再问，以下两个概念有什么区别？

phrack · 发表于 2003-2-27 10:08

你举个例子讨论一下。

coolgxg · 发表于 2003-2-27 10:18

不好举阿，就假设你现在要到一家大型跨国集团作安全规划，目前的任务是你要对全企业的信息数据资产分类，你会依据或采用一个什么样的标准来作了？虽然信息的保密级别是一个动态的属性，但是初始分类总应该依据一个标准吧来进行分类把，不至于由于是个动态的属性就导致无法进行下去吧，当然在这个过程中可以根据各种各样的情况来修改该属性。

phrack · 发表于 2003-2-27 10:59

这确实是一个大问题，也是信息系统安全的基础工作，没办法用简单的方式解释清楚。我想，不同的企业信息资产的构成是不同的，规模也不一样。有一些企业如金融机构对信息安全还有一些特殊要求，所以不能一概而论，也没有放之四海皆准的统一标准。如果继续这样讨论下去，就偏离了这个主题，我们还是举一个抽象的例子看一下Age和Useful Life对信息分级的影响。

现在有信息甲，信息甲所具有的价值为V，信息甲按照相关规定在日期A之后其密级应该根据相关规定更改为P，信息甲在发生事件U后其密级应该根据相关规定更改为P，信息甲不涉及个人隐私的问题。

现在根据信息甲的价值V将其密级定为C，如果目前的时间在日期A之后，根据日期A触发的规程更改信息甲的密级为P；否则仍然为C。接着，如果已经发生了事件U，根据事件U触发的规程更改信息甲的密级为P；否则仍然为C。由于信息甲不涉及个人隐私不影响其密级。

以上的例子看起来有点儿可笑，实际过程也没有看起来那么简单；但是可以说明动态的密级在某一时刻是具有固定值的，不会导致无法确定的后果。

我认为，信息分级和分类的难点不在于本主题讨论的这两个属性，而在于有的情况下信息的价值难以确定，以及同样密级不同类型的信息之间需要进行隔离的问题。

coolgxg · 发表于 2003-2-27 11:31

分析的好~~~受益匪浅~

coolgxg · 发表于 2003-2-27 11:33

对，没有放之四海皆准的统一标准，但是应该有抽象的统一的分类标准吧，比如：
Classification Criteria
Several criteria are used to determine the classification of an information object.
Value. Value is the number one commonly used criteria for classifying data in the
private sector. If the information is valuable to an organization or its competitors, it
needs to be classified.
Age. The classification of the information may be lowered if the information’s value
decreases over time. In the Department of Defense, some classified documents are
automatically declassified after a predetermined time period has passed.
Useful Life. If the information has been made obsolete due to new information,
substantial changes in the company, or other reasons, the information can often be
declassified.
Personal Association. If information is personally associated with specific individuals
or is addressed by a privacy law, it may need to be classified. For example,
investigative information that reveals informant names may need to remain classified.
当然，针对不同的企业或组织机构都必须进行相应的修改和增删等

mingsir · 发表于 2003-3-13 21:33

再问，以下两个概念有什么区别？

希望经常有这样的辩论

浏览过的版块