安全从某种意义上讲是一个风险管理的过程，在完成了风险分析过程后，用户应该对自己的信息及其面临的威胁有了较为完整的认识，这种认识应该包括对信息价值和威胁有一种级别上的区分，并最终基于最终级别区分，导出相应强度级别的安全需求。

　　针对不同价值级别的信息和不同等级的威胁，在信息安全实践中，应该提出相应安全强度级别的的安全产品、管理和安全工程过程，只有这样，才能最有效地保障用户业务/任务的安全。

　　信息保障中的强健性战略为开发人员、集成人员、风险管理人员在安全工程方面提供了一个很重要的指导作用：为开发人员和系统集成人员提供一种评估基线，指导他们为特定威胁环境下的特定信息选择适当安全强度级别的安全产品、安全机制、安全管理和安全工程过程。

2．定义

2．1．信息价值级别：

　　为了完成其业务或任务，大多数客户都有其信息（或信息系统）方面的保护需求。信息（或信息系统）的受损会影响到用户机构的安全、保险、金融状况和基础设施。信息价值定义分为五级：

◆l V1：对信息保护策略的违犯造成的负面影响和结果可以忽略；

◆l V2：对信息保护策略的违犯会对机构的安全、保险、金融状况、基础设施造成不良影响和/或小的破坏；

◆l V3：对信息保护策略的违犯会对机构的安全、保险、金融状况、基础设施造成一定的破坏；

◆l V4：对信息保护策略的违犯会严重地破坏机构的安全、保险、金融状况、基础设施；

◆l V5：对信息保护策略的违犯会对机构的安全、保险、金融状况、基础设施造成异常严重的破坏。

2．2．威胁级别：

用户必须和信息系统安全工程师（ISSE）一起来确定业务/任务完成过程中的威胁性环境。在判断特定解决方案针对的威胁时，要考虑：访问级别、风险容许度、专家意见和对手可以得到的资源。

　　下面的威胁级别是从大量安全实践和安全专家的意见中总结得出的（比如安全管理基础设施（SMI）第1工作组在1997年发布的《信息安全威胁和脆弱性模型》）。威胁共定义为七级：

◆l T1：无意的或意外的事件（比如被电源线绊倒）；

◆l T2：被动的、偶然的、占有很少资源并且愿意冒少许风险的对手（比如监听）；

◆l T3：占有少许资源但是愿意冒较大风险的对手（比如不甚熟练的黑客）；

◆l T4：占有中等程度资源的熟练的对手，愿意冒少许的风险（比如有组织的犯罪集团、熟练的黑客、跨国公司）；

◆l T5：占有中等程度资源的熟练的对手，愿意冒较大的风险（比如国际恐怖分子）；

◆l T6：占有丰富程度资源的特别熟练的对手，愿意冒少许的风险（比如受到充分资助的国家实验室、民族国家、跨国公司）；

◆l T7：占有丰富程度资源的特别熟练的对手，愿意冒极大的风险（比如危机时期的民族国家）；

2．3．机制强度级别（SML）

　　在某些情况下，为了提供必要的保护，需要的往往是一组机制。机制强度是对破坏相应机制所需付出的努力（成本）的相对的度量，并不一定与安全对策实施时的成本相关。当所有因素相同时（特别是成本），应该选择高强度的机制。三种SML定义为：

◆l SML1：是基本强度，或者是良好的商业措施。可以抵抗不太复杂的威胁（大致相当于T1到T3威胁级别），能够保护低价值的数据。遇到的威胁举例有：door rattlers、ankle biters（指渴望成为黑客但知识或技术不够的人，一般是指从Internet上收集并使用简单的恶意程序的年轻人）、偶发错误等；

◆l SML2 ：是中等强度。可以抵抗复杂的威胁（大致相当于T4到T5威胁级别），能够保护中等价值的数据。SML2所对抗的典型威胁是有组织的攻击活动（比如黑客组织的攻击）；

◆l SML3 ：是高强度或者高级别。可以抵抗来自国家实验室或民族国家的威胁（大致相当于T6到T7威胁级别），能够保护高价值的数据。一个此类威胁的例子是特别熟练的、有强大资金支持的技术实验室或民族国家的对手。

2．4．安全保证级别（EAL）

　　系统安全解决方案的安全强健性也与安全保证级别有关。

　　安全保证是对安全声明可信度的度量，它使用户确信安全解决方案确实完全反映并执行了用户的信息安全策略。这里列出的安全保证衡量方法是来源于CC。
CC通过实际调查提供安全保证，实际调查是对真实产品或系统进行评估以确定其实际的安全属性。CC中定义了7个安全保证级别。

◆l EAL1 ：功能测试级，适用于在对正确运行要求要求有一定信心的场合，此场合下认为安全威胁并不严重。个人信息保护就是其中一例。

◆l EAL2 ：结构测试级，在交付设计信息和测试结果时，需要开发人员的合作。但在超出良好的商业运作的一致性方面，不要花费过多的精力。

◆l EAL3 ：系统地测试和检查级，在不大量更改已有的合理的开发实践的前提下，允许一位尽责的开发人员在设计阶段从正确的安全工程中获得最大限度的保证。

◆l EAL4 ：系统地设计、测试和复查级，它使开发人员从正确的安全工程中获得最大限度的保证，这种安全工程基于良好的商业开发实践，这种实践虽然很严格，但并不需要大量专业知识、技巧和其他资源。在经济合理的条件下，对一个已经存在的生产线进行翻新时，EAL4是所能达到的最高级别。

◆l EAL5 ：半形式化设计和测试级，使开发者能从安全工程中获取最大限度的安全保证，该安全工程是基于严格的商业开发实践，靠适度应用专业安全工程技术来支持的。

◆l EAL6 ：半形式化验证的设计和测试级，使开发者通过把安全工程技术应用与严格的开发环境，而获得高度的认证，以便产生一个昂贵的TOE来保护高价值的资产对抗重大的风险。

◆l EAL7 ：形式化验证的设计和测试级，适用于安全TOE的开发，该TOE应用在风险非常高的地方，或有高价值资产值得更高开销的地方。

2．5．过程能力级别

　　来源于系统安全工程能力成熟模型（SSE-CMM）中的安全工程能力级别定义。五种能力级别定义如下：

◆l CML 1："非正式执行级"，这个级别着重于一个组织或项目执行了包含基本实施的过程。这个级别的特点可以描述为"你必须首先做它，然后你才能管理它"。

◆l CML 2："计划和跟踪级"，这个级别着重于项目层面的定义、计划和执行问题。这个级别的特点可描述为"在定义组织层面的过程之前，先要弄清楚项目相关的事项"

◆l CML 3："充分定义级"，这个级别着重于规范化地裁剪组织层面的过程定义。这个级别的特点可描述为"用项目中学到的最好的东西来定义组织层面的过程"

◆l CML 4："量化控制级"，这个级别着重于测量。测量是与组织业务目标紧密联系在一起的。尽管以前级别数据收集和使用项目测量是基本的活动，但只有到达高级别时，数据才能在组织层面上应用。这个级别的特点可以描述为"只有你知道它是什么，你才能测量它"和"当你测量的对象正确时，基于测量的管理才有意义"