以劃分是文章的研究內(nèi)容[2]。

2 保護(hù)能力分級(jí)

2.1 業(yè)務(wù)信息和系統(tǒng)服務(wù)

信息系統(tǒng)的價(jià)值主要體現(xiàn)在經(jīng)濟(jì)和社會(huì)兩個(gè)方面，筆者將其安全分成五個(gè)等級(jí)，信息系統(tǒng)遭到破壞后必然會(huì)帶來負(fù)面的影響，按影響程度劃分為五個(gè)等級(jí)，構(gòu)成系統(tǒng)的軟件、硬件的經(jīng)濟(jì)價(jià)值并未受到影響，它是由系統(tǒng)包含的業(yè)務(wù)信息以及實(shí)現(xiàn)的社會(huì)功能所決定的[3]。

信息系統(tǒng)的經(jīng)濟(jì)價(jià)值和其包含的組件有關(guān)，其社會(huì)價(jià)值和其應(yīng)用成效有關(guān)，應(yīng)用成效是通過信息系統(tǒng)包含的信息以及提供的服務(wù)呈現(xiàn)出來的。信息系統(tǒng)的社會(huì)價(jià)值決定了該其重要性、安全性的高低，能夠可靠的提供信息以及服務(wù)，證明信息系統(tǒng)是充分可靠的。對于信息系統(tǒng)而言，其安全等級(jí)和其提供的信息和服務(wù)的可靠性直接相關(guān)。準(zhǔn)確地說，系統(tǒng)服務(wù)越安全，其安全等級(jí)就越高[4]。

2.2 保護(hù)能力分級(jí)

從客觀角度分析，信息系統(tǒng)的安全隱患是無法消除的，若不能采取有效的應(yīng)對措施，這些隱患就有可能導(dǎo)致安全事件，進(jìn)而引發(fā)嚴(yán)重的后果[5]。保護(hù)措施的應(yīng)用，能夠強(qiáng)化信息系統(tǒng)的安全保護(hù)能力，防止安全隱患演變?yōu)榘踩录?，或者是將已?jīng)發(fā)生的安全事件的負(fù)面影響控制在更低范圍內(nèi)[6]。

對于信息系統(tǒng)而言，其安全等級(jí)和系統(tǒng)的重要程度直接相關(guān)。從第一級(jí)到第五級(jí)，系統(tǒng)的重要性不斷提高，此時(shí)存在的安全隱患并非總是相同的，也就是說即便是等級(jí)相同的兩個(gè)系統(tǒng)，其存在的安全隱患或許是有差異的，不過此時(shí)的兩個(gè)系統(tǒng)所具備的對安全隱患的抵抗能力是相當(dāng)?shù)?，即二者具備和和重要性等?jí)相適應(yīng)的安全保護(hù)能力[7]。

3 保護(hù)能力構(gòu)成框架

這一框架為信息系統(tǒng)具備等級(jí)保護(hù)安全保護(hù)能力的構(gòu)成提供了概念框架[8，10]。首先，這一框架直接呈現(xiàn)出信息系統(tǒng)安全等級(jí)保護(hù)基本要求的保護(hù)能力構(gòu)成；其次，它為工作人員進(jìn)行系統(tǒng)安全等級(jí)保護(hù)提供了有力的依據(jù)，從而確保安全目的的順利達(dá)成，實(shí)現(xiàn)安全保護(hù)的預(yù)期效果，使信息系統(tǒng)具備抵抗安全隱患的能力[11]。

要確保業(yè)務(wù)信息和系統(tǒng)服務(wù)具備足夠的安全保護(hù)能力，可以從兩個(gè)分方面著手：其一為技術(shù)方面，它的表現(xiàn)形式是技術(shù)保護(hù)過程的分類，以動(dòng)態(tài)保護(hù)過程為依據(jù)分為三類，即防護(hù)、檢測、恢復(fù)響應(yīng)，分別對應(yīng)業(yè)務(wù)信息安全以及系統(tǒng)服務(wù)安全的防護(hù)能力、檢測能力以及恢復(fù)響應(yīng)能力。其二為管理，科學(xué)、有效的管理能夠?yàn)樾畔⑾到y(tǒng)的安全提供有力的保障，從安全管理策略的角度來看，它包括了制度類、組織人員類、安全工程類和安全運(yùn)行類四種類型，它能夠讓人們了解信息系統(tǒng)的安全管理要素，以及信息系統(tǒng)在運(yùn)行過程中進(jìn)行的各項(xiàng)安全管理活動(dòng)。所以，安全管理主要能夠反映出信息系統(tǒng)的制度規(guī)范化保證能力、組織人員保證能力、安全工程保證能力和安全運(yùn)行保證能力。

4 不同級(jí)別保護(hù)能力在構(gòu)成框架下的體現(xiàn)

我們知道，信息系統(tǒng)的重要程度和安全等級(jí)直接相關(guān)，各種安全等級(jí)的信息系統(tǒng)會(huì)和對應(yīng)的等級(jí)威脅產(chǎn)生相應(yīng)的對抗，通過這一過程，使安全保護(hù)能力能夠達(dá)到要求。從一級(jí)到五級(jí)，信息系統(tǒng)的重要程度不斷地提高，其所需對抗的威脅程度也隨之加強(qiáng)。因此，安全保護(hù)能力等級(jí)的需求也會(huì)不斷提高。各級(jí)信息系統(tǒng)安全保護(hù)能力，主要表現(xiàn)為措施層的安全保護(hù)能力，級(jí)別越高，安全保護(hù)水平越高。

5 結(jié)論

本文著眼于信息系統(tǒng)社會(huì)價(jià)值，闡述以業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全為依據(jù)來區(qū)分信息系統(tǒng)安全等級(jí)。然后，揭示出信息系統(tǒng)安全等級(jí)和威脅、保護(hù)能力彼此間的關(guān)聯(lián)，明確了不同安全等級(jí)需要什么級(jí)別的安全保護(hù)能力。最后，對信息系統(tǒng)安全保護(hù)能力的形成、各個(gè)等級(jí)安全保護(hù)能力的表現(xiàn)予以說明，在一定程度上使資源得到節(jié)約，也為信息系統(tǒng)安全等級(jí)的保護(hù)和升級(jí)提供了思路。但應(yīng)明確指出的是，雖然本文就信息系統(tǒng)安全保護(hù)進(jìn)行了簡單的理論研究，但在定量表征和其與威脅彼此間的關(guān)系還需進(jìn)行進(jìn)一步的研究。