作者： 网路游侠

　　等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。如何对信息系统实行分等级保护一直是社会各方关注的热点。美国，作为一直走在信息安全研究前列的大国，近几年来在计算机信息系统安全方面，突出体现了系统分类分级实施保护的发展思路，并根据有关的技术标准、指南，对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式，并形成了体系化的标准和指南性文件。
　　一、美国信息系统分级的思路
　　从目前的资料上看，美国在计算机信息系统的分级存在多样性，但基本的思路是一致的，只不过分级的方法不同而已，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：
...

　　一、 前言
　　风险评估的极端重要性已经越来越被用户认同。在2000－2001年，大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试；在2001－2002年，多数用户的安全评估需求已经侧重于整个管理体系的评估和对特定应用系统的评估；从2002年开始，许多行业用户对全面风险评估提出了要求。
　　二、 标准与理论
　　我们在风险评估实践中，主要参考了BS 7799（ISO/IEC 17799）、ISO/IEC 15408-1999（等同GB/T 18336-2001）、ISO/IEC 13335、SSE-CMM等标准。另外，我们也参考了GB 17859-1999《计算机信息系统安全保护等级划分准则》、中国信息安全产品测评认证中心《信息系统安全保障等级评估准则》、公安部《信息系统安全等级保护评估指南》、GB9361-88《计算机场地安全要求》，以及CAV公共漏洞和暴露标准、CRAMM/OCTAVE/ …等标准和法规。
...

　　涉密计算机的使用单位需配置中间机和中间盘。中间机和中间盘由单位安全保密管理员负责管理。中间机就是从非涉密计算机向涉密计算机单向导入非涉密信息的一台专用计算机。中间盘指用于中间机向涉密计算机传递非涉密信息的专用U盘。中间机和中间盘都不得处理任何形式的涉密信息。
　　一、中间机不能做与其用途无关的其它任何工作。中间机责任人记录好每次拷贝的信息（时间、人员、内容等）。
　　二、中间机须配备中间盘。
　　三、通过中间机传递非涉密信息的具体步骤如下：
　　　　1.用普通U盘将外部计算机上的非涉密内容（如病毒库等）拷贝到中间机，并填写中间机工作记录本；
　　　　2.将普通U盘格式化后退出；
　　　　3.将需导入涉密计算机的非涉密内容在中间机上进行查杀病毒、木马程序等处理；
　　　　4.将处理过的内容通过中间盘或刻录光盘拷贝至指定涉密计算机中；
　　　　5.中间盘使用完毕后，各单位中间机责任人负责将中间盘清空并妥善保存。中间盘不能格式化。
　　　　6.上述过程不能逆向操作，决不可通过上述方式传递涉密信息。
　　四、中间计算机使用流程简图：

为配合《涉及国家秘密的信息系统审批管理规定》(国保发[2007]18号)和《涉及国家秘密的信息系统分级保护技术要求》(国保发[2006]17号)等政策法规的实施以及保密部门对涉密网络的保密检查，国家保密技术研究所和北京万里红科技有限公司联合研制了“涉密计算机信息系统保密检查工具”（网络版）（以下简称“检查工具”）。检查工具有利地配合了保密法规的实施，解决了机关保密部门针对计算机信息系统