信息系統(tǒng)安全等級(jí)保護(hù)基本要求培訓(xùn)教材

1、. .60/60信息安全等級(jí)保護(hù)培訓(xùn)教材信息系統(tǒng)安全等級(jí)保護(hù)基本要求公安部2007年7月目錄 TOC o 1-3 h z u HYPERLINK l _Toc1732946611概述 PAGEREF _Toc173294661 h 3HYPERLINK l _Toc1732946621.1背景介紹 PAGEREF _Toc173294662 h 3HYPERLINK l _Toc1732946631.2主要作用與特點(diǎn) PAGEREF _Toc173294663 h 3HYPERLINK l _Toc1732946641.3與其他標(biāo)準(zhǔn)的關(guān)系 PAGEREF _Toc173294664 h 4HY

2、PERLINK l _Toc1732946651.4框架結(jié)構(gòu) PAGEREF _Toc173294665 h 4HYPERLINK l _Toc1732946662描述模型 PAGEREF _Toc173294666 h 5HYPERLINK l _Toc1732946672.1總體描述 PAGEREF _Toc173294667 h 5HYPERLINK l _Toc1732946682.2保護(hù)對(duì)象 PAGEREF _Toc173294668 h 6HYPERLINK l _Toc1732946692.3安全保護(hù)能力 PAGEREF _Toc173294669 h 6HYPERLINK l

3、_Toc1732946702.4安全要求 PAGEREF _Toc173294670 h 8HYPERLINK l _Toc1732946713逐級(jí)增強(qiáng)的特點(diǎn) PAGEREF _Toc173294671 h 9HYPERLINK l _Toc1732946723.1增強(qiáng)原則 PAGEREF _Toc173294672 h 9HYPERLINK l _Toc1732946733.2總體描述 PAGEREF _Toc173294673 h 10HYPERLINK l _Toc1732946743.3控制點(diǎn)增加 PAGEREF _Toc173294674 h 11HYPERLINK l _Toc17

4、32946753.4要求項(xiàng)增加 PAGEREF _Toc173294675 h 11HYPERLINK l _Toc1732946763.5控制強(qiáng)度增強(qiáng) PAGEREF _Toc173294676 h 12HYPERLINK l _Toc1732946774各級(jí)安全要求 PAGEREF _Toc173294677 h 13HYPERLINK l _Toc1732946784.1技術(shù)要求 PAGEREF _Toc173294678 h 13HYPERLINK l _Toc1732946794.1.1物理安全 PAGEREF _Toc173294679 h 13HYPERLINK l _Toc17

5、32946804.1.2網(wǎng)絡(luò)安全 PAGEREF _Toc173294680 h 19HYPERLINK l _Toc1732946814.1.3主機(jī)安全 PAGEREF _Toc173294681 h 24HYPERLINK l _Toc1732946824.1.4應(yīng)用安全 PAGEREF _Toc173294682 h 30HYPERLINK l _Toc1732946834.1.5數(shù)據(jù)安全與備份恢復(fù) PAGEREF _Toc173294683 h 36HYPERLINK l _Toc1732946844.2管理要求 PAGEREF _Toc173294684 h 38HYPERLINK

6、l _Toc1732946854.2.1安全管理制度 PAGEREF _Toc173294685 h 38HYPERLINK l _Toc1732946864.2.2安全管理機(jī)構(gòu) PAGEREF _Toc173294686 h 41HYPERLINK l _Toc1732946874.2.3人員安全管理 PAGEREF _Toc173294687 h 44HYPERLINK l _Toc1732946884.2.4系統(tǒng)建設(shè)管理 PAGEREF _Toc173294688 h 47HYPERLINK l _Toc1732946894.2.5系統(tǒng)運(yùn)維管理 PAGEREF _Toc173294689

7、 h 52本教材根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)管理辦法公通字200743號(hào)和關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知公信安2007861號(hào)文件，圍繞信息安全等級(jí)工作，介紹信息系統(tǒng)安全建設(shè)和改造過程中使用的主要標(biāo)準(zhǔn)之一信息系統(tǒng)安全等級(jí)保護(hù)基本要求（以下簡(jiǎn)稱基本要求），描述基本要求的技術(shù)要求分級(jí)思路、逐級(jí)增強(qiáng)特點(diǎn)以與具體各級(jí)安全要求。通過培訓(xùn)，使得用戶能夠了解基本要求在信息系統(tǒng)安全等級(jí)保護(hù)中的作用、基本思路和主要容，以便正確選擇合適的安全要求進(jìn)行信息系統(tǒng)保護(hù)。概述背景介紹2004年，66號(hào)文件中指出“信息安全等級(jí)保護(hù)工作是個(gè)龐大的系統(tǒng)工程，關(guān)系到國(guó)家信息化建設(shè)的方方面面，這就決定了這項(xiàng)工作的開

8、展必須分步驟、分階段、有計(jì)劃的實(shí)施，信息安全等級(jí)保護(hù)制度計(jì)劃用三年左右的時(shí)間在全國(guó)圍分三個(gè)階段實(shí)施?！毙畔踩燃?jí)保護(hù)工作第一階段為準(zhǔn)備階段，準(zhǔn)備階段中重要工作之一是“加快制定、完善管理規(guī)和技術(shù)標(biāo)準(zhǔn)體系”。依據(jù)此要求，基本要求列入了首批需完成的6個(gè)標(biāo)準(zhǔn)之一。主要作用與特點(diǎn)主要作用基本要求對(duì)等級(jí)保護(hù)工作中的安全控制選擇、調(diào)整、實(shí)施等提出規(guī)性要求，根據(jù)使用對(duì)象不同，其主要作用分為三種：為信息系統(tǒng)建設(shè)單位和運(yùn)營(yíng)、使用單位提供技術(shù)指導(dǎo)在信息系統(tǒng)的安全保護(hù)等級(jí)確定后，基本要求為信息系統(tǒng)的建設(shè)單位和運(yùn)營(yíng)、使用單位如何對(duì)特定等級(jí)的信息系統(tǒng)進(jìn)行保護(hù)提供技術(shù)指導(dǎo)。為測(cè)評(píng)機(jī)構(gòu)提供評(píng)估依據(jù)基本要求為信息系統(tǒng)主管部門

9、，信息系統(tǒng)運(yùn)營(yíng)、使用單位或?qū)ｉT的等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)安全保護(hù)等級(jí)的檢測(cè)評(píng)估提供依據(jù)。為職能監(jiān)管部門提供監(jiān)督檢查依據(jù)基本要求為監(jiān)管部門的監(jiān)督檢查提供依據(jù)，用于判斷一個(gè)特定等級(jí)的信息系統(tǒng)是否按照國(guó)家要求進(jìn)行了基本的保護(hù)。主要特點(diǎn)基本要求是針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，“基本”意味著這些要針對(duì)該等級(jí)的信息系統(tǒng)達(dá)到基本保護(hù)能力而提出的，也就是說，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力，但反過來說，系統(tǒng)達(dá)到相應(yīng)等級(jí)的保護(hù)能力并不僅僅完全依靠這些安全保護(hù)要求。同時(shí)，基本要求強(qiáng)調(diào)的是“要求”，而不是具體實(shí)施方案或作業(yè)指導(dǎo)書，基本要求給出了系統(tǒng)每一保護(hù)方面需達(dá)到的要求，至于這種要

10、求采取何種方式實(shí)現(xiàn)，不在基本要求的描述圍。按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)達(dá)到一種安全狀態(tài)，具備了相應(yīng)等級(jí)的保護(hù)能力。與其他標(biāo)準(zhǔn)的關(guān)系從標(biāo)準(zhǔn)間的承接關(guān)系上講：信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南確定出系統(tǒng)等級(jí)以與業(yè)務(wù)信息安全性等級(jí)和系統(tǒng)服務(wù)安全等級(jí)后，需要按照相應(yīng)等級(jí)，根據(jù)基本要求選擇相應(yīng)等級(jí)的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則是針對(duì)基本要求的具體控制要求開發(fā)的測(cè)評(píng)要求，旨在強(qiáng)調(diào)系統(tǒng)按照基本要求進(jìn)行建設(shè)完畢后，檢驗(yàn)系統(tǒng)的各項(xiàng)保護(hù)要否符合相應(yīng)等級(jí)的基本要求。由上可見，基本要求在整個(gè)標(biāo)準(zhǔn)體系中起著承上啟下的作用。從技術(shù)角度上講：基本要求的技術(shù)部分吸收和借鑒了GB 17859:199

11、9標(biāo)準(zhǔn)，采納其中的身份鑒別、數(shù)據(jù)完整性、自主訪問控制、強(qiáng)制訪問控制、審計(jì)、客體重用（改為剩余信息保護(hù)）標(biāo)記、可信路徑等8個(gè)安全機(jī)制的部分或全部容，并將這些機(jī)制擴(kuò)展到網(wǎng)絡(luò)層、主機(jī)系統(tǒng)層、應(yīng)用層和數(shù)據(jù)層。基本要求的技術(shù)部分弱化了在信息系統(tǒng)中實(shí)現(xiàn)安全機(jī)制結(jié)構(gòu)化設(shè)計(jì)與安全機(jī)制可信性方面的要求，例如沒有提出信息系統(tǒng)的可信恢復(fù)，但在4級(jí)系統(tǒng)提出了災(zāi)難備份與恢復(fù)的要求，保證業(yè)務(wù)連續(xù)運(yùn)行?；疽鬀]有對(duì)隱蔽通道分析的安全機(jī)制提出要求。此外，基本要求的管理部分充分借鑒了ISO/IEC 17799:2005等國(guó)際上流行的信息安全管理方面的標(biāo)準(zhǔn)，盡量做到全方位的安全管理?？蚣芙Y(jié)構(gòu)基本要求在整體框架結(jié)構(gòu)上以三種分類為

12、支撐點(diǎn)，自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示基本要求在整體上大的分類，其術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全與備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類?？刂泣c(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理安全大類中的“物理訪問控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員。”具體框架結(jié)構(gòu)如圖所示：第三級(jí)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全第一級(jí)基本要求第二級(jí)基本要求第四級(jí)基本要求第五級(jí)基本要求數(shù)據(jù)安全與備份恢復(fù)技術(shù)要求管理要求

13、安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖1-1 基本要求的框架結(jié)構(gòu)描述模型總體描述信息系統(tǒng)是頗受誘惑力的被攻擊目標(biāo)。它們抵抗著來自各方面威脅實(shí)體的攻擊。對(duì)信息系統(tǒng)實(shí)行安全保護(hù)的目的就是要對(duì)抗系統(tǒng)面臨的各種威脅，從而盡量降低由于威脅給系統(tǒng)帶來的損失。能夠應(yīng)對(duì)威脅的能力構(gòu)成了系統(tǒng)的安全保護(hù)能力之一對(duì)抗能力。但在某些情況下，信息系統(tǒng)無法阻擋威脅對(duì)自身的破壞時(shí)，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時(shí)間恢復(fù)系統(tǒng)原有的狀態(tài)。能夠在一定時(shí)間恢復(fù)系統(tǒng)原有狀態(tài)的能力構(gòu)成了系統(tǒng)的另一種安全保護(hù)能力恢復(fù)能力。對(duì)抗能力和恢復(fù)能力共同形成了信息系統(tǒng)的安全保護(hù)能力。不同級(jí)別的信

14、息系統(tǒng)應(yīng)具備相應(yīng)等級(jí)的安全保護(hù)能力，即應(yīng)該具備不同的對(duì)抗能力和恢復(fù)能力，以對(duì)抗不同的威脅和能夠在不同的時(shí)間恢復(fù)系統(tǒng)原有的狀態(tài)。針對(duì)各等級(jí)系統(tǒng)應(yīng)當(dāng)對(duì)抗的安全威脅和應(yīng)具有的恢復(fù)能力，基本要求提出各等級(jí)的基本安全要求?；景踩蟀嘶炯夹g(shù)要求和基本管理要求，基本技術(shù)要求主要用于對(duì)抗威脅和實(shí)現(xiàn)技術(shù)能力，基本管理要求主要為安全技術(shù)實(shí)現(xiàn)提供組織、人員、程序等方面的保障。各等級(jí)的基本安全要求，由包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面的基本安全技術(shù)措施和包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的基本安全管理措施來實(shí)現(xiàn)和保證。下圖表明了

15、基本要求的描述模型。每一等級(jí)信息系統(tǒng)安全保護(hù)能力技術(shù)措施管理措施包含具備基本安全要求滿足包含滿足實(shí)現(xiàn)圖1-2基本要求的描述模型保護(hù)對(duì)象作為保護(hù)對(duì)象，管理辦法中將信息系統(tǒng)分為五級(jí)，分別為：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成

16、嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。安全保護(hù)能力定義對(duì)抗能力能夠應(yīng)對(duì)威脅的能力構(gòu)成了系統(tǒng)的安全保護(hù)能力之一對(duì)抗能力。不同等級(jí)系統(tǒng)所應(yīng)對(duì)抗的威脅主要從威脅源（自然、環(huán)境、系統(tǒng)、人為）動(dòng)機(jī)（不可抗外力、無意、有意）圍（局部、全局）能力（工具、技術(shù)、資源等）四個(gè)要素來考慮。在對(duì)威脅進(jìn)行級(jí)別劃分前，我們首先解釋以上幾個(gè)要素：威脅源是指任何能夠?qū)е路穷A(yù)期的不利事件發(fā)生的因素，通常分為自然（如自然災(zāi)害）環(huán)境（如電力故障）IT系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。動(dòng)機(jī)與威脅源和目標(biāo)有著密切的聯(lián)系，不同的威脅源對(duì)應(yīng)不同的目標(biāo)有著不同的動(dòng)機(jī)，通?？煞譃椴豢煽雇饬Γㄈ缱?/p>

17、然災(zāi)害）無意的（如員工的疏忽大意）和故意的（如情報(bào)機(jī)構(gòu)的信息收集活動(dòng)）。圍是指威脅潛在的危害疇，分為局部和整體兩種情況；如病毒威脅，有些計(jì)算機(jī)病毒的傳染性較弱，危害圍是有限的；但是蠕蟲類病毒則相反，它們可以在網(wǎng)絡(luò)中以驚人的速度迅速擴(kuò)散并導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。能力主要是針對(duì)威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計(jì)算資源的多少、工具的先進(jìn)程度、人力資源（包括經(jīng)驗(yàn)）等方面。通過對(duì)威脅主要因素的分析，我們可以組合得到不同等級(jí)的威脅：第一級(jí)：本等級(jí)的威脅是1）危害圍為局部的環(huán)境或者設(shè)備故障、2）無意的員工失誤以與3）低能力的滲透攻擊等威脅情景。典型情況如灰塵超標(biāo)（環(huán)境

18、）單個(gè)非重要工作站（設(shè)備）崩潰等。第二級(jí)：本等級(jí)的威脅主要是1）危害局部的較嚴(yán)重的自然事件、2）具備中等能力、有預(yù)設(shè)目標(biāo)的威脅情景。典型情況如有組織的情報(bào)搜集等。第三級(jí)：本等級(jí)的威脅主要是1）危害整體的自然事件、2）具備較高能力、大圍的、有預(yù)設(shè)目標(biāo)的滲透攻擊。典型情況如較嚴(yán)重的自然災(zāi)害、大型情報(bào)組織的情報(bào)搜集等。第四級(jí)：本等級(jí)的威脅主要是1）危害整體的嚴(yán)重的自然事件、2）國(guó)家級(jí)滲透攻擊。典型情況如國(guó)家經(jīng)營(yíng)，組織精良，有很好的財(cái)政資助，從其他具有經(jīng)濟(jì)、軍事或政治優(yōu)勢(shì)的國(guó)家收集信息等?；謴?fù)能力但在某些情況下，信息系統(tǒng)無法阻擋威脅對(duì)自身的破壞時(shí)，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很

19、短的時(shí)間恢復(fù)系統(tǒng)原有的狀態(tài)。能夠在一定時(shí)間恢復(fù)系統(tǒng)原有狀態(tài)的能力構(gòu)成了另一種安全保護(hù)能力恢復(fù)能力?；謴?fù)能力主要從恢復(fù)時(shí)間和恢復(fù)程度上來衡量其不同級(jí)別。恢復(fù)時(shí)間越短、恢復(fù)程度越接近系統(tǒng)正常運(yùn)行狀態(tài)，表明恢復(fù)能力越高。第一級(jí)：系統(tǒng)具有基本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時(shí)的恢復(fù)部分系統(tǒng)功能。第二級(jí)：系統(tǒng)具有一定的數(shù)據(jù)備份功能，在遭到破壞后能夠在一段時(shí)間恢復(fù)部分功能。第三級(jí)：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復(fù)絕大部分功能。第四級(jí)：系統(tǒng)具有極高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠迅速恢復(fù)所有系統(tǒng)功能。不同等級(jí)的安全保護(hù)能力信息系統(tǒng)的安全保護(hù)能力包括對(duì)抗能力和恢復(fù)

20、能力。不同級(jí)別的信息系統(tǒng)應(yīng)具備相應(yīng)等級(jí)的安全保護(hù)能力，即應(yīng)該具備不同的對(duì)抗能力和恢復(fù)能力。將“能力”分級(jí)，是基于系統(tǒng)的保護(hù)對(duì)象不同，其重要程度也不一樣，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應(yīng)具有的保護(hù)能力就越高。因?yàn)橄到y(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴(yán)重，因此需要提高相應(yīng)的安全保護(hù)能力。不同等級(jí)信息系統(tǒng)所具有的保護(hù)能力如下：一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以與其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)

21、系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以與其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間恢復(fù)部分功能。三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以與其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以與其

22、他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。安全要求首先介紹基本要求的安全要求的分類。安全要求從整體上分為技術(shù)和管理兩大類，其中，技術(shù)類安全要求按其保護(hù)的側(cè)重點(diǎn)不同，將其下的控制點(diǎn)分為三類：信息安全類（S類）關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。如，自主訪問控制，該控制點(diǎn)主要關(guān)注的是防止未授權(quán)的訪問系統(tǒng)，進(jìn)而造成數(shù)據(jù)的修改或泄漏。至于對(duì)保證業(yè)務(wù)的正常連續(xù)運(yùn)行并沒有直接的影響。服務(wù)保證類（A類）關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。如，數(shù)據(jù)的備份和恢復(fù)，該控

23、制點(diǎn)很好的體現(xiàn)了對(duì)業(yè)務(wù)正常運(yùn)行的保護(hù)。通過對(duì)數(shù)據(jù)進(jìn)行備份，在發(fā)生安全事件后能夠與時(shí)的進(jìn)行恢復(fù)，從而保證了業(yè)務(wù)的正常運(yùn)行。通用安全保護(hù)類（G類）既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的連續(xù)可用性。大多數(shù)技術(shù)類安全要求都屬于此類，保護(hù)的重點(diǎn)既是為了保證業(yè)務(wù)能夠正常運(yùn)行，同時(shí)數(shù)據(jù)要安全。如，物理訪問控制，該控制點(diǎn)主要是防止非授權(quán)人員物理訪問系統(tǒng)主要工作環(huán)境，由于進(jìn)入工作環(huán)境可能導(dǎo)致的后果既可能包括系統(tǒng)無常運(yùn)行（如，損壞某臺(tái)重要服務(wù)器），也可能竊取某些重要數(shù)據(jù)。因此，它保護(hù)的重點(diǎn)二者兼而有之。技術(shù)安全要求按其保護(hù)的側(cè)重點(diǎn)不同分為S、A、G三類，如果從另外一個(gè)角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)

24、來看，信息系統(tǒng)安全可從五個(gè)層面：物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行保護(hù)，因此，技術(shù)類安全要求也相應(yīng)的分為五個(gè)層面上的安全要求：物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運(yùn)行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運(yùn)行提供基本的后臺(tái)支持和保證；網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；主機(jī)層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng)，以實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全運(yùn)行；應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實(shí)現(xiàn)用戶安全需求所確定的安全目標(biāo)；數(shù)據(jù)與備份恢復(fù)層面安全

25、要求：全面關(guān)注信息系統(tǒng)中存儲(chǔ)、傳輸、處理等過程的數(shù)據(jù)的安全性。管理類安全要求主要是圍繞信息系統(tǒng)整個(gè)生命周期全過程而提出的，均為G類要求。信息系統(tǒng)的生命周期主要分為五個(gè)階段：初始階段、采購(gòu)/開發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段和廢棄階段。管理類安全要求正是針對(duì)這五個(gè)階段的不同安全活動(dòng)提出的，分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面。逐級(jí)增強(qiáng)的特點(diǎn)增強(qiáng)原則不同級(jí)別的信息系統(tǒng)，其應(yīng)該具備的安全保護(hù)能力不同，也就是對(duì)抗能力和恢復(fù)能力不同；安全保護(hù)能力不同意味著能夠應(yīng)對(duì)的威脅不同，較高級(jí)別的系統(tǒng)應(yīng)該能夠應(yīng)對(duì)更多的威脅；應(yīng)對(duì)威脅將通過技術(shù)措施和管理措施來實(shí)現(xiàn)，應(yīng)對(duì)同一

26、個(gè)威脅可以有不同強(qiáng)度和數(shù)量的措施，較高級(jí)別的系統(tǒng)應(yīng)考慮更為周密的應(yīng)對(duì)措施。不同級(jí)別的信息系統(tǒng)基本安全要求的考慮思路和增強(qiáng)原則如下圖所示：圖1-3基本要求逐級(jí)的考慮思路和增強(qiáng)原則總體描述不同等級(jí)的信息系統(tǒng)安全保護(hù)能力不同，故其安全要求也不同，從宏觀來看，各個(gè)級(jí)別的安全要求逐級(jí)增強(qiáng)，表現(xiàn)為：二級(jí)基本要求：在一級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，二級(jí)要求在控制點(diǎn)上增加了安全審計(jì)、邊界完整性檢查、入侵防、資源控制以與通信性等控制點(diǎn)。身份鑒別則要求在系統(tǒng)的整個(gè)生命周期，每一個(gè)用戶具有唯一標(biāo)識(shí)，使用戶對(duì)對(duì)自己的行為負(fù)責(zé)，具有可查性。同時(shí)，要求訪問控制具有更細(xì)的訪問控制粒度等。管理方面，增加了審核和檢查、管理制度

27、的評(píng)審和修訂、人員考核、密碼管理、變更管理和應(yīng)急預(yù)案管理等控制點(diǎn)。要求制定信息安全工作的總體方針和安全策略，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，健全各項(xiàng)安全管理的規(guī)章制度，對(duì)各類人員進(jìn)行不同層次要求的安全培訓(xùn)等，從而確保系統(tǒng)所設(shè)置的各種安全功能發(fā)揮其應(yīng)有的作用。三級(jí)基本要求：在二級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防、剩余信息保護(hù)、抗抵賴等。同時(shí)，對(duì)身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)性等均有更進(jìn)一步的要求，如訪問控制增加了對(duì)重要信息資源設(shè)置敏感標(biāo)記等。管理方面，增加了系統(tǒng)備案、等級(jí)測(cè)評(píng)、監(jiān)控管理和安全管理中心等控制點(diǎn)，同時(shí)要求設(shè)置必要的安全管理職能部門

28、，加強(qiáng)了安全管理制度的評(píng)審以與人員安全的管理，對(duì)系統(tǒng)建設(shè)過程加強(qiáng)了質(zhì)量管理。四級(jí)基本要求：在三級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了安全標(biāo)記、可信路徑，同時(shí)，對(duì)身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)性等均有更進(jìn)一步的要求，如要求訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表、記錄和字段級(jí)，建立異地災(zāi)難備份中心等，對(duì)部分功能進(jìn)行了限制（如禁止撥號(hào)訪問控制）。管理方面，沒有增加控制點(diǎn)，在安全管理制度制訂和發(fā)布、評(píng)審和修訂等某些管理要求上要求項(xiàng)增加，強(qiáng)度增強(qiáng)。具體從微觀來看，安全要求逐級(jí)增強(qiáng)主要表現(xiàn)在三個(gè)方面：控制點(diǎn)增加、同一控制點(diǎn)的要求項(xiàng)增加、同一要求項(xiàng)強(qiáng)度增強(qiáng)?？?/p>

29、制點(diǎn)增加控制點(diǎn)增加，表明對(duì)系統(tǒng)的關(guān)注點(diǎn)增加，因而安全要求的級(jí)別差異就體現(xiàn)出來。比較突出的控制點(diǎn)增加，如，二級(jí)控制點(diǎn)增加了安全審計(jì)，三級(jí)控制點(diǎn)增加了剩余信息保護(hù)。每級(jí)系統(tǒng)在每一層面上控制點(diǎn)的分布見下表：表1 基本要求控制點(diǎn)的分布安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全與備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差/1874二級(jí)在控制點(diǎn)上的增加較為顯著。要求項(xiàng)增加由于控制點(diǎn)是有限的，特別在高級(jí)別上，如三、四

30、級(jí)安全要求（兩者之間控制點(diǎn)的變化只有一處），單靠控制點(diǎn)增加來體現(xiàn)安全要求逐級(jí)增強(qiáng)的特點(diǎn)是很難的。必須將控制點(diǎn)之下的安全要求項(xiàng)目考慮其中。要求項(xiàng)目的增加，就可以很好的體現(xiàn)了逐級(jí)增強(qiáng)的特點(diǎn)。同一控制點(diǎn)，具體的安全項(xiàng)目數(shù)量增加，表明對(duì)該控制點(diǎn)的要求更細(xì)化，更嚴(yán)格，從而表現(xiàn)為該控制點(diǎn)的強(qiáng)度增強(qiáng)。如，對(duì)于控制點(diǎn)身份鑒別，在二級(jí)只要求標(biāo)識(shí)唯一性、鑒別信息復(fù)雜性以與登錄失敗處理等要求；而在三級(jí)，對(duì)該控制點(diǎn)增加了組合鑒別方式等。該控制點(diǎn)的強(qiáng)度得到增強(qiáng)。每級(jí)系統(tǒng)在每一層面上要求項(xiàng)的分布見下表：表2 基本要求要求項(xiàng)在各層面的分布安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)

31、安全6193236應(yīng)用安全7193136數(shù)據(jù)安全與備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/9011528可見，在二級(jí)與一級(jí)之間，三級(jí)與二級(jí)之間要求項(xiàng)的增加比較顯著，尤其是三、二級(jí)之間，盡管控制點(diǎn)的增加不多，但在具體的控制點(diǎn)上增加了要求項(xiàng)，故整體的級(jí)差增強(qiáng)較顯著。控制強(qiáng)度增強(qiáng)同控制點(diǎn)類似，安全要求項(xiàng)目也不能無限制的增加，對(duì)于同一安全要求項(xiàng)（這里的“同一”，指的是要求的方面是一樣的，而不是具體的要求容），如果在要求的力度上加強(qiáng)，同樣也能夠反映出級(jí)別的

32、差異。安全項(xiàng)目強(qiáng)度的增強(qiáng)表現(xiàn)為：圍增大：如，對(duì)主機(jī)系統(tǒng)安全的“安全審計(jì)”，二級(jí)只要求“審計(jì)圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶”；而三級(jí)則在對(duì)象的圍上發(fā)生了變化，為“審計(jì)圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；“。覆蓋圍不再僅指服務(wù)器，而是擴(kuò)大到服務(wù)器和重要客戶終端了，表明了該要求項(xiàng)強(qiáng)度的增強(qiáng)。要求細(xì)化：如，人員安全管理中的“安全意識(shí)教育和培訓(xùn)”，二級(jí)要求“應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；”，而三級(jí)在對(duì)培訓(xùn)計(jì)劃進(jìn)行了進(jìn)一步的細(xì)化并要求應(yīng)有書面文件，為“應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信

33、息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)”，培訓(xùn)計(jì)劃有了針對(duì)性，更符合各個(gè)崗位人員的實(shí)際需要。粒度細(xì)化：如，網(wǎng)絡(luò)安全中的“撥號(hào)訪問控制”，一級(jí)要求“控制粒度為用戶組”，而二級(jí)要求則將控制粒度細(xì)化，為“控制粒度為單個(gè)用戶”。由“用戶組”到“單個(gè)用戶”，粒度上的細(xì)化，同樣也增強(qiáng)了要求的強(qiáng)度?？梢?，安全要求的逐級(jí)增強(qiáng)并不是無規(guī)律可循，而是按照“層層剝開”的模式，由控制點(diǎn)的增加到要求項(xiàng)的增加，進(jìn)而是要求項(xiàng)的強(qiáng)度增強(qiáng)。三者綜合體現(xiàn)了不同等級(jí)的安全要求的級(jí)差。各級(jí)安全要求技術(shù)要求物理安全物理安全保護(hù)的目的主要是使存放計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以與信息系統(tǒng)的設(shè)備和存儲(chǔ)數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難以與人為操作

34、失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。物理安全是防護(hù)信息系統(tǒng)安全的最底層，缺乏物理安全，其他任何安全措施都是毫無意義的。物理安全主要涉與的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)。不同等級(jí)的基本要求在物理安全方面所體現(xiàn)的不同如第3.1節(jié)和3.2節(jié)所描述的一樣，在三個(gè)方面都有所體現(xiàn)。一級(jí)物理安全要求：主要要求對(duì)物理環(huán)境進(jìn)行基本的防護(hù)，對(duì)出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供供電電壓的正常。二級(jí)物理安全要

35、求：對(duì)物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對(duì)出入進(jìn)行基本的控制，對(duì)進(jìn)入后的活動(dòng)也要進(jìn)行控制；物理環(huán)境方面，則加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來多方面進(jìn)行防護(hù)。三級(jí)物理安全要求：對(duì)出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來進(jìn)行防護(hù)。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。四級(jí)物理安全要求：對(duì)機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。下表表明了物理安全在控制點(diǎn)上逐級(jí)變化的特點(diǎn)：表3 物理安全層面控制點(diǎn)的逐級(jí)變

36、化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇*物理訪問控制*防盜竊和防破壞*防雷擊*防火*防水和防潮*防靜電*溫濕度控制*電力供應(yīng)*電磁防護(hù)*合計(jì)7101010注：* 代表此類控制點(diǎn)在該級(jí)物理安全中有要求，空格則表示無此類要求。（以下同）另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開。物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運(yùn)行環(huán)境時(shí)進(jìn)行考慮。物理位置的正確選擇是保證系統(tǒng)能夠在安全的物理環(huán)境中運(yùn)行的前提，它在一定程度上決定了面臨的自然災(zāi)難以與可能的環(huán)境威脅。譬如，在我國(guó)南方地區(qū)，夏季多雨水，雷擊和洪災(zāi)的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會(huì)遭受這類的威

37、脅。如果沒有正確的選擇物理位置，必然會(huì)造成后期為保護(hù)物理環(huán)境而投入大量資金、設(shè)備，甚至無法彌補(bǔ)。因此，物理位置選擇必須考慮周遭的整體環(huán)境以與具體樓宇的物理位置是否能夠?yàn)樾畔⑾到y(tǒng)的運(yùn)行提供物理上的基本保證。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無此方面要求。二級(jí)：要求選擇時(shí)主要考慮建筑物具有基本防護(hù)自然條件的能力。三級(jí)：除二級(jí)要求外，對(duì)建筑物的樓層以與周圍環(huán)境也提出了要求。四級(jí)：與三級(jí)要求一樣。具體見下表4：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa) a)b) a)b) 合計(jì)0122物理訪問控制物理訪問控制主要是對(duì)部授權(quán)人員和臨時(shí)外部外部人員進(jìn)出系統(tǒng)主要物理工作環(huán)境進(jìn)行人員控制。對(duì)進(jìn)出口進(jìn)行控制，是防護(hù)

38、物理安全的第一道關(guān)口，也是防止外部非授權(quán)人員對(duì)系統(tǒng)進(jìn)行本地惡意操作的重要防護(hù)措施。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求對(duì)進(jìn)出機(jī)房時(shí)進(jìn)行基本的出入控制。二級(jí)：除一級(jí)要求外，對(duì)人員進(jìn)入機(jī)房后的活動(dòng)也應(yīng)進(jìn)行控制。三級(jí)：除二級(jí)要求外，加強(qiáng)了對(duì)進(jìn)出機(jī)房時(shí)的控制手段，做到人員和電子設(shè)備共同控制，并對(duì)機(jī)房分區(qū)域管理。四級(jí)：除三級(jí)要求外，進(jìn)一步強(qiáng)化了進(jìn)出機(jī)房的控制，要求兩道電子設(shè)備監(jiān)控。具體見下表5：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)b)a)d)a)d)*合計(jì)1244+注：“*”代表該要求項(xiàng)同上級(jí)相比，在強(qiáng)度上增強(qiáng)，“+”代表此級(jí)的要求項(xiàng)在強(qiáng)度上較上一級(jí)增強(qiáng)（以下同）。其中，四級(jí)要求項(xiàng)較三級(jí)在強(qiáng)度上有所增

39、強(qiáng)，即，由三級(jí)的一道電子門禁系統(tǒng)增強(qiáng)為四級(jí)的兩道電子門禁系統(tǒng)。因此，三級(jí)、四級(jí)雖在要求項(xiàng)目數(shù)量上是一樣的（同為4項(xiàng)），但四級(jí)的要求項(xiàng)在強(qiáng)度上得到了增強(qiáng)，為4+。防盜竊和防破壞該控制點(diǎn)主要考慮了系統(tǒng)運(yùn)行的設(shè)備、介質(zhì)以與通信線纜的安全性。物理訪問控制主要側(cè)重在進(jìn)出口，這在一定程度上防止了設(shè)備的被盜，但在機(jī)房部，該控制點(diǎn)則無法提供保護(hù)。因此，防盜竊和防破壞控制點(diǎn)主要側(cè)重在機(jī)房部對(duì)設(shè)備、介質(zhì)和通信線纜進(jìn)行此方面的保護(hù)。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要從設(shè)備的存放位置和設(shè)備本身兩方面考慮。二級(jí)：不僅考慮了設(shè)備、還考慮通信線纜和介質(zhì)與主機(jī)房的防盜報(bào)警方面的防護(hù)要求。三級(jí)：除二級(jí)要求外，主要加強(qiáng)了機(jī)

40、房的監(jiān)控報(bào)警要求。四級(jí)：與三級(jí)要求一樣。具體見下表6：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)b) a)e)a)e)*f) a)f)合計(jì)256+6其中，在三級(jí)，e）項(xiàng)相對(duì)于二級(jí)的e）項(xiàng)在強(qiáng)度上增強(qiáng)，即，明確強(qiáng)調(diào)了采用光電等控制裝置監(jiān)控機(jī)房情況。防雷擊該控制點(diǎn)主要考慮采取措施防止雷電對(duì)電流、進(jìn)而設(shè)備造成的不利影響，從而引起巨大的經(jīng)濟(jì)損失。雷電對(duì)設(shè)備的破壞主要有兩類：直擊雷破壞，即雷電直擊在建筑物或設(shè)備上，使其發(fā)熱燃燒和機(jī)械劈裂破壞；另一類是感應(yīng)雷破壞，即雷電的第二次作用，強(qiáng)大的雷電磁場(chǎng)產(chǎn)生的電磁效應(yīng)和靜電效應(yīng)使金屬構(gòu)件產(chǎn)生高至數(shù)十萬伏的電壓。目前，大多數(shù)建筑物都設(shè)有防直擊雷的措施避雷裝置，因此，防雷擊主要

41、集中在防感應(yīng)雷。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要考慮建筑防雷。二級(jí)：除一級(jí)要求外，增加了接地防感應(yīng)雷措施。三級(jí)：除二級(jí)要求外，增加了具體設(shè)備防感應(yīng)雷措施。四級(jí)：與三級(jí)要求一樣。具體見下表7：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a) a)b)a)c)a)c)合計(jì)1233防火該控制點(diǎn)主要考慮采取各種措施防止火災(zāi)的發(fā)生以與發(fā)生后能夠與時(shí)滅火。分別從設(shè)備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要要求基本的設(shè)備滅火。二級(jí)：除一級(jí)要求外，要求能夠自動(dòng)報(bào)警火災(zāi)發(fā)生。三級(jí)：除二級(jí)要求外，增加了從建筑材料、區(qū)域隔離等方面考慮的防火措施。四級(jí)：與三級(jí)要求一樣。具體見下表8：

42、要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a) a)*a)* b)c)a) b)c)合計(jì)11+3+3其中，在二級(jí)，雖然要求仍是采取設(shè)備滅火，但設(shè)備的功能性要求增強(qiáng)，即，能夠自動(dòng)報(bào)警，仍然對(duì)于a）項(xiàng)，在三級(jí)進(jìn)一步得到增強(qiáng)，要求設(shè)備能夠自動(dòng)檢測(cè)、報(bào)警和滅火。因此，二級(jí)和三級(jí)都分別為a)*。防水和防潮該控制點(diǎn)主要是考慮防止室由于各種原因的積水、水霧或濕度太高造成設(shè)備運(yùn)行異常。同時(shí)，也是控制室濕度的較好措施。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要從室水管、墻壁、屋頂?shù)确矫婵紤]防水防潮。二級(jí)：除一級(jí)要求外，增加了防止室水蒸汽和地下水的考慮，并禁止機(jī)房有水管通過。三級(jí)：除二級(jí)要求外，增加了對(duì)室的防水檢測(cè)報(bào)警要求。四級(jí)：

43、與三級(jí)一樣。具體見下表9：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)b）a) *c）a)d）a)d）合計(jì)23+44其中，在二級(jí)，水管安裝要求不得穿過機(jī)房屋頂和活動(dòng)地板下，去掉了在一級(jí)要求穿過機(jī)房的水管使用套管的要求，所以對(duì)于a）項(xiàng)，增強(qiáng)了要求，為a)*。防靜電該控制點(diǎn)主要考慮在物理環(huán)境里，盡量避免產(chǎn)生靜電，以防止靜電對(duì)設(shè)備、人員造成的傷害。大量靜電如果積聚在設(shè)備上，會(huì)導(dǎo)致磁盤讀寫錯(cuò)誤、損壞磁頭、對(duì)CMOS靜電電路也會(huì)造成極大威脅。由于靜電放電對(duì)電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應(yīng)的累加，最終造成設(shè)備的嚴(yán)重?fù)p壞。防靜電措施包括最基本的接地、到防靜電地板、設(shè)備防靜電等方面。當(dāng)然，對(duì)室溫

44、濕度的控制，也是防止靜電產(chǎn)生的較好措施（具體將在以下介紹）。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無此要求。二級(jí)：要求基本的接地防靜電措施。三級(jí)：除二級(jí)要求外，對(duì)地板材料做出了防靜電要求。四級(jí)：除三級(jí)要求外，要求采用專門設(shè)置防靜電裝置。具體見下表10：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a) *b）a) *c）合計(jì)012+3+其中，在二級(jí)，要求“關(guān)鍵設(shè)備“接地防靜電，三級(jí)，要求“主要設(shè)備”，四級(jí)要求“設(shè)備”，所以對(duì)于a）項(xiàng)，在三級(jí)和四級(jí)都增強(qiáng)了要求，都為a)*。溫濕度控制機(jī)房的各種設(shè)備必須在一定的溫度、濕度圍才能正常運(yùn)行。溫、濕度過高或過低都會(huì)對(duì)設(shè)備產(chǎn)生不利影響。理想的空氣濕度圍被定義在4070

45、，高的濕度可能會(huì)在天花板、墻面以與設(shè)備表面形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問題。低于40的低濕度增加了靜電產(chǎn)生的危害。溫度控制在20攝氏度左右是設(shè)備正常工作的良好溫度條件。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求做到基本的溫濕度控制。二級(jí)：在一級(jí)基礎(chǔ)上，要求溫濕度控制的力度做到自動(dòng)調(diào)控。三級(jí)：與二級(jí)要求一樣。四級(jí)：與三級(jí)要求一樣。具體見下表11：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)*a)a)合計(jì)11+11其中，對(duì)二級(jí)要求溫濕度能夠自動(dòng)調(diào)節(jié)，因此a)應(yīng)為a) *。電力供應(yīng)穩(wěn)定、充足的電力供應(yīng)是維持系統(tǒng)持續(xù)正常工作的重要條件。許多因素威脅到電力系統(tǒng)，最常見的是電力波動(dòng)。電力波動(dòng)對(duì)一些精密

46、的電子配件會(huì)造成嚴(yán)重的物理?yè)p害。應(yīng)控制電力在10以的波動(dòng)圍。采用穩(wěn)壓器和過電壓保護(hù)裝置是很好的控制電力波動(dòng)的措施。保證充足短期電力供應(yīng)措施是可配備不間斷電源（UPS），重要系統(tǒng)可配備備份供電系統(tǒng)，以備不時(shí)之需。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求能夠提供穩(wěn)定的電壓供應(yīng)。二級(jí)：除一級(jí)要求外，要求能夠提供短期的電力供應(yīng)。三級(jí)：除二級(jí)要求外，加強(qiáng)電力供應(yīng)保障，能夠長(zhǎng)時(shí)間供電和備用供電線路。四級(jí)：除三級(jí)要求外，短期備用供電圍增大。具體見下表12：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)b）a)b)*d）a)b)*d）合計(jì)124+4+其中，短期供電設(shè)備在二級(jí)中要求滿足的是 “關(guān)鍵設(shè)備”，三級(jí)要求“主要設(shè)備

47、”，四級(jí)要求“設(shè)備”，滿足的圍逐漸增大，因此，第三級(jí)和第四級(jí)的b都是b)*。電磁防護(hù)現(xiàn)代通信技術(shù)是建立在電磁信號(hào)傳播的基礎(chǔ)上，而空間電磁場(chǎng)的開放特性決定了電磁泄漏是危與系統(tǒng)安全性的一個(gè)重要因素，電磁防護(hù)主要是提供對(duì)信息系統(tǒng)設(shè)備的電磁信號(hào)進(jìn)行保護(hù)，確保用戶信息在使用和傳輸過程中的安全性。電磁防護(hù)手段從線纜物理距離上隔離、設(shè)備接地、到設(shè)備的電磁屏蔽等方面。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無此要求。二級(jí)：要求具有基本的電磁防護(hù)能力，如線纜隔離。三級(jí)：除二級(jí)要求外，增強(qiáng)了防護(hù)能力，要求設(shè)備接地并能夠做到部分電磁屏蔽。四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求屏蔽圍擴(kuò)展到機(jī)房關(guān)鍵區(qū)域。具體見下表13：要求項(xiàng)一級(jí)

48、二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a)c）a)c）*合計(jì)0133+其中，在第三級(jí)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽的基礎(chǔ)上，要求對(duì)關(guān)鍵區(qū)域?qū)嵤╇姶牌帘危瑖黾恿?，因此c)為c)*。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)，另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的性、完整性和可用性等。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。對(duì)網(wǎng)絡(luò)安全的保護(hù)，主要關(guān)注兩個(gè)方面：共享和安全。開放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動(dòng)、共享，但同時(shí)也打開了“罪惡”的大門。因此，必須在二者之間尋找恰當(dāng)?shù)钠胶恻c(diǎn)，使得在盡可能安全的情況下實(shí)現(xiàn)最大程度的資源共

49、享，這是我們實(shí)現(xiàn)網(wǎng)絡(luò)安全的理想目標(biāo)。網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以與網(wǎng)絡(luò)設(shè)備自身安全等，具體的控制點(diǎn)包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防、惡意代碼防、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。不同等級(jí)的基本要求在網(wǎng)絡(luò)安全方面所體現(xiàn)的不同如3.1節(jié)和3.2節(jié)所描述的一樣，在三個(gè)方面都有所體現(xiàn)。一級(jí)網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行基本過濾等訪問控制措施。二級(jí)網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時(shí)還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要。對(duì)網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時(shí)，加強(qiáng)

50、了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防等控制點(diǎn)。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。三級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)仍能夠正常運(yùn)行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動(dòng)的“防”，還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。四級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號(hào)訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)安全審計(jì)著眼于全局，做到集中審計(jì)分析，

51、以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。下表表明了網(wǎng)絡(luò)安全在控制點(diǎn)逐級(jí)變化的特點(diǎn)：表14 網(wǎng)絡(luò)安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全*訪問控制*安全審計(jì)*邊界完整性檢查*入侵防*惡意代碼防*網(wǎng)絡(luò)設(shè)備防護(hù)*合計(jì)3677另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開。結(jié)構(gòu)安全在對(duì)網(wǎng)絡(luò)安全實(shí)現(xiàn)全方位保護(hù)之前，首先應(yīng)關(guān)注整個(gè)網(wǎng)絡(luò)的資源分布、架構(gòu)是否合理。只有結(jié)構(gòu)安全了，才能在其上實(shí)現(xiàn)各種技術(shù)功能，達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。通常，一個(gè)機(jī)構(gòu)是由多個(gè)業(yè)務(wù)部門組成，各部門的地

52、位、重要性不同，部門所要處理的信息重要性也不同，因此，需要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分。該控制點(diǎn)主要從網(wǎng)段劃分、資源（帶寬、處理能力）保證、優(yōu)先處理等方面來要求。其在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求網(wǎng)絡(luò)資源方面能夠?yàn)榫W(wǎng)絡(luò)的正常運(yùn)行提供基本的保障。二級(jí)：在一級(jí)要求的基礎(chǔ)上，要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)高峰的需要，同時(shí)應(yīng)以網(wǎng)段形式分隔不同部門的系統(tǒng)。三級(jí)：除二級(jí)要求外，增加了“處理優(yōu)先級(jí)”考慮，以保證重要主機(jī)能夠正常運(yùn)行。四級(jí)：與三級(jí)要求基本一樣。具體見下表15：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)c)a)* b)*- d) a)*b)*c)*g) a)*g) 合計(jì)34+7+7+在二級(jí)，a) b)控制點(diǎn)在網(wǎng)絡(luò)資源（

53、設(shè)備處理能力、帶寬）加強(qiáng)了力度，不僅要求滿足基本的業(yè)務(wù)需要，更應(yīng)滿足業(yè)務(wù)高峰時(shí)的網(wǎng)絡(luò)正常運(yùn)行。因此，a) b)項(xiàng)在強(qiáng)度上都有所增強(qiáng)。在三級(jí)，a) b)控制點(diǎn)在第二級(jí)要求的“關(guān)鍵網(wǎng)絡(luò)設(shè)備”、“接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)”的基礎(chǔ)上在網(wǎng)絡(luò)圍上增加了，要求“”主要網(wǎng)絡(luò)設(shè)備“、“網(wǎng)絡(luò)各個(gè)部分的帶寬”，因此，a) b)項(xiàng)在強(qiáng)度上都有所增強(qiáng)。在四級(jí)，a)控制點(diǎn)在三級(jí)要求的基礎(chǔ)上，要求“網(wǎng)絡(luò)設(shè)備”，圍上又增加了要求，因此，a) 項(xiàng)在強(qiáng)度上有所增強(qiáng)。訪問控制對(duì)于網(wǎng)絡(luò)而言，最重要的一道安全防線就是邊界，邊界上匯聚了所有流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)流，必須對(duì)其進(jìn)行有效的監(jiān)視和控制。所謂邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)

54、絡(luò)和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶部網(wǎng)絡(luò)不同部門之間的連接等。有連接，必有數(shù)據(jù)間的流動(dòng)，因此在邊界處，重要的就是對(duì)流經(jīng)的數(shù)據(jù)（或者稱進(jìn)出網(wǎng)絡(luò)）進(jìn)行嚴(yán)格的訪問控制。按照一定的規(guī)則允許或拒絕數(shù)據(jù)的流入、流出。如果說，網(wǎng)絡(luò)訪問控制是從數(shù)據(jù)的角度對(duì)網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)進(jìn)行控制，那么，撥號(hào)訪問控制則是從用戶的角度對(duì)遠(yuǎn)程訪問網(wǎng)絡(luò)的用戶進(jìn)行控制。對(duì)用戶的訪問控制，同樣應(yīng)按照一定的控制規(guī)則來允許或拒絕用戶的訪問。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要在網(wǎng)絡(luò)邊界處對(duì)經(jīng)過的數(shù)據(jù)進(jìn)行信息的過濾，以控制數(shù)據(jù)的進(jìn)出網(wǎng)絡(luò)，對(duì)用戶進(jìn)行基本的訪問控制。二級(jí)：在一級(jí)要求的基礎(chǔ)上，對(duì)數(shù)據(jù)的過濾增強(qiáng)為根據(jù)會(huì)話信

55、息進(jìn)行過濾，對(duì)用戶訪問粒度進(jìn)一步細(xì)化，由用戶組到單個(gè)用戶，同時(shí)限制撥號(hào)訪問的用戶數(shù)量。三級(jí)：在二級(jí)要求的基礎(chǔ)上，將過濾的力度擴(kuò)展到應(yīng)用層，即根據(jù)應(yīng)用的不同而過濾，對(duì)設(shè)備接入網(wǎng)絡(luò)進(jìn)行了一定的限制。四級(jí)：對(duì)數(shù)據(jù)本身所帶的協(xié)議進(jìn)行了禁止，同時(shí)根據(jù)數(shù)據(jù)的敏感標(biāo)記允許或拒絕數(shù)據(jù)通過，并禁止遠(yuǎn)程撥號(hào)訪問。具體見下表16：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)b)c)a)b)c)*-d) a)b)*h) a)d) 合計(jì)34+8+4二級(jí)與一級(jí)相比，在對(duì)數(shù)據(jù)的過濾上由一級(jí)信息過濾增強(qiáng)為對(duì)會(huì)話信息的過濾，過濾的粒度增強(qiáng)，使得網(wǎng)絡(luò)訪問控制的強(qiáng)度增強(qiáng)。另外，在四級(jí)，該控制點(diǎn)的要求項(xiàng)較三級(jí)減少，原因是在四級(jí)做出了更高的要求，禁

56、止數(shù)據(jù)帶任何協(xié)議流經(jīng)網(wǎng)絡(luò)，這樣在很大程度上縮減了其他要求。對(duì)用戶訪問粒度的變化（由用戶組到單個(gè)用戶）是該要求項(xiàng)的主要特點(diǎn)。其次，隨著級(jí)別的增加，對(duì)撥號(hào)用戶的數(shù)量有了一定的限制，到四級(jí)則是禁止用戶撥號(hào)訪問，因此，在四級(jí)，雖要求項(xiàng)減少，但強(qiáng)度已達(dá)最高。安全審計(jì)如果將安全審計(jì)僅僅理解為“日志記錄”功能，那么目前大多數(shù)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備都有不同程度的日志功能。但是實(shí)際上僅這些日志根本不能保障系統(tǒng)的安全，也無法滿足事后的追蹤取證。安全審計(jì)并非日志功能的簡(jiǎn)單改進(jìn)，也并非等同于入侵檢測(cè)。網(wǎng)絡(luò)安全審計(jì)重點(diǎn)包括的方面：對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)以與對(duì)異常流量的識(shí)別和報(bào)警、網(wǎng)絡(luò)設(shè)備運(yùn)行情況的監(jiān)測(cè)等。通過對(duì)以上方面的記錄分析

57、，形成報(bào)表，并在一定情況下發(fā)出報(bào)警、阻斷等動(dòng)作。其次，對(duì)安全審計(jì)記錄的管理也是其中的一方面。由于各個(gè)網(wǎng)絡(luò)產(chǎn)品產(chǎn)生的安全事件記錄格式也不統(tǒng)一，難以進(jìn)行綜合分析，因此，集中審計(jì)已成為網(wǎng)絡(luò)安全審計(jì)發(fā)展的必然趨勢(shì)。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無此要求。二級(jí)：要求對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行、網(wǎng)絡(luò)流量等基本情況進(jìn)行記錄。三級(jí)：除二級(jí)要求外，要求對(duì)形成的記錄能夠分析、形成報(bào)表。同時(shí)對(duì)審計(jì)記錄提出了保護(hù)要求。四級(jí)：除三級(jí)要求外，要求設(shè)置審計(jì)跟蹤極限閾值，并做到集中審計(jì)。具體見下表17：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa) b）a)d) a)f）合計(jì)0246邊界完整性檢查雖然網(wǎng)絡(luò)采取了防火墻、IDS等有效的技術(shù)手段

58、對(duì)邊界進(jìn)行了防護(hù)，但如果網(wǎng)用戶在邊界處通過其他手段接入網(wǎng)（如無線網(wǎng)卡、雙網(wǎng)卡、modem撥號(hào)上網(wǎng)），這些邊界防御則形同虛設(shè)。因此，必須在全網(wǎng)中對(duì)網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行監(jiān)控，準(zhǔn)確定位并能與時(shí)報(bào)警和阻斷。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無此要求。二級(jí)：能夠檢測(cè)到部的非法聯(lián)出情況。三級(jí)：在二級(jí)的基礎(chǔ)上，能檢測(cè)到非授權(quán)設(shè)備私自外聯(lián)，而且能夠準(zhǔn)確定位并阻斷。四級(jí)：與三級(jí)要求一樣。具體見下表18：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa) a)b)* a)b）合計(jì)012+2在三級(jí)，b)項(xiàng)是二級(jí)中的增強(qiáng)項(xiàng)，要求不但能夠檢測(cè)到，而且能夠準(zhǔn)確定位并阻斷。入侵防網(wǎng)絡(luò)訪問控制在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對(duì)進(jìn)出的數(shù)據(jù)進(jìn)

59、行規(guī)則匹配，是網(wǎng)絡(luò)安全的第一道閘門。但其也有局限性，它只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)部發(fā)生的事件則無能為力。基于網(wǎng)絡(luò)的入侵檢測(cè)，被認(rèn)為是防火墻之后的第二道安全閘門，它主要是監(jiān)視所在網(wǎng)段的各種數(shù)據(jù)包，對(duì)每一個(gè)數(shù)據(jù)包或可疑數(shù)據(jù)包進(jìn)行分析，如果數(shù)據(jù)包與置的規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)記錄事件的各種信息，并發(fā)出警報(bào)。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無此要求。二級(jí)：能夠檢測(cè)常見攻擊的發(fā)生。三級(jí)：在二級(jí)要求的基礎(chǔ)上，不僅能夠檢測(cè)，并能發(fā)出報(bào)警。四級(jí)：在三級(jí)要求的基礎(chǔ)上，防能力增強(qiáng)，做到檢測(cè)、報(bào)警并自動(dòng)采取相應(yīng)動(dòng)作阻斷等。具體見下表19：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa) a)b) a)b)*合計(jì)

60、0122+四級(jí)要求較三級(jí)，在強(qiáng)度上增強(qiáng)，當(dāng)檢測(cè)到入侵事件時(shí)，不僅要求能夠發(fā)出報(bào)警，并能夠自動(dòng)采取相應(yīng)動(dòng)作，這對(duì)入侵檢測(cè)系統(tǒng)的要求就比較高。惡意代碼防目前，對(duì)惡意代碼的防已是全方位、立體防護(hù)的概念。根據(jù)對(duì)惡意代碼引入的源頭進(jìn)行分析，可以得出，隨著互聯(lián)網(wǎng)的不斷發(fā)展，從網(wǎng)絡(luò)上引入到本地的惡意代碼占絕大多數(shù)。因此，在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行防是整個(gè)防工作的重點(diǎn)。部署了相應(yīng)的網(wǎng)絡(luò)防病毒產(chǎn)品后，并不代表“萬事大吉”了，根據(jù)統(tǒng)計(jì)，平均每個(gè)月有300種新的病毒被發(fā)現(xiàn)，如果產(chǎn)品惡意代碼庫(kù)跟不上這一速度，其實(shí)際檢測(cè)效率可能會(huì)大大降低，因此，必須與時(shí)地、自動(dòng)更新產(chǎn)品中的惡意代碼定義。這種更新必須非常頻繁，且對(duì)用戶透