信息安全教學(xué)課件1yb-安全評(píng)估與標(biāo)準(zhǔn)規(guī)范-研究生

一、信息平安保障體系的根本構(gòu)架信息平安保障體系的根本構(gòu)架國(guó)家信息根底設(shè)施信息平安平臺(tái)及平安根底設(shè)施四個(gè)層面，兩個(gè)支撐，一個(gè)確保層面一：加強(qiáng)信息平安平臺(tái)及根底設(shè)施建設(shè)。建立平安事件應(yīng)急響應(yīng)中心、數(shù)據(jù)備份和災(zāi)難恢復(fù)設(shè)施；發(fā)揮密碼在保障體系中的根底和核心作用，加強(qiáng)密碼根底設(shè)施〔KMI/PKI〕的建設(shè)。加強(qiáng)以密碼技術(shù)為根底的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)信息平安保障體系的根本構(gòu)架四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息平安技術(shù)保障體系建設(shè)和完善信息平安監(jiān)控體系重視信息平安應(yīng)急處理工作加強(qiáng)信息平安技術(shù)研究開發(fā)，推進(jìn)信息平安產(chǎn)業(yè)開展國(guó)家信息基礎(chǔ)設(shè)施信息安全平臺(tái)及安全基礎(chǔ)設(shè)施層面二：強(qiáng)化國(guó)家信息平安技術(shù)防護(hù)體系。采用先進(jìn)技術(shù)手段，確保網(wǎng)絡(luò)和電信傳輸、應(yīng)用區(qū)域邊界、應(yīng)用環(huán)境等環(huán)節(jié)的平安，既能防外部攻擊，又能防內(nèi)部作案。信息平安組織管理體系信息平安保障體系的根本構(gòu)架四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息平安保障體系的根本構(gòu)架實(shí)行信息平安等級(jí)保護(hù)加強(qiáng)對(duì)信息平安工作的領(lǐng)導(dǎo)，建立健全信息平安責(zé)任制信息平安技術(shù)保障體系國(guó)家信息基礎(chǔ)設(shè)施信息安全平臺(tái)及安全基礎(chǔ)設(shè)施層面三：完善國(guó)家信息平安組織管理體系。強(qiáng)化管理機(jī)構(gòu)的職能，建立高效能的、職責(zé)分工明確的行政管理和業(yè)務(wù)組織體系。加強(qiáng)國(guó)家信息平安保障的綜合協(xié)調(diào)工作。信息平安保障體系的根本構(gòu)架四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息平安法制體系信息平安組織管理體系信息平安技術(shù)保障體系國(guó)家信息基礎(chǔ)設(shè)施信息安全平臺(tái)及安全基礎(chǔ)設(shè)施層面四：建立信息平安法制體系。確立信息化領(lǐng)域法規(guī)框架，做到有法可依，有法必依。加強(qiáng)信息平安法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)信息平安保障體系的根本構(gòu)架國(guó)家信息根底設(shè)施信息安全平臺(tái)及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個(gè)層面，兩個(gè)支撐，一個(gè)確保信息安全經(jīng)費(fèi)保障體系保證信息平安資金支撐一：確定國(guó)家信息平安經(jīng)費(fèi)支持規(guī)劃。明確信息平安保障體系建設(shè)經(jīng)費(fèi)占信息化經(jīng)費(fèi)的比例信息安全經(jīng)費(fèi)保障體系信息平安保障體系的根本構(gòu)架國(guó)家信息根底設(shè)施信息安全人才保障體系信息安全平臺(tái)及安全基礎(chǔ)設(shè)施信息安全技術(shù)保障體系信息安全組織管理體系信息安全法制體系四個(gè)層面，兩個(gè)支撐，一個(gè)確保加快信息平安專業(yè)人才培養(yǎng)，增強(qiáng)全民信息平安意識(shí)支撐二：確立信息平安人才教育和培訓(xùn)體系。信息平安應(yīng)列為一級(jí)學(xué)科，進(jìn)行學(xué)歷教育，除培養(yǎng)大批高質(zhì)量的專門人才外，還須進(jìn)行社會(huì)化的培訓(xùn)和普及教育，以提高全民的信息平安素質(zhì)。信息平安保障體系的根本構(gòu)架信息平安法制體系信息平安組織管理體系國(guó)家信息根底設(shè)施信息平安技術(shù)保障體系信息平安平臺(tái)及平安根底設(shè)施信息安全經(jīng)費(fèi)保障體系信息安全人才保障體系四個(gè)層面，兩個(gè)支撐，一個(gè)確保加強(qiáng)信息平安保障工作的總體要求和主要原那么一個(gè)確保：確保國(guó)家關(guān)鍵信息根底設(shè)施的平安運(yùn)行二、對(duì)當(dāng)前信息平安保障的反思1、普通做法：當(dāng)前大局部信息平安系統(tǒng)主要是由防火墻、入侵監(jiān)測(cè)和病毒防范等組成常規(guī)的平安手段只能是在網(wǎng)絡(luò)層〔IP〕設(shè)防，在外圍對(duì)非法用戶和越權(quán)訪問(wèn)進(jìn)行封堵，以到達(dá)防止外部攻擊的目的對(duì)訪問(wèn)者源端〔客戶機(jī)〕未加控制，信息資源隨意共享操作系統(tǒng)的不平安導(dǎo)致應(yīng)用系統(tǒng)的各種漏洞層出不窮，無(wú)法從根本上解決封堵的方法是捕捉黑客攻擊和病毒入侵的特征信息，其特征是已發(fā)生過(guò)的滯后信息，不能科學(xué)預(yù)測(cè)未來(lái)的攻擊和入侵。保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)和信息，防止未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、修改和破壞。目的是提供保密性、完整性和可用性。惡意用戶的攻擊手段變化多端,防護(hù)者只能:防火墻越砌越高入侵檢測(cè)越做越復(fù)雜惡意代碼庫(kù)越做越大導(dǎo)致：誤報(bào)率增多，平安投入不斷增加維護(hù)與管理更加復(fù)雜和難以實(shí)施信息系統(tǒng)的使用效率大大降低對(duì)內(nèi)部沒(méi)有防范對(duì)新的攻擊入侵毫無(wú)防御能力〔如沖擊波、振蕩波〕反思：老三樣、堵漏洞、作高墻、防外攻、防不勝防產(chǎn)生平安事故的技術(shù)原因：PC機(jī)軟、硬件結(jié)構(gòu)簡(jiǎn)化，導(dǎo)致資源可任意使用，尤其是執(zhí)行代碼可修改，惡意程序可以被植入病毒程序利用PC操作系統(tǒng)對(duì)執(zhí)行代碼不檢查一致性弱點(diǎn)，將病毒代碼嵌入到執(zhí)行代碼程序，實(shí)現(xiàn)病毒傳播黑客利用被攻擊系統(tǒng)的漏洞竊取超級(jí)用戶權(quán)限，植入攻擊程序，肆意進(jìn)行破壞更為嚴(yán)重的是對(duì)合法的用戶沒(méi)有進(jìn)行嚴(yán)格的訪問(wèn)控制，可以進(jìn)行越權(quán)訪問(wèn)，造成不平安事故2、美國(guó)的反思2005年4月14日，美國(guó)政府公布了美國(guó)總統(tǒng)IT咨詢委員會(huì)2月14日向總統(tǒng)布什提交的?網(wǎng)絡(luò)空間平安：迫在眉睫的危機(jī)?的緊急報(bào)告，對(duì)美國(guó)2003年的信息平安戰(zhàn)略提出不同看法，指出過(guò)去十年中美國(guó)保護(hù)國(guó)家信息技術(shù)根底建設(shè)工作是失敗的。短期彌補(bǔ)修復(fù)不解決根本問(wèn)題。耗資一千億美元，而平安漏洞百出。提出四個(gè)問(wèn)題和建議：1、政府對(duì)民間網(wǎng)絡(luò)空間平安研究的資助不夠，建議每年撥NSF九千萬(wàn)美金2、網(wǎng)絡(luò)空間平安根底性研究團(tuán)體規(guī)模小，七年時(shí)間團(tuán)體規(guī)模擴(kuò)大一倍3、平安研究成果的成功轉(zhuǎn)化不夠，政府加強(qiáng)在技術(shù)轉(zhuǎn)讓方面與企業(yè)的合作4、缺乏政府部門間協(xié)作與監(jiān)管是平安對(duì)策無(wú)重點(diǎn)和無(wú)效率的根源。建議成立“重要信息根底設(shè)施保護(hù)跨部門工作組〞2006年4月信息平安研究委員會(huì)發(fā)布的?聯(lián)邦網(wǎng)絡(luò)平安及信息保障研究與開展方案〔CSIA〕?確定了14個(gè)技術(shù)優(yōu)先研究領(lǐng)域，13個(gè)重要投入領(lǐng)域。為改變無(wú)窮無(wú)盡打補(bǔ)丁的封堵防御策略，從體系整體上解決問(wèn)題，提出了十個(gè)優(yōu)先研究工程，包括認(rèn)證、協(xié)議、平安軟件、整體系統(tǒng)、監(jiān)控監(jiān)測(cè)、恢復(fù)、網(wǎng)絡(luò)執(zhí)法、模型和測(cè)試、評(píng)價(jià)標(biāo)準(zhǔn)、非技術(shù)原因。3、世界IT企業(yè)動(dòng)向2000年由國(guó)際大廠商、大學(xué)研究機(jī)構(gòu)聯(lián)合成立TCPATCPA專注于從計(jì)算平臺(tái)體系結(jié)構(gòu)上增強(qiáng)其平安性，2001年1月發(fā)布了TPM主標(biāo)準(zhǔn)〔v1.1〕2003年3月改組為TCG(TrustedComputingGroup)此后發(fā)布了一系列標(biāo)準(zhǔn)其目的是在計(jì)算和通信系統(tǒng)中廣泛使用基于硬件平安模塊支持下的可信計(jì)算平臺(tái)，以提高整體的平安性。具有TPM功能的PC機(jī)已經(jīng)上市〔IBM、HP、Intel等〕可信是指“一個(gè)實(shí)體在實(shí)現(xiàn)給定目標(biāo)時(shí)其行為總是如同預(yù)期一樣的結(jié)果〞。強(qiáng)調(diào)行為的結(jié)果可預(yù)測(cè)和可控制?？尚庞?jì)算指一個(gè)可信的組件，操作或過(guò)程的行為在任意操作條件下是可預(yù)測(cè)的，并能很好地抵抗不良代碼和一定的物理干擾造成的破壞?？尚庞?jì)算是平安的根底，從可信根出發(fā)，解決PC機(jī)結(jié)構(gòu)所引起的平安問(wèn)題?？尚庞?jì)算平臺(tái)基于可信平臺(tái)模塊〔TPM〕,以密碼技術(shù)為支持、平安操作系統(tǒng)為核心〔如下圖〕安全應(yīng)用組件安全操作系統(tǒng)安全操作系統(tǒng)內(nèi)核密碼模塊協(xié)議棧主板可信BIOSTPM(密碼模塊芯片)圖：可信計(jì)算平臺(tái)可信任鏈傳遞與可信任環(huán)境具有以下功能：確保用戶唯一身份、權(quán)限、工作空間的完整性/可用性確保存儲(chǔ)、處理、傳輸?shù)臋C(jī)密性/完整性確保硬件環(huán)境配置、操作系統(tǒng)內(nèi)核、效勞及應(yīng)用程序的完整性確保密鑰操作和存儲(chǔ)的平安確保系統(tǒng)具有免疫能力，從根本上阻止病毒和黑客等軟件攻擊做到非法人員進(jìn)不來(lái)、拿不走、看不懂、改不了、賴不掉4、在重要信息系統(tǒng)中應(yīng)以防內(nèi)為主要處理的工作流程都是預(yù)先設(shè)計(jì)好的操作使用的角色是確定的應(yīng)用范圍和邊界都是明確的這類工作流程相對(duì)固定的生產(chǎn)系統(tǒng)與Internet網(wǎng)是有隔離措施的，外部網(wǎng)絡(luò)的用戶很難侵入到內(nèi)部網(wǎng)絡(luò)來(lái)

，其最大的威脅是來(lái)自內(nèi)部人員的竊密和破壞。

據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，83%的信息平安事故為內(nèi)部人員和內(nèi)外勾結(jié)所為，而且呈上升的趨勢(shì)。因此我們應(yīng)該以“防內(nèi)為主、內(nèi)外兼防〞的模式，從提高使用節(jié)點(diǎn)自身的平安著手，構(gòu)筑積極、綜合的平安防護(hù)系統(tǒng)。應(yīng)該：強(qiáng)機(jī)制、高可信、控使用、防內(nèi)外，積極防御三、積極防御的技術(shù)框架綜合防范應(yīng)該是主動(dòng)防止非授權(quán)訪問(wèn)操作，從客戶端操作平臺(tái)實(shí)施高等級(jí)防范，使不平安因素將終端源頭被控制。這對(duì)工作流程相對(duì)固定的重要信息系統(tǒng)顯得更為重要而可行。對(duì)工作流程相對(duì)固定的重要信息系統(tǒng)主要由操作應(yīng)用、共享效勞和網(wǎng)絡(luò)通信三個(gè)環(huán)節(jié)組成。如果信息系統(tǒng)中每一個(gè)使用者都通過(guò)可信終端認(rèn)證和授權(quán)，其操作都是符合規(guī)定的，網(wǎng)絡(luò)上也不會(huì)被竊聽和插入，那么就不會(huì)產(chǎn)生攻擊性共享效勞資源的事故，就能保證整個(gè)信息系統(tǒng)的平安，以此來(lái)構(gòu)建積極防御、綜合防范的防護(hù)框架可信計(jì)算平臺(tái)可信終端確保用戶的合法性和資源的一致性，使用戶只能按照規(guī)定的權(quán)限和訪問(wèn)控制規(guī)那么進(jìn)行操作，能做到什么樣權(quán)限級(jí)別的人只能做與其身份規(guī)定的訪問(wèn)操作，只要控制規(guī)那么是合理的，那么整個(gè)信息系統(tǒng)資源訪問(wèn)過(guò)程是平安的。這樣構(gòu)成了平安可信的應(yīng)用環(huán)境〔子信息系統(tǒng)〕平安共享效勞邊界應(yīng)用平安邊界設(shè)備〔如平安網(wǎng)關(guān)等〕保護(hù)共享效勞資源，其具有身份認(rèn)證和平安審計(jì)功能，將共享效勞器〔如數(shù)據(jù)庫(kù)效勞器、WEB效勞器、郵件效勞器等〕與非法訪問(wèn)者隔離，防止意外的非授權(quán)用戶的訪問(wèn)〔如非法接入的非可信終端〕。這樣共享效勞端不必作繁重的訪問(wèn)控制，從而減輕效勞器的壓力，以防拒絕效勞攻擊全程保護(hù)網(wǎng)絡(luò)通信采用IPSec實(shí)現(xiàn)網(wǎng)絡(luò)通信全程平安保密。IPSec工作在操作系統(tǒng)內(nèi)進(jìn)行，實(shí)現(xiàn)源到目的端的全程通信平安保護(hù)，確保傳輸連接的真實(shí)性和數(shù)據(jù)的機(jī)密性、一致性，防止非法的竊聽和插入要實(shí)現(xiàn)上述應(yīng)用、邊界和通信有效的保障，還需要授權(quán)管理的管理中心以及可信配置的密碼管理中心的支撐對(duì)于復(fù)雜的重要信息系統(tǒng)：構(gòu)成三縱〔公共區(qū)域、專用區(qū)域、涉密區(qū)域〕三橫〔應(yīng)用環(huán)境、應(yīng)用區(qū)域邊界、網(wǎng)絡(luò)通信〕和兩個(gè)中心的平安防護(hù)框架。〔如以下圖所示〕圖：信息平安技術(shù)防護(hù)框架從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境平安應(yīng)用區(qū)域邊界平安網(wǎng)絡(luò)和通信傳輸平安平安管理中心密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu)應(yīng)用環(huán)境平安：包括單機(jī)、可信終端、身份認(rèn)證、訪問(wèn)控制、密碼加密、平安審計(jì)等機(jī)制，構(gòu)成可信應(yīng)用環(huán)境從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境平安應(yīng)用區(qū)域邊界平安網(wǎng)絡(luò)和通信傳輸平安平安管理中心密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu)應(yīng)用區(qū)域邊界平安：通過(guò)部署邊界保護(hù)措施控制對(duì)內(nèi)部局域網(wǎng)的訪問(wèn)，實(shí)現(xiàn)局域網(wǎng)與廣域網(wǎng)之間的平安。采用平安網(wǎng)關(guān)、VPN等隔離過(guò)濾機(jī)制，保護(hù)共享資源的可信連接從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境平安應(yīng)用區(qū)域邊界平安網(wǎng)絡(luò)和通信傳輸平安平安管理中心密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu)網(wǎng)絡(luò)和通信傳輸平安：包括實(shí)現(xiàn)局域網(wǎng)互聯(lián)過(guò)程的平安，旨在確保通信的機(jī)密性、一致性和可用性。采用密碼加密、完整性校驗(yàn)和實(shí)體鑒別等機(jī)制，實(shí)現(xiàn)可信連接和平安通信從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境平安應(yīng)用區(qū)域邊界平安網(wǎng)絡(luò)和通信傳輸平安平安管理中心密碼管理中心即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu)平安管理中心：提供認(rèn)證、授權(quán)、實(shí)施訪問(wèn)控制策略等運(yùn)行平安效勞從技術(shù)層面上可以分為以下五個(gè)環(huán)節(jié)：應(yīng)用環(huán)境平安應(yīng)用區(qū)域邊界平安網(wǎng)絡(luò)和通信傳輸平安平安管理中心密碼管理中心密碼管理中心：提供互聯(lián)互通密碼配置、公鑰證書和傳統(tǒng)的對(duì)稱密鑰的管理，為信息系統(tǒng)提供密碼效勞支持即：兩個(gè)中心支持下的三重防護(hù)體系結(jié)構(gòu)四、信息平安保障建設(shè)中的

幾個(gè)焦點(diǎn)問(wèn)題1、信息平安等級(jí)劃分與保護(hù)2004年9月15日由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦聯(lián)合下發(fā)?關(guān)于信息平安等級(jí)保護(hù)工作的實(shí)施意見?〔66號(hào)文件〕，明確實(shí)施等級(jí)保護(hù)的根本做法。2007年6月22日又由四單位聯(lián)合下發(fā)?信息平安等級(jí)保護(hù)管理方法?〔43號(hào)文件〕，標(biāo)準(zhǔn)了信息平安等級(jí)保護(hù)的管理。堅(jiān)持自主定級(jí)、自主保護(hù)原那么。應(yīng)根據(jù)在國(guó)家平安、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及系統(tǒng)遭受破壞后的危害程度等因素確定等級(jí)。等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)劃分：等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查等級(jí)分級(jí)保護(hù)保護(hù)級(jí)（GB17859)實(shí)施與管理一級(jí)自主保護(hù)自主訪問(wèn)主管部門審批自定二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問(wèn)）主管部門審批公安備案三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問(wèn)）主管部門審批每年一次測(cè)評(píng)檢查四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證專家委評(píng)審半年一次測(cè)評(píng)檢查五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控專家委評(píng)審專門檢查2、等級(jí)保護(hù)與信息平安

保障各環(huán)節(jié)的關(guān)系

等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處理和災(zāi)難恢復(fù)是信息平安保障的主要環(huán)節(jié)，對(duì)等于模型的各要素。因此各環(huán)節(jié)應(yīng)前后聯(lián)接、融為一體。而現(xiàn)在往往各自獨(dú)立地制定標(biāo)準(zhǔn)、試點(diǎn)推廣，導(dǎo)致保障目標(biāo)混亂，保護(hù)策略相互沖突，達(dá)不到應(yīng)有效果，浪費(fèi)資源，增大保護(hù)本錢。這種局面應(yīng)加以糾正，學(xué)術(shù)上應(yīng)重點(diǎn)研究各環(huán)節(jié)內(nèi)涵的一致性和外延的匹配性。等級(jí)保護(hù)是以制度的方式確定保護(hù)對(duì)象的重要程度和要求，風(fēng)險(xiǎn)評(píng)估是檢測(cè)評(píng)估是否到達(dá)保護(hù)要求的度量工具，應(yīng)急處理是將剩余風(fēng)險(xiǎn)因突發(fā)事件引起損失降低到可接受程度的對(duì)應(yīng)手段。災(zāi)難恢復(fù)是針對(duì)發(fā)生災(zāi)難性破壞時(shí)所采取的由備份進(jìn)行恢復(fù)的措施。它們都是為使一個(gè)確定的保護(hù)對(duì)象的資產(chǎn)少受或不受損失所進(jìn)行的各個(gè)保障環(huán)節(jié)，缺一不可，單獨(dú)進(jìn)行