（交通运输部职业资格中心 北京 100029）

1 引言

近年来，信息系统安全已经成为人们关注的焦点问题之一，专家、学者就这个问题进行了一系列的研究，其中提出的等级保护制度为信息系统安全如何进行指明了方向，这个制度的核心思想包括合理利用资源、保护重点[1]，将信息系统分为不同的等级，依据相关的标准建设系统，落实管理和监督工作。在整个信息系统的生命周期中，等级保护是持续循环的重复性过程，但是不同等级系统也会对等级保护提出不同的要求，信息系统的建设者或运作者对这个问题都显示出特别的关注度。因此，信息系统应该在哪几方面有安全保护的能力，不同的安全保护能力都有什么差别，如何通过安全框架对各种安全保护程度予以划分是文章的研究内容[2]。

2 保护能力分级

2.1 业务信息和系统服务

信息系统的价值主要体现在经济和社会两个方面，笔者将其安全分成五个等级，信息系统遭到破坏后必然会带来负面的影响，按影响程度划分为五个等级，构成系统的软件、硬件的经济价值并未受到影响，它是由系统包含的业务信息以及实现的社会功能所决定的[3]。

信息系统的经济价值和其包含的组件有关，其社会价值和其应用成效有关，应用成效是通过信息系统包含的信息以及提供的服务呈现出来的。信息系统的社会价值决定了该其重要性、安全性的高低，能够可靠的提供信息以及服务，证明信息系统是充分可靠的。对于信息系统而言，其安全等级和其提供的信息和服务的可靠性直接相关。准确地说，系统服务越安全，其安全等级就越高[4]。

2.2 保护能力分级

从客观角度分析，信息系统的安全隐患是无法消除的，若不能采取有效的应对措施，这些隐患就有可能导致安全事件，进而引发严重的后果[5]。保护措施的应用，能够强化信息系统的安全保护能力，防止安全隐患演变为安全事件，或者是将已经发生的安全事件的负面影响控制在更低范围内[6]。

对于信息系统而言，其安全等级和系统的重要程度直接相关。从第一级到第五级，系统的重要性不断提高，此时存在的安全隐患并非总是相同的，也就是说即便是等级相同的两个系统，其存在的安全隐患或许是有差异的，不过此时的两个系统所具备的对安全隐患的抵抗能力是相当的，即二者具备和和重要性等级相适应的安全保护能力[7]。

3 保护能力构成框架

这一框架为信息系统具备等级保护安全保护能力的构成提供了概念框架[8，10]。首先，这一框架直接呈现出信息系统安全等级保护基本要求的保护能力构成；其次，它为工作人员进行系统安全等级保护提供了有力的依据，从而确保安全目的的顺利达成，实现安全保护的预期效果，使信息系统具备抵抗安全隐患的能力[11]。

要确保业务信息和系统服务具备足够的安全保护能力，可以从两个分方面着手：其一为技术方面，它的表现形式是技术保护过程的分类，以动态保护过程为依据分为三类，即防护、检测、恢复响应，分别对应业务信息安全以及系统服务安全的防护能力、检测能力以及恢复响应能力。其二为管理，科学、有效的管理能够为信息系统的安全提供有力的保障，从安全管理策略的角度来看，它包括了制度类、组织人员类、安全工程类和安全运行类四种类型，它能够让人们了解信息系统的安全管理要素，以及信息系统在运行过程中进行的各项安全管理活动。所以，安全管理主要能够反映出信息系统的制度规范化保证能力、组织人员保证能力、安全工程保证能力和安全运行保证能力。

4 不同级别保护能力在构成框架下的体现

我们知道，信息系统的重要程度和安全等级直接相关，各种安全等级的信息系统会和对应的等级威胁产生相应的对抗，通过这一过程，使安全保护能力能够达到要求。从一级到五级，信息系统的重要程度不断地提高，其所需对抗的威胁程度也随之加强。因此，安全保护能力等级的需求也会不断提高。各级信息系统安全保护能力，主要表现为措施层的安全保护能力，级别越高，安全保护水平越高。

5 结论

本文着眼于信息系统社会价值，阐述以业务信息安全和系统服务安全为依据来区分信息系统安全等级。然后，揭示出信息系统安全等级和威胁、保护能力彼此间的关联，明确了不同安全等级需要什么级别的安全保护能力。最后，对信息系统安全保护能力的形成、各个等级安全保护能力的表现予以说明，在一定程度上使资源得到节约，也为信息系统安全等级的保护和升级提供了思路。但应明确指出的是，虽然本文就信息系统安全保护进行了简单的理论研究，但在定量表征和其与威胁彼此间的关系还需进行进一步的研究。