对美国信息系统等级化保护的探讨-SP800、IATF比.docVIP

对美国信息系统等级化保护的探讨 ? ????等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国，作为一直走在信息安全研究前列的大国，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。 ????一、美国信息系统分级的思路????从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：????1. 资产（包括有形资产和无形资产）（使用资产等级作为判断系统等级重要因素的文件如FIPS199，IATF，DITSCAP，NIST800-37等）；????2. 威胁（使用威胁等级作为判断系统等级重要因素的文件如IATF等）；????3. 破坏后对国家、社会公共利益和单位或个人的影响（使用影响等级作为判断系统等级重要因素的文件如FIPS199，IATF等）；????4. 单位业务对信息系统的依赖程度（DITSCAP）； ????根据对上述因素的不同合成方式，分别可以确定：????1.系统强健度等级（IATF）：由信息影响与威胁等级决定；????2