《信息系統(tǒng)安全等級保護基本要求》培訓資料

PAGE2 信息平安等級保護培訓教材?信息系統(tǒng)平安等級保護根本要求?公安部2007年7月

目錄1 概述 3 背景介紹 3 主要作用及特點 3 與其他標準的關系 4 框架結構 42 描述模型 5 總體描述 5 保護對象 6 平安保護能力 6 平安要求 83 逐級增強的特點 9 增強原那么 9 總體描述 10 控制點增加 11 要求項增加 11 控制強度增強 124 各級平安要求 13 技術要求 13 物理平安 13 網(wǎng)絡平安 19 主機平安 24 應用平安 30 數(shù)據(jù)平安及備份恢復 36 管理要求 38 平安管理制度 38 平安管理機構 41 人員平安管理 44 系統(tǒng)建設管理 47 系統(tǒng)運維管理 52

本教材根據(jù)?信息系統(tǒng)平安等級保護管理方法?公通字[2007]43號和?關于開展全國重要信息系統(tǒng)平安等級保護定級工作的通知?公信安[2007]861號文件，圍繞信息平安等級工作，介紹信息系統(tǒng)平安建設和改造過程中使用的主要標準之一?信息系統(tǒng)平安等級保護根本要求?〔以下簡稱?根本要求?〕，描述?根本要求?的技術要求分級思路、逐級增強特點以及具體各級平安要求。通過培訓，使得用戶能夠了解?根本要求?在信息系統(tǒng)平安等級保護中的作用、根本思路和主要內(nèi)容，以便正確選擇適宜的平安要求進行信息系統(tǒng)保護。概述背景介紹2004年，66號文件中指出“信息平安等級保護工作是個龐大的系統(tǒng)工程，關系到國家信息化建設的方方面面，這就決定了這項工作的開展必須分步驟、分階段、有方案的實施，信息平安等級保護制度方案用三年左右的時間在全國范圍內(nèi)分三個階段實施。〞信息平安等級保護工作第一階段為準備階段，準備階段中重要工作之一是“加快制定、完善管理標準和技術標準體系〞。依據(jù)此要求，?根本要求?列入了首批需完成的6個標準之一。主要作用及特點主要作用?根本要求?對等級保護工作中的平安控制選擇、調(diào)整、實施等提出標準性要求，根據(jù)使用對象不同，其主要作用分為三種：為信息系統(tǒng)建設單位和運營、使用單位提供技術指導在信息系統(tǒng)的平安保護等級確定后，?根本要求?為信息系統(tǒng)的建設單位和運營、使用單位如何對特定等級的信息系統(tǒng)進行保護提供技術指導。為測評機構提供評估依據(jù)?根本要求?為信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位或?qū)ｉT的等級測評機構對信息系統(tǒng)平安保護等級的檢測評估提供依據(jù)。為職能監(jiān)管部門提供監(jiān)督檢查依據(jù)?根本要求?為監(jiān)管部門的監(jiān)督檢查提供依據(jù)，用于判斷一個特定等級的信息系統(tǒng)是否按照國家要求進行了根本的保護。主要特點?根本要求?是針對每個等級的信息系統(tǒng)提出相應平安保護要求，“根本〞意味著這些要求是針對該等級的信息系統(tǒng)到達根本保護能力而提出的，也就是說，這些要求的實現(xiàn)能夠保證系統(tǒng)到達相應等級的根本保護能力，但反過來說，系統(tǒng)到達相應等級的保護能力并不僅僅完全依靠這些平安保護要求。同時，?根本要求?強調(diào)的是“要求〞，而不是具體實施方案或作業(yè)指導書，?根本要求?給出了系統(tǒng)每一保護方面需到達的要求，至于這種要求采取何種方式實現(xiàn)，不在?根本要求?的描述范圍內(nèi)。按照?根本要求?進行保護后，信息系統(tǒng)到達一種平安狀態(tài)，具備了相應等級的保護能力。與其他標準的關系 從標準間的承接關系上講：?信息系統(tǒng)平安等級保護定級指南?確定出系統(tǒng)等級以及業(yè)務信息平安性等級和系統(tǒng)效勞平安等級后，需要按照相應等級，根據(jù)?根本要求?選擇相應等級的平安保護要求進行系統(tǒng)建設實施。?信息系統(tǒng)平安等級保護測評準那么?是針對?根本要求?的具體控制要求開發(fā)的測評要求，旨在強調(diào)系統(tǒng)按照?根本要求?進行建設完畢后，檢驗系統(tǒng)的各項保護要求是否符合相應等級的根本要求。由上可見，?根本要求?在整個標準體系中起著承上啟下的作用。 從技術角度上講：?根本要求?的技術局部吸收和借鑒了GB17859:1999標準，采納其中的身份鑒別、數(shù)據(jù)完整性、自主訪問控制、強制訪問控制、審計、客體重用〔改為剩余信息保護〕標記、可信路徑等8個平安機制的局部或全部內(nèi)容，并將這些機制擴展到網(wǎng)絡層、主機系統(tǒng)層、應用層和數(shù)據(jù)層。?根本要求?的技術局部弱化了在信息系統(tǒng)中實現(xiàn)平安機制結構化設計及平安機制可信性方面的要求，例如沒有提出信息系統(tǒng)的可信恢復，但在4級系統(tǒng)提出了災難備份與恢復的要求，保證業(yè)務連續(xù)運行。?根本要求?沒有對隱蔽通道分析的平安機制提出要求。此外，?根本要求?的管理局部充分借鑒了ISO/IEC17799:2005等國際上流行的信息平安管理方面的標準，盡量做到全方位的平安管理?？蚣芙Y構?根本要求?在整體框架結構上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示?根本要求?在整體上大的分類，其中技術局部分為：物理平安、網(wǎng)絡平安、主機平安、應用平安和數(shù)據(jù)平安及備份恢復等5大類，管理局部分為：平安管理制度、平安管理機構、人員平安管理、系統(tǒng)建設管理和系統(tǒng)運維管理等5大類，一共分為10大類?？刂泣c表示每個大類下的關鍵控制點，如物理平安大類中的“物理訪問控制〞作為一個控制點。而項那么是控制點下的具體要求項，如“機房出入應安排專人負責，控制、鑒別和記錄進入的人員。〞具體框架結構如下圖：第三級第三級根本要求物理平安網(wǎng)絡平安主機平安應用平安第一級根本要求第二級根本要求第四級根本要求第五級根本要求數(shù)據(jù)平安及備份恢復技術要求管理要求平安管理制度平安管理機構人員平安管理系統(tǒng)建設管理系統(tǒng)運維管理圖1-1?根本要求?的框架結構描述模型總體描述信息系統(tǒng)是頗受誘惑力的被攻擊目標。它們抵抗著來自各方面威脅實體的攻擊。對信息系統(tǒng)實行平安保護的目的就是要對抗系統(tǒng)面臨的各種威脅，從而盡量降低由于威脅給系統(tǒng)帶來的損失。能夠應對威脅的能力構成了系統(tǒng)的平安保護能力之一——對抗能力。但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。能夠在一定時間內(nèi)恢復系統(tǒng)原有狀態(tài)的能力構成了系統(tǒng)的另一種平安保護能力——恢復能力。對抗能力和恢復能力共同形成了信息系統(tǒng)的平安保護能力。不同級別的信息系統(tǒng)應具備相應等級的平安保護能力，即應該具備不同的對抗能力和恢復能力，以對抗不同的威脅和能夠在不同的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。針對各等級系統(tǒng)應當對抗的平安威脅和應具有的恢復能力，?根本要求?提出各等級的根本平安要求。根本平安要求包括了根本技術要求和根本管理要求，根本技術要求主要用于對抗威脅和實現(xiàn)技術能力，根本管理要求主要為平安技術實現(xiàn)提供組織、人員、程序等方面的保障。各等級的根本平安要求，由包括物理平安、網(wǎng)絡平安、主機系統(tǒng)平安、應用平安和數(shù)據(jù)平安等五個層面的根本平安技術措施和包括平安管理機構、平安管理制度、人員平安管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的根本平安管理措施來實現(xiàn)和保證。下列圖說明了?根本要求?的描述模型。每一等級信息系統(tǒng)每一等級信息系統(tǒng)平安保護能力技術措施管理措施包含具備根本平安要求滿足包含滿足實現(xiàn)圖1-2?根本要求?的描述模型保護對象作為保護對象，?管理方法?中將信息系統(tǒng)分為五級，分別為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家平安、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家平安。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家平安造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家平安造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家平安造成特別嚴重損害。平安保護能力定義對抗能力能夠應對威脅的能力構成了系統(tǒng)的平安保護能力之一—對抗能力。不同等級系統(tǒng)所應對抗的威脅主要從威脅源〔自然、環(huán)境、系統(tǒng)、人為〕動機〔不可抗外力、無意、有意〕范圍〔局部、全局〕能力〔工具、技術、資源等〕四個要素來考慮。在對威脅進行級別劃分前，我們首先解釋以上幾個要素：威脅源——是指任何能夠?qū)е路穷A期的不利事件發(fā)生的因素，通常分為自然〔如自然災害〕環(huán)境〔如電力故障〕IT系統(tǒng)〔如系統(tǒng)故障〕和人員〔如心懷不滿的員工〕四類。動機——與威脅源和目標有著密切的聯(lián)系，不同的威脅源對應不同的目標有著不同的動機，通?？煞譃椴豢煽雇饬Α踩缱匀粸暮Α碂o意的〔如員工的疏忽大意〕和成心的〔如情報機構的信息收集活動〕。范圍——是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計算機病毒的傳染性較弱，危害范圍是有限的；但是蠕蟲類病毒那么相反，它們可以在網(wǎng)絡中以驚人的速度迅速擴散并導致整個網(wǎng)絡癱瘓。能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要表達在威脅源占有的計算資源的多少、工具的先進程度、人力資源〔包括經(jīng)驗〕等方面。通過對威脅主要因素的分析，我們可以組合得到不同等級的威脅：第一級：本等級的威脅是1〕危害范圍為局部的環(huán)境或者設備故障、2〕無意的員工失誤以及3〕低能力的滲透攻擊等威脅情景。典型情況如灰塵超標〔環(huán)境〕單個非重要工作站〔設備〕崩潰等。第二級：本等級的威脅主要是1〕危害局部的較嚴重的自然事件、2〕具備中等能力、有預設目標的威脅情景。典型情況如有組織的情報搜集等。第三級：本等級的威脅主要是1〕危害整體的自然事件、2〕具備較高能力、大范圍的、有預設目標的滲透攻擊。典型情況如較嚴重的自然災害、大型情報組織的情報搜集等。第四級：本等級的威脅主要是1〕危害整體的嚴重的自然事件、2〕國家級滲透攻擊。典型情況如國家經(jīng)營，組織精良，有很好的財政資助，從其他具有經(jīng)濟、軍事或政治優(yōu)勢的國家收集機密信息等?；謴湍芰Φ谀承┣闆r下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。能夠在一定時間內(nèi)恢復系統(tǒng)原有狀態(tài)的能力構成了另一種平安保護能力——恢復能力。恢復能力主要從恢復時間和恢復程度上來衡量其不同級別?；謴蜁r間越短、恢復程度越接近系統(tǒng)正常運行狀態(tài)，說明恢復能力越高。第一級：系統(tǒng)具有根本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時的恢復局部系統(tǒng)功能。第二級：系統(tǒng)具有一定的數(shù)據(jù)備份功能，在遭到破壞后能夠在一段時間內(nèi)恢復局部功能。第三級：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復絕大局部功能。第四級：系統(tǒng)具有極高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠迅速恢復所有系統(tǒng)功能。不同等級的平安保護能力信息系統(tǒng)的平安保護能力包括對抗能力和恢復能力。不同級別的信息系統(tǒng)應具備相應等級的平安保護能力，即應該具備不同的對抗能力和恢復能力。將“能力〞分級，是基于系統(tǒng)的保護對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應具有的保護能力就越高。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴重，因此需要提高相應的平安保護能力。不同等級信息系統(tǒng)所具有的保護能力如下：一級平安保護能力：應能夠防護系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的關鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復局部功能。二級平安保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的平安漏洞和平安事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復局部功能。三級平安保護能力：應能夠在統(tǒng)一平安策略下防護系統(tǒng)免受來自外部有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難、以及其他相當危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)平安漏洞和平安事件，在系統(tǒng)遭到損害后，能夠較快恢復絕大局部功能。四級平安保護能力：應能夠在統(tǒng)一平安策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)平安漏洞和平安事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。 平安要求首先介紹?根本要求?的平安要求的分類。平安要求從整體上分為技術和管理兩大類，其中，技術類平安要求按其保護的側重點不同，將其下的控制點分為三類： 信息平安類〔S類〕——關注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改。如，自主訪問控制，該控制點主要關注的是防止未授權的訪問系統(tǒng)，進而造成數(shù)據(jù)的 修改或泄漏。至于對保證業(yè)務的正常連續(xù)運行并沒有直接的影響。 效勞保證類〔A類〕——關注的是保護系統(tǒng)連續(xù)正常的運行，防止因?qū)ο到y(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用。如，數(shù)據(jù)的備份和恢復，該控制點很好的表達了對業(yè)務正常運行的保護。通過對數(shù)據(jù) 進行備份，在發(fā)生平安事件后能夠及時的進行恢復，從而保證了業(yè)務的正常運行。 通用平安保護類〔G類〕——既關注保護業(yè)務信息的平安性，同時也關注保護系統(tǒng)的 連續(xù)可用性。大多數(shù)技術類平安要求都屬于此類，保護的重點既是為了保證業(yè)務能夠正常運行，同時數(shù)據(jù)要平安。如，物理訪問控制，該控制點主要是防止非授權人員物理訪問系統(tǒng)主要工作環(huán)境，由于進入工作環(huán)境可能導致的后果既可能包括系統(tǒng)無法正常運行〔如，損壞某臺重要效勞器〕，也可能竊取某些重要數(shù)據(jù)。因此，它保護的重點二者兼而有之。技術平安要求按其保護的側重點不同分為S、A、G三類，如果從另外一個角度考慮，根據(jù)信息系統(tǒng)平安的整體結構來看，信息系統(tǒng)平安可從五個層面：物理、網(wǎng)絡、主機系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護，因此，技術類平安要求也相應的分為五個層面上的平安要求：——物理層面平安要求：主要是從外界環(huán)境、根底設施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的平安運行提供根本的后臺支持和保證；——網(wǎng)絡層面平安要求：為信息系統(tǒng)能夠在平安的網(wǎng)絡環(huán)境中運行提供支持，確保網(wǎng)絡系統(tǒng)平安運行，提供有效的網(wǎng)絡效勞；——主機層面平安要求：在物理、網(wǎng)絡層面平安的情況下，提供平安的操作系統(tǒng)和平安的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的平安運行；——應用層面平安要求：在物理、網(wǎng)絡、系統(tǒng)等層面平安的支持下，實現(xiàn)用戶平安需求所確定的平安目標；——數(shù)據(jù)及備份恢復層面平安要求：全面關注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的平安性。管理類平安要求主要是圍繞信息系統(tǒng)整個生命周期全過程而提出的，均為G類要求。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購/開發(fā)階段、實施階段、運行維護階段和廢棄階段。管理類平安要求正是針對這五個階段的不同平安活動提出的，分為：平安管理制度、平安管理機構、人員平安管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面。逐級增強的特點增強原那么不同級別的信息系統(tǒng)，其應該具備的平安保護能力不同，也就是對抗能力和恢復能力不同；平安保護能力不同意味著能夠應對的威脅不同，較高級別的系統(tǒng)應該能夠應對更多的威脅；應對威脅將通過技術措施和管理措施來實現(xiàn)，應對同一個威脅可以有不同強度和數(shù)量的措施，較高級別的系統(tǒng)應考慮更為周密的應對措施。不同級別的信息系統(tǒng)根本平安要求的考慮思路和增強原那么如下列圖所示：圖1-3?根本要求?逐級的考慮思路和增強原那么總體描述不同等級的信息系統(tǒng)平安保護能力不同，故其平安要求也不同，從宏觀來看，各個級別的平安要求逐級增強，表現(xiàn)為：二級根本要求：在一級根本要求的根底上，技術方面，二級要求在控制點上增加了平安審計、邊界完整性檢查、入侵防范、資源控制以及通信保密性等控制點。身份鑒別那么要求在系統(tǒng)的整個生命周期，每一個用戶具有唯一標識，使用戶對對自己的行為負責，具有可查性。同時，要求訪問控制具有更細的訪問控制粒度等。管理方面，增加了審核和檢查、管理制度的評審和修訂、人員考核、密碼管理、變更管理和應急預案管理等控制點。要求制定信息平安工作的總體方針和平安策略，設立平安主管、平安管理各個方面的負責人崗位，健全各項平安管理的規(guī)章制度，對各類人員進行不同層次要求的平安培訓等，從而確保系統(tǒng)所設置的各種平安功能發(fā)揮其應有的作用。三級根本要求：在二級根本要求的根底上，技術方面，在控制點上增加了網(wǎng)絡惡意代碼防范、剩余信息保護、抗抵賴等。同時，對身份鑒別、訪問控制、平安審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進一步的要求，如訪問控制增加了對重要信息資源設置敏感標記等。管理方面，增加了系統(tǒng)備案、等級測評、監(jiān)控管理和平安管理中心等控制點，同時要求設置必要的平安管理職能部門，加強了平安管理制度的評審以及人員平安的管理，對系統(tǒng)建設過程加強了質(zhì)量管理。四級根本要求：在三級根本要求的根底上，技術方面，在控制點上增加了平安標記、可信路徑，同時，對身份鑒別、訪問控制、平安審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進一步的要求，如要求訪問控制的粒度應到達主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表、記錄和字段級，建立異地災難備份中心等，對局部功能進行了限制〔如禁止撥號訪問控制〕。管理方面，沒有增加控制點，在平安管理制度制訂和發(fā)布、評審和修訂等某些管理要求上要求項增加，強度增強。具體從微觀來看，平安要求逐級增強主要表現(xiàn)在三個方面：控制點增加、同一控制點的要求項增加、同一要求項強度增強?？刂泣c增加控制點增加，說明對系統(tǒng)的關注點增加，因而平安要求的級別差異就表達出來。比擬突出的控制點增加，如，二級控制點增加了平安審計，三級控制點增加了剩余信息保護。每級系統(tǒng)在每一層面上控制點的分布見下表：表1?根本要求?控制點的分布平安要求類層面一級二級三級四級技術要求物理平安7101010網(wǎng)絡平安3677主機平安4679應用平安47911數(shù)據(jù)平安及備份恢復2333管理要求平安管理制度2333平安管理機構4555人員平安管理4555系統(tǒng)建設管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874二級在控制點上的增加較為顯著。要求項增加由于控制點是有限的，特別在高級別上，如三、四級平安要求〔兩者之間控制點的變化只有一處〕，單靠控制點增加來表達平安要求逐級增強的特點是很難的。必須將控制點之下的平安要求工程考慮其中。要求工程的增加，就可以很好的表達了逐級增強的特點。同一控制點，具體的平安工程數(shù)量增加，說明對該控制點的要求更細化，更嚴格，從而表現(xiàn)為該控制點的強度增強。如，對于控制點身份鑒別，在二級只要求標識唯一性、鑒別信息復雜性以及登錄失敗處理等要求；而在三級，對該控制點增加了組合鑒別方式等。該控制點的強度得到增強。每級系統(tǒng)在每一層面上要求項的分布見下表：表2?根本要求?要求項在各層面的分布平安要求類層面一級二級三級四級技術要求物理平安9193233網(wǎng)絡平安9183332主機平安6193236應用平安7193136數(shù)據(jù)平安及備份恢復24811管理要求平安管理制度371114平安管理機構492020人員平安管理7111618系統(tǒng)建設管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528可見，在二級與一級之間，三級與二級之間要求項的增加比擬顯著，尤其是三、二級之間，盡管控制點的增加不多，但在具體的控制點上增加了要求項，故整體的級差增強較顯著。控制強度增強同控制點類似，平安要求工程也不能無限制的增加，對于同一平安要求項〔這里的“同一〞，指的是要求的方面是相同的，而不是具體的要求內(nèi)容〕，如果在要求的力度上加強，同樣也能夠反映出級別的差異。平安工程強度的增強表現(xiàn)為：范圍增大：如，對主機系統(tǒng)平安的“平安審計〞，二級只要求“審計范圍應覆蓋到效勞器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶〞；而三級那么在對象的范圍上發(fā)生了變化，為“審計范圍應覆蓋到效勞器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；“。覆蓋范圍不再僅指效勞器，而是擴大到效勞器和重要客戶終端了，說明了該要求項強度的增強。要求細化：如，人員平安管理中的“平安意識教育和培訓〞，二級要求“應制定平安教育和培訓方案，對信息平安根底知識、崗位操作規(guī)程等進行培訓；〞，而三級在對培訓方案進行了進一步的細化并要求應有書面文件，為“應對定期平安教育和培訓進行書面規(guī)定，針對不同崗位制定不同的培訓方案，對信息平安根底知識、崗位操作規(guī)程等進行培訓〞，培訓方案有了針對性，更符合各個崗位人員的實際需要。粒度細化：如，網(wǎng)絡平安中的“撥號訪問控制〞，一級要求“控制粒度為用戶組〞，而二級要求那么將控制粒度細化，為“控制粒度為單個用戶〞。由“用戶組〞到“單個用戶〞，粒度上的細化，同樣也增強了要求的強度。可見，平安要求的逐級增強并不是無規(guī)律可循，而是按照“層層剝開〞的模式，由控制點的增加到要求項的增加，進而是要求項的強度增強。三者綜合表達了不同等級的平安要求的級差。各級平安要求技術要求物理平安物理平安保護的目的主要是使存放計算機、網(wǎng)絡設備的機房以及信息系統(tǒng)的設備和存儲數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。物理平安是防護信息系統(tǒng)平安的最底層，缺乏物理平安，其他任何平安措施都是毫無意義的。物理平安主要涉及的方面包括環(huán)境平安〔防火、防水、防雷擊等〕設備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供給和電磁防護等十個控制點。不同等級的根本要求在物理平安方面所表達的不同如第3.1節(jié)所描述的一樣，在三個方面都有所表達。 一級物理平安要求：主要要求對物理環(huán)境進行根本的防護，對出入進行根本控制，環(huán)境平安能夠?qū)ψ匀煌{進行根本的防護，電力那么要求提供供電電壓的正常。 二級物理平安要求：對物理平安進行了進一步的防護，不僅對出入進行根本的控制，對進入后的活動也要進行控制；物理環(huán)境方面，那么加強了各方面的防護，采取更細的要求來多方面進行防護。 三級物理平安要求：對出入加強了控制，做到人、電子設備共同監(jiān)控；物理環(huán)境方面，進一步采取各種控制措施來進行防護。如，防火要求，不僅要求自動消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災發(fā)生的幾率和損失降低。 四級物理平安要求：對機房出入的要求進一步增強，要求多道電子設備監(jiān)控；物理環(huán)境方面，要求采用一定的防護設備進行防護，如靜電消除裝置等。下表說明了物理平安在控制點上逐級變化的特點：表3物理平安層面控制點的逐級變化控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供給****電磁防護***合計7101010 注：*代表此類控制點在該級物理平安中有要求，空格那么表示無此類要求。〔以下同〕另外兩個特點〔要求項增加和要求項強度增強〕將在以下控制點描述時具體展開。物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運行環(huán)境時進行考慮。物理位置的正確選擇是保證系統(tǒng)能夠在平安的物理環(huán)境中運行的前提，它在一定程度上決定了面臨的自然災難以及可能的環(huán)境威脅。譬如，在我國南方地區(qū)，夏季多雨水，雷擊和洪災的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會遭受這類的威脅。如果沒有正確的選擇物理位置，必然會造成后期為保護物理環(huán)境而投入大量資金、設備，甚至無法彌補。因此，物理位置選擇必須考慮周遭的整體環(huán)境以及具體樓宇的物理位置是否能夠為信息系統(tǒng)的運行提供物理上的根本保證。該控制點在不同級別主要表現(xiàn)為：一級：無此方面要求。二級：要求選擇時主要考慮建筑物具有根本防護自然條件的能力。三級：除二級要求外，對建筑物的樓層以及周圍環(huán)境也提出了要求。四級：與三級要求相同。具體見下表4：要求項一級二級三級四級工程N/Aa)a)—b)a)—b)合計0122物理訪問控制物理訪問控制主要是對內(nèi)部授權人員和臨時外部外部人員進出系統(tǒng)主要物理工作環(huán)境進行人員控制。對進出口進行控制，是防護物理平安的第一道關口，也是防止外部非授權人員對系統(tǒng)進行本地惡意操作的重要防護措施。該控制點在不同級別主要表現(xiàn)為：一級：要求對進出機房時進行根本的出入控制。二級：除一級要求外，對人員進入機房后的活動也應進行控制。三級：除二級要求外，加強了對進出機房時的控制手段，做到人員和電子設備共同控制，并對機房分區(qū)域管理。四級：除三級要求外，進一步強化了進出機房的控制，要求兩道電子設備監(jiān)控。具體見下表5： 要求項一級二級三級四級工程a)a)—b)a)—d)a)—d)*合計1244+ 注：“*〞代表該要求項同上級相比，在強度上增強，“+〞代表此級的要求項在強度上較上一級增強〔以下同〕。其中，四級要求項較三級在強度上有所增強，即，由三級的一道電子門禁系統(tǒng)增強為四級的兩道電子門禁系統(tǒng)。因此，三級、四級雖在要求工程數(shù)量上是相同的〔同為4項〕，但四級的要求項在強度上得到了增強，為4+。防盜竊和防破壞該控制點主要考慮了系統(tǒng)運行的設備、介質(zhì)以及通信線纜的平安性。物理訪問控制主要側重在進出口，這在一定程度上防止了設備的被盜，但在機房內(nèi)部，該控制點那么無法提供保護。因此，防盜竊和防破壞控制點主要側重在機房內(nèi)部對設備、介質(zhì)和通信線纜進行此方面的保護。該控制點在不同級別主要表現(xiàn)為：一級：主要從設備的存放位置和設備本身兩方面考慮。二級：不僅考慮了設備、還考慮通信線纜和介質(zhì)及主機房的防盜報警方面的防護要求。三級：除二級要求外，主要加強了機房內(nèi)的監(jiān)控報警要求。四級：與三級要求相同。具體見下表6：要求項一級二級三級四級工程a)－b)a)－e)a)－e)*f)a)－f)合計256+6其中，在三級，e〕項相對于二級的e〕項在強度上增強，即，明確強調(diào)了采用光電等控制裝置監(jiān)控機房內(nèi)情況。防雷擊該控制點主要考慮采取措施防止雷電對電流、進而設備造成的不利影響，從而引起巨大的經(jīng)濟損失。雷電對設備的破壞主要有兩類：直擊雷破壞，即雷電直擊在建筑物或設備上，使其發(fā)熱燃燒和機械劈裂破壞；另一類是感應雷破壞，即雷電的第二次作用，強大的雷電磁場產(chǎn)生的電磁效應和靜電效應使金屬構件產(chǎn)生高至數(shù)十萬伏的電壓。目前，大多數(shù)建筑物都設有防直擊雷的措施－避雷裝置，因此，防雷擊主要集中在防感應雷。該控制點在不同級別主要表現(xiàn)為：一級：主要考慮建筑防雷。二級：除一級要求外，增加了接地防感應雷措施。三級：除二級要求外，增加了具體設備防感應雷措施。四級：與三級要求相同。具體見下表7：要求項一級二級三級四級工程a)a)－b)a)－c)a)－c)合計1233防火該控制點主要考慮采取各種措施防止火災的發(fā)生以及發(fā)生后能夠及時滅火。分別從設備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。該控制點在不同級別主要表現(xiàn)為：一級：主要要求根本的設備滅火。二級：除一級要求外，要求能夠自動報警火災發(fā)生。三級：除二級要求外，增加了從建筑材料、區(qū)域隔離等方面考慮的防火措施。四級：與三級要求相同。具體見下表8：要求項一級二級三級四級工程a)a)*a)*b)－c)a)b)－c)合計11+3+3其中，在二級，雖然要求仍是采取設備滅火，但設備的功能性要求增強，即，能夠自動報警，仍然對于a〕項，在三級進一步得到增強，要求設備能夠自動檢測、報警和滅火。因此，二級和三級都分別為a)*。防水和防潮該控制點主要是考慮防止室內(nèi)由于各種原因的積水、水霧或濕度太高造成設備運行異常。同時，也是控制室內(nèi)濕度的較好措施。該控制點在不同級別主要表現(xiàn)為：一級：主要從室內(nèi)水管、墻壁、屋頂?shù)确矫婵紤]防水防潮。二級：除一級要求外，增加了防止室內(nèi)水蒸汽和地下水的考慮，并禁止機房內(nèi)有水管通過。三級：除二級要求外，增加了對室內(nèi)的防水檢測報警要求。四級：與三級相同。具體見下表9：要求項一級二級三級四級工程a)－b〕a)*—c〕a)—d〕a)—d〕合計23+44其中，在二級，水管安裝要求不得穿過機房屋頂和活動地板下，去掉了在一級要求穿過機房的水管使用套管的要求，所以對于a〕項，增強了要求，為a)*。防靜電該控制點主要考慮在物理環(huán)境里，盡量防止產(chǎn)生靜電，以防止靜電對設備、人員造成的傷害。大量靜電如果積聚在設備上，會導致磁盤讀寫錯誤、損壞磁頭、對CMOS靜電電路也會造成極大威脅。由于靜電放電對電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應的累加，最終造成設備的嚴重損壞。防靜電措施包括最根本的接地、到防靜電地板、設備防靜電等方面。當然，對室內(nèi)溫濕度的控制，也是防止靜電產(chǎn)生的較好措施〔具體將在以下介紹〕。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求根本的接地防靜電措施。三級：除二級要求外，對地板材料做出了防靜電要求。四級：除三級要求外，要求采用專門設置防靜電裝置。具體見下表10：要求項一級二級三級四級工程N/Aa)a)*—b〕a)*—c〕合計012+3+其中，在二級，要求“關鍵設備“接地防靜電，三級，要求“主要設備〞，四級要求“設備〞，所以對于a〕項，在三級和四級都增強了要求，都為a)*。溫濕度控制機房內(nèi)的各種設備必須在一定的溫度、濕度范圍內(nèi)才能正常運行。溫、濕度過高或過低都會對設備產(chǎn)生不利影響。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會在天花板、墻面以及設備外表形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問題。低于40％的低濕度增加了靜電產(chǎn)生的危害。溫度控制在20攝氏度左右是設備正常工作的良好溫度條件。該控制點在不同級別主要表現(xiàn)為：一級：要求做到根本的溫濕度控制。二級：在一級根底上，要求溫濕度控制的力度做到自動調(diào)控。三級：與二級要求相同。四級：與三級要求相同。具體見下表11：要求項一級二級三級四級工程a)a)*a)a)合計11+11其中，對二級要求溫濕度能夠自動調(diào)節(jié)，因此a)應為a)*。電力供給穩(wěn)定、充足的電力供給是維持系統(tǒng)持續(xù)正常工作的重要條件。許多因素威脅到電力系統(tǒng)，最常見的是電力波動。電力波動對一些精密的電子配件會造成嚴重的物理損害。應控制電力在10％以內(nèi)的波動范圍。采用穩(wěn)壓器和過電壓保護裝置是很好的控制電力波動的措施。保證充足短期電力供給措施是可配備不間斷電源〔UPS〕，重要系統(tǒng)可配備備份供電系統(tǒng)，以備不時之需。該控制點在不同級別主要表現(xiàn)為：一級：要求能夠提供穩(wěn)定的電壓供給。二級：除一級要求外，要求能夠提供短期的電力供給。三級：除二級要求外，加強電力供給保障，能夠長時間供電和備用供電線路。四級：除三級要求外，短期備用供電范圍增大。具體見下表12：要求項一級二級三級四級工程a)a)－b〕a)b)*—d〕a)b)*—d〕合計124+4+其中，短期供電設備在二級中要求滿足的是“關鍵設備〞，三級要求“主要設備〞，四級要求“設備〞，滿足的范圍逐漸增大，因此，第三級和第四級的b都是b)*。電磁防護現(xiàn)代通信技術是建立在電磁信號傳播的根底上，而空間電磁場的開放特性決定了電磁泄漏是危及系統(tǒng)平安性的一個重要因素，電磁防護主要是提供對信息系統(tǒng)設備的電磁信號進行保護，確保用戶信息在使用和傳輸過程中的平安性。電磁防護手段從線纜物理距離上隔離、設備接地、到設備的電磁屏蔽等方面。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求具有根本的電磁防護能力，如線纜隔離。三級：除二級要求外，增強了防護能力，要求設備接地并能夠做到局部電磁屏蔽。四級：在三級要求的根底上，要求屏蔽范圍擴展到機房關鍵區(qū)域。具體見下表13：要求項一級二級三級四級工程N/Aa)a)—c〕a)—c〕*合計0133+其中，在第三級對關鍵設備和磁介質(zhì)實施電磁屏蔽的根底上，要求對關鍵區(qū)域?qū)嵤╇姶牌帘?，范圍增加了，因此c)為c)*。網(wǎng)絡平安網(wǎng)絡平安為信息系統(tǒng)在網(wǎng)絡環(huán)境的平安運行提供支持。一方面，確保網(wǎng)絡設備的平安運行，提供有效的網(wǎng)絡效勞，另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。由于網(wǎng)絡環(huán)境是抵御外部攻擊的第一道防線，因此必須進行各方面的防護。對網(wǎng)絡平安的保護，主要關注兩個方面：共享和平安。開放的網(wǎng)絡環(huán)境便利了各種資源之間的流動、共享，但同時也翻開了“罪惡〞的大門。因此，必須在二者之間尋找恰當?shù)钠胶恻c，使得在盡可能平安的情況下實現(xiàn)最大程度的資源共享，這是我們實現(xiàn)網(wǎng)絡平安的理想目標。 網(wǎng)絡平安主要關注的方面包括：網(wǎng)絡結構、網(wǎng)絡邊界以及網(wǎng)絡設備自身平安等，具體的控制點包括：結構平安、訪問控制、平安審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡設備防護等七個控制點。 不同等級的根本要求在網(wǎng)絡平安方面所表達的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達。 一級網(wǎng)絡平安要求：主要提供網(wǎng)絡平安運行的根本保障，包括網(wǎng)絡結構能夠根本滿足業(yè)務運行需要，網(wǎng)絡邊界處對進出的數(shù)據(jù)包頭進行根本過濾等訪問控制措施。 二級網(wǎng)絡平安要求：不僅要滿足網(wǎng)絡平安運行的根本保障，同時還要考慮網(wǎng)絡處理能力要滿足業(yè)務極限時的需要。對網(wǎng)絡邊界的訪問控制粒度進一步增強。同時，加強了網(wǎng)絡邊界的防護，增加了平安審計、邊界完整性檢查、入侵防范等控制點。對網(wǎng)絡設備的防護不僅局限于簡單的身份鑒別，同時對標識和鑒別信息都有了相應的要求。 三級網(wǎng)絡平安要求：對網(wǎng)絡處理能力增加了“優(yōu)先級〞考慮，保證重要主機能夠在網(wǎng)絡擁堵時仍能夠正常運行；網(wǎng)絡邊界的訪問控制擴展到應用層，網(wǎng)絡邊界的其他防護措施進一步增強，不僅能夠被動的“防〞，還應能夠主動發(fā)出一些動作，如報警、阻斷等。網(wǎng)絡設備的防護手段要求兩種身份鑒別技術綜合使用。 四級網(wǎng)絡平安要求：對網(wǎng)絡邊界的訪問控制做出了更為嚴格的要求，禁止遠程撥號訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護措施也加強了要求。網(wǎng)絡平安審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網(wǎng)絡設備的防護，在身份鑒別手段上除要求兩種技術外，其中一種鑒別技術必須是不可偽造的，進一步加強了對網(wǎng)絡設備的防護。 下表說明了網(wǎng)絡平安在控制點逐級變化的特點：表14網(wǎng)絡平安層面控制點的逐級變化控制點一級二級三級四級結構平安****訪問控制****平安審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡設備防護****合計3677 另外兩個特點〔要求項增加和要求項強度增強〕將在以下控制點描述時具體展開。結構平安 在對網(wǎng)絡平安實現(xiàn)全方位保護之前，首先應關注整個網(wǎng)絡的資源分布、架構是否合理。只有結構平安了，才能在其上實現(xiàn)各種技術功能，到達網(wǎng)絡平安保護的目的。通常，一個機構是由多個業(yè)務部門組成，各部門的地位、重要性不同，部門所要處理的信息重要性也不同，因此，需要對整個網(wǎng)絡進行子網(wǎng)劃分。 該控制點主要從網(wǎng)段劃分、資源〔帶寬、處理能力〕保證、優(yōu)先處理等方面來要求。其在不同級別主要表現(xiàn)為： 一級：要求網(wǎng)絡資源方面能夠為網(wǎng)絡的正常運行提供根本的保障。 二級：在一級要求的根底上，要求網(wǎng)絡資源能夠滿足業(yè)務頂峰的需要，同時應以網(wǎng)段形式分隔不同部門的系統(tǒng)。 三級：除二級要求外，增加了“處理優(yōu)先級〞考慮，以保證重要主機能夠正常運行。 四級：與三級要求根本相同。 具體見下表15：要求項一級二級三級四級工程a)－c)a)*b)*-d)a)*b)*c)*—g)a)*—g)合計34+7+7+ 在二級，a)b)控制點在網(wǎng)絡資源〔設備處理能力、帶寬〕加強了力度，不僅要求滿足根本的業(yè)務需要，更應滿足業(yè)務頂峰時的網(wǎng)絡正常運行。因此，a)b)項在強度上都有所增強。在三級，a)b)控制點在第二級要求的“關鍵網(wǎng)絡設備〞、“接入網(wǎng)絡和核心網(wǎng)絡〞的根底上在網(wǎng)絡范圍上增加了，要求“〞主要網(wǎng)絡設備“、“網(wǎng)絡各個局部的帶寬〞，因此，a)b)項在強度上都有所增強。在四級，a)控制點在三級要求的根底上，要求“網(wǎng)絡設備〞，范圍上又增加了要求，因此，a)項在強度上有所增強。訪問控制 對于網(wǎng)絡而言，最重要的一道平安防線就是邊界，邊界上會聚了所有流經(jīng)網(wǎng)絡的數(shù)據(jù)流，必須對其進行有效的監(jiān)視和控制。所謂邊界即是采用不同平安策略的兩個網(wǎng)絡連接處，比方用戶網(wǎng)絡和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。有連接，必有數(shù)據(jù)間的流動，因此在邊界處，重要的就是對流經(jīng)的數(shù)據(jù)〔或者稱進出網(wǎng)絡〕進行嚴格的訪問控制。按照一定的規(guī)那么允許或拒絕數(shù)據(jù)的流入、流出。如果說，網(wǎng)絡訪問控制是從數(shù)據(jù)的角度對網(wǎng)絡中流動的數(shù)據(jù)進行控制，那么，撥號訪問控制那么是從用戶的角度對遠程訪問網(wǎng)絡的用戶進行控制。對用戶的訪問控制，同樣應按照一定的控制規(guī)那么來允許或拒絕用戶的訪問。 該控制點在不同級別主要表現(xiàn)為： 一級：主要在網(wǎng)絡邊界處對經(jīng)過的數(shù)據(jù)進行包頭信息的過濾，以控制數(shù)據(jù)的進出網(wǎng)絡，對用戶進行根本的訪問控制。 二級：在一級要求的根底上，對數(shù)據(jù)的過濾增強為根據(jù)會話信息進行過濾，對用戶訪問粒度進一步細化，由用戶組到單個用戶，同時限制撥號訪問的用戶數(shù)量。 三級：在二級要求的根底上，將過濾的力度擴展到應用層，即根據(jù)應用的不同而過濾，對設備接入網(wǎng)絡進行了一定的限制。 四級：對數(shù)據(jù)本身所帶的協(xié)議進行了禁止，同時根據(jù)數(shù)據(jù)的敏感標記允許或拒絕數(shù)據(jù)通過，并禁止遠程撥號訪問。 具體見下表16：要求項一級二級三級四級工程a)b)c)a)b)c)*-d)a)b)*—h)a)—d)合計34+8+4 二級與一級相比，在對數(shù)據(jù)的過濾上由一級包頭信息過濾增強為對會話信息的過濾，過濾的粒度增強，使得網(wǎng)絡訪問控制的強度增強。另外，在四級，該控制點的要求項較三級減少，原因是在四級做出了更高的要求，禁止數(shù)據(jù)帶任何協(xié)議流經(jīng)網(wǎng)絡，這樣在很大程度上縮減了其他要求。對用戶訪問粒度的變化〔由用戶組到單個用戶〕是該要求項的主要特點。其次，隨著級別的增加，對撥號用戶的數(shù)量有了一定的限制，到四級那么是禁止用戶撥號訪問，因此，在四級，雖要求項減少，但強度已達最高。平安審計 如果將平安審計僅僅理解為“日志記錄〞功能，那么目前大多數(shù)的操作系統(tǒng)、網(wǎng)絡設備都有不同程度的日志功能。但是實際上僅這些日志根本不能保障系統(tǒng)的平安，也無法滿足事后的追蹤取證。平安審計并非日志功能的簡單改良，也并非等同于入侵檢測。 網(wǎng)絡平安審計重點包括的方面：對網(wǎng)絡流量監(jiān)測以及對異常流量的識別和報警、網(wǎng)絡設備運行情況的監(jiān)測等。通過對以上方面的記錄分析，形成報表，并在一定情況下發(fā)出報警、阻斷等動作。其次，對平安審計記錄的管理也是其中的一方面。由于各個網(wǎng)絡產(chǎn)品產(chǎn)生的平安事件記錄格式也不統(tǒng)一，難以進行綜合分析，因此，集中審計已成為網(wǎng)絡平安審計開展的必然趨勢。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：要求對網(wǎng)絡設備運行、網(wǎng)絡流量等根本情況進行記錄。 三級：除二級要求外，要求對形成的記錄能夠分析、形成報表。同時對審計記錄提出了保護要求。 四級：除三級要求外，要求設置審計跟蹤極限閾值，并做到集中審計。 具體見下表17：要求項一級二級三級四級工程N/Aa)b〕a)—d)a)－f〕合計0246邊界完整性檢查 雖然網(wǎng)絡采取了防火墻、IDS等有效的技術手段對邊界進行了防護，但如果內(nèi)網(wǎng)用戶在邊界處通過其他手段接入內(nèi)網(wǎng)〔如無線網(wǎng)卡、雙網(wǎng)卡、modem撥號上網(wǎng)〕，這些邊界防御那么形同虛設。因此，必須在全網(wǎng)中對網(wǎng)絡的連接狀態(tài)進行監(jiān)控，準確定位并能及時報警和阻斷。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：能夠檢測到內(nèi)部的非法聯(lián)出情況。 三級：在二級的根底上，能檢測到非授權設備私自外聯(lián)，而且能夠準確定位并阻斷。 四級：與三級要求相同。 具體見下表18：要求項一級二級三級四級工程N/Aa)a)—b)*a)－b〕合計012+2在三級，b)項是二級中的增強項，要求不但能夠檢測到，而且能夠準確定位并阻斷。入侵防范 網(wǎng)絡訪問控制在網(wǎng)絡平安中起到大門警衛(wèi)的作用，對進出的數(shù)據(jù)進行規(guī)那么匹配，是網(wǎng)絡平安的第一道閘門。但其也有局限性，它只能對進出網(wǎng)絡的數(shù)據(jù)進行分析，對網(wǎng)絡內(nèi)部發(fā)生的事件那么無能為力。基于網(wǎng)絡的入侵檢測，被認為是防火墻之后的第二道平安閘門，它主要是監(jiān)視所在網(wǎng)段內(nèi)的各種數(shù)據(jù)包，對每一個數(shù)據(jù)包或可疑數(shù)據(jù)包進行分析，如果數(shù)據(jù)包與內(nèi)置的規(guī)那么吻合，入侵檢測系統(tǒng)就會記錄事件的各種信息，并發(fā)出警報。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：能夠檢測常見攻擊的發(fā)生。 三級：在二級要求的根底上，不僅能夠檢測，并能發(fā)出報警。 四級：在三級要求的根底上，防范能力增強，做到檢測、報警并自動采取相應動作阻斷等。 具體見下表19：要求項一級二級三級四級工程N/Aa)a)—b)a)－b)*合計0122+ 四級要求較三級，在強度上增強，當檢測到入侵事件時，不僅要求能夠發(fā)出報警，并能夠自動采取相應動作，這對入侵檢測系統(tǒng)的要求就比擬高。惡意代碼防范 目前，對惡意代碼的防范已是全方位、立體防護的概念。根據(jù)對惡意代碼引入的源頭進行分析，可以得出，隨著互聯(lián)網(wǎng)的不斷開展，從網(wǎng)絡上引入到本地的惡意代碼占絕大多數(shù)。因此，在網(wǎng)絡邊界處對惡意代碼進行防范是整個防范工作的重點。部署了相應的網(wǎng)絡防病毒產(chǎn)品后，并不代表“萬事大吉〞了，根據(jù)統(tǒng)計，平均每個月有300種新的病毒被發(fā)現(xiàn)，如果產(chǎn)品惡意代碼庫跟不上這一速度，其實際檢測效率可能會大大降低，因此，必須及時地、自動更新產(chǎn)品中的惡意代碼定義。這種更新必須非常頻繁，且對用戶透明。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：無此要求。 三級：要求能夠在網(wǎng)絡邊界處防范惡意代碼，并保持代碼庫的及時更新。 四級：與三級要求相同。 具體見下表20：要求項一級二級三級四級工程N/AN/Aa)－b〕a)－b〕合計0022網(wǎng)絡設備防護 對網(wǎng)絡平安的防護，除了對網(wǎng)絡結構、網(wǎng)絡邊界部署相應的平安措施外，另外一個重要的方面就是對實現(xiàn)這些控制要求的網(wǎng)絡設備的保護。通過登錄網(wǎng)絡設備對各種參數(shù)進行配置、修改等，都直接影響網(wǎng)絡平安功能的發(fā)揮。因此，網(wǎng)絡設備的防護主要是對用戶登錄前后的行為進行控制。 該控制點在不同級別主要表現(xiàn)為： 一級：對網(wǎng)絡設備要求根本的登錄鑒別措施。 二級：對登錄要求進一步增強，提出了鑒別標識唯一、鑒別信息復雜等要求。 三級：在二級要求的根底上，提出了兩種以上鑒別技術的組合來實現(xiàn)身份鑒別，同時提 出了特權用戶權限別離。 四級：在三級要求的根底上，要求其中一種鑒別技術為是不可偽造的。 具體見下表21：要求項一級二級三級四級工程a)－c)a)－f〕a)－h(huán)〕a)－i〕合計3689主機平安主機系統(tǒng)平安是包括效勞器、終端/工作站等在內(nèi)的計算機設備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的平安。終端/工作站是帶外設的臺式機與筆記本計算機，效勞器那么包括應用程序、網(wǎng)絡、web、文件與通信等效勞器。主機系統(tǒng)是構成信息系統(tǒng)的主要局部，其上承載著各種應用。因此，主機系統(tǒng)平安是保護信息系統(tǒng)平安的中堅力量。主機系統(tǒng)平安涉及的控制點包括：身份鑒別、平安標記、訪問控制、可信路徑、平安審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等九個控制點。不同等級的根本要求在主機系統(tǒng)平安方面所表達的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達。一級主機系統(tǒng)平安要求：對主機進行根本的防護，要求主機做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機能夠進行惡意代碼防范。二級主機系統(tǒng)平安要求：在控制點上增加了平安審計和資源控制等。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求；訪問控制的粒度進行了細化等，惡意代碼增加了統(tǒng)一管理等。三級主機系統(tǒng)平安要求：在控制點上增加了剩余信息保護，即，訪問控制增加了設置敏感標記等，力度變強。同樣，身份鑒別的力度進一步增強，要求兩種以上鑒別技術同時使用。平安審計已不滿足于對平安事件的記錄，而要進行分析、生成報表。對惡意代碼的防范綜合考慮網(wǎng)絡上的防范措施，做到二者相互補充。對資源控制的增加了對效勞器的監(jiān)視和最小效勞水平的監(jiān)測和報警等。四級主機系統(tǒng)平安要求：在控制點上增加了平安標記和可信路徑，其他控制點在強度上也分別增強，如，身份鑒別要求使用不可偽造的鑒別技術，訪問控制要求局部按照強制訪問控制的力度實現(xiàn)，平安審計能夠做到統(tǒng)一集中審計等。下表說明了主機系統(tǒng)平安在控制點上逐級變化的特點：表22主機系統(tǒng)平安層面控制點的逐級變化控制點一級二級三級四級身份鑒別****平安標記*訪問控制****可信路徑*平安審計***剩余信息保護**入侵防范****惡意代碼防范****資源控制***合計4679另外兩個特點〔要求項增加和要求項強度增強〕將在以下控制點描述時具體展開。身份鑒別為確保系統(tǒng)的平安，必須對系統(tǒng)中的每一用戶或與之相連的效勞器或終端設備進行有效的標識與鑒別，只有通過鑒別的用戶才能被賦予相應的權限，進入系統(tǒng)并在規(guī)定的權限內(nèi)操作。該控制點在不同級別主要表現(xiàn)為：一級：主要強調(diào)了該功能的使能性，即，能夠進行簡單的身份鑒別。二級：在一級要求的根底上，對登錄要求進一步增強，提出了鑒別標識唯一、鑒別信息復雜等要求。三級：在二級要求的根底上，提出了兩種以上鑒別技術的組合來實現(xiàn)身份鑒別。四級：在三級要求的根底上，要求其中一種鑒別技術為是不可偽造的，同時增加了設置鑒別警示信息的要求。具體見下表23：要求項一級二級三級四級工程a)a)－e)a)—f)a)—g)*合計1568+其中，四級中g)是在三級的根底上要求其中一種鑒別技術為是不可偽造的，所以是增強要求。平安標記在主機系統(tǒng)層面，在高級別系統(tǒng)中要實現(xiàn)強度較強的訪問控制必須要增加平安標記，通過對主體和客體進行標記，主體不能隨意更改權限，權限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求對所有主體和客體設置敏感標記。具體見下表24：要求項一級二級三級四級工程N/AN/AN/Aa)合計0001訪問控制在系統(tǒng)中實施訪問控制是為了保證系統(tǒng)資源〔操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)〕受控合法地使用。用戶只能根據(jù)自己的權限大小來訪問系統(tǒng)資源，不得越權訪問。該控制點在不同級別主要表現(xiàn)為：一級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗。二級：在一級要求的根底上，實現(xiàn)不同系統(tǒng)用戶的權限別離。三級：除二級要求外，強調(diào)了最小授權原那么，使得用戶的權限最小化，同時要求對重要信息資源設置敏感標記。四級：除三級要求外，增加了強制訪問控制的局部功能，要求依據(jù)平安策略和所有主體和客體設置的敏感標記控制主體對客體的訪問訪問，同時增強了控制粒度，到達主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表、記錄和字段級。具體見下表25：要求項一級二級三級四級工程a)－c)a)-d)a)—g)a)*—f)合計3476+其中，在四級，去掉了三級中的f)和g)同時對a)要求依據(jù)平安策略和所有主體和客體設置的敏感標記控制主體對客體的訪問訪問，增強了要求，所以是a)*，同時在四級中增加了b)，主要是增強了控制粒度，所以盡管四級的要求項減少了，但實際要求增強了?？尚怕窂皆谟嬎銠C系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過應用層作為接口進行會話。但由于應用層并不是能完全信任的，因此在系統(tǒng)的平安功能中，提出了“可信路徑〞這一概念〔也是桔皮書B2級的平安要求〕。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求在用戶進行身份鑒別和訪問時，提供用戶與系統(tǒng)之間可信的平安通信路徑。具體見下表26：要求項一級二級三級四級工程N/AN/AN/Aa)–b)合計0002平安審計同網(wǎng)絡平安審計相似，對主機進行平安審計，目的是為了保持對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。主機平安審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對用戶行為、系統(tǒng)異常情況等根本情況進行審計、記錄，審計范圍僅覆蓋效勞器用戶。三級：除二級要求外，要求對形成的記錄能夠分析、生成報表。同時對審計記錄提出了保護要求。另外，審計覆蓋范圍擴大，由二級的效勞器擴展到客戶端。四級：除三級要求外，要求做到集中審計。具體見下表27：要求項一級二級三級四級工程N/Aa)－d)a)*—f)a)—g)合計046+7其中，三級中的審計覆蓋的范圍由二級的效勞器到效勞器和客戶端的數(shù)據(jù)庫和操作系統(tǒng)用戶，審計的力度增強，所以是a)*。剩余信息保護為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權的訪問，操作系統(tǒng)應對這些剩余信息加以保護。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，操作系統(tǒng)將其完全去除之后，才釋放或重新分配給其他用戶。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求對存放鑒別信息、文件、記錄等存儲空間進行重新使用前的去除。四級：與三級要求相同。具體見下表28：要求項一級二級三級四級工程N/AN/Aa)－b)a)－b)合計0022入侵防范由于基于網(wǎng)絡的入侵檢測只是在被監(jiān)測的網(wǎng)段內(nèi)對網(wǎng)絡非授權的訪問、使用等情況進行防范，它無法防范網(wǎng)絡內(nèi)單臺主機、效勞器等被攻擊的情況?；谥鳈C的入侵檢測，可以說是基于網(wǎng)絡的“補充〞，補充檢測那些出現(xiàn)在“授權〞的數(shù)據(jù)流或其他遺漏的數(shù)據(jù)流中的入侵行為。該控制點在不同級別主要表現(xiàn)為：一級：根本的防范要求，要求安裝應遵循最小授權原那么，并及時更新。二級：在一級的根底上要求設置升級效勞器方式及時更新。三級：在二級的根底上，增加對入侵行為進行記錄和檢測，并能夠采取報警等措施；對重要程序完整性進行檢測并恢復。四級：同三級要求。具體見下表29：要求項一級二級三級四級工程a)a)*a)－c)a)－c)合計11+33惡意代碼防范惡意代碼一般通過兩種方式造成各種破壞，一種是通過網(wǎng)絡，另外一種就是通過主機。網(wǎng)絡邊界處的惡意代碼防范可以說是防范工作的“第一道門檻〞，然而，如果惡意代碼通過網(wǎng)絡進行蔓延，那么直接后果就是造成網(wǎng)絡內(nèi)的主機感染，所以說，網(wǎng)關處的惡意代碼防范并不是“一勞永逸〞。另外，通過各種移動存儲設備的接入主機，也可能造成該主機感染病毒，而后通過網(wǎng)絡感染其他主機。所以說，這兩種方式是交叉發(fā)生的，必須在兩處同時進行防范，才能盡可能的保證平安。該控制點在不同級別主要表現(xiàn)為：一級：重要主機應安裝一定的防范產(chǎn)品。二級：在一級要求的根底上，要求對惡意代碼進行統(tǒng)一管理。三級：除二級要求外，要求主機與網(wǎng)絡處的防范產(chǎn)品不同。四級：與三級要求相同。具體見下表30：要求項一級二級三級四級工程a〕a)－b〕a)－c)a)－c)合計1233由于不同產(chǎn)商的惡意代碼防范產(chǎn)品在惡意代碼庫的定義以及升級時機上都有所不同，因此，如果主機和網(wǎng)絡的防范產(chǎn)品出于不同廠家，那么二者相互補充，在防范水平上會較同樣一種產(chǎn)品防范兩處要高。因此，在三級要求系統(tǒng)能夠采取兩種產(chǎn)品防范的要求。由于信息系統(tǒng)具有網(wǎng)絡層次多、節(jié)點多、覆蓋地域廣等特點，各部門對計算機的使用和維護水平也不盡相同，這些均要求防惡意代碼軟件能夠提供統(tǒng)一管理和集中監(jiān)控，能夠在惡意代碼監(jiān)控中心的統(tǒng)一管理下，統(tǒng)一、自動升級，將潛在的惡意代碼感染源去除在感染之前。同時，也極大的簡化了系統(tǒng)維護工作，有利于防范惡意代碼策略的有效實施。資源控制操作系統(tǒng)是非常復雜的系統(tǒng)軟件，其最主要的特點是并發(fā)性和共享性。在邏輯上多個任務并發(fā)運行，處理器和外部設備能同時工作。多個任務共同使用系統(tǒng)資源，使其能被有效共享，大大提高系統(tǒng)的整體效率，這是操作系統(tǒng)的根本目標。通常計算機資源包括以下幾類：中央處理器、存儲器、外部設備、信息〔包括程序和數(shù)據(jù)〕，為保證這些資源有效共享和充分利用，操作系統(tǒng)必須對資源的使用進行控制，包括限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當?shù)卿浗K端的操作超時或鑒別失敗時進行鎖定、根據(jù)效勞優(yōu)先級分配系統(tǒng)資源等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對單個用戶的會話數(shù)量以及終端登錄進行限制。三級：除二級要求外，增加了監(jiān)視效勞器和對系統(tǒng)最小效勞進行監(jiān)測和報警的要求。四級：與三級要求相同。具體見下表31：要求項一級二級三級四級工程N/Aa)－c〕a)－e)a)－e)合計0355應用平安通過網(wǎng)絡、主機系統(tǒng)的平安防護，最終應用平安成為信息系統(tǒng)整體防御的最后一道防線。在應用層面運行著信息系統(tǒng)的基于網(wǎng)絡的應用以及特定業(yè)務應用?；诰W(wǎng)絡的應用是形成其他應用的根底，包括消息發(fā)送、web瀏覽等，可以說是根本的應用。業(yè)務應用采納根本應用的功能以滿足特定業(yè)務的要求，如電子商務、電子政務等。由于各種根本應用最終是為業(yè)務應用效勞的，因此對應用系統(tǒng)的平安保護最終就是如何保護系統(tǒng)的各種業(yè)務應用程序平安運行。應用平安主要涉及的平安控制點包括：身份鑒別、平安標記、訪問控制、可信路徑、平安審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點。不同等級的根本要求在應用平安方面所表達的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達。一級應用平安要求：對應用進行根本的防護，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等根本防護。二級應用平安要求：在控制點上增加了平安審計、通信保密性和資源控制等。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求。訪問控制的粒度進行了細化，對通信過程的完整性保護提出了特定的校驗碼技術。應用軟件自身的平安要求進一步增強，軟件容錯能力增強。三級應用平安要求：在控制點上增加了剩余信息保護和抗抵賴等。同時，身份鑒別的力度進一步增強，要求組合鑒別技術，訪問控制增加了敏感標記功能，平安審計已不滿足于對平安事件的記錄，而要進行分析等。對通信過程的完整性保護提出了特定的密碼技術。應用軟件自身的平安要求進一步增強，軟件容錯能力增強，增加了自動保護功能。四級應用平安要求：在控制點上增加了平安標記和可信路徑等。局部控制點在強度上進一步增強，如，身份鑒別要求使用不可偽造的鑒別技術，平安審計能夠做到統(tǒng)一平安策略提供集中審計接口等，軟件應具有自動恢復的能力等。下表說明了應用系統(tǒng)平安在控制點上逐級變化的特點：表32應用平安層面控制點的逐級變化控制點一級二級三級四級身份鑒別****平安標記*訪問控制****可信路經(jīng)*平安審計***剩余信息保護**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計47911另外兩個特點〔要求項增加和要求項強度增強〕將在以下控制點描述時具體展開。身份鑒別同主機系統(tǒng)的身份鑒別一樣，應用系統(tǒng)同樣對登錄的用戶進行身份鑒別，以確保用戶在規(guī)定的權限內(nèi)進行操作。該控制點在不同級別主要表現(xiàn)為：一級：主要強調(diào)了該功能的使能性，即，能夠進行簡單的身份鑒別。二級：在一級要求的根底上，對登錄要求進一步增強，提出了鑒別標識唯一、鑒別信息復雜等要求。三級：在二級要求的根底上，提出了兩種以上鑒別技術的組合來實現(xiàn)身份鑒別。四級：在三級要求的根底上，要求其中一種鑒別技術為是不可偽造的。具體見下表33：要求項一級二級三級四級工程a)－c)a)－d)*a)—e)a)b)*—e)合計34+55+其中，二級中，d)增加了鑒別標志唯一、鑒別信息復雜要求，是增強要求；四級中，b)增加了其中一種鑒別技術為是不可偽造的要求。平安標記在應用系統(tǒng)層面，在高級別系統(tǒng)中要實現(xiàn)強度較強的訪問控制必須要增加平安標記，通過對主體和客體進行標記，主體不能隨意更改權限，權限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求為主體和客體設置平安標記的功能并在安裝后啟用。具體見下表34：要求項一級二級三級四級工程N/AN/AN/Aa)合計0001訪問控制在應用系統(tǒng)中實施訪問控制是為了保證應用系統(tǒng)受控合法地使用。用戶只能根據(jù)自己的權限大小來訪問應用系統(tǒng)，不得越權訪問。該控制點在不同級別主要表現(xiàn)為：一級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗。二級：在一級要求的根底上，控制粒度細化，增加覆蓋范圍要求，并強調(diào)了最小授權原那么，使得用戶的權限最小化。三級：在二級要求的根底上，增加了對重要信息設置敏感標記，并控制對其的操作。四級：除三級要求外，提出以標記的方式進行應用系統(tǒng)訪問的控制。具體見下表35：要求項一級二級三級四級工程a)－b)a)*－d)a)—f)a)b)c)*—e)合計24+75+其中，在二級，a)增加了依據(jù)平安策略控制訪問；四級中，去掉了三級中的e)和f)，提出以標記的方式進行應用系統(tǒng)訪問的控制，c〕增加了禁止默認賬戶的訪問，所以盡管比三級要求項減少了，但是強度增強了。可信路徑在計算機系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過應用層作為接口進行會話。但由于應用層并不是能完全信任的，因此在系統(tǒng)的平安功能中，提出了“可信路徑〞這一概念〔也是桔皮書B2級的平安要求〕。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求在用戶進行身份鑒別和訪問時，提供用戶與系統(tǒng)之間可信的平安通信路徑。具體見下表36：要求項一級二級三級四級工程N/AN/AN/Aa)–b)合計0002平安審計同主機平安審計相似，應用系統(tǒng)平安審計目的是為了保持對應用系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。應用平安審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)功能執(zhí)行以及系統(tǒng)資源使用情況等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對用戶行為、平安事件等進行記錄。三級：除二級要求外，要求對形成的記錄能夠統(tǒng)計、分析、并生成報表。四級：除三級要求外，要求根據(jù)系統(tǒng)統(tǒng)一平安策略，提供集中審計接口。具體見下表37：要求項一級二級三級四級工程N/Aa)－c)a)b)*—d)a)—e)合計034+5其中，三級中，b)增加了無法單獨中斷審計進程要求，所以強度增加。剩余信息保護為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權的訪問，應用系統(tǒng)應對這些剩余信息加以保護。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，應將其完全去除之后，才釋放或重新分配給其他用戶。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求對存放鑒別信息、文件、記錄等存儲空間進行重新使用前的去除。四級：與三級要求相同。具體見下表38：要求項一級二級三級四級工程N/AN/Aa)－b)a)－b)合計0022通信完整性許多應用程序通過網(wǎng)絡與最終用戶之間傳遞數(shù)據(jù)，此外還在中間應用程序節(jié)點之間傳遞數(shù)據(jù)，這些數(shù)據(jù)由于與應用有關，多數(shù)帶有機密性，如信用卡號碼或銀行交易明細數(shù)據(jù)等。為了防止發(fā)生意外的信息泄漏，并保護數(shù)據(jù)免受傳輸時擅自修改，就必須確保通信點間的平安性。平安的通信具有以下兩個特點：完整性和保密性。我們首先了解通信完整性。該控制點在不同級別主要表現(xiàn)為：一級：要求通信雙方確定一定的會話方式，從而判斷數(shù)據(jù)的完整性。二級：要求通信雙方利用單向校驗碼技術來判斷數(shù)據(jù)的完整性。三級：要求通信雙方利用密碼技術來判斷數(shù)據(jù)的完整性。四級：與三級要求相同。具體見下表39：要求項一級二級三級四級工程a)a)*a)*a)合計11+1+1通信保密性同通信完整性一樣，通信保密性也是保證通信平安的重要方面。它主要確保數(shù)據(jù)處于保密狀態(tài)，不被竊聽。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對建立連接前初始化驗證和通信過程敏感信息加密。三級：在二級要求的根底上，要求對通信過程加密的范圍擴大為整個報文或會話過程。四級：在三級要求的根底上，對加解密運算要求設備化。具體見下表40：要求項一級二級三級四級工程N/Aa)—b〕a)—b)*a)—c)合計022+3對數(shù)據(jù)加密的范圍由二級的敏感信息擴大為三級的整個報文或會話過程，保密性得到加強。抗抵賴通信完整性和保密性并不能保證通信抗抵賴行為，即，通信雙方或不成認已發(fā)出的數(shù)據(jù)，或不成認已接收到的數(shù)據(jù)，從而無法保證應用的正常進行。必須采取一定的抗抵賴手段，從而防止雙方否認數(shù)據(jù)所進行的交換。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求具有通信雙方提供原發(fā)接收或發(fā)送數(shù)據(jù)的功能。四級：與三級要求相同。具體見下表41：要求項一級二級三級四級工程N/AN/Aa)—b〕a)—b〕合計0022軟件容錯容錯技術是提高整個系統(tǒng)可靠性的有效途徑，通常在硬件配置上，采用了冗余備份的方法，以便在資源上保證系統(tǒng)的可靠性。在軟件設計上，那么主要考慮應用程序?qū)﹀e誤〔故障〕的檢測、處理能力。該控制點在不同級別主要表現(xiàn)為：一級：要求具有根本的數(shù)據(jù)校驗功能。二級：在一級要求的根底上，要求故障發(fā)生時能夠繼續(xù)運行局部功能。三級：在二級要求的根底上，要求具有自動保護功能。四級：在三級要求的根底上，要求具有自動恢復功能。具體見下表42：要求項一級二級三級四級工程a)a)－b)a)—b〕*a)—c〕合計122+3三級中，b)項要求在二級的根底上，提出具有自動保護功能的要求，所以強度增加。資源控制操作系統(tǒng)對同時的連接數(shù)量、翻開文件數(shù)量、進程使用內(nèi)存等進行了一定的資源控制，保證資源合理有效的使用，以及防止系統(tǒng)資源被濫用而引發(fā)各種攻擊。同樣，應用程序也有相應的資源控制措施，包括限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當?shù)卿浗K端的操作超時或鑒別失敗時進行鎖定、根據(jù)效勞優(yōu)先級分配系統(tǒng)資源等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求單個用戶會話數(shù)量、最大并發(fā)會話數(shù)量的限制。三級：除二級要求外，增加了一段時間內(nèi)的并發(fā)會話數(shù)量、單個賬戶或進程的資源配額、根據(jù)效勞優(yōu)先級分配資源以及對系統(tǒng)最小效勞進行監(jiān)測和報警的要求。四級：與三級要求相同。具體見下表43：要求項一級二級三級四級工程N/Aa)－c〕a)－g)a)－g)合計0377數(shù)據(jù)平安及備份恢復信息系統(tǒng)處理的各種數(shù)據(jù)〔用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)等〕在維持系統(tǒng)正常運行上起著至關重要的作用。一旦數(shù)據(jù)遭到破壞〔泄漏、修改、毀壞〕，都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運行。由于信息系統(tǒng)的各個層面〔網(wǎng)絡、主機、應用等〕都對各類數(shù)據(jù)進行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護需要物理環(huán)境、網(wǎng)絡、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持。各個“關口〞把好了，數(shù)據(jù)本身再具有一些防御和修復手段，必然將對數(shù)據(jù)造成的損害降至最小。另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災難發(fā)生時可能造成的系統(tǒng)危害。保證數(shù)據(jù)平安和備份恢復主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復等三個控制點考慮。不同等級的根本要求在應用平安方面所表達的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達。一級數(shù)據(jù)平安及備份恢復要求：對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M行備份。二級數(shù)據(jù)平安備份恢復要求：對數(shù)據(jù)完整性的要求增強，范圍擴大，要求鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強，要求一定的硬件冗余。三級數(shù)據(jù)平安備份恢復要求：對數(shù)據(jù)完整性的要求增強，范圍擴大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進行恢復。對數(shù)據(jù)保密性要求范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡拓撲。四級數(shù)據(jù)平安備份恢復要求：為進一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的平安協(xié)議的要求。同時，備份方式增加了建立異地適時災難備份中心，在災難發(fā)生后系統(tǒng)能夠自動切換和恢復。下表說明了數(shù)據(jù)平安在控制點上逐級變化的特點：表44數(shù)據(jù)平安層面控制點的逐級變化控制點一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復****合計2333另外兩個特點〔要求項增加和要求項強度增強〕將在以下控制點描述時具體展開。數(shù)據(jù)完整性數(shù)據(jù)完整性主要保證各種重要數(shù)據(jù)在存儲和傳輸過程中免受未授權的破壞。這種保護包括對完整性破壞的檢測和恢復。該控制點在不同級別主要表現(xiàn)為：一級：能夠?qū)τ脩魯?shù)據(jù)在傳輸過程的完整性進行檢測。二級：在一級要求的根底上，范圍擴大，要求鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中都要保證其完整性。三級：在二級要求的根底上，范圍又擴大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進行恢復。四級：除三級要求外，要求采用平安、專用的通信協(xié)議。具體見下表45：要求項一級二級三級四級工程a)a)*a)*－b)a)－c)合計11+2+3在二級，a)范圍增加了重要業(yè)務數(shù)據(jù)的傳輸完整性；在三級，a)增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性。數(shù)據(jù)保密性數(shù)據(jù)保密性主要從數(shù)據(jù)的傳輸和存儲兩方面保證各類敏感數(shù)據(jù)不被未授權的訪問，以免造成數(shù)據(jù)泄漏。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求能夠?qū)崿F(xiàn)鑒別信息的存儲保密性。三級：除二級要求外，范圍擴大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的傳輸和存儲的保密性。四級：除三級要求外，要求采用平安、專用的通信協(xié)議。具體見下表46：要求項一級二級三級四級工程N/Aa)a)－b〕*a)－c)合計012+3在三級，b〕增加了系統(tǒng)管理數(shù)據(jù)的傳輸保密性。數(shù)據(jù)備份和恢復所謂“防患于未然〞，即使對數(shù)據(jù)進