信息系統安全的概念

信息系統安全是指保障計算機及其相關設備、設施(含網絡)的安全，運行環境的安全， 信息的安全，實現信息系統的正常運行。
信息系統安全包括實體安全、運行安全、信息安全和 人員安全等幾個部分。

影響信息系統安全的因素

產生故意威脅的因素

產生故意威脅的因素主要分為以下5類。
(1)盜取。包括盜取數據，盜取主機使用時間，以及盜取設備或程序。
(2)操縱。操縱數據的處置、輸入、處理、傳輸和編排，以及各種信息系統濫用行為或 欺詐。
(3)破壞。包括罷工、騷亂或破壞，故意破壞信息系統資源，使用病毒或類似攻擊進行破壞。
(4)依賴。對硬軟件、核心技術的嚴重依賴，也會導致網絡安全比較脆弱。受信息技術限 制，很多組織直接引進國外的信息技術設備，且對引進的硬軟件無法進行技術改造，給他人入 侵系統或監聽信息等非法操作提供了可乘之機；我國網絡系統的核心技術嚴重依賴國外，這使 我國的網絡安全性能大大減弱，網絡安全處于極其脆弱的狀態。
(5)恐怖襲擊。恐怖襲擊事件能嚴重毀壞信息系統的基礎網絡、軟件系統，導致關鍵業務 中斷，發生在紐約的“911”事件就造成了這樣的后果。

產生非故意威脅的因素

產生非故意威脅的因素主要分為以下3類。
(1)人為錯誤。在硬件或信息系統的設計過程中均可能出現人為錯誤，在編程、測試、數 據收集、數據輸入、授權及數據處理與輸出過程中也可能發生人為錯誤。在許多組織的信息系 統中，與安全性相關的問題大部分都是因人為錯誤產生的。
(2)環境災害。包括地震、嚴重的風(如颶風、暴雪、風沙、閃電、龍卷風等)、洪水、 電力故障、強烈振蕩、火災、空調故障、爆炸、輻射、制冷系統故障等。在發生火災時，除燃 燒本身會給計算機帶來損害外，煙、熱及水都會損害計算機資源。這些災害可能會導致計算機 運行中斷。
(3)信息系統故障。信息系統故障可能因制造問題或材料缺陷引起，非故意性功能故障也 可能因其他原因引起，如缺乏經驗或測試不當等。

信息系統安全等級保護標準體系

信息系統安全等級保護標準體系由等級保護工作過程中所需的所有標準組成，整個標準體 系可以從多個角度分析。從基本分類角度看，可以分為基礎類標準、技術類標準和管理類標準； 從對象角度看，可以分為基礎標準、系統標準、產品標準、安全服務標準和安全事件標準等； 從等級保護生命周期看，可以分為通用/基礎標準、系統定級用標準、安全建設用標準、等級測 評用標準和運行維護用標準等。

信息系統安全保護等級

信息系統安全保護等級及定級要素

信息系統的安全保護等級分為以下5級。
第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損 害國家安全、社會秩序和公共利益。
第二級，信息系統受到破壞后，會對公民、法人或其他組織的合法權益造成嚴重損害，或 者對社會秩序和公共利益造成損害，但不損害國家安全。
第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全 造成損害。
第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家 安全造成嚴重損害。
第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

定級方法

確定信息系統安全保護等級的一般流程如下。
(1)確定作為定級對象的信息系統。
(2)確定業務信息安全受到破壞時所侵害的客體。
(3)根據不同的受侵害客體，從多個方面綜合評定業務信息安全被破壞對客體的侵害程度。 (4)依據表6-2,得到業務信息安全保護等級。
(5)確定系統服務安全受到破壞時所侵害的客體。
(6)根據不同的受侵害客體，從多個方面綜合評價系統服務安全被破壞對客體的侵害程度。
(7)依據表6-3,得到系統服務安全保護等級。
(8)將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保 護等級。

重要：

確定等級一般流程：