信息系統(tǒng)安全等級(jí)保護(hù)基本要求培訓(xùn)教材

156/156 信息安全等級(jí)保護(hù)培訓(xùn)教材《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》公安部2007年7月

目錄1 概述 31.1 背景介紹 31.2 主要作用及特點(diǎn) 31.3 與其他標(biāo)準(zhǔn)的關(guān)系 41.4 框架結(jié)構(gòu) 42 描述模型 52.1 總體描述 52.2 保護(hù)對(duì)象 62.3 安全保護(hù)能力 62.4 安全要求 83 逐級(jí)增強(qiáng)的特點(diǎn) 93.1 增強(qiáng)原則 93.2 總體描述 103.3 控制點(diǎn)增加 113.4 要求項(xiàng)增加 113.5 控制強(qiáng)度增強(qiáng) 124 各級(jí)安全要求 134.1 技術(shù)要求 134.1.1 物理安全 134.1.2 網(wǎng)絡(luò)安全 194.1.3 主機(jī)安全 244.1.4 應(yīng)用安全 304.1.5 數(shù)據(jù)安全及備份恢復(fù) 364.2 管理要求 384.2.1 安全管理制度 384.2.2 安全管理機(jī)構(gòu) 414.2.3 人員安全管理 444.2.4 系統(tǒng)建設(shè)管理 474.2.5 系統(tǒng)運(yùn)維管理 52

本教材根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào)和《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》公信安[2007]861號(hào)文件，圍繞信息安全等級(jí)工作，介紹信息系統(tǒng)安全建設(shè)和改造過(guò)程中使用的主要標(biāo)準(zhǔn)之一《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱《基本要求》），描述《基本要求》的技術(shù)要求分級(jí)思路、逐級(jí)增強(qiáng)特點(diǎn)以及具體各級(jí)安全要求。通過(guò)培訓(xùn)，使得用戶能夠了解《基本要求》在信息系統(tǒng)安全等級(jí)保護(hù)中的作用、基本思路和主要內(nèi)容，以便正確選擇合適的安全要求進(jìn)行信息系統(tǒng)保護(hù)。概述背景介紹2004年，66號(hào)文件中指出“信息安全等級(jí)保護(hù)工作是個(gè)龐大的系統(tǒng)工程，關(guān)系到國(guó)家信息化建設(shè)的方方面面，這就決定了這項(xiàng)工作的開展必須分步驟、分階段、有計(jì)劃的實(shí)施，信息安全等級(jí)保護(hù)制度計(jì)劃用三年左右的時(shí)間在全國(guó)范圍內(nèi)分三個(gè)階段實(shí)施?！毙畔踩燃?jí)保護(hù)工作第一階段為準(zhǔn)備階段，準(zhǔn)備階段中重要工作之一是“加快制定、完善管理規(guī)范和技術(shù)標(biāo)準(zhǔn)體系”。依據(jù)此要求，《基本要求》列入了首批需完成的6個(gè)標(biāo)準(zhǔn)之一。主要作用及特點(diǎn)主要作用《基本要求》對(duì)等級(jí)保護(hù)工作中的安全控制選擇、調(diào)整、實(shí)施等提出規(guī)范性要求，根據(jù)使用對(duì)象不同，其主要作用分為三種：為信息系統(tǒng)建設(shè)單位和運(yùn)營(yíng)、使用單位提供技術(shù)指導(dǎo)在信息系統(tǒng)的安全保護(hù)等級(jí)確定后，《基本要求》為信息系統(tǒng)的建設(shè)單位和運(yùn)營(yíng)、使用單位如何對(duì)特定等級(jí)的信息系統(tǒng)進(jìn)行保護(hù)提供技術(shù)指導(dǎo)。為測(cè)評(píng)機(jī)構(gòu)提供評(píng)估依據(jù)《基本要求》為信息系統(tǒng)主管部門，信息系統(tǒng)運(yùn)營(yíng)、使用單位或?qū)ｉT的等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)安全保護(hù)等級(jí)的檢測(cè)評(píng)估提供依據(jù)。為職能監(jiān)管部門提供監(jiān)督檢查依據(jù)《基本要求》為監(jiān)管部門的監(jiān)督檢查提供依據(jù)，用于判斷一個(gè)特定等級(jí)的信息系統(tǒng)是否按照國(guó)家要求進(jìn)行了基本的保護(hù)。主要特點(diǎn)《基本要求》是針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，“基本”意味著這些要求是針對(duì)該等級(jí)的信息系統(tǒng)達(dá)到基本保護(hù)能力而提出的，也就是說(shuō)，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力，但反過(guò)來(lái)說(shuō)，系統(tǒng)達(dá)到相應(yīng)等級(jí)的保護(hù)能力并不僅僅完全依靠這些安全保護(hù)要求。同時(shí)，《基本要求》強(qiáng)調(diào)的是“要求”，而不是具體實(shí)施方案或作業(yè)指導(dǎo)書，《基本要求》給出了系統(tǒng)每一保護(hù)方面需達(dá)到的要求，至于這種要求采取何種方式實(shí)現(xiàn)，不在《基本要求》的描述范圍內(nèi)。按照《基本要求》進(jìn)行保護(hù)后，信息系統(tǒng)達(dá)到一種安全狀態(tài)，具備了相應(yīng)等級(jí)的保護(hù)能力。與其他標(biāo)準(zhǔn)的關(guān)系 從標(biāo)準(zhǔn)間的承接關(guān)系上講：《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定出系統(tǒng)等級(jí)以及業(yè)務(wù)信息安全性等級(jí)和系統(tǒng)服務(wù)安全等級(jí)后，需要按照相應(yīng)等級(jí)，根據(jù)《基本要求》選擇相應(yīng)等級(jí)的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》是針對(duì)《基本要求》的具體控制要求開發(fā)的測(cè)評(píng)要求，旨在強(qiáng)調(diào)系統(tǒng)按照《基本要求》進(jìn)行建設(shè)完畢后，檢驗(yàn)系統(tǒng)的各項(xiàng)保護(hù)要求是否符合相應(yīng)等級(jí)的基本要求。由上可見，《基本要求》在整個(gè)標(biāo)準(zhǔn)體系中起著承上啟下的作用。 從技術(shù)角度上講：《基本要求》的技術(shù)部分吸收和借鑒了GB17859:1999標(biāo)準(zhǔn)，采納其中的身份鑒別、數(shù)據(jù)完整性、自主訪問控制、強(qiáng)制訪問控制、審計(jì)、客體重用（改為剩余信息保護(hù)）標(biāo)記、可信路徑等8個(gè)安全機(jī)制的部分或全部?jī)?nèi)容，并將這些機(jī)制擴(kuò)展到網(wǎng)絡(luò)層、主機(jī)系統(tǒng)層、應(yīng)用層和數(shù)據(jù)層。《基本要求》的技術(shù)部分弱化了在信息系統(tǒng)中實(shí)現(xiàn)安全機(jī)制結(jié)構(gòu)化設(shè)計(jì)及安全機(jī)制可信性方面的要求，例如沒有提出信息系統(tǒng)的可信恢復(fù)，但在4級(jí)系統(tǒng)提出了災(zāi)難備份與恢復(fù)的要求，保證業(yè)務(wù)連續(xù)運(yùn)行。《基本要求》沒有對(duì)隱蔽通道分析的安全機(jī)制提出要求。此外，《基本要求》的管理部分充分借鑒了ISO/IEC17799:2005等國(guó)際上流行的信息安全管理方面的標(biāo)準(zhǔn)，盡量做到全方位的安全管理?？蚣芙Y(jié)構(gòu)《基本要求》在整體框架結(jié)構(gòu)上以三種分類為支撐點(diǎn)，自上而下分別為：類、控制點(diǎn)和項(xiàng)。其中，類表示《基本要求》在整體上大的分類，其中技術(shù)部分分為：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等5大類，管理部分分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等5大類，一共分為10大類。控制點(diǎn)表示每個(gè)大類下的關(guān)鍵控制點(diǎn)，如物理安全大類中的“物理訪問控制”作為一個(gè)控制點(diǎn)。而項(xiàng)則是控制點(diǎn)下的具體要求項(xiàng)，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員?！本唧w框架結(jié)構(gòu)如圖所示：第三級(jí)基本第三級(jí)基本要求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全第一級(jí)基本要求第二級(jí)基本要求第四級(jí)基本要求第五級(jí)基本要求數(shù)據(jù)安全及備份恢復(fù)技術(shù)要求管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理圖1-1《基本要求》的框架結(jié)構(gòu)描述模型總體描述信息系統(tǒng)是頗受誘惑力的被攻擊目標(biāo)。它們抵抗著來(lái)自各方面威脅實(shí)體的攻擊。對(duì)信息系統(tǒng)實(shí)行安全保護(hù)的目的就是要對(duì)抗系統(tǒng)面臨的各種威脅，從而盡量降低由于威脅給系統(tǒng)帶來(lái)的損失。能夠應(yīng)對(duì)威脅的能力構(gòu)成了系統(tǒng)的安全保護(hù)能力之一——對(duì)抗能力。但在某些情況下，信息系統(tǒng)無(wú)法阻擋威脅對(duì)自身的破壞時(shí)，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時(shí)間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。能夠在一定時(shí)間內(nèi)恢復(fù)系統(tǒng)原有狀態(tài)的能力構(gòu)成了系統(tǒng)的另一種安全保護(hù)能力——恢復(fù)能力。對(duì)抗能力和恢復(fù)能力共同形成了信息系統(tǒng)的安全保護(hù)能力。不同級(jí)別的信息系統(tǒng)應(yīng)具備相應(yīng)等級(jí)的安全保護(hù)能力，即應(yīng)該具備不同的對(duì)抗能力和恢復(fù)能力，以對(duì)抗不同的威脅和能夠在不同的時(shí)間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。針對(duì)各等級(jí)系統(tǒng)應(yīng)當(dāng)對(duì)抗的安全威脅和應(yīng)具有的恢復(fù)能力，《基本要求》提出各等級(jí)的基本安全要求。基本安全要求包括了基本技術(shù)要求和基本管理要求，基本技術(shù)要求主要用于對(duì)抗威脅和實(shí)現(xiàn)技術(shù)能力，基本管理要求主要為安全技術(shù)實(shí)現(xiàn)提供組織、人員、程序等方面的保障。各等級(jí)的基本安全要求，由包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面的基本安全技術(shù)措施和包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的基本安全管理措施來(lái)實(shí)現(xiàn)和保證。下圖表明了《基本要求》的描述模型。每一等級(jí)信息系統(tǒng)每一等級(jí)信息系統(tǒng)安全保護(hù)能力技術(shù)措施管理措施包含具備基本安全要求滿足包含滿足實(shí)現(xiàn)圖1-2《基本要求》的描述模型保護(hù)對(duì)象作為保護(hù)對(duì)象，《管理辦法》中將信息系統(tǒng)分為五級(jí)，分別為：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。安全保護(hù)能力定義對(duì)抗能力能夠應(yīng)對(duì)威脅的能力構(gòu)成了系統(tǒng)的安全保護(hù)能力之一—對(duì)抗能力。不同等級(jí)系統(tǒng)所應(yīng)對(duì)抗的威脅主要從威脅源（自然、環(huán)境、系統(tǒng)、人為）動(dòng)機(jī)（不可抗外力、無(wú)意、有意）范圍（局部、全局）能力（工具、技術(shù)、資源等）四個(gè)要素來(lái)考慮。在對(duì)威脅進(jìn)行級(jí)別劃分前，我們首先解釋以上幾個(gè)要素：威脅源——是指任何能夠?qū)е路穷A(yù)期的不利事件發(fā)生的因素，通常分為自然（如自然災(zāi)害）環(huán)境（如電力故障）IT系統(tǒng)（如系統(tǒng)故障）和人員（如心懷不滿的員工）四類。動(dòng)機(jī)——與威脅源和目標(biāo)有著密切的聯(lián)系，不同的威脅源對(duì)應(yīng)不同的目標(biāo)有著不同的動(dòng)機(jī)，通常可分為不可抗外力（如自然災(zāi)害）無(wú)意的（如員工的疏忽大意）和故意的（如情報(bào)機(jī)構(gòu)的信息收集活動(dòng)）。范圍——是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計(jì)算機(jī)病毒的傳染性較弱，危害范圍是有限的；但是蠕蟲類病毒則相反，它們可以在網(wǎng)絡(luò)中以驚人的速度迅速擴(kuò)散并導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。能力——主要是針對(duì)威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要體現(xiàn)在威脅源占有的計(jì)算資源的多少、工具的先進(jìn)程度、人力資源（包括經(jīng)驗(yàn)）等方面。通過(guò)對(duì)威脅主要因素的分析，我們可以組合得到不同等級(jí)的威脅：第一級(jí)：本等級(jí)的威脅是1）危害范圍為局部的環(huán)境或者設(shè)備故障、2）無(wú)意的員工失誤以及3）低能力的滲透攻擊等威脅情景。典型情況如灰塵超標(biāo)（環(huán)境）單個(gè)非重要工作站（設(shè)備）崩潰等。第二級(jí)：本等級(jí)的威脅主要是1）危害局部的較嚴(yán)重的自然事件、2）具備中等能力、有預(yù)設(shè)目標(biāo)的威脅情景。典型情況如有組織的情報(bào)搜集等。第三級(jí)：本等級(jí)的威脅主要是1）危害整體的自然事件、2）具備較高能力、大范圍的、有預(yù)設(shè)目標(biāo)的滲透攻擊。典型情況如較嚴(yán)重的自然災(zāi)害、大型情報(bào)組織的情報(bào)搜集等。第四級(jí)：本等級(jí)的威脅主要是1）危害整體的嚴(yán)重的自然事件、2）國(guó)家級(jí)滲透攻擊。典型情況如國(guó)家經(jīng)營(yíng)，組織精良，有很好的財(cái)政資助，從其他具有經(jīng)濟(jì)、軍事或政治優(yōu)勢(shì)的國(guó)家收集機(jī)密信息等?；謴?fù)能力但在某些情況下，信息系統(tǒng)無(wú)法阻擋威脅對(duì)自身的破壞時(shí)，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時(shí)間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。能夠在一定時(shí)間內(nèi)恢復(fù)系統(tǒng)原有狀態(tài)的能力構(gòu)成了另一種安全保護(hù)能力——恢復(fù)能力?；謴?fù)能力主要從恢復(fù)時(shí)間和恢復(fù)程度上來(lái)衡量其不同級(jí)別?；謴?fù)時(shí)間越短、恢復(fù)程度越接近系統(tǒng)正常運(yùn)行狀態(tài)，表明恢復(fù)能力越高。第一級(jí)：系統(tǒng)具有基本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時(shí)的恢復(fù)部分系統(tǒng)功能。第二級(jí)：系統(tǒng)具有一定的數(shù)據(jù)備份功能，在遭到破壞后能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。第三級(jí)：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復(fù)絕大部分功能。第四級(jí)：系統(tǒng)具有極高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠迅速恢復(fù)所有系統(tǒng)功能。不同等級(jí)的安全保護(hù)能力信息系統(tǒng)的安全保護(hù)能力包括對(duì)抗能力和恢復(fù)能力。不同級(jí)別的信息系統(tǒng)應(yīng)具備相應(yīng)等級(jí)的安全保護(hù)能力，即應(yīng)該具備不同的對(duì)抗能力和恢復(fù)能力。將“能力”分級(jí)，是基于系統(tǒng)的保護(hù)對(duì)象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來(lái)說(shuō)，信息系統(tǒng)越重要，應(yīng)具有的保護(hù)能力就越高。因?yàn)橄到y(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴(yán)重，因此需要提高相應(yīng)的安全保護(hù)能力。不同等級(jí)信息系統(tǒng)所具有的保護(hù)能力如下：一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)部分功能。二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大部分功能。四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。 安全要求首先介紹《基本要求》的安全要求的分類。安全要求從整體上分為技術(shù)和管理兩大類，其中，技術(shù)類安全要求按其保護(hù)的側(cè)重點(diǎn)不同，將其下的控制點(diǎn)分為三類： 信息安全類（S類）——關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改。如，自主訪問控制，該控制點(diǎn)主要關(guān)注的是防止未授權(quán)的訪問系統(tǒng)，進(jìn)而造成數(shù)據(jù)的 修改或泄漏。至于對(duì)保證業(yè)務(wù)的正常連續(xù)運(yùn)行并沒有直接的影響。 服務(wù)保證類（A類）——關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，避免因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。如，數(shù)據(jù)的備份和恢復(fù)，該控制點(diǎn)很好的體現(xiàn)了對(duì)業(yè)務(wù)正常運(yùn)行的保護(hù)。通過(guò)對(duì)數(shù)據(jù) 進(jìn)行備份，在發(fā)生安全事件后能夠及時(shí)的進(jìn)行恢復(fù)，從而保證了業(yè)務(wù)的正常運(yùn)行。 通用安全保護(hù)類（G類）——既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的 連續(xù)可用性。大多數(shù)技術(shù)類安全要求都屬于此類，保護(hù)的重點(diǎn)既是為了保證業(yè)務(wù)能夠正常運(yùn)行，同時(shí)數(shù)據(jù)要安全。如，物理訪問控制，該控制點(diǎn)主要是防止非授權(quán)人員物理訪問系統(tǒng)主要工作環(huán)境，由于進(jìn)入工作環(huán)境可能導(dǎo)致的后果既可能包括系統(tǒng)無(wú)法正常運(yùn)行（如，損壞某臺(tái)重要服務(wù)器），也可能竊取某些重要數(shù)據(jù)。因此，它保護(hù)的重點(diǎn)二者兼而有之。技術(shù)安全要求按其保護(hù)的側(cè)重點(diǎn)不同分為S、A、G三類，如果從另外一個(gè)角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來(lái)看，信息系統(tǒng)安全可從五個(gè)層面：物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行保護(hù)，因此，技術(shù)類安全要求也相應(yīng)的分為五個(gè)層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運(yùn)行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運(yùn)行提供基本的后臺(tái)支持和保證；——網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；——主機(jī)層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng)，以實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全運(yùn)行；——應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實(shí)現(xiàn)用戶安全需求所確定的安全目標(biāo)；——數(shù)據(jù)及備份恢復(fù)層面安全要求：全面關(guān)注信息系統(tǒng)中存儲(chǔ)、傳輸、處理等過(guò)程的數(shù)據(jù)的安全性。管理類安全要求主要是圍繞信息系統(tǒng)整個(gè)生命周期全過(guò)程而提出的，均為G類要求。信息系統(tǒng)的生命周期主要分為五個(gè)階段：初始階段、采購(gòu)/開發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段和廢棄階段。管理類安全要求正是針對(duì)這五個(gè)階段的不同安全活動(dòng)提出的，分為：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面。逐級(jí)增強(qiáng)的特點(diǎn)增強(qiáng)原則不同級(jí)別的信息系統(tǒng)，其應(yīng)該具備的安全保護(hù)能力不同，也就是對(duì)抗能力和恢復(fù)能力不同；安全保護(hù)能力不同意味著能夠應(yīng)對(duì)的威脅不同，較高級(jí)別的系統(tǒng)應(yīng)該能夠應(yīng)對(duì)更多的威脅；應(yīng)對(duì)威脅將通過(guò)技術(shù)措施和管理措施來(lái)實(shí)現(xiàn)，應(yīng)對(duì)同一個(gè)威脅可以有不同強(qiáng)度和數(shù)量的措施，較高級(jí)別的系統(tǒng)應(yīng)考慮更為周密的應(yīng)對(duì)措施。不同級(jí)別的信息系統(tǒng)基本安全要求的考慮思路和增強(qiáng)原則如下圖所示：圖1-3《基本要求》逐級(jí)的考慮思路和增強(qiáng)原則總體描述不同等級(jí)的信息系統(tǒng)安全保護(hù)能力不同，故其安全要求也不同，從宏觀來(lái)看，各個(gè)級(jí)別的安全要求逐級(jí)增強(qiáng)，表現(xiàn)為：二級(jí)基本要求：在一級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，二級(jí)要求在控制點(diǎn)上增加了安全審計(jì)、邊界完整性檢查、入侵防范、資源控制以及通信保密性等控制點(diǎn)。身份鑒別則要求在系統(tǒng)的整個(gè)生命周期，每一個(gè)用戶具有唯一標(biāo)識(shí)，使用戶對(duì)對(duì)自己的行為負(fù)責(zé)，具有可查性。同時(shí)，要求訪問控制具有更細(xì)的訪問控制粒度等。管理方面，增加了審核和檢查、管理制度的評(píng)審和修訂、人員考核、密碼管理、變更管理和應(yīng)急預(yù)案管理等控制點(diǎn)。要求制定信息安全工作的總體方針和安全策略，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，健全各項(xiàng)安全管理的規(guī)章制度，對(duì)各類人員進(jìn)行不同層次要求的安全培訓(xùn)等，從而確保系統(tǒng)所設(shè)置的各種安全功能發(fā)揮其應(yīng)有的作用。三級(jí)基本要求：在二級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴等。同時(shí)，對(duì)身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進(jìn)一步的要求，如訪問控制增加了對(duì)重要信息資源設(shè)置敏感標(biāo)記等。管理方面，增加了系統(tǒng)備案、等級(jí)測(cè)評(píng)、監(jiān)控管理和安全管理中心等控制點(diǎn)，同時(shí)要求設(shè)置必要的安全管理職能部門，加強(qiáng)了安全管理制度的評(píng)審以及人員安全的管理，對(duì)系統(tǒng)建設(shè)過(guò)程加強(qiáng)了質(zhì)量管理。四級(jí)基本要求：在三級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了安全標(biāo)記、可信路徑，同時(shí)，對(duì)身份鑒別、訪問控制、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進(jìn)一步的要求，如要求訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表、記錄和字段級(jí)，建立異地災(zāi)難備份中心等，對(duì)部分功能進(jìn)行了限制（如禁止撥號(hào)訪問控制）。管理方面，沒有增加控制點(diǎn)，在安全管理制度制訂和發(fā)布、評(píng)審和修訂等某些管理要求上要求項(xiàng)增加，強(qiáng)度增強(qiáng)。具體從微觀來(lái)看，安全要求逐級(jí)增強(qiáng)主要表現(xiàn)在三個(gè)方面：控制點(diǎn)增加、同一控制點(diǎn)的要求項(xiàng)增加、同一要求項(xiàng)強(qiáng)度增強(qiáng)?？刂泣c(diǎn)增加控制點(diǎn)增加，表明對(duì)系統(tǒng)的關(guān)注點(diǎn)增加，因而安全要求的級(jí)別差異就體現(xiàn)出來(lái)。比較突出的控制點(diǎn)增加，如，二級(jí)控制點(diǎn)增加了安全審計(jì)，三級(jí)控制點(diǎn)增加了剩余信息保護(hù)。每級(jí)系統(tǒng)在每一層面上控制點(diǎn)的分布見下表：表1《基本要求》控制點(diǎn)的分布安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差//1874二級(jí)在控制點(diǎn)上的增加較為顯著。要求項(xiàng)增加由于控制點(diǎn)是有限的，特別在高級(jí)別上，如三、四級(jí)安全要求（兩者之間控制點(diǎn)的變化只有一處），單靠控制點(diǎn)增加來(lái)體現(xiàn)安全要求逐級(jí)增強(qiáng)的特點(diǎn)是很難的。必須將控制點(diǎn)之下的安全要求項(xiàng)目考慮其中。要求項(xiàng)目的增加，就可以很好的體現(xiàn)了逐級(jí)增強(qiáng)的特點(diǎn)。同一控制點(diǎn)，具體的安全項(xiàng)目數(shù)量增加，表明對(duì)該控制點(diǎn)的要求更細(xì)化，更嚴(yán)格，從而表現(xiàn)為該控制點(diǎn)的強(qiáng)度增強(qiáng)。如，對(duì)于控制點(diǎn)身份鑒別，在二級(jí)只要求標(biāo)識(shí)唯一性、鑒別信息復(fù)雜性以及登錄失敗處理等要求；而在三級(jí)，對(duì)該控制點(diǎn)增加了組合鑒別方式等。該控制點(diǎn)的強(qiáng)度得到增強(qiáng)。每級(jí)系統(tǒng)在每一層面上要求項(xiàng)的分布見下表：表2《基本要求》要求項(xiàng)在各層面的分布安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差//9011528可見，在二級(jí)與一級(jí)之間，三級(jí)與二級(jí)之間要求項(xiàng)的增加比較顯著，尤其是三、二級(jí)之間，盡管控制點(diǎn)的增加不多，但在具體的控制點(diǎn)上增加了要求項(xiàng)，故整體的級(jí)差增強(qiáng)較顯著。控制強(qiáng)度增強(qiáng)同控制點(diǎn)類似，安全要求項(xiàng)目也不能無(wú)限制的增加，對(duì)于同一安全要求項(xiàng)（這里的“同一”，指的是要求的方面是相同的，而不是具體的要求內(nèi)容），如果在要求的力度上加強(qiáng)，同樣也能夠反映出級(jí)別的差異。安全項(xiàng)目強(qiáng)度的增強(qiáng)表現(xiàn)為：范圍增大：如，對(duì)主機(jī)系統(tǒng)安全的“安全審計(jì)”，二級(jí)只要求“審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶”；而三級(jí)則在對(duì)象的范圍上發(fā)生了變化，為“審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；“。覆蓋范圍不再僅指服務(wù)器，而是擴(kuò)大到服務(wù)器和重要客戶終端了，表明了該要求項(xiàng)強(qiáng)度的增強(qiáng)。要求細(xì)化：如，人員安全管理中的“安全意識(shí)教育和培訓(xùn)”，二級(jí)要求“應(yīng)制定安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；”，而三級(jí)在對(duì)培訓(xùn)計(jì)劃進(jìn)行了進(jìn)一步的細(xì)化并要求應(yīng)有書面文件，為“應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)”，培訓(xùn)計(jì)劃有了針對(duì)性，更符合各個(gè)崗位人員的實(shí)際需要。粒度細(xì)化：如，網(wǎng)絡(luò)安全中的“撥號(hào)訪問控制”，一級(jí)要求“控制粒度為用戶組”，而二級(jí)要求則將控制粒度細(xì)化，為“控制粒度為單個(gè)用戶”。由“用戶組”到“單個(gè)用戶”，粒度上的細(xì)化，同樣也增強(qiáng)了要求的強(qiáng)度?？梢?，安全要求的逐級(jí)增強(qiáng)并不是無(wú)規(guī)律可循，而是按照“層層剝開”的模式，由控制點(diǎn)的增加到要求項(xiàng)的增加，進(jìn)而是要求項(xiàng)的強(qiáng)度增強(qiáng)。三者綜合體現(xiàn)了不同等級(jí)的安全要求的級(jí)差。各級(jí)安全要求技術(shù)要求物理安全物理安全保護(hù)的目的主要是使存放計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存儲(chǔ)數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。物理安全是防護(hù)信息系統(tǒng)安全的最底層，缺乏物理安全，其他任何安全措施都是毫無(wú)意義的。物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等十個(gè)控制點(diǎn)。不同等級(jí)的基本要求在物理安全方面所體現(xiàn)的不同如第3.1節(jié)和3.2節(jié)所描述的一樣，在三個(gè)方面都有所體現(xiàn)。 一級(jí)物理安全要求：主要要求對(duì)物理環(huán)境進(jìn)行基本的防護(hù)，對(duì)出入進(jìn)行基本控制，環(huán)境安全能夠?qū)ψ匀煌{進(jìn)行基本的防護(hù)，電力則要求提供供電電壓的正常。 二級(jí)物理安全要求：對(duì)物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對(duì)出入進(jìn)行基本的控制，對(duì)進(jìn)入后的活動(dòng)也要進(jìn)行控制；物理環(huán)境方面，則加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來(lái)多方面進(jìn)行防護(hù)。 三級(jí)物理安全要求：對(duì)出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來(lái)進(jìn)行防護(hù)。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。 四級(jí)物理安全要求：對(duì)機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。下表表明了物理安全在控制點(diǎn)上逐級(jí)變化的特點(diǎn)：表3物理安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計(jì)7101010 注：*代表此類控制點(diǎn)在該級(jí)物理安全中有要求，空格則表示無(wú)此類要求。（以下同）另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開。物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運(yùn)行環(huán)境時(shí)進(jìn)行考慮。物理位置的正確選擇是保證系統(tǒng)能夠在安全的物理環(huán)境中運(yùn)行的前提，它在一定程度上決定了面臨的自然災(zāi)難以及可能的環(huán)境威脅。譬如，在我國(guó)南方地區(qū)，夏季多雨水，雷擊和洪災(zāi)的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會(huì)遭受這類的威脅。如果沒有正確的選擇物理位置，必然會(huì)造成后期為保護(hù)物理環(huán)境而投入大量資金、設(shè)備，甚至無(wú)法彌補(bǔ)。因此，物理位置選擇必須考慮周遭的整體環(huán)境以及具體樓宇的物理位置是否能夠?yàn)樾畔⑾到y(tǒng)的運(yùn)行提供物理上的基本保證。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此方面要求。二級(jí)：要求選擇時(shí)主要考慮建筑物具有基本防護(hù)自然條件的能力。三級(jí)：除二級(jí)要求外，對(duì)建筑物的樓層以及周圍環(huán)境也提出了要求。四級(jí)：與三級(jí)要求相同。具體見下表4：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a)—b)a)—b)合計(jì)0122物理訪問控制物理訪問控制主要是對(duì)內(nèi)部授權(quán)人員和臨時(shí)外部外部人員進(jìn)出系統(tǒng)主要物理工作環(huán)境進(jìn)行人員控制。對(duì)進(jìn)出口進(jìn)行控制，是防護(hù)物理安全的第一道關(guān)口，也是防止外部非授權(quán)人員對(duì)系統(tǒng)進(jìn)行本地惡意操作的重要防護(hù)措施。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求對(duì)進(jìn)出機(jī)房時(shí)進(jìn)行基本的出入控制。二級(jí)：除一級(jí)要求外，對(duì)人員進(jìn)入機(jī)房后的活動(dòng)也應(yīng)進(jìn)行控制。三級(jí)：除二級(jí)要求外，加強(qiáng)了對(duì)進(jìn)出機(jī)房時(shí)的控制手段，做到人員和電子設(shè)備共同控制，并對(duì)機(jī)房分區(qū)域管理。四級(jí)：除三級(jí)要求外，進(jìn)一步強(qiáng)化了進(jìn)出機(jī)房的控制，要求兩道電子設(shè)備監(jiān)控。具體見下表5： 要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)—b)a)—d)a)—d)*合計(jì)1244+ 注：“*”代表該要求項(xiàng)同上級(jí)相比，在強(qiáng)度上增強(qiáng)，“+”代表此級(jí)的要求項(xiàng)在強(qiáng)度上較上一級(jí)增強(qiáng)（以下同）。其中，四級(jí)要求項(xiàng)較三級(jí)在強(qiáng)度上有所增強(qiáng)，即，由三級(jí)的一道電子門禁系統(tǒng)增強(qiáng)為四級(jí)的兩道電子門禁系統(tǒng)。因此，三級(jí)、四級(jí)雖在要求項(xiàng)目數(shù)量上是相同的（同為4項(xiàng)），但四級(jí)的要求項(xiàng)在強(qiáng)度上得到了增強(qiáng)，為4+。防盜竊和防破壞該控制點(diǎn)主要考慮了系統(tǒng)運(yùn)行的設(shè)備、介質(zhì)以及通信線纜的安全性。物理訪問控制主要側(cè)重在進(jìn)出口，這在一定程度上防止了設(shè)備的被盜，但在機(jī)房?jī)?nèi)部，該控制點(diǎn)則無(wú)法提供保護(hù)。因此，防盜竊和防破壞控制點(diǎn)主要側(cè)重在機(jī)房?jī)?nèi)部對(duì)設(shè)備、介質(zhì)和通信線纜進(jìn)行此方面的保護(hù)。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要從設(shè)備的存放位置和設(shè)備本身兩方面考慮。二級(jí)：不僅考慮了設(shè)備、還考慮通信線纜和介質(zhì)及主機(jī)房的防盜報(bào)警方面的防護(hù)要求。三級(jí)：除二級(jí)要求外，主要加強(qiáng)了機(jī)房?jī)?nèi)的監(jiān)控報(bào)警要求。四級(jí)：與三級(jí)要求相同。具體見下表6：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－b)a)－e)a)－e)*f)a)－f)合計(jì)256+6其中，在三級(jí)，e）項(xiàng)相對(duì)于二級(jí)的e）項(xiàng)在強(qiáng)度上增強(qiáng)，即，明確強(qiáng)調(diào)了采用光電等控制裝置監(jiān)控機(jī)房?jī)?nèi)情況。防雷擊該控制點(diǎn)主要考慮采取措施防止雷電對(duì)電流、進(jìn)而設(shè)備造成的不利影響，從而引起巨大的經(jīng)濟(jì)損失。雷電對(duì)設(shè)備的破壞主要有兩類：直擊雷破壞，即雷電直擊在建筑物或設(shè)備上，使其發(fā)熱燃燒和機(jī)械劈裂破壞；另一類是感應(yīng)雷破壞，即雷電的第二次作用，強(qiáng)大的雷電磁場(chǎng)產(chǎn)生的電磁效應(yīng)和靜電效應(yīng)使金屬構(gòu)件產(chǎn)生高至數(shù)十萬(wàn)伏的電壓。目前，大多數(shù)建筑物都設(shè)有防直擊雷的措施－避雷裝置，因此，防雷擊主要集中在防感應(yīng)雷。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要考慮建筑防雷。二級(jí)：除一級(jí)要求外，增加了接地防感應(yīng)雷措施。三級(jí)：除二級(jí)要求外，增加了具體設(shè)備防感應(yīng)雷措施。四級(jí)：與三級(jí)要求相同。具體見下表7：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)－b)a)－c)a)－c)合計(jì)1233防火該控制點(diǎn)主要考慮采取各種措施防止火災(zāi)的發(fā)生以及發(fā)生后能夠及時(shí)滅火。分別從設(shè)備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要要求基本的設(shè)備滅火。二級(jí)：除一級(jí)要求外，要求能夠自動(dòng)報(bào)警火災(zāi)發(fā)生。三級(jí)：除二級(jí)要求外，增加了從建筑材料、區(qū)域隔離等方面考慮的防火措施。四級(jí)：與三級(jí)要求相同。具體見下表8：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)*a)*b)－c)a)b)－c)合計(jì)11+3+3其中，在二級(jí)，雖然要求仍是采取設(shè)備滅火，但設(shè)備的功能性要求增強(qiáng)，即，能夠自動(dòng)報(bào)警，仍然對(duì)于a）項(xiàng)，在三級(jí)進(jìn)一步得到增強(qiáng)，要求設(shè)備能夠自動(dòng)檢測(cè)、報(bào)警和滅火。因此，二級(jí)和三級(jí)都分別為a)*。防水和防潮該控制點(diǎn)主要是考慮防止室內(nèi)由于各種原因的積水、水霧或濕度太高造成設(shè)備運(yùn)行異常。同時(shí)，也是控制室內(nèi)濕度的較好措施。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要從室內(nèi)水管、墻壁、屋頂?shù)确矫婵紤]防水防潮。二級(jí)：除一級(jí)要求外，增加了防止室內(nèi)水蒸汽和地下水的考慮，并禁止機(jī)房?jī)?nèi)有水管通過(guò)。三級(jí)：除二級(jí)要求外，增加了對(duì)室內(nèi)的防水檢測(cè)報(bào)警要求。四級(jí)：與三級(jí)相同。具體見下表9：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－b）a)*—c）a)—d）a)—d）合計(jì)23+44其中，在二級(jí)，水管安裝要求不得穿過(guò)機(jī)房屋頂和活動(dòng)地板下，去掉了在一級(jí)要求穿過(guò)機(jī)房的水管使用套管的要求，所以對(duì)于a）項(xiàng)，增強(qiáng)了要求，為a)*。防靜電該控制點(diǎn)主要考慮在物理環(huán)境里，盡量避免產(chǎn)生靜電，以防止靜電對(duì)設(shè)備、人員造成的傷害。大量靜電如果積聚在設(shè)備上，會(huì)導(dǎo)致磁盤讀寫錯(cuò)誤、損壞磁頭、對(duì)CMOS靜電電路也會(huì)造成極大威脅。由于靜電放電對(duì)電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應(yīng)的累加，最終造成設(shè)備的嚴(yán)重?fù)p壞。防靜電措施包括最基本的接地、到防靜電地板、設(shè)備防靜電等方面。當(dāng)然，對(duì)室內(nèi)溫濕度的控制，也是防止靜電產(chǎn)生的較好措施（具體將在以下介紹）。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：要求基本的接地防靜電措施。三級(jí)：除二級(jí)要求外，對(duì)地板材料做出了防靜電要求。四級(jí)：除三級(jí)要求外，要求采用專門設(shè)置防靜電裝置。具體見下表10：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a)*—b）a)*—c）合計(jì)012+3+其中，在二級(jí)，要求“關(guān)鍵設(shè)備“接地防靜電，三級(jí)，要求“主要設(shè)備”，四級(jí)要求“設(shè)備”，所以對(duì)于a）項(xiàng)，在三級(jí)和四級(jí)都增強(qiáng)了要求，都為a)*。溫濕度控制機(jī)房?jī)?nèi)的各種設(shè)備必須在一定的溫度、濕度范圍內(nèi)才能正常運(yùn)行。溫、濕度過(guò)高或過(guò)低都會(huì)對(duì)設(shè)備產(chǎn)生不利影響。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會(huì)在天花板、墻面以及設(shè)備表面形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問題。低于40％的低濕度增加了靜電產(chǎn)生的危害。溫度控制在20攝氏度左右是設(shè)備正常工作的良好溫度條件。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求做到基本的溫濕度控制。二級(jí)：在一級(jí)基礎(chǔ)上，要求溫濕度控制的力度做到自動(dòng)調(diào)控。三級(jí)：與二級(jí)要求相同。四級(jí)：與三級(jí)要求相同。具體見下表11：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)*a)a)合計(jì)11+11其中，對(duì)二級(jí)要求溫濕度能夠自動(dòng)調(diào)節(jié)，因此a)應(yīng)為a)*。電力供應(yīng)穩(wěn)定、充足的電力供應(yīng)是維持系統(tǒng)持續(xù)正常工作的重要條件。許多因素威脅到電力系統(tǒng)，最常見的是電力波動(dòng)。電力波動(dòng)對(duì)一些精密的電子配件會(huì)造成嚴(yán)重的物理?yè)p害。應(yīng)控制電力在10％以內(nèi)的波動(dòng)范圍。采用穩(wěn)壓器和過(guò)電壓保護(hù)裝置是很好的控制電力波動(dòng)的措施。保證充足短期電力供應(yīng)措施是可配備不間斷電源（UPS），重要系統(tǒng)可配備備份供電系統(tǒng)，以備不時(shí)之需。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求能夠提供穩(wěn)定的電壓供應(yīng)。二級(jí)：除一級(jí)要求外，要求能夠提供短期的電力供應(yīng)。三級(jí)：除二級(jí)要求外，加強(qiáng)電力供應(yīng)保障，能夠長(zhǎng)時(shí)間供電和備用供電線路。四級(jí)：除三級(jí)要求外，短期備用供電范圍增大。具體見下表12：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)－b）a)b)*—d）a)b)*—d）合計(jì)124+4+其中，短期供電設(shè)備在二級(jí)中要求滿足的是“關(guān)鍵設(shè)備”，三級(jí)要求“主要設(shè)備”，四級(jí)要求“設(shè)備”，滿足的范圍逐漸增大，因此，第三級(jí)和第四級(jí)的b都是b)*。電磁防護(hù)現(xiàn)代通信技術(shù)是建立在電磁信號(hào)傳播的基礎(chǔ)上，而空間電磁場(chǎng)的開放特性決定了電磁泄漏是危及系統(tǒng)安全性的一個(gè)重要因素，電磁防護(hù)主要是提供對(duì)信息系統(tǒng)設(shè)備的電磁信號(hào)進(jìn)行保護(hù)，確保用戶信息在使用和傳輸過(guò)程中的安全性。電磁防護(hù)手段從線纜物理距離上隔離、設(shè)備接地、到設(shè)備的電磁屏蔽等方面。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：要求具有基本的電磁防護(hù)能力，如線纜隔離。三級(jí)：除二級(jí)要求外，增強(qiáng)了防護(hù)能力，要求設(shè)備接地并能夠做到部分電磁屏蔽。四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求屏蔽范圍擴(kuò)展到機(jī)房關(guān)鍵區(qū)域。具體見下表13：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a)—c）a)—c）*合計(jì)0133+其中，在第三級(jí)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽的基礎(chǔ)上，要求對(duì)關(guān)鍵區(qū)域?qū)嵤╇姶牌帘危秶黾恿耍虼薱)為c)*。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)，另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。對(duì)網(wǎng)絡(luò)安全的保護(hù)，主要關(guān)注兩個(gè)方面：共享和安全。開放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動(dòng)、共享，但同時(shí)也打開了“罪惡”的大門。因此，必須在二者之間尋找恰當(dāng)?shù)钠胶恻c(diǎn)，使得在盡可能安全的情況下實(shí)現(xiàn)最大程度的資源共享，這是我們實(shí)現(xiàn)網(wǎng)絡(luò)安全的理想目標(biāo)。 網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體的控制點(diǎn)包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。 不同等級(jí)的基本要求在網(wǎng)絡(luò)安全方面所體現(xiàn)的不同如3.1節(jié)和3.2節(jié)所描述的一樣，在三個(gè)方面都有所體現(xiàn)。 一級(jí)網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過(guò)濾等訪問控制措施。 二級(jí)網(wǎng)絡(luò)安全要求：不僅要滿足網(wǎng)絡(luò)安全運(yùn)行的基本保障，同時(shí)還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時(shí)的需要。對(duì)網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時(shí)，加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了安全審計(jì)、邊界完整性檢查、入侵防范等控制點(diǎn)。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。 三級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)處理能力增加了“優(yōu)先級(jí)”考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時(shí)仍能夠正常運(yùn)行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動(dòng)的“防”，還應(yīng)能夠主動(dòng)發(fā)出一些動(dòng)作，如報(bào)警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。 四級(jí)網(wǎng)絡(luò)安全要求：對(duì)網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號(hào)訪問，不允許數(shù)據(jù)帶通用協(xié)議通過(guò)；邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)安全審計(jì)著眼于全局，做到集中審計(jì)分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)。 下表表明了網(wǎng)絡(luò)安全在控制點(diǎn)逐級(jí)變化的特點(diǎn)：表14網(wǎng)絡(luò)安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全****訪問控制****安全審計(jì)***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計(jì)3677 另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開。結(jié)構(gòu)安全 在對(duì)網(wǎng)絡(luò)安全實(shí)現(xiàn)全方位保護(hù)之前，首先應(yīng)關(guān)注整個(gè)網(wǎng)絡(luò)的資源分布、架構(gòu)是否合理。只有結(jié)構(gòu)安全了，才能在其上實(shí)現(xiàn)各種技術(shù)功能，達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。通常，一個(gè)機(jī)構(gòu)是由多個(gè)業(yè)務(wù)部門組成，各部門的地位、重要性不同，部門所要處理的信息重要性也不同，因此，需要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分。 該控制點(diǎn)主要從網(wǎng)段劃分、資源（帶寬、處理能力）保證、優(yōu)先處理等方面來(lái)要求。其在不同級(jí)別主要表現(xiàn)為： 一級(jí)：要求網(wǎng)絡(luò)資源方面能夠?yàn)榫W(wǎng)絡(luò)的正常運(yùn)行提供基本的保障。 二級(jí)：在一級(jí)要求的基礎(chǔ)上，要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)高峰的需要，同時(shí)應(yīng)以網(wǎng)段形式分隔不同部門的系統(tǒng)。 三級(jí)：除二級(jí)要求外，增加了“處理優(yōu)先級(jí)”考慮，以保證重要主機(jī)能夠正常運(yùn)行。 四級(jí)：與三級(jí)要求基本相同。 具體見下表15：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－c)a)*b)*-d)a)*b)*c)*—g)a)*—g)合計(jì)34+7+7+ 在二級(jí)，a)b)控制點(diǎn)在網(wǎng)絡(luò)資源（設(shè)備處理能力、帶寬）加強(qiáng)了力度，不僅要求滿足基本的業(yè)務(wù)需要，更應(yīng)滿足業(yè)務(wù)高峰時(shí)的網(wǎng)絡(luò)正常運(yùn)行。因此，a)b)項(xiàng)在強(qiáng)度上都有所增強(qiáng)。在三級(jí)，a)b)控制點(diǎn)在第二級(jí)要求的“關(guān)鍵網(wǎng)絡(luò)設(shè)備”、“接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)”的基礎(chǔ)上在網(wǎng)絡(luò)范圍上增加了，要求“”主要網(wǎng)絡(luò)設(shè)備“、“網(wǎng)絡(luò)各個(gè)部分的帶寬”，因此，a)b)項(xiàng)在強(qiáng)度上都有所增強(qiáng)。在四級(jí)，a)控制點(diǎn)在三級(jí)要求的基礎(chǔ)上，要求“網(wǎng)絡(luò)設(shè)備”，范圍上又增加了要求，因此，a)項(xiàng)在強(qiáng)度上有所增強(qiáng)。訪問控制 對(duì)于網(wǎng)絡(luò)而言，最重要的一道安全防線就是邊界，邊界上匯聚了所有流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)流，必須對(duì)其進(jìn)行有效的監(jiān)視和控制。所謂邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。有連接，必有數(shù)據(jù)間的流動(dòng)，因此在邊界處，重要的就是對(duì)流經(jīng)的數(shù)據(jù)（或者稱進(jìn)出網(wǎng)絡(luò)）進(jìn)行嚴(yán)格的訪問控制。按照一定的規(guī)則允許或拒絕數(shù)據(jù)的流入、流出。如果說(shuō)，網(wǎng)絡(luò)訪問控制是從數(shù)據(jù)的角度對(duì)網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)進(jìn)行控制，那么，撥號(hào)訪問控制則是從用戶的角度對(duì)遠(yuǎn)程訪問網(wǎng)絡(luò)的用戶進(jìn)行控制。對(duì)用戶的訪問控制，同樣應(yīng)按照一定的控制規(guī)則來(lái)允許或拒絕用戶的訪問。 該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為： 一級(jí)：主要在網(wǎng)絡(luò)邊界處對(duì)經(jīng)過(guò)的數(shù)據(jù)進(jìn)行包頭信息的過(guò)濾，以控制數(shù)據(jù)的進(jìn)出網(wǎng)絡(luò)，對(duì)用戶進(jìn)行基本的訪問控制。 二級(jí)：在一級(jí)要求的基礎(chǔ)上，對(duì)數(shù)據(jù)的過(guò)濾增強(qiáng)為根據(jù)會(huì)話信息進(jìn)行過(guò)濾，對(duì)用戶訪問粒度進(jìn)一步細(xì)化，由用戶組到單個(gè)用戶，同時(shí)限制撥號(hào)訪問的用戶數(shù)量。 三級(jí)：在二級(jí)要求的基礎(chǔ)上，將過(guò)濾的力度擴(kuò)展到應(yīng)用層，即根據(jù)應(yīng)用的不同而過(guò)濾，對(duì)設(shè)備接入網(wǎng)絡(luò)進(jìn)行了一定的限制。 四級(jí)：對(duì)數(shù)據(jù)本身所帶的協(xié)議進(jìn)行了禁止，同時(shí)根據(jù)數(shù)據(jù)的敏感標(biāo)記允許或拒絕數(shù)據(jù)通過(guò)，并禁止遠(yuǎn)程撥號(hào)訪問。 具體見下表16：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)b)c)a)b)c)*-d)a)b)*—h)a)—d)合計(jì)34+8+4 二級(jí)與一級(jí)相比，在對(duì)數(shù)據(jù)的過(guò)濾上由一級(jí)包頭信息過(guò)濾增強(qiáng)為對(duì)會(huì)話信息的過(guò)濾，過(guò)濾的粒度增強(qiáng)，使得網(wǎng)絡(luò)訪問控制的強(qiáng)度增強(qiáng)。另外，在四級(jí)，該控制點(diǎn)的要求項(xiàng)較三級(jí)減少，原因是在四級(jí)做出了更高的要求，禁止數(shù)據(jù)帶任何協(xié)議流經(jīng)網(wǎng)絡(luò)，這樣在很大程度上縮減了其他要求。對(duì)用戶訪問粒度的變化（由用戶組到單個(gè)用戶）是該要求項(xiàng)的主要特點(diǎn)。其次，隨著級(jí)別的增加，對(duì)撥號(hào)用戶的數(shù)量有了一定的限制，到四級(jí)則是禁止用戶撥號(hào)訪問，因此，在四級(jí)，雖要求項(xiàng)減少，但強(qiáng)度已達(dá)最高。安全審計(jì) 如果將安全審計(jì)僅僅理解為“日志記錄”功能，那么目前大多數(shù)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備都有不同程度的日志功能。但是實(shí)際上僅這些日志根本不能保障系統(tǒng)的安全，也無(wú)法滿足事后的追蹤取證。安全審計(jì)并非日志功能的簡(jiǎn)單改進(jìn)，也并非等同于入侵檢測(cè)。 網(wǎng)絡(luò)安全審計(jì)重點(diǎn)包括的方面：對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)以及對(duì)異常流量的識(shí)別和報(bào)警、網(wǎng)絡(luò)設(shè)備運(yùn)行情況的監(jiān)測(cè)等。通過(guò)對(duì)以上方面的記錄分析，形成報(bào)表，并在一定情況下發(fā)出報(bào)警、阻斷等動(dòng)作。其次，對(duì)安全審計(jì)記錄的管理也是其中的一方面。由于各個(gè)網(wǎng)絡(luò)產(chǎn)品產(chǎn)生的安全事件記錄格式也不統(tǒng)一，難以進(jìn)行綜合分析，因此，集中審計(jì)已成為網(wǎng)絡(luò)安全審計(jì)發(fā)展的必然趨勢(shì)。 該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為： 一級(jí)：無(wú)此要求。 二級(jí)：要求對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行、網(wǎng)絡(luò)流量等基本情況進(jìn)行記錄。 三級(jí)：除二級(jí)要求外，要求對(duì)形成的記錄能夠分析、形成報(bào)表。同時(shí)對(duì)審計(jì)記錄提出了保護(hù)要求。 四級(jí)：除三級(jí)要求外，要求設(shè)置審計(jì)跟蹤極限閾值，并做到集中審計(jì)。 具體見下表17：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)b）a)—d)a)－f）合計(jì)0246邊界完整性檢查 雖然網(wǎng)絡(luò)采取了防火墻、IDS等有效的技術(shù)手段對(duì)邊界進(jìn)行了防護(hù)，但如果內(nèi)網(wǎng)用戶在邊界處通過(guò)其他手段接入內(nèi)網(wǎng)（如無(wú)線網(wǎng)卡、雙網(wǎng)卡、modem撥號(hào)上網(wǎng)），這些邊界防御則形同虛設(shè)。因此，必須在全網(wǎng)中對(duì)網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行監(jiān)控，準(zhǔn)確定位并能及時(shí)報(bào)警和阻斷。 該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為： 一級(jí)：無(wú)此要求。 二級(jí)：能夠檢測(cè)到內(nèi)部的非法聯(lián)出情況。 三級(jí)：在二級(jí)的基礎(chǔ)上，能檢測(cè)到非授權(quán)設(shè)備私自外聯(lián)，而且能夠準(zhǔn)確定位并阻斷。 四級(jí)：與三級(jí)要求相同。 具體見下表18：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a)—b)*a)－b）合計(jì)012+2在三級(jí)，b)項(xiàng)是二級(jí)中的增強(qiáng)項(xiàng)，要求不但能夠檢測(cè)到，而且能夠準(zhǔn)確定位并阻斷。入侵防范 網(wǎng)絡(luò)訪問控制在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行規(guī)則匹配，是網(wǎng)絡(luò)安全的第一道閘門。但其也有局限性，它只能對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)生的事件則無(wú)能為力。基于網(wǎng)絡(luò)的入侵檢測(cè)，被認(rèn)為是防火墻之后的第二道安全閘門，它主要是監(jiān)視所在網(wǎng)段內(nèi)的各種數(shù)據(jù)包，對(duì)每一個(gè)數(shù)據(jù)包或可疑數(shù)據(jù)包進(jìn)行分析，如果數(shù)據(jù)包與內(nèi)置的規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)記錄事件的各種信息，并發(fā)出警報(bào)。 該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為： 一級(jí)：無(wú)此要求。 二級(jí)：能夠檢測(cè)常見攻擊的發(fā)生。 三級(jí)：在二級(jí)要求的基礎(chǔ)上，不僅能夠檢測(cè)，并能發(fā)出報(bào)警。 四級(jí)：在三級(jí)要求的基礎(chǔ)上，防范能力增強(qiáng)，做到檢測(cè)、報(bào)警并自動(dòng)采取相應(yīng)動(dòng)作阻斷等。 具體見下表19：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)a)—b)a)－b)*合計(jì)0122+ 四級(jí)要求較三級(jí)，在強(qiáng)度上增強(qiáng)，當(dāng)檢測(cè)到入侵事件時(shí)，不僅要求能夠發(fā)出報(bào)警，并能夠自動(dòng)采取相應(yīng)動(dòng)作，這對(duì)入侵檢測(cè)系統(tǒng)的要求就比較高。惡意代碼防范 目前，對(duì)惡意代碼的防范已是全方位、立體防護(hù)的概念。根據(jù)對(duì)惡意代碼引入的源頭進(jìn)行分析，可以得出，隨著互聯(lián)網(wǎng)的不斷發(fā)展，從網(wǎng)絡(luò)上引入到本地的惡意代碼占絕大多數(shù)。因此，在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行防范是整個(gè)防范工作的重點(diǎn)。部署了相應(yīng)的網(wǎng)絡(luò)防病毒產(chǎn)品后，并不代表“萬(wàn)事大吉”了，根據(jù)統(tǒng)計(jì)，平均每個(gè)月有300種新的病毒被發(fā)現(xiàn)，如果產(chǎn)品惡意代碼庫(kù)跟不上這一速度，其實(shí)際檢測(cè)效率可能會(huì)大大降低，因此，必須及時(shí)地、自動(dòng)更新產(chǎn)品中的惡意代碼定義。這種更新必須非常頻繁，且對(duì)用戶透明。 該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為： 一級(jí)：無(wú)此要求。 二級(jí)：無(wú)此要求。 三級(jí)：要求能夠在網(wǎng)絡(luò)邊界處防范惡意代碼，并保持代碼庫(kù)的及時(shí)更新。 四級(jí)：與三級(jí)要求相同。 具體見下表20：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/Aa)－b）a)－b）合計(jì)0022網(wǎng)絡(luò)設(shè)備防護(hù) 對(duì)網(wǎng)絡(luò)安全的防護(hù)，除了對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界部署相應(yīng)的安全措施外，另外一個(gè)重要的方面就是對(duì)實(shí)現(xiàn)這些控制要求的網(wǎng)絡(luò)設(shè)備的保護(hù)。通過(guò)登錄網(wǎng)絡(luò)設(shè)備對(duì)各種參數(shù)進(jìn)行配置、修改等，都直接影響網(wǎng)絡(luò)安全功能的發(fā)揮。因此，網(wǎng)絡(luò)設(shè)備的防護(hù)主要是對(duì)用戶登錄前后的行為進(jìn)行控制。 該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為： 一級(jí)：對(duì)網(wǎng)絡(luò)設(shè)備要求基本的登錄鑒別措施。 二級(jí)：對(duì)登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識(shí)唯一、鑒別信息復(fù)雜等要求。 三級(jí)：在二級(jí)要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來(lái)實(shí)現(xiàn)身份鑒別，同時(shí)提 出了特權(quán)用戶權(quán)限分離。 四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求其中一種鑒別技術(shù)為是不可偽造的。 具體見下表21：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－c)a)－f）a)－h(huán)）a)－i）合計(jì)3689主機(jī)安全主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺(tái)式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)安全是保護(hù)信息系統(tǒng)安全的中堅(jiān)力量。主機(jī)系統(tǒng)安全涉及的控制點(diǎn)包括：身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個(gè)控制點(diǎn)。不同等級(jí)的基本要求在主機(jī)系統(tǒng)安全方面所體現(xiàn)的不同如3.1節(jié)和3.2節(jié)所描述的一樣，在三個(gè)方面都有所體現(xiàn)。一級(jí)主機(jī)系統(tǒng)安全要求：對(duì)主機(jī)進(jìn)行基本的防護(hù)，要求主機(jī)做到簡(jiǎn)單的身份鑒別，粗粒度的訪問控制以及重要主機(jī)能夠進(jìn)行惡意代碼防范。二級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全審計(jì)和資源控制等。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等。三級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)，即，訪問控制增加了設(shè)置敏感標(biāo)記等，力度變強(qiáng)。同樣，身份鑒別的力度進(jìn)一步增強(qiáng)，要求兩種以上鑒別技術(shù)同時(shí)使用。安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析、生成報(bào)表。對(duì)惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補(bǔ)充。對(duì)資源控制的增加了對(duì)服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測(cè)和報(bào)警等。四級(jí)主機(jī)系統(tǒng)安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑，其他控制點(diǎn)在強(qiáng)度上也分別增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強(qiáng)制訪問控制的力度實(shí)現(xiàn)，安全審計(jì)能夠做到統(tǒng)一集中審計(jì)等。下表表明了主機(jī)系統(tǒng)安全在控制點(diǎn)上逐級(jí)變化的特點(diǎn)：表22主機(jī)系統(tǒng)安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別****安全標(biāo)記*訪問控制****可信路徑*安全審計(jì)***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計(jì)4679另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開。身份鑒別為確保系統(tǒng)的安全，必須對(duì)系統(tǒng)中的每一用戶或與之相連的服務(wù)器或終端設(shè)備進(jìn)行有效的標(biāo)識(shí)與鑒別，只有通過(guò)鑒別的用戶才能被賦予相應(yīng)的權(quán)限，進(jìn)入系統(tǒng)并在規(guī)定的權(quán)限內(nèi)操作。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要強(qiáng)調(diào)了該功能的使能性，即，能夠進(jìn)行簡(jiǎn)單的身份鑒別。二級(jí)：在一級(jí)要求的基礎(chǔ)上，對(duì)登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識(shí)唯一、鑒別信息復(fù)雜等要求。三級(jí)：在二級(jí)要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來(lái)實(shí)現(xiàn)身份鑒別。四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求其中一種鑒別技術(shù)為是不可偽造的，同時(shí)增加了設(shè)置鑒別警示信息的要求。具體見下表23：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)－e)a)—f)a)—g)*合計(jì)1568+其中，四級(jí)中g(shù))是在三級(jí)的基礎(chǔ)上要求其中一種鑒別技術(shù)為是不可偽造的，所以是增強(qiáng)要求。安全標(biāo)記在主機(jī)系統(tǒng)層面，在高級(jí)別系統(tǒng)中要實(shí)現(xiàn)強(qiáng)度較強(qiáng)的訪問控制必須要增加安全標(biāo)記，通過(guò)對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，權(quán)限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：無(wú)此要求。四級(jí)：要求對(duì)所有主體和客體設(shè)置敏感標(biāo)記。具體見下表24：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/AN/Aa)合計(jì)0001訪問控制在系統(tǒng)中實(shí)施訪問控制是為了保證系統(tǒng)資源（操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)）受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來(lái)訪問系統(tǒng)資源，不得越權(quán)訪問。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求根據(jù)一定的控制策略來(lái)限制用戶對(duì)系統(tǒng)資源的訪問，控制粒度較粗。二級(jí)：在一級(jí)要求的基礎(chǔ)上，實(shí)現(xiàn)不同系統(tǒng)用戶的權(quán)限分離。三級(jí)：除二級(jí)要求外，強(qiáng)調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時(shí)要求對(duì)重要信息資源設(shè)置敏感標(biāo)記。四級(jí)：除三級(jí)要求外，增加了強(qiáng)制訪問控制的部分功能，要求依據(jù)安全策略和所有主體和客體設(shè)置的敏感標(biāo)記控制主體對(duì)客體的訪問訪問，同時(shí)增強(qiáng)了控制粒度，達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表、記錄和字段級(jí)。具體見下表25：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－c)a)-d)a)—g)a)*—f)合計(jì)3476+其中，在四級(jí)，去掉了三級(jí)中的f)和g)同時(shí)對(duì)a)要求依據(jù)安全策略和所有主體和客體設(shè)置的敏感標(biāo)記控制主體對(duì)客體的訪問訪問，增強(qiáng)了要求，所以是a)*，同時(shí)在四級(jí)中增加了b)，主要是增強(qiáng)了控制粒度，所以盡管四級(jí)的要求項(xiàng)減少了，但實(shí)際要求增強(qiáng)了。可信路徑在計(jì)算機(jī)系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過(guò)應(yīng)用層作為接口進(jìn)行會(huì)話。但由于應(yīng)用層并不是能完全信任的，因此在系統(tǒng)的安全功能中，提出了“可信路徑”這一概念（也是桔皮書B2級(jí)的安全要求）。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：無(wú)此要求。四級(jí)：要求在用戶進(jìn)行身份鑒別和訪問時(shí)，提供用戶與系統(tǒng)之間可信的安全通信路徑。具體見下表26：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/AN/Aa)–b)合計(jì)0002安全審計(jì)同網(wǎng)絡(luò)安全審計(jì)相似，對(duì)主機(jī)進(jìn)行安全審計(jì)，目的是為了保持對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。主機(jī)安全審計(jì)主要涉及的方面包括：用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：要求對(duì)用戶行為、系統(tǒng)異常情況等基本情況進(jìn)行審計(jì)、記錄，審計(jì)范圍僅覆蓋服務(wù)器用戶。三級(jí)：除二級(jí)要求外，要求對(duì)形成的記錄能夠分析、生成報(bào)表。同時(shí)對(duì)審計(jì)記錄提出了保護(hù)要求。另外，審計(jì)覆蓋范圍擴(kuò)大，由二級(jí)的服務(wù)器擴(kuò)展到客戶端。四級(jí)：除三級(jí)要求外，要求做到集中審計(jì)。具體見下表27：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)－d)a)*—f)a)—g)合計(jì)046+7其中，三級(jí)中的審計(jì)覆蓋的范圍由二級(jí)的服務(wù)器到服務(wù)器和客戶端的數(shù)據(jù)庫(kù)和操作系統(tǒng)用戶，審計(jì)的力度增強(qiáng)，所以是a)*。剩余信息保護(hù)為保證存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，操作系統(tǒng)應(yīng)對(duì)這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲(chǔ)空間，操作系統(tǒng)將其完全清除之后，才釋放或重新分配給其他用戶。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：要求對(duì)存放鑒別信息、文件、記錄等存儲(chǔ)空間進(jìn)行重新使用前的清除。四級(jí)：與三級(jí)要求相同。具體見下表28：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/Aa)－b)a)－b)合計(jì)0022入侵防范由于基于網(wǎng)絡(luò)的入侵檢測(cè)只是在被監(jiān)測(cè)的網(wǎng)段內(nèi)對(duì)網(wǎng)絡(luò)非授權(quán)的訪問、使用等情況進(jìn)行防范，它無(wú)法防范網(wǎng)絡(luò)內(nèi)單臺(tái)主機(jī)、服務(wù)器等被攻擊的情況?；谥鳈C(jī)的入侵檢測(cè)，可以說(shuō)是基于網(wǎng)絡(luò)的“補(bǔ)充”，補(bǔ)充檢測(cè)那些出現(xiàn)在“授權(quán)”的數(shù)據(jù)流或其他遺漏的數(shù)據(jù)流中的入侵行為。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：基本的防范要求，要求安裝應(yīng)遵循最小授權(quán)原則，并及時(shí)更新。二級(jí)：在一級(jí)的基礎(chǔ)上要求設(shè)置升級(jí)服務(wù)器方式及時(shí)更新。三級(jí)：在二級(jí)的基礎(chǔ)上，增加對(duì)入侵行為進(jìn)行記錄和檢測(cè)，并能夠采取報(bào)警等措施；對(duì)重要程序完整性進(jìn)行檢測(cè)并恢復(fù)。四級(jí)：同三級(jí)要求。具體見下表29：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)*a)－c)a)－c)合計(jì)11+33惡意代碼防范惡意代碼一般通過(guò)兩種方式造成各種破壞，一種是通過(guò)網(wǎng)絡(luò)，另外一種就是通過(guò)主機(jī)。網(wǎng)絡(luò)邊界處的惡意代碼防范可以說(shuō)是防范工作的“第一道門檻”，然而，如果惡意代碼通過(guò)網(wǎng)絡(luò)進(jìn)行蔓延，那么直接后果就是造成網(wǎng)絡(luò)內(nèi)的主機(jī)感染，所以說(shuō)，網(wǎng)關(guān)處的惡意代碼防范并不是“一勞永逸”。另外，通過(guò)各種移動(dòng)存儲(chǔ)設(shè)備的接入主機(jī)，也可能造成該主機(jī)感染病毒，而后通過(guò)網(wǎng)絡(luò)感染其他主機(jī)。所以說(shuō)，這兩種方式是交叉發(fā)生的，必須在兩處同時(shí)進(jìn)行防范，才能盡可能的保證安全。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：重要主機(jī)應(yīng)安裝一定的防范產(chǎn)品。二級(jí)：在一級(jí)要求的基礎(chǔ)上，要求對(duì)惡意代碼進(jìn)行統(tǒng)一管理。三級(jí)：除二級(jí)要求外，要求主機(jī)與網(wǎng)絡(luò)處的防范產(chǎn)品不同。四級(jí)：與三級(jí)要求相同。具體見下表30：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a）a)－b）a)－c)a)－c)合計(jì)1233由于不同產(chǎn)商的惡意代碼防范產(chǎn)品在惡意代碼庫(kù)的定義以及升級(jí)時(shí)機(jī)上都有所不同，因此，如果主機(jī)和網(wǎng)絡(luò)的防范產(chǎn)品出于不同廠家，那么二者相互補(bǔ)充，在防范水平上會(huì)較同樣一種產(chǎn)品防范兩處要高。因此，在三級(jí)要求系統(tǒng)能夠采取兩種產(chǎn)品防范的要求。由于信息系統(tǒng)具有網(wǎng)絡(luò)層次多、節(jié)點(diǎn)多、覆蓋地域廣等特點(diǎn)，各部門對(duì)計(jì)算機(jī)的使用和維護(hù)水平也不盡相同，這些均要求防惡意代碼軟件能夠提供統(tǒng)一管理和集中監(jiān)控，能夠在惡意代碼監(jiān)控中心的統(tǒng)一管理下，統(tǒng)一、自動(dòng)升級(jí)，將潛在的惡意代碼感染源清除在感染之前。同時(shí)，也極大的簡(jiǎn)化了系統(tǒng)維護(hù)工作，有利于防范惡意代碼策略的有效實(shí)施。資源控制操作系統(tǒng)是非常復(fù)雜的系統(tǒng)軟件，其最主要的特點(diǎn)是并發(fā)性和共享性。在邏輯上多個(gè)任務(wù)并發(fā)運(yùn)行，處理器和外部設(shè)備能同時(shí)工作。多個(gè)任務(wù)共同使用系統(tǒng)資源，使其能被有效共享，大大提高系統(tǒng)的整體效率，這是操作系統(tǒng)的根本目標(biāo)。通常計(jì)算機(jī)資源包括以下幾類：中央處理器、存儲(chǔ)器、外部設(shè)備、信息（包括程序和數(shù)據(jù)），為保證這些資源有效共享和充分利用，操作系統(tǒng)必須對(duì)資源的使用進(jìn)行控制，包括限制單個(gè)用戶的多重并發(fā)會(huì)話、限制最大并發(fā)會(huì)話連接數(shù)、限制單個(gè)用戶對(duì)系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時(shí)或鑒別失敗時(shí)進(jìn)行鎖定、根據(jù)服務(wù)優(yōu)先級(jí)分配系統(tǒng)資源等。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：要求對(duì)單個(gè)用戶的會(huì)話數(shù)量以及終端登錄進(jìn)行限制。三級(jí)：除二級(jí)要求外，增加了監(jiān)視服務(wù)器和對(duì)系統(tǒng)最小服務(wù)進(jìn)行監(jiān)測(cè)和報(bào)警的要求。四級(jí)：與三級(jí)要求相同。具體見下表31：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)－c）a)－e)a)－e)合計(jì)0355應(yīng)用安全通過(guò)網(wǎng)絡(luò)、主機(jī)系統(tǒng)的安全防護(hù)，最終應(yīng)用安全成為信息系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，包括消息發(fā)送、web瀏覽等，可以說(shuō)是基本的應(yīng)用。業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等。由于各種基本應(yīng)用最終是為業(yè)務(wù)應(yīng)用服務(wù)的，因此對(duì)應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。應(yīng)用安全主要涉及的安全控制點(diǎn)包括：身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等十一個(gè)控制點(diǎn)。不同等級(jí)的基本要求在應(yīng)用安全方面所體現(xiàn)的不同如3.1節(jié)和3.2節(jié)所描述的一樣，在三個(gè)方面都有所體現(xiàn)。一級(jí)應(yīng)用安全要求：對(duì)應(yīng)用進(jìn)行基本的防護(hù)，要求做到簡(jiǎn)單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗(yàn)等基本防護(hù)。二級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了安全審計(jì)、通信保密性和資源控制等。同時(shí)，對(duì)身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識(shí)、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對(duì)通信過(guò)程的完整性保護(hù)提出了特定的校驗(yàn)碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯(cuò)能力增強(qiáng)。三級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了剩余信息保護(hù)和抗抵賴等。同時(shí)，身份鑒別的力度進(jìn)一步增強(qiáng)，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，安全審計(jì)已不滿足于對(duì)安全事件的記錄，而要進(jìn)行分析等。對(duì)通信過(guò)程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的安全要求進(jìn)一步增強(qiáng)，軟件容錯(cuò)能力增強(qiáng)，增加了自動(dòng)保護(hù)功能。四級(jí)應(yīng)用安全要求：在控制點(diǎn)上增加了安全標(biāo)記和可信路徑等。部分控制點(diǎn)在強(qiáng)度上進(jìn)一步增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，安全審計(jì)能夠做到統(tǒng)一安全策略提供集中審計(jì)接口等，軟件應(yīng)具有自動(dòng)恢復(fù)的能力等。下表表明了應(yīng)用系統(tǒng)安全在控制點(diǎn)上逐級(jí)變化的特點(diǎn)：表32應(yīng)用安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)身份鑒別****安全標(biāo)記*訪問控制****可信路經(jīng)*安全審計(jì)***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯(cuò)****資源控制***合計(jì)47911另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開。身份鑒別同主機(jī)系統(tǒng)的身份鑒別一樣，應(yīng)用系統(tǒng)同樣對(duì)登錄的用戶進(jìn)行身份鑒別，以確保用戶在規(guī)定的權(quán)限內(nèi)進(jìn)行操作。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：主要強(qiáng)調(diào)了該功能的使能性，即，能夠進(jìn)行簡(jiǎn)單的身份鑒別。二級(jí)：在一級(jí)要求的基礎(chǔ)上，對(duì)登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識(shí)唯一、鑒別信息復(fù)雜等要求。三級(jí)：在二級(jí)要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來(lái)實(shí)現(xiàn)身份鑒別。四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求其中一種鑒別技術(shù)為是不可偽造的。具體見下表33：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－c)a)－d)*a)—e)a)b)*—e)合計(jì)34+55+其中，二級(jí)中，d)增加了鑒別標(biāo)志唯一、鑒別信息復(fù)雜要求，是增強(qiáng)要求；四級(jí)中，b)增加了其中一種鑒別技術(shù)為是不可偽造的要求。安全標(biāo)記在應(yīng)用系統(tǒng)層面，在高級(jí)別系統(tǒng)中要實(shí)現(xiàn)強(qiáng)度較強(qiáng)的訪問控制必須要增加安全標(biāo)記，通過(guò)對(duì)主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，權(quán)限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：無(wú)此要求。四級(jí)：要求為主體和客體設(shè)置安全標(biāo)記的功能并在安裝后啟用。具體見下表34：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/AN/Aa)合計(jì)0001訪問控制在應(yīng)用系統(tǒng)中實(shí)施訪問控制是為了保證應(yīng)用系統(tǒng)受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來(lái)訪問應(yīng)用系統(tǒng)，不得越權(quán)訪問。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求根據(jù)一定的控制策略來(lái)限制用戶對(duì)系統(tǒng)資源的訪問，控制粒度較粗。二級(jí)：在一級(jí)要求的基礎(chǔ)上，控制粒度細(xì)化，增加覆蓋范圍要求，并強(qiáng)調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化。三級(jí)：在二級(jí)要求的基礎(chǔ)上，增加了對(duì)重要信息設(shè)置敏感標(biāo)記，并控制對(duì)其的操作。四級(jí)：除三級(jí)要求外，提出以標(biāo)記的方式進(jìn)行應(yīng)用系統(tǒng)訪問的控制。具體見下表35：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)－b)a)*－d)a)—f)a)b)c)*—e)合計(jì)24+75+其中，在二級(jí)，a)增加了依據(jù)安全策略控制訪問；四級(jí)中，去掉了三級(jí)中的e)和f)，提出以標(biāo)記的方式進(jìn)行應(yīng)用系統(tǒng)訪問的控制，c）增加了禁止默認(rèn)賬戶的訪問，所以盡管比三級(jí)要求項(xiàng)減少了，但是強(qiáng)度增強(qiáng)了?？尚怕窂皆谟?jì)算機(jī)系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過(guò)應(yīng)用層作為接口進(jìn)行會(huì)話。但由于應(yīng)用層并不是能完全信任的，因此在系統(tǒng)的安全功能中，提出了“可信路徑”這一概念（也是桔皮書B2級(jí)的安全要求）。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：無(wú)此要求。四級(jí)：要求在用戶進(jìn)行身份鑒別和訪問時(shí)，提供用戶與系統(tǒng)之間可信的安全通信路徑。具體見下表36：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/AN/Aa)–b)合計(jì)0002安全審計(jì)同主機(jī)安全審計(jì)相似，應(yīng)用系統(tǒng)安全審計(jì)目的是為了保持對(duì)應(yīng)用系統(tǒng)的運(yùn)行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。應(yīng)用安全審計(jì)主要涉及的方面包括：用戶登錄情況、系統(tǒng)功能執(zhí)行以及系統(tǒng)資源使用情況等。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：要求對(duì)用戶行為、安全事件等進(jìn)行記錄。三級(jí)：除二級(jí)要求外，要求對(duì)形成的記錄能夠統(tǒng)計(jì)、分析、并生成報(bào)表。四級(jí)：除三級(jí)要求外，要求根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計(jì)接口。具體見下表37：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)－c)a)b)*—d)a)—e)合計(jì)034+5其中，三級(jí)中，b)增加了無(wú)法單獨(dú)中斷審計(jì)進(jìn)程要求，所以強(qiáng)度增加。剩余信息保護(hù)為保證存儲(chǔ)在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，應(yīng)用系統(tǒng)應(yīng)對(duì)這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲(chǔ)空間，應(yīng)將其完全清除之后，才釋放或重新分配給其他用戶。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：要求對(duì)存放鑒別信息、文件、記錄等存儲(chǔ)空間進(jìn)行重新使用前的清除。四級(jí)：與三級(jí)要求相同。具體見下表38：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/Aa)－b)a)－b)合計(jì)0022通信完整性許多應(yīng)用程序通過(guò)網(wǎng)絡(luò)與最終用戶之間傳遞數(shù)據(jù)，此外還在中間應(yīng)用程序節(jié)點(diǎn)之間傳遞數(shù)據(jù)，這些數(shù)據(jù)由于與應(yīng)用有關(guān)，多數(shù)帶有機(jī)密性，如信用卡號(hào)碼或銀行交易明細(xì)數(shù)據(jù)等。為了防止發(fā)生意外的信息泄漏，并保護(hù)數(shù)據(jù)免受傳輸時(shí)擅自修改，就必須確保通信點(diǎn)間的安全性。安全的通信具有以下兩個(gè)特點(diǎn)：完整性和保密性。我們首先了解通信完整性。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求通信雙方確定一定的會(huì)話方式，從而判斷數(shù)據(jù)的完整性。二級(jí)：要求通信雙方利用單向校驗(yàn)碼技術(shù)來(lái)判斷數(shù)據(jù)的完整性。三級(jí)：要求通信雙方利用密碼技術(shù)來(lái)判斷數(shù)據(jù)的完整性。四級(jí)：與三級(jí)要求相同。具體見下表39：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)*a)*a)合計(jì)11+1+1通信保密性同通信完整性一樣，通信保密性也是保證通信安全的重要方面。它主要確保數(shù)據(jù)處于保密狀態(tài)，不被竊聽。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：要求對(duì)建立連接前初始化驗(yàn)證和通信過(guò)程敏感信息加密。三級(jí)：在二級(jí)要求的基礎(chǔ)上，要求對(duì)通信過(guò)程加密的范圍擴(kuò)大為整個(gè)報(bào)文或會(huì)話過(guò)程。四級(jí)：在三級(jí)要求的基礎(chǔ)上，對(duì)加解密運(yùn)算要求設(shè)備化。具體見下表40：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/Aa)—b）a)—b)*a)—c)合計(jì)022+3對(duì)數(shù)據(jù)加密的范圍由二級(jí)的敏感信息擴(kuò)大為三級(jí)的整個(gè)報(bào)文或會(huì)話過(guò)程，保密性得到加強(qiáng)?？沟仲囃ㄐ磐暾院捅Ｃ苄圆⒉荒鼙ＷC通信抗抵賴行為，即，通信雙方或不承認(rèn)已發(fā)出的數(shù)據(jù)，或不承認(rèn)已接收到的數(shù)據(jù)，從而無(wú)法保證應(yīng)用的正常進(jìn)行。必須采取一定的抗抵賴手段，從而防止雙方否認(rèn)數(shù)據(jù)所進(jìn)行的交換。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：無(wú)此要求。二級(jí)：無(wú)此要求。三級(jí)：要求具有通信雙方提供原發(fā)接收或發(fā)送數(shù)據(jù)的功能。四級(jí)：與三級(jí)要求相同。具體見下表41：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目N/AN/Aa)—b）a)—b）合計(jì)0022軟件容錯(cuò)容錯(cuò)技術(shù)是提高整個(gè)系統(tǒng)可靠性的有效途徑，通常在硬件配置上，采用了冗余備份的方法，以便在資源上保證系統(tǒng)的可靠性。在軟件設(shè)計(jì)上，則主要考慮應(yīng)用程序?qū)﹀e(cuò)誤（故障）的檢測(cè)、處理能力。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求具有基本的數(shù)據(jù)校驗(yàn)功能。二級(jí)：在一級(jí)要求的基礎(chǔ)上，要求故障發(fā)生時(shí)能夠繼續(xù)運(yùn)行部分功能。三級(jí)：在二級(jí)要求的基礎(chǔ)上，要求具有自動(dòng)保護(hù)功能。四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求具有自動(dòng)恢復(fù)功能。具體見下表42：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)－b)a)—b）*a)—c）合計(jì)122+3三級(jí)中，b)項(xiàng)要求在二級(jí)的基礎(chǔ)上，提出具有自動(dòng)保護(hù)功能的要求，所以強(qiáng)度增加。資源控制操作系統(tǒng)對(duì)同時(shí)的連接數(shù)量、打開文件數(shù)量、進(jìn)程使用內(nèi)存等進(jìn)行了一定的資源控制，保證資源合理有效的使用，以及防止系統(tǒng)資源被濫用而引發(fā)各種攻擊。同樣，應(yīng)用程序也有相應(yīng)的資源控制措施，包括限制單個(gè)用戶的多重并發(fā)會(huì)話、限制最大并發(fā)會(huì)話連接數(shù)、限制單個(gè)用戶對(duì)系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時(shí)或鑒別失敗時(shí)進(jìn)行鎖定、根據(jù)服務(wù)優(yōu)先級(jí)分配系統(tǒng)資源等。該