網(wǎng)絡(luò)與信息安全培訓(xùn) 課件

網(wǎng)絡(luò)與信息安全范曉明網(wǎng)絡(luò)與信息安全范曉明1目錄一、網(wǎng)絡(luò)與信息安全基本概念二、信息系統(tǒng)安全等級保護(hù)三、當(dāng)前的信息安全形勢四、網(wǎng)絡(luò)與信息安全技術(shù)五、加強(qiáng)網(wǎng)絡(luò)與信息安全的措施目錄一、網(wǎng)絡(luò)與信息安全基本概念2一、網(wǎng)絡(luò)與信息安全基本概念(一)信息安全的涵義信息安全主要涉及到信息存儲的安全、信息傳輸?shù)陌踩约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面。它研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法。從廣義來說，凡是涉及到信息的完整性、保密性、真實(shí)性、可用性和可控性的相關(guān)技術(shù)和理論都是信息安全所要研究的領(lǐng)域。信息安全的一般定義：計(jì)算機(jī)信息安全是指計(jì)算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。一、網(wǎng)絡(luò)與信息安全基本概念(一)信息安全的涵義3一、網(wǎng)絡(luò)與信息安全基本概念對信息安全的威脅來自：用戶操作的有意無意的破壞；來自硬件、網(wǎng)絡(luò)和軟件的故障、缺陷和內(nèi)部的陷門；來自各種天災(zāi)與人為災(zāi)害來自入侵者的惡意攻擊。一、網(wǎng)絡(luò)與信息安全基本概念對信息安全的威脅來自：4一、網(wǎng)絡(luò)與信息安全基本概念計(jì)算機(jī)信息安全具有以下五方面的特征。1．保密性2．完整性3．真實(shí)性4．可用性5．可控性一、網(wǎng)絡(luò)與信息安全基本概念計(jì)算機(jī)信息安全具有以下五方面的特征5一、網(wǎng)絡(luò)與信息安全基本概念保密性：對信息資源開放范圍的控制，不讓不應(yīng)涉密的人知道秘密。保密性措施：信息加密、解密；信息劃分密級，對用戶分配不同權(quán)限，對不同權(quán)限的用戶訪問的對象進(jìn)行訪問控制；防止硬件輻射泄露、網(wǎng)絡(luò)截獲、竊聽等。一、網(wǎng)絡(luò)與信息安全基本概念保密性：對信息資源開放范圍的控制，6一、網(wǎng)絡(luò)與信息安全基本概念完整性：使信息保持完整、真實(shí)或未受損狀態(tài)，任何中斷、竊取、篡改和偽造信息應(yīng)用特性或狀態(tài)等行為都是破壞信息的完整性的。完整性措施：嚴(yán)格控制對系統(tǒng)中數(shù)據(jù)的寫訪問。只允許許可的當(dāng)事人進(jìn)行更改。一、網(wǎng)絡(luò)與信息安全基本概念完整性：使信息保持完整、真實(shí)或未受7一、網(wǎng)絡(luò)與信息安全基本概念可用性：意味著資源只能由合法的當(dāng)事人使用，保證合法用戶對信息的合法利用?？捎眯源胧涸趫?jiān)持嚴(yán)格的訪問控制機(jī)制的條件下，為用戶提供方便和快速的訪問接口。提供安全性的訪問工具。一、網(wǎng)絡(luò)與信息安全基本概念可用性：意味著資源只能由合法的當(dāng)事8一、網(wǎng)絡(luò)與信息安全基本概念不可否認(rèn)性：信息的發(fā)送者無法否認(rèn)已發(fā)出的信息，信息的接收者無法否認(rèn)已經(jīng)接收的信息。不可否認(rèn)性措施：數(shù)字簽名，可信第三方認(rèn)證技術(shù)。一、網(wǎng)絡(luò)與信息安全基本概念不可否認(rèn)性：信息的發(fā)送者無法否認(rèn)已9一、網(wǎng)絡(luò)與信息安全基本概念（二）網(wǎng)絡(luò)與信息安全事件網(wǎng)絡(luò)與信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面影響的事件。一、網(wǎng)絡(luò)與信息安全基本概念（二）網(wǎng)絡(luò)與信息安全事件10一、網(wǎng)絡(luò)與信息安全基本概念（1）有害程序事件有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。有害程序事件包括：計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。一、網(wǎng)絡(luò)與信息安全基本概念（1）有害程序事件11一、網(wǎng)絡(luò)與信息安全基本概念（2）網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括：拒絕服務(wù)事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。一、網(wǎng)絡(luò)與信息安全基本概念（2）網(wǎng)絡(luò)攻擊事件12一、網(wǎng)絡(luò)與信息安全基本概念（3）信息破壞事件信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括：信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。一、網(wǎng)絡(luò)與信息安全基本概念（3）信息破壞事件13一、網(wǎng)絡(luò)與信息安全基本概念（4）信息內(nèi)容安全事件信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括：違反憲法和法律、行政法規(guī)的信息安全事件；針對社會事項(xiàng)進(jìn)行討論、評論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動集會游行的信息安全事件；其他信息內(nèi)容安全事件等。一、網(wǎng)絡(luò)與信息安全基本概念（4）信息內(nèi)容安全事件14一、網(wǎng)絡(luò)與信息安全基本概念（5）設(shè)備設(shè)施故障設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括：軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。一、網(wǎng)絡(luò)與信息安全基本概念（5）設(shè)備設(shè)施故障15一、網(wǎng)絡(luò)與信息安全基本概念（6）災(zāi)害性事件災(zāi)害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的信息安全事件。一、網(wǎng)絡(luò)與信息安全基本概念（6）災(zāi)害性事件16一、網(wǎng)絡(luò)與信息安全基本概念信息安全分類根據(jù)中國國家計(jì)算機(jī)安全規(guī)范，計(jì)算機(jī)的安全大致可分為如下三類。（1）實(shí)體安全：包括機(jī)房、線路和主機(jī)等的安全。（2）網(wǎng)絡(luò)與信息安全：包括網(wǎng)絡(luò)的暢通、準(zhǔn)確以及網(wǎng)上信息的安全。（3）應(yīng)用安全：包括程序開發(fā)運(yùn)行、I/O、數(shù)據(jù)庫等的安全。其中，網(wǎng)絡(luò)與信息安全可分為如下四類（1）基本安全類。（2）管理與記賬類。（3）網(wǎng)絡(luò)互連設(shè)備安全類。（4）連接控制類。一、網(wǎng)絡(luò)與信息安全基本概念信息安全分類17一、網(wǎng)絡(luò)與信息安全基本概念（三）信息系統(tǒng)安全理論安全控制理論：三大控制理論1）訪問控制：基于訪問矩陣與訪問監(jiān)控器2）信息流控制：基于數(shù)學(xué)的格理論3）推理控制：基于邏輯推理，防數(shù)據(jù)庫泄漏安全操作系統(tǒng)的設(shè)計(jì)方法：安全核技術(shù)，分層結(jié)構(gòu)，環(huán)型結(jié)構(gòu)一、網(wǎng)絡(luò)與信息安全基本概念（三）信息系統(tǒng)安全理論18一、網(wǎng)絡(luò)與信息安全基本概念安全性概念包括安全政策、策略模型、安全服務(wù)和安全機(jī)制等內(nèi)容，其中安全政策是為了實(shí)現(xiàn)軟件系統(tǒng)的安全而制定的有關(guān)管理、保護(hù)和發(fā)布敏感信息的規(guī)定與實(shí)施細(xì)則；策略模型是指實(shí)施安全策略的模型；安全服務(wù)則是指根據(jù)安全政策和安全模型提供的安全方面的服務(wù)；安全機(jī)制是實(shí)現(xiàn)安全服務(wù)的方法。一、網(wǎng)絡(luò)與信息安全基本概念安全性概念包括安全政策、策略模型、19恢復(fù)反應(yīng)檢測保護(hù)信息保障PDRR模型ProtectionDetectionReactionRestore恢復(fù)反應(yīng)檢測保護(hù)信息PDRR模20一、網(wǎng)絡(luò)與信息安全基本概念訪問監(jiān)視器訪問監(jiān)視數(shù)據(jù)庫用戶身份文件權(quán)限文件文件屬性訪問控制表主體、用戶進(jìn)程批作業(yè)目標(biāo)文件、盤、帶、程序、終端等安全審計(jì)操作系統(tǒng)的訪問控制模型一、網(wǎng)絡(luò)與信息安全基本概念訪問監(jiān)視器訪問監(jiān)視數(shù)據(jù)庫主體、用戶21一、網(wǎng)絡(luò)與信息安全基本概念網(wǎng)絡(luò)操作系統(tǒng)的訪問控制模型訪問監(jiān)視器訪問監(jiān)視器數(shù)據(jù)庫審計(jì)訪問監(jiān)視器訪問監(jiān)視器數(shù)據(jù)庫審計(jì)目標(biāo)

主體一、網(wǎng)絡(luò)與信息安全基本概念網(wǎng)絡(luò)操作系統(tǒng)的訪問控制模型訪問監(jiān)視22二、信息安全等級保護(hù)（一）國際信息安全等級1、D安全級最低安全級，沒有任何安全措施，整個系統(tǒng)是不可信的硬件無任何保障機(jī)制操作系統(tǒng)容易受到侵害無身份認(rèn)證與訪問控制典型系統(tǒng)是MS-DOS二、信息安全等級保護(hù)23二、信息安全等級保護(hù)2、C1安全級——自主安全保護(hù)級實(shí)現(xiàn)粗粒度的自主訪問控制機(jī)制。系統(tǒng)能把用戶與數(shù)據(jù)隔離，TCB通過賬戶、口令去確認(rèn)用戶身份硬件提供某種程度的保護(hù)機(jī)制通過擁有者自定義和控制，防止自己的數(shù)據(jù)被別的用戶破壞。要求嚴(yán)格的測試和完善的文檔資料。

這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。二、信息安全等級保護(hù)2、C1安全級——自主安全保護(hù)級24二、信息安全等級保護(hù)3、C2安全級——可控安全保護(hù)級C2級達(dá)到企業(yè)級安全要求。可作為最低軍用安全級別C2實(shí)現(xiàn)更細(xì)的可控自主訪問控制，保護(hù)粒度要達(dá)到單個主體和客體一級；要求消除殘留信息泄露（內(nèi)存、外存、寄存器）；要求審計(jì)功能（與C1級的主要區(qū)別），審計(jì)粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計(jì)記錄應(yīng)該提供保護(hù)，防止非法修改。二、信息安全等級保護(hù)3、C2安全級——可控安全保護(hù)級25二、信息安全等級保護(hù)比C1增加授權(quán)服務(wù)，還有防止訪問權(quán)失控?cái)U(kuò)散的機(jī)制。要求TCB必須保留在一特定區(qū)域，防止來自外部的修改；TCB應(yīng)與被保護(hù)的資源隔離。TCB能夠記錄對認(rèn)證安全機(jī)制的使用、記錄對客體的讀入、刪除等操作，記錄系統(tǒng)管理員的管理活動。二、信息安全等級保護(hù)比C1增加授權(quán)服務(wù)，還有防止訪問權(quán)失控?cái)U(kuò)26二、信息安全等級保護(hù)4、B1安全級——加標(biāo)記的訪問控制保護(hù)級具有C2的全部功能，還增加或增強(qiáng)了標(biāo)記、MAC、責(zé)任、審計(jì)、保證等功能。標(biāo)記：主客體都必須帶有標(biāo)記，并準(zhǔn)確體現(xiàn)其安全級別，且由TCB維護(hù)。因此本級又稱為帶標(biāo)記的訪問控制保護(hù)級。采用強(qiáng)制保護(hù)機(jī)制。保護(hù)機(jī)制根據(jù)標(biāo)記對客體進(jìn)行保護(hù)。B1安全級要求以安全模型為依據(jù)，要求徹底分析系統(tǒng)的設(shè)計(jì)文件和源代碼，嚴(yán)格測試目標(biāo)代碼。二、信息安全等級保護(hù)4、B1安全級——加標(biāo)記的訪問控制保護(hù)27二、信息安全等級保護(hù)B1級對標(biāo)記的內(nèi)容與使用有以下要求：1）主體與客體的敏標(biāo)記的完整性：安全標(biāo)記應(yīng)能唯一的指定感級別。當(dāng)TCB輸出敏感標(biāo)記時，應(yīng)準(zhǔn)確對應(yīng)內(nèi)部標(biāo)記，并輸出相應(yīng)的關(guān)聯(lián)信息。2）標(biāo)記信息的輸出：人工指定每個I/O信道與I/O設(shè)備是單（安全）級的還是多（安全）級的，TCB應(yīng)能知曉這種指定，并能對這種指定活動進(jìn)行審計(jì)。二、信息安全等級保護(hù)B1級對標(biāo)記的內(nèi)容與使用有以下要求：28二、信息安全等級保護(hù)3）多級設(shè)備輸出：當(dāng)TCB把一個客體輸出到多級I/O設(shè)備時，敏感標(biāo)記也應(yīng)同時輸出，并與輸出信息一起留存在同一物理介質(zhì)上。當(dāng)TCB使用多級I/O信道通信時，協(xié)議應(yīng)能支持多敏感標(biāo)記信息的傳輸。4）單級設(shè)備的輸出：雖然不要求對單級I/O設(shè)備和單級信道所處理的信息保留敏感標(biāo)志，但要求TCB提供一種安全機(jī)制，允許用戶利用單級設(shè)備與單級I/O信道安全地傳輸單級信息。二、信息安全等級保護(hù)3）多級設(shè)備輸出：當(dāng)TCB把一個客295）對人可讀輸出的標(biāo)記輸出：系統(tǒng)管理員應(yīng)該能夠指定與輸出敏感標(biāo)記相關(guān)聯(lián)的可打印標(biāo)記名，這些敏感標(biāo)記可以是秘密、機(jī)密和絕密的。TCB應(yīng)能標(biāo)識這些敏感標(biāo)記輸出的開始與結(jié)束。5）對人可讀輸出的標(biāo)記輸出：系統(tǒng)管理員應(yīng)該能夠指定與輸出敏感30強(qiáng)制訪問控制每個受控的客體都必須附加上標(biāo)記，用于標(biāo)明該客體的安全級，當(dāng)這些客體被訪問的時候，保護(hù)系統(tǒng)就依據(jù)這些標(biāo)記對客體進(jìn)行必要的控制。B1類要求每個受控的主體和客體都要配備一個安全級，但不要求保護(hù)系統(tǒng)控制每個客體。B1級中的訪問控制機(jī)制必須依據(jù)一種安全模型，在這種模型中，主體與客體的敏感性標(biāo)記既有等級性級別的，又有無等級性的類別的。TCB應(yīng)該支持兩個以上的安全級。在TCB控制的主、客體間的所有訪問活動，并要求這些活動必須滿足以下要求：強(qiáng)制訪問控制31只有主體的敏感等級大于或等于客體的敏感等級時，才允許該主體去讀該客體，而且該主體的信息訪問類包含該客體中信息訪問類的全部內(nèi)容。信息訪問類中所包含的信息是非等級性。只有主體的敏感級不大于客體的敏感級時，才允許該主體去寫該客體，而且該主體的信息訪問類包含該客體中信息訪問類。只有主體的敏感等級大于或等于客體的敏感等級時，才允許該主體去32軍用安全策略可以滿足這種要求，它既具有按非密、秘密、機(jī)密和絕密的等級性級別的標(biāo)記，又允許某個主體知道多種級別信息組成的無等級性類別的信息。對于強(qiáng)制性訪問控制政策的模型是Bell-LaPadula模型，在該模型中要支持軍用安全策略。B1類系統(tǒng)對所有訪問都要實(shí)現(xiàn)這種模型，同時也支持有限的用戶自主訪問控制功能。軍用安全策略可以滿足這種要求，它既具有按非密、秘密、機(jī)密和絕33可記賬性TCB應(yīng)該對所有涉及敏感性活動的用戶進(jìn)行身份識別，TCB應(yīng)該管理用戶的賬戶、口令、簽證與權(quán)限信息，防止發(fā)生非授權(quán)的用戶訪問。B1級的審計(jì)功能比C2級的功能更強(qiáng)，還增加了對任何濫用職權(quán)的人可讀輸出標(biāo)志和對安全級記錄的事件進(jìn)行審計(jì)，也可以對于用戶的安全性活動進(jìn)行有選擇的審計(jì)?？捎涃~性34在實(shí)現(xiàn)過程中，必須徹底分析B1類系統(tǒng)的設(shè)計(jì)文檔和源代碼，測試目標(biāo)代碼，盡可能發(fā)現(xiàn)系統(tǒng)存在的安全缺陷，并保證消除這些缺陷。要有一種非形式的或形式化的模型來描述系統(tǒng)實(shí)現(xiàn)的安全策略。在實(shí)現(xiàn)過程中，必須徹底分析B1類系統(tǒng)的設(shè)計(jì)文檔和源代碼，測35B2安全級——結(jié)構(gòu)化保護(hù)級。要求把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成獨(dú)立的模塊，采用最小特權(quán)原則進(jìn)行管理。內(nèi)部結(jié)構(gòu)必須是可證明的。對所有主體與客體實(shí)施更強(qiáng)的MAC。從主體客體擴(kuò)大到I/O設(shè)備等所有資源。TCB應(yīng)支持管理員與操作員的分離。能夠?qū)徲?jì)使用隱蔽存儲信道的標(biāo)志事件。必須給出可驗(yàn)證的頂級設(shè)計(jì)，要求開發(fā)者對隱蔽信道進(jìn)行徹底地搜索。TCB劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)內(nèi)。B2安全級——結(jié)構(gòu)化保護(hù)級。36B2級稱為結(jié)構(gòu)化保護(hù)級（StructuredProtection）。B2級系統(tǒng)的設(shè)計(jì)中把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成明確而大體上獨(dú)立的模塊，并采用最小特權(quán)原則進(jìn)行管理。B2級不僅要求對所有對象加標(biāo)記，而且要求給設(shè)備（磁盤、磁帶或終端）分配一個或多個安全級別（實(shí)現(xiàn)設(shè)備標(biāo)記）。必須對所有的主體與客體（包括設(shè)備）實(shí)施強(qiáng)制性訪問控制保護(hù)，必須要有專職人員負(fù)責(zé)實(shí)施訪問控制策略，其他用戶無權(quán)管理。B2級稱為結(jié)構(gòu)化保護(hù)級（StructuredProtect37B2級強(qiáng)調(diào)實(shí)際中的評價手段，因此，增加或加強(qiáng)了以下功能：

（1）安全策略方面：進(jìn)一步加強(qiáng)了強(qiáng)制訪問控制功能，把強(qiáng)制訪問控制的對象，從主體到客體擴(kuò)展到I/O設(shè)備等所有資源，并要求每種系統(tǒng)資源必須與安全標(biāo)記相聯(lián)系。B2級強(qiáng)調(diào)實(shí)際中的評價手段，因此，增加或加強(qiáng)了以下功能：38

（2）可記賬性方面：進(jìn)一步加強(qiáng)系統(tǒng)的連續(xù)保護(hù)和防滲漏能力。主要措施包括能夠確保系統(tǒng)和用戶之間開始注冊與確認(rèn)時路徑是可信的，增加了對使用隱蔽存儲信道的標(biāo)記事件的審計(jì)功能。隱蔽存儲信道是指進(jìn)程之間通過對某存儲載體的讀寫來完成信息隱蔽傳輸?shù)男诺?，而這種信道是違反安全策略要求的。（2）可記賬性方面：進(jìn)一步加強(qiáng)系統(tǒng)的連續(xù)保39（3）最小特權(quán)原則：應(yīng)能支持操作人員與和系統(tǒng)管理人員的權(quán)限分離，對每個主體只授予滿足完成任務(wù)所需的最小存儲權(quán)，以保證最小特權(quán)原則的執(zhí)行。還應(yīng)該劃分保護(hù)與非保護(hù)部分，并使它們維持在一個固定的受保護(hù)的域中，防止被外界破壞或惡意篡改。（3）最小特權(quán)原則：應(yīng)能支持操作人員與和系統(tǒng)管理人員的權(quán)限分40B3安全級---安全域保護(hù)級要求系統(tǒng)劃分主體/客體的區(qū)域。有能力監(jiān)控對每個客體的每次訪問。用戶程序和操作被限定在某個安全域內(nèi)。安全域的訪問受到嚴(yán)格控制（有硬件支持）。系統(tǒng)設(shè)計(jì)要簡明完善、充分利用分層、抽象和信息隱蔽等原則，要求是高度防突破的。要求有一個安全管理員，管理安全活動。安全策略方面，采用訪問控制表方式實(shí)現(xiàn)DAC。用戶可以指定與控制對命名客體的共享。B3安全級---安全域保護(hù)級41為了能夠確實(shí)進(jìn)行廣泛而可信的測試，B3級系統(tǒng)的安全功能應(yīng)該是短小精悍的。為了便于理解與實(shí)現(xiàn)，系統(tǒng)的高級設(shè)計(jì)（HighLevelDesign）必須是簡明而完善的，必須組合使用有效的分層、抽象和信息隱蔽等原則。所實(shí)現(xiàn)的安全功能必須是高度防突破的，系統(tǒng)的審計(jì)功能能夠區(qū)分出何時能避免一種破壞安全的活動。為了使系統(tǒng)具備恢復(fù)能力，B3系統(tǒng)增加了一個安全策略：為了能夠確實(shí)進(jìn)行廣泛而可信的測試，B3級系統(tǒng)的安全功能應(yīng)該是42（1）安全策略：采用訪問控制表進(jìn)行控制，允許用戶指定和控制對客體的共享，也可以指定命名用戶對客體的訪問方式。（2）可記賬性：系統(tǒng)能夠監(jiān)視安全審計(jì)事件的發(fā)生與積累，當(dāng)超出某個安全閥值時，能夠立刻報(bào)警，通知安全管理人員進(jìn)行處理。（1）安全策略：采用訪問控制表進(jìn)行控制，允許用戶指定和控制對43（3）保障措施：只能完成與安全有關(guān)的管理功能，對其他完成非安全功能的操作要嚴(yán)加限制。當(dāng)系統(tǒng)出現(xiàn)故障與災(zāi)難性事件后，要提供一種過程與機(jī)理，保證在不損害保護(hù)的條件，使系統(tǒng)得到恢復(fù)。（3）保障措施：只能完成與安全有關(guān)的管理功能，對其他完成非安44A1安全級---可驗(yàn)證設(shè)計(jì)保護(hù)要求建立系統(tǒng)的安全模型，且可形式化驗(yàn)證的系統(tǒng)設(shè)計(jì)。對隱蔽信道進(jìn)行形式分析。有五條確認(rèn)標(biāo)準(zhǔn)：1）對系統(tǒng)安全模型進(jìn)行嚴(yán)謹(jǐn)與充分的證明。證明模型與公理的一致性，模型對策略的支持。2）給出保護(hù)系統(tǒng)的頂層設(shè)計(jì)說明。其中包括TCB抽象功能定義和支持隔離區(qū)域的硬件軟件/固件的機(jī)制。A1安全級---可驗(yàn)證設(shè)計(jì)保護(hù)453）說明系統(tǒng)的頂層設(shè)計(jì)說明與系統(tǒng)安全形式模型的一致性；最好能夠使用驗(yàn)證工具，也可以使用非形式化技術(shù)說明。4）能非形式地說明TCB的實(shí)現(xiàn)與該設(shè)計(jì)一致。說明頂層設(shè)計(jì)表達(dá)了保護(hù)機(jī)制與安全策略的一致性，映射到TCB的各個部件正好是保護(hù)機(jī)制的對應(yīng)要素。5）對隱蔽信道進(jìn)行形式化分析與識別。對于時鐘信道可以采用非形式化方法識別，在系統(tǒng)中必須對被識別的隱蔽信道是否連續(xù)存在給予證明。3）說明系統(tǒng)的頂層設(shè)計(jì)說明與系統(tǒng)安全形式模型的一致性；最好能46A1級系統(tǒng)的要求極高，達(dá)到這種要求的系統(tǒng)很少，目前已獲得承認(rèn)的這類系統(tǒng)有Honeywell公司的SCOMP系統(tǒng)。A1級安全標(biāo)準(zhǔn)是安全信息系統(tǒng)的最高安全級別，一般信息系統(tǒng)很難達(dá)到這樣的安全能力。我國的標(biāo)準(zhǔn)去掉了A1級標(biāo)準(zhǔn)。A1級系統(tǒng)的要求極高，達(dá)到這種要求的系統(tǒng)很少，目前已獲得承認(rèn)47計(jì)算機(jī)系統(tǒng)安全等級計(jì)算機(jī)系統(tǒng)安全等級48二、信息安全等級保護(hù)(二)我國信息系統(tǒng)安全等級劃分GB17859把計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分的5個等級是：用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。這五個級別的安全強(qiáng)度自低到高排列，且高一級包括低一級的安全能力。二、信息安全等級保護(hù)(二)我國信息系統(tǒng)安全等級劃分49第1級系統(tǒng)自主保護(hù)級本級的主要特點(diǎn)用戶具有自主安全保護(hù)能力。系統(tǒng)采用自主訪問控制機(jī)制，該機(jī)制允許命名用戶以用戶或用戶組的身份規(guī)定并控制客體的共享，能阻止非授權(quán)用戶讀取敏感信息。TCB在初始執(zhí)行時需要鑒別用戶的身份，不允許無權(quán)用戶訪問用戶身份鑒別信息。該安全級通過自主完整性策略，阻止無權(quán)用戶修改或破壞敏感信息。第1級系統(tǒng)自主保護(hù)級本級的主要特點(diǎn)用戶具有自主安全保護(hù)能50第2級系統(tǒng)審計(jì)保護(hù)級本級也屬于自主訪問控制級。但和第一級相比，TCB實(shí)施粒度更細(xì)的自主訪問控制，控制粒度可達(dá)單個用戶級，能夠控制訪問權(quán)限的擴(kuò)散，沒有訪問權(quán)的用戶只能由有權(quán)用戶指定對客體的訪問權(quán)。身份鑒別功能通過每個用戶唯一標(biāo)識監(jiān)控用戶的每個行為，并能對這些行為進(jìn)行審計(jì)。增加了客體重用要求和審計(jì)功能是本級的主要特色。第2級系統(tǒng)審計(jì)保護(hù)級本級也屬于自主訪問控制級。但和第一級51

審計(jì)功能要求TCB能夠記錄：對身份鑒別機(jī)制的使用；將客體引入用戶地址空間；客體的刪除；操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實(shí)施的動作以及其他與系統(tǒng)安全有關(guān)的事件?？腕w重用要求是指，客體運(yùn)行結(jié)束后，在其占用的存儲介質(zhì)（如內(nèi)存、外存、寄存器等）上寫入的信息（稱為殘留信息）必須加以清除，防止信息泄漏給其他使用這些介質(zhì)的客體。審計(jì)功能要求TCB能夠記錄：對身份鑒別機(jī)制的使用；將客體52第3級安全標(biāo)記保護(hù)級本級在提供系統(tǒng)審計(jì)保護(hù)級的所有功能的基礎(chǔ)上，提供基本的強(qiáng)制訪問功能。TCB能夠維護(hù)每個主體及其控制的存儲客體的敏感標(biāo)記，也可以要求授權(quán)用戶確定無標(biāo)記數(shù)據(jù)的安全級別。這些標(biāo)記是等級分類與非等級類別的集合（后面將進(jìn)一步說明），是實(shí)施強(qiáng)制訪問控制的依據(jù)。TCB可以支持對多種安全級別（如軍用安全級別可劃分為絕密、機(jī)密、秘密、無密4個安全級別）的訪問控制，強(qiáng)制訪問控制規(guī)則如下：第3級安全標(biāo)記保護(hù)級本級在提供系統(tǒng)審計(jì)保護(hù)級的所有功能的53

僅當(dāng)主體安全級別中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能對客體有讀權(quán)；僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。僅當(dāng)主體安全級別中的等級分類高于或等于客體安全級中的等級分54

TCB維護(hù)用戶身份識別數(shù)據(jù)，確定用戶的訪問權(quán)及授權(quán)數(shù)據(jù)，并且使用這些數(shù)據(jù)鑒別用戶的身份。審計(jì)功能除保持上一級的要求外，還要求記錄客體的安全級別，TCB還具有審計(jì)可讀輸出記號是否發(fā)生更改的能力。對數(shù)據(jù)完整性的要求則增加了在網(wǎng)絡(luò)環(huán)境中使用完整性敏感標(biāo)記來確信信息在傳輸過程中未受損。TCB維護(hù)用戶身份識別數(shù)據(jù)，確定用戶的訪問權(quán)及授權(quán)數(shù)據(jù)，并55

本級要求提供有關(guān)安全策略的模型，主體對客體強(qiáng)制訪問控制的非形式化描述，沒有對多級安全形式化模型提出要求。本級要求提供有關(guān)安全策略的模型，主體對客體強(qiáng)制訪問控制的非56第4級結(jié)構(gòu)化保護(hù)級本級TCB建立在明確定義的形式化安全策略模型之上，它要求將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。它要求系統(tǒng)開發(fā)者應(yīng)該徹底搜索隱蔽存儲信道，要標(biāo)識出這些信道和它們的帶寬。本級最主要的特點(diǎn)是TCB必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。TCB的接口要求是明確定義的，使其實(shí)現(xiàn)能得到充分的測試和全面的復(fù)審。第四級加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了系統(tǒng)配置管理控制，系統(tǒng)具有較強(qiáng)的抗?jié)B透能力。第4級結(jié)構(gòu)化保護(hù)級本級TCB建立在明確定義的形式化安全策57

強(qiáng)制訪問控制的能力更強(qiáng)，TCB可以對外部主體能夠直接或間接訪問的所有資源（如主體、存儲客體和輸入輸出資源）都實(shí)行強(qiáng)制訪問控制。關(guān)于訪問客體的主體的范圍有了擴(kuò)大，第四級則規(guī)定TCB外部的所有主體對客體的直接或間接訪問都應(yīng)該滿足上一級規(guī)定的訪問條件。強(qiáng)制訪問控制的能力更強(qiáng)，TCB可以對外部主體能夠直接或間接58

而第三級則僅要求那些受TCB控制的主體對客體的訪問受到訪問權(quán)限的限制，且沒有指明間接訪問也應(yīng)受到限制。要求對間接訪問也要進(jìn)行控制，意味著TCB必須具有信息流分析能力。而第三級則僅要求那些受TCB控制的主體對客體的訪問受到訪問59

為了實(shí)施更強(qiáng)的強(qiáng)制訪問控制，第四級要求TCB維護(hù)與可被外部主體直接或間接訪問到的計(jì)算機(jī)系統(tǒng)資源（如主體、存儲客體、只讀存儲器等）相關(guān)的敏感標(biāo)記。第四級還顯式地增加了隱蔽信道分析和可信路徑的要求?？尚怕窂降囊笕缦拢篢CB在它與用戶之間提供可信通信路徑，供對用戶的初始登錄和鑒別，且規(guī)定該路徑上的通信只能由使用它的用戶初始化。對于審計(jì)功能，本級要求TCB能夠?qū)徲?jì)利用隱蔽存儲信道時可能被使用的事件。為了實(shí)施更強(qiáng)的強(qiáng)制訪問控制，第四級要求TCB維護(hù)與可被外部60第5級訪問驗(yàn)證保護(hù)級本級的設(shè)計(jì)參照了訪問監(jiān)視器模型。它要求TCB能滿足訪問監(jiān)視器（RM---ReferenceMonitor）的需求，RM仲裁主體對客體的全部訪問。RM本身是足夠小的，抗篡改的和能夠分析測試的。在構(gòu)造TCB要去掉與安全策略無關(guān)的代碼，在實(shí)現(xiàn)時要把TCB的復(fù)雜度降到最低。系統(tǒng)應(yīng)支持安全管理員職能，擴(kuò)充審計(jì)機(jī)制，在發(fā)生安全事件后要發(fā)出信號，提供系統(tǒng)恢復(fù)機(jī)制，系統(tǒng)應(yīng)該具有很高的抗?jié)B透能力。第5級訪問驗(yàn)證保護(hù)級本級的設(shè)計(jì)參照了訪問監(jiān)視器模型。它要61

對于實(shí)現(xiàn)的自主訪問控制功能，訪問控制能夠?yàn)槊總€命名客體指定命名用戶和用戶組，并規(guī)定它們對客體的訪問模式。對于強(qiáng)制訪問控制功能的要求與上一級別的要求相同。對于審計(jì)功能，要求TCB包括可以審計(jì)安全事件的發(fā)生與積累機(jī)制，當(dāng)超過一定閾值時，能夠立即向安全管理員發(fā)出報(bào)警，并且能以最小代價終止這些與安全相關(guān)的事件繼續(xù)發(fā)生或積累。對于實(shí)現(xiàn)的自主訪問控制功能，訪問控制能夠?yàn)槊總€命名客體指定62

對于可信路徑功能要求如下：當(dāng)與用戶連接時（如注冊、更改主體安全級），TCB要提供它與用戶之間的可信通信路徑?？尚怕窂街荒苡稍撚脩艋騎CB激活，這條路徑在邏輯上與其他路徑上的通信是隔離的，并且是可以正確區(qū)分的。對于可信路徑功能要求如下：當(dāng)與用戶連接時（如注冊、更改主體63

第五安全級還增加了可信恢復(fù)功能。TCB提供過程與機(jī)制，保證計(jì)算機(jī)系統(tǒng)失效或中斷后，可以進(jìn)行不損害任何安全保護(hù)性能的恢復(fù)。以上5個安全等級各自提供的安全能力如表5-3-1所示。表中的“”表示在五個安全級別中首次出現(xiàn)的安全能力（表注中稱為新增功能）。第五安全級還增加了可信恢復(fù)功能。TCB提供過程與機(jī)制，保證64

我國信息系統(tǒng)安全等級劃分標(biāo)準(zhǔn)安全能力

一級二級三級四級五級自主訪問控制

強(qiáng)制訪問控制

標(biāo)記

身份鑒別

客體重用

審計(jì)

數(shù)據(jù)完整性

隱蔽信道分析

可信路徑

安全能力一級二級三級四級五級自主訪問控制65二、信息安全等級保護(hù)（三）信息安全等級保護(hù)制度信息安全等級保護(hù)是我國網(wǎng)絡(luò)與信息安全的基本制度。國家通過制定統(tǒng)一的信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對信息系統(tǒng)分等級實(shí)行安全保護(hù)，對等級保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。

二、信息安全等級保護(hù)（三）信息安全等級保護(hù)制度66二、信息安全等級保護(hù)基本要求信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。二、信息安全等級保護(hù)基本要求67二、信息安全等級保護(hù)基本要求第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。二、信息安全等級保護(hù)基本要求68二、信息安全等級保護(hù)基本要求信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全監(jiān)管部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。第一級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。第二級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行指導(dǎo)。第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。第四級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)專門需求進(jìn)行保護(hù)。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。第五級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范、技術(shù)標(biāo)準(zhǔn)和業(yè)務(wù)特殊安全需求進(jìn)行保護(hù)。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行專門監(jiān)督、檢查。二、信息安全等級保護(hù)基本要求69二、信息安全等級保護(hù)實(shí)施與管理

信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護(hù)等級。對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護(hù)等級專家評審委員會評審。二、信息安全等級保護(hù)實(shí)施與管理70二、信息安全等級保護(hù)實(shí)施與管理信息系統(tǒng)的安全保護(hù)等級確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。二、信息安全等級保護(hù)實(shí)施與管理71二、信息安全等級保護(hù)實(shí)施與管理在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。

二、信息安全等級保護(hù)實(shí)施與管理72二、信息安全等級保護(hù)實(shí)施與管理運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。二、信息安全等級保護(hù)實(shí)施與管理73二、信息安全等級保護(hù)實(shí)施與管理信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。二、信息安全等級保護(hù)實(shí)施與管理74二、信息安全等級保護(hù)實(shí)施與管理信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)行整改。二、信息安全等級保護(hù)實(shí)施與管理75二、信息安全等級保護(hù)實(shí)施與管理已運(yùn)營（運(yùn)行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。二、信息安全等級保護(hù)實(shí)施與管理76二、信息安全等級保護(hù)辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時，應(yīng)當(dāng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報(bào)告；（六）信息系統(tǒng)安全保護(hù)等級專家評審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見。二、信息安全等級保護(hù)辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時，應(yīng)當(dāng)77二、信息安全等級保護(hù)信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核，對符合等級保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。二、信息安全等級保護(hù)信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對信息系統(tǒng)的78二、信息安全等級保護(hù)受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部門進(jìn)行。對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。二、信息安全等級保護(hù)受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信79二、信息安全等級保護(hù)對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部門進(jìn)行檢查。公安機(jī)關(guān)、國家指定的專門部門應(yīng)當(dāng)對下列事項(xiàng)進(jìn)行檢查：信息系統(tǒng)安全需求是否發(fā)生變化，原定保護(hù)等級是否準(zhǔn)確；運(yùn)營、使用單位安全管理制度、措施的落實(shí)情況；運(yùn)營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況；系統(tǒng)安全等級測評是否符合要求；信息安全產(chǎn)品使用是否符合要求；信息系統(tǒng)安全整改情況；備案材料與運(yùn)營、使用單位、信息系統(tǒng)的符合情況；其他應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)。二、信息安全等級保護(hù)對第五級信息系統(tǒng)，應(yīng)當(dāng)由國家指定的專門部80二、信息安全等級保護(hù)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護(hù)的信息資料及數(shù)據(jù)文件：信息系統(tǒng)備案事項(xiàng)變更情況；安全組織、人員的變動情況；信息安全管理制度、措施變更情況；信息系統(tǒng)運(yùn)行狀況記錄；運(yùn)營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；二、信息安全等級保護(hù)信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)接受公安81二、信息安全等級保護(hù)

對信息系統(tǒng)開展等級測評的技術(shù)測評報(bào)告；信息安全產(chǎn)品使用的變更情況；信息安全事件應(yīng)急預(yù)案，信息安全事件應(yīng)急處置結(jié)果報(bào)告；信息系統(tǒng)安全建設(shè)、整改結(jié)果報(bào)告。公安機(jī)關(guān)檢查發(fā)現(xiàn)信息系統(tǒng)安全保護(hù)狀況不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，應(yīng)當(dāng)向運(yùn)營、使用單位發(fā)出整改通知。運(yùn)營、使用單位應(yīng)當(dāng)根據(jù)整改通知要求，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行整改。整改完成后，應(yīng)當(dāng)將整改報(bào)告向公安機(jī)關(guān)備案。必要時，公安機(jī)關(guān)可以對整改情況組織檢查。二、信息安全等級保護(hù)82二、信息安全等級保護(hù)第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨(dú)立的法人資格；（二）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；（四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；（六）對已列入信息安全產(chǎn)品認(rèn)證目錄的，應(yīng)當(dāng)取得國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書。二、信息安全等級保護(hù)第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇使83二、信息安全等級保護(hù)第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的等級保護(hù)測評機(jī)構(gòu)進(jìn)行測評：在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；從事相關(guān)檢測評估工作兩年以上，無違法記錄；工作人員僅限于中國公民；法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；使用的技術(shù)裝備、設(shè)施應(yīng)當(dāng)符合本辦法對信息安全產(chǎn)品的要求；具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度；對國家安全、社會秩序、公共利益不構(gòu)成威脅。二、信息安全等級保護(hù)第三級以上信息系統(tǒng)應(yīng)當(dāng)選擇符合下列條件的84三、當(dāng)前的信息安全形勢互聯(lián)網(wǎng)正以開放、共享、交互為特點(diǎn)，向全球每一個角落擴(kuò)張，滲透到人類生活的每一個方面，深刻地改變著人們的生產(chǎn)生活方式、思維方式和思想觀念，推動著社會生產(chǎn)力的發(fā)展和人類文明的進(jìn)步。同時，互聯(lián)網(wǎng)也為西方敵對勢力對我進(jìn)行意識形態(tài)滲透提供了渠道，成為“三股勢力”、“法輪功”、“藏獨(dú)”分裂國家、宣傳蠱惑、造謠煽動、串聯(lián)指揮的重要場所，成為不法分子經(jīng)濟(jì)詐騙、犯罪的重要工具，對國家安全構(gòu)成巨大威脅。三、當(dāng)前的信息安全形勢互聯(lián)網(wǎng)正以開放、共享、交互為特點(diǎn)，向全85四、網(wǎng)絡(luò)與信息安全技術(shù)信息安全技術(shù)主要有以下幾個（1）主機(jī)安全技術(shù)。（2）身份認(rèn)證技術(shù)。（3）訪問控制技術(shù)。（4）數(shù)據(jù)加密技術(shù)。（5）防火墻技術(shù)。（6）入侵檢測技術(shù)。（7）安全審計(jì)技術(shù)。（8）安全管理技術(shù)。四、網(wǎng)絡(luò)與信息安全技術(shù)信息安全技術(shù)主要有以下幾個86四、網(wǎng)絡(luò)與信息安全技術(shù)網(wǎng)絡(luò)加密和認(rèn)證技術(shù)網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。認(rèn)證主要包括身份認(rèn)證和消息認(rèn)證。四、網(wǎng)絡(luò)與信息安全技術(shù)網(wǎng)絡(luò)加密和認(rèn)證技術(shù)87四、網(wǎng)絡(luò)與信息安全技術(shù)數(shù)據(jù)失效分為物理損壞和邏輯損壞兩種，前者導(dǎo)致失效后的數(shù)據(jù)徹底無法使用，后者表面上看來有的數(shù)據(jù)仍然可用，但數(shù)據(jù)間的關(guān)系錯誤。往往邏輯損壞比物理損壞更為隱蔽，破壞性更大。備份是系統(tǒng)文件和重要數(shù)據(jù)的一種安全策略，通過制作原始文件、數(shù)據(jù)的拷貝，就可以在原始數(shù)據(jù)丟失或遭到破壞的情況下，利用備份把原始數(shù)據(jù)恢復(fù)出來，保證系統(tǒng)能夠正常工作。四、網(wǎng)絡(luò)與信息安全技術(shù)數(shù)據(jù)失效分為物理損壞和邏輯損壞兩種，前88四、網(wǎng)絡(luò)與信息安全技術(shù)備份有三種方式。（1）全備份（FullBackup）：將系統(tǒng)中所有的數(shù)據(jù)信息全部備份。其優(yōu)點(diǎn)是數(shù)據(jù)備份完整，缺點(diǎn)是備份系統(tǒng)的時間長，備份量大。（2）增量備份（IncrementalBackup）：只備份上次備份后系統(tǒng)中變化過的數(shù)據(jù)信息。其優(yōu)點(diǎn)是數(shù)據(jù)備份量少、時間短，缺點(diǎn)是恢復(fù)系統(tǒng)時間長。（3）差分備份（DifferentialBackup）：只備份上次完全備份以后變化過的數(shù)據(jù)信息。其優(yōu)點(diǎn)是備份數(shù)據(jù)量適中，恢復(fù)系統(tǒng)時間短。四、網(wǎng)絡(luò)與信息安全技術(shù)備份有三種方式。89四、網(wǎng)絡(luò)與信息安全技術(shù)網(wǎng)絡(luò)安全掃描器。用于檢測網(wǎng)絡(luò)信息系統(tǒng)存在的各種漏洞，并提供相應(yīng)的解決方案。安全路由器。路由器內(nèi)包含安全性過濾機(jī)制，增加認(rèn)證與與防癱瘓性攻擊的各種措施。安全路由器完成在網(wǎng)絡(luò)層與傳輸層的報(bào)文過濾功能。四、網(wǎng)絡(luò)與信息安全技術(shù)網(wǎng)絡(luò)安全掃描器。用于檢測網(wǎng)絡(luò)信息系統(tǒng)存90四、網(wǎng)絡(luò)與信息安全技術(shù)防火墻：在內(nèi)部網(wǎng)與外部網(wǎng)的入口處安裝的堡壘主機(jī)，在應(yīng)用層利用代理功能實(shí)現(xiàn)對信息流的過濾功能。入侵檢測系統(tǒng)（IDS）：根據(jù)已知的各種入侵行為的模式判斷網(wǎng)絡(luò)是否遭到入侵的一類系統(tǒng)，IDS一般也同時具備告警、審計(jì)與簡單的防御功能。四、網(wǎng)絡(luò)與信息安全技術(shù)防火墻：在內(nèi)部網(wǎng)與外部網(wǎng)的入口處安裝的91四、網(wǎng)絡(luò)與信息安全技術(shù)各種防攻擊技術(shù)：其中包括漏洞防堵、網(wǎng)絡(luò)防病毒、防木馬、防口令破解、防非授權(quán)訪問等技術(shù)網(wǎng)絡(luò)監(jiān)控與審計(jì)系統(tǒng)：監(jiān)控內(nèi)部網(wǎng)絡(luò)中的各種訪問信息流，并對指定條件的事件做審計(jì)記錄。四、網(wǎng)絡(luò)與信息安全技術(shù)各種防攻擊技術(shù)：其中包括漏洞防堵、網(wǎng)絡(luò)92五、加強(qiáng)網(wǎng)絡(luò)與信息安全的措施世界各國為了爭奪互聯(lián)網(wǎng)的控制權(quán)，占領(lǐng)輿論宣傳、文化滲透的制高點(diǎn)，打擊網(wǎng)絡(luò)犯罪，紛紛加大了對互聯(lián)網(wǎng)的管理。大部分國家治理互聯(lián)網(wǎng)包括四個方面：一是維護(hù)網(wǎng)絡(luò)安全，主要是打擊和遏制網(wǎng)絡(luò)恐怖活動、網(wǎng)絡(luò)犯罪、黑客、病毒等；二是治理不良信息，保護(hù)未成年人權(quán)利，主要是針對色情、暴力、危害國家安全、煽動種族和宗教仇恨歧視的內(nèi)容、垃圾郵件等；三是監(jiān)管互聯(lián)網(wǎng)市場，包括市場準(zhǔn)入、普遍服務(wù)、IP地址和域名網(wǎng)絡(luò)資源管理等；四是引導(dǎo)和規(guī)范數(shù)字內(nèi)容產(chǎn)業(yè)，包括保護(hù)知識產(chǎn)權(quán)、發(fā)展本土網(wǎng)絡(luò)文化等。五、加強(qiáng)網(wǎng)絡(luò)與信息安全的措施世界各國為了爭奪互聯(lián)網(wǎng)的控制權(quán)，93謝謝！謝謝！94演講完畢，謝謝觀看！演講完畢，謝謝觀看！95網(wǎng)絡(luò)與信息安全范曉明網(wǎng)絡(luò)與信息安全范曉明96目錄一、網(wǎng)絡(luò)與信息安全基本概念二、信息系統(tǒng)安全等級保護(hù)三、當(dāng)前的信息安全形勢四、網(wǎng)絡(luò)與信息安全技術(shù)五、加強(qiáng)網(wǎng)絡(luò)與信息安全的措施目錄一、網(wǎng)絡(luò)與信息安全基本概念97一、網(wǎng)絡(luò)與信息安全基本概念(一)信息安全的涵義信息安全主要涉及到信息存儲的安全、信息傳輸?shù)陌踩约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面。它研究計(jì)算機(jī)系統(tǒng)和通信網(wǎng)絡(luò)內(nèi)信息的保護(hù)方法。從廣義來說，凡是涉及到信息的完整性、保密性、真實(shí)性、可用性和可控性的相關(guān)技術(shù)和理論都是信息安全所要研究的領(lǐng)域。信息安全的一般定義：計(jì)算機(jī)信息安全是指計(jì)算機(jī)信息系統(tǒng)的硬件、軟件、網(wǎng)絡(luò)及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。一、網(wǎng)絡(luò)與信息安全基本概念(一)信息安全的涵義98一、網(wǎng)絡(luò)與信息安全基本概念對信息安全的威脅來自：用戶操作的有意無意的破壞；來自硬件、網(wǎng)絡(luò)和軟件的故障、缺陷和內(nèi)部的陷門；來自各種天災(zāi)與人為災(zāi)害來自入侵者的惡意攻擊。一、網(wǎng)絡(luò)與信息安全基本概念對信息安全的威脅來自：99一、網(wǎng)絡(luò)與信息安全基本概念計(jì)算機(jī)信息安全具有以下五方面的特征。1．保密性2．完整性3．真實(shí)性4．可用性5．可控性一、網(wǎng)絡(luò)與信息安全基本概念計(jì)算機(jī)信息安全具有以下五方面的特征100一、網(wǎng)絡(luò)與信息安全基本概念保密性：對信息資源開放范圍的控制，不讓不應(yīng)涉密的人知道秘密。保密性措施：信息加密、解密；信息劃分密級，對用戶分配不同權(quán)限，對不同權(quán)限的用戶訪問的對象進(jìn)行訪問控制；防止硬件輻射泄露、網(wǎng)絡(luò)截獲、竊聽等。一、網(wǎng)絡(luò)與信息安全基本概念保密性：對信息資源開放范圍的控制，101一、網(wǎng)絡(luò)與信息安全基本概念完整性：使信息保持完整、真實(shí)或未受損狀態(tài)，任何中斷、竊取、篡改和偽造信息應(yīng)用特性或狀態(tài)等行為都是破壞信息的完整性的。完整性措施：嚴(yán)格控制對系統(tǒng)中數(shù)據(jù)的寫訪問。只允許許可的當(dāng)事人進(jìn)行更改。一、網(wǎng)絡(luò)與信息安全基本概念完整性：使信息保持完整、真實(shí)或未受102一、網(wǎng)絡(luò)與信息安全基本概念可用性：意味著資源只能由合法的當(dāng)事人使用，保證合法用戶對信息的合法利用?？捎眯源胧涸趫?jiān)持嚴(yán)格的訪問控制機(jī)制的條件下，為用戶提供方便和快速的訪問接口。提供安全性的訪問工具。一、網(wǎng)絡(luò)與信息安全基本概念可用性：意味著資源只能由合法的當(dāng)事103一、網(wǎng)絡(luò)與信息安全基本概念不可否認(rèn)性：信息的發(fā)送者無法否認(rèn)已發(fā)出的信息，信息的接收者無法否認(rèn)已經(jīng)接收的信息。不可否認(rèn)性措施：數(shù)字簽名，可信第三方認(rèn)證技術(shù)。一、網(wǎng)絡(luò)與信息安全基本概念不可否認(rèn)性：信息的發(fā)送者無法否認(rèn)已104一、網(wǎng)絡(luò)與信息安全基本概念（二）網(wǎng)絡(luò)與信息安全事件網(wǎng)絡(luò)與信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面影響的事件。一、網(wǎng)絡(luò)與信息安全基本概念（二）網(wǎng)絡(luò)與信息安全事件105一、網(wǎng)絡(luò)與信息安全基本概念（1）有害程序事件有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。有害程序事件包括：計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。一、網(wǎng)絡(luò)與信息安全基本概念（1）有害程序事件106一、網(wǎng)絡(luò)與信息安全基本概念（2）網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括：拒絕服務(wù)事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。一、網(wǎng)絡(luò)與信息安全基本概念（2）網(wǎng)絡(luò)攻擊事件107一、網(wǎng)絡(luò)與信息安全基本概念（3）信息破壞事件信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括：信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。一、網(wǎng)絡(luò)與信息安全基本概念（3）信息破壞事件108一、網(wǎng)絡(luò)與信息安全基本概念（4）信息內(nèi)容安全事件信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括：違反憲法和法律、行政法規(guī)的信息安全事件；針對社會事項(xiàng)進(jìn)行討論、評論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動集會游行的信息安全事件；其他信息內(nèi)容安全事件等。一、網(wǎng)絡(luò)與信息安全基本概念（4）信息內(nèi)容安全事件109一、網(wǎng)絡(luò)與信息安全基本概念（5）設(shè)備設(shè)施故障設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括：軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。一、網(wǎng)絡(luò)與信息安全基本概念（5）設(shè)備設(shè)施故障110一、網(wǎng)絡(luò)與信息安全基本概念（6）災(zāi)害性事件災(zāi)害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的信息安全事件。一、網(wǎng)絡(luò)與信息安全基本概念（6）災(zāi)害性事件111一、網(wǎng)絡(luò)與信息安全基本概念信息安全分類根據(jù)中國國家計(jì)算機(jī)安全規(guī)范，計(jì)算機(jī)的安全大致可分為如下三類。（1）實(shí)體安全：包括機(jī)房、線路和主機(jī)等的安全。（2）網(wǎng)絡(luò)與信息安全：包括網(wǎng)絡(luò)的暢通、準(zhǔn)確以及網(wǎng)上信息的安全。（3）應(yīng)用安全：包括程序開發(fā)運(yùn)行、I/O、數(shù)據(jù)庫等的安全。其中，網(wǎng)絡(luò)與信息安全可分為如下四類（1）基本安全類。（2）管理與記賬類。（3）網(wǎng)絡(luò)互連設(shè)備安全類。（4）連接控制類。一、網(wǎng)絡(luò)與信息安全基本概念信息安全分類112一、網(wǎng)絡(luò)與信息安全基本概念（三）信息系統(tǒng)安全理論安全控制理論：三大控制理論1）訪問控制：基于訪問矩陣與訪問監(jiān)控器2）信息流控制：基于數(shù)學(xué)的格理論3）推理控制：基于邏輯推理，防數(shù)據(jù)庫泄漏安全操作系統(tǒng)的設(shè)計(jì)方法：安全核技術(shù)，分層結(jié)構(gòu)，環(huán)型結(jié)構(gòu)一、網(wǎng)絡(luò)與信息安全基本概念（三）信息系統(tǒng)安全理論113一、網(wǎng)絡(luò)與信息安全基本概念安全性概念包括安全政策、策略模型、安全服務(wù)和安全機(jī)制等內(nèi)容，其中安全政策是為了實(shí)現(xiàn)軟件系統(tǒng)的安全而制定的有關(guān)管理、保護(hù)和發(fā)布敏感信息的規(guī)定與實(shí)施細(xì)則；策略模型是指實(shí)施安全策略的模型；安全服務(wù)則是指根據(jù)安全政策和安全模型提供的安全方面的服務(wù)；安全機(jī)制是實(shí)現(xiàn)安全服務(wù)的方法。一、網(wǎng)絡(luò)與信息安全基本概念安全性概念包括安全政策、策略模型、114恢復(fù)反應(yīng)檢測保護(hù)信息保障PDRR模型ProtectionDetectionReactionRestore恢復(fù)反應(yīng)檢測保護(hù)信息PDRR模115一、網(wǎng)絡(luò)與信息安全基本概念訪問監(jiān)視器訪問監(jiān)視數(shù)據(jù)庫用戶身份文件權(quán)限文件文件屬性訪問控制表主體、用戶進(jìn)程批作業(yè)目標(biāo)文件、盤、帶、程序、終端等安全審計(jì)操作系統(tǒng)的訪問控制模型一、網(wǎng)絡(luò)與信息安全基本概念訪問監(jiān)視器訪問監(jiān)視數(shù)據(jù)庫主體、用戶116一、網(wǎng)絡(luò)與信息安全基本概念網(wǎng)絡(luò)操作系統(tǒng)的訪問控制模型訪問監(jiān)視器訪問監(jiān)視器數(shù)據(jù)庫審計(jì)訪問監(jiān)視器訪問監(jiān)視器數(shù)據(jù)庫審計(jì)目標(biāo)

主體一、網(wǎng)絡(luò)與信息安全基本概念網(wǎng)絡(luò)操作系統(tǒng)的訪問控制模型訪問監(jiān)視117二、信息安全等級保護(hù)（一）國際信息安全等級1、D安全級最低安全級，沒有任何安全措施，整個系統(tǒng)是不可信的硬件無任何保障機(jī)制操作系統(tǒng)容易受到侵害無身份認(rèn)證與訪問控制典型系統(tǒng)是MS-DOS二、信息安全等級保護(hù)118二、信息安全等級保護(hù)2、C1安全級——自主安全保護(hù)級實(shí)現(xiàn)粗粒度的自主訪問控制機(jī)制。系統(tǒng)能把用戶與數(shù)據(jù)隔離，TCB通過賬戶、口令去確認(rèn)用戶身份硬件提供某種程度的保護(hù)機(jī)制通過擁有者自定義和控制，防止自己的數(shù)據(jù)被別的用戶破壞。要求嚴(yán)格的測試和完善的文檔資料。

這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。二、信息安全等級保護(hù)2、C1安全級——自主安全保護(hù)級119二、信息安全等級保護(hù)3、C2安全級——可控安全保護(hù)級C2級達(dá)到企業(yè)級安全要求。可作為最低軍用安全級別C2實(shí)現(xiàn)更細(xì)的可控自主訪問控制，保護(hù)粒度要達(dá)到單個主體和客體一級；要求消除殘留信息泄露（內(nèi)存、外存、寄存器）；要求審計(jì)功能（與C1級的主要區(qū)別），審計(jì)粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計(jì)記錄應(yīng)該提供保護(hù)，防止非法修改。二、信息安全等級保護(hù)3、C2安全級——可控安全保護(hù)級120二、信息安全等級保護(hù)比C1增加授權(quán)服務(wù)，還有防止訪問權(quán)失控?cái)U(kuò)散的機(jī)制。要求TCB必須保留在一特定區(qū)域，防止來自外部的修改；TCB應(yīng)與被保護(hù)的資源隔離。TCB能夠記錄對認(rèn)證安全機(jī)制的使用、記錄對客體的讀入、刪除等操作，記錄系統(tǒng)管理員的管理活動。二、信息安全等級保護(hù)比C1增加授權(quán)服務(wù)，還有防止訪問權(quán)失控?cái)U(kuò)121二、信息安全等級保護(hù)4、B1安全級——加標(biāo)記的訪問控制保護(hù)級具有C2的全部功能，還增加或增強(qiáng)了標(biāo)記、MAC、責(zé)任、審計(jì)、保證等功能。標(biāo)記：主客體都必須帶有標(biāo)記，并準(zhǔn)確體現(xiàn)其安全級別，且由TCB維護(hù)。因此本級又稱為帶標(biāo)記的訪問控制保護(hù)級。采用強(qiáng)制保護(hù)機(jī)制。保護(hù)機(jī)制根據(jù)標(biāo)記對客體進(jìn)行保護(hù)。B1安全級要求以安全模型為依據(jù)，要求徹底分析系統(tǒng)的設(shè)計(jì)文件和源代碼，嚴(yán)格測試目標(biāo)代碼。二、信息安全等級保護(hù)4、B1安全級——加標(biāo)記的訪問控制保護(hù)122二、信息安全等級保護(hù)B1級對標(biāo)記的內(nèi)容與使用有以下要求：1）主體與客體的敏標(biāo)記的完整性：安全標(biāo)記應(yīng)能唯一的指定感級別。當(dāng)TCB輸出敏感標(biāo)記時，應(yīng)準(zhǔn)確對應(yīng)內(nèi)部標(biāo)記，并輸出相應(yīng)的關(guān)聯(lián)信息。2）標(biāo)記信息的輸出：人工指定每個I/O信道與I/O設(shè)備是單（安全）級的還是多（安全）級的，TCB應(yīng)能知曉這種指定，并能對這種指定活動進(jìn)行審計(jì)。二、信息安全等級保護(hù)B1級對標(biāo)記的內(nèi)容與使用有以下要求：123二、信息安全等級保護(hù)3）多級設(shè)備輸出：當(dāng)TCB把一個客體輸出到多級I/O設(shè)備時，敏感標(biāo)記也應(yīng)同時輸出，并與輸出信息一起留存在同一物理介質(zhì)上。當(dāng)TCB使用多級I/O信道通信時，協(xié)議應(yīng)能支持多敏感標(biāo)記信息的傳輸。4）單級設(shè)備的輸出：雖然不要求對單級I/O設(shè)備和單級信道所處理的信息保留敏感標(biāo)志，但要求TCB提供一種安全機(jī)制，允許用戶利用單級設(shè)備與單級I/O信道安全地傳輸單級信息。二、信息安全等級保護(hù)3）多級設(shè)備輸出：當(dāng)TCB把一個客1245）對人可讀輸出的標(biāo)記輸出：系統(tǒng)管理員應(yīng)該能夠指定與輸出敏感標(biāo)記相關(guān)聯(lián)的可打印標(biāo)記名，這些敏感標(biāo)記可以是秘密、機(jī)密和絕密的。TCB應(yīng)能標(biāo)識這些敏感標(biāo)記輸出的開始與結(jié)束。5）對人可讀輸出的標(biāo)記輸出：系統(tǒng)管理員應(yīng)該能夠指定與輸出敏感125強(qiáng)制訪問控制每個受控的客體都必須附加上標(biāo)記，用于標(biāo)明該客體的安全級，當(dāng)這些客體被訪問的時候，保護(hù)系統(tǒng)就依據(jù)這些標(biāo)記對客體進(jìn)行必要的控制。B1類要求每個受控的主體和客體都要配備一個安全級，但不要求保護(hù)系統(tǒng)控制每個客體。B1級中的訪問控制機(jī)制必須依據(jù)一種安全模型，在這種模型中，主體與客體的敏感性標(biāo)記既有等級性級別的，又有無等級性的類別的。TCB應(yīng)該支持兩個以上的安全級。在TCB控制的主、客體間的所有訪問活動，并要求這些活動必須滿足以下要求：強(qiáng)制訪問控制126只有主體的敏感等級大于或等于客體的敏感等級時，才允許該主體去讀該客體，而且該主體的信息訪問類包含該客體中信息訪問類的全部內(nèi)容。信息訪問類中所包含的信息是非等級性。只有主體的敏感級不大于客體的敏感級時，才允許該主體去寫該客體，而且該主體的信息訪問類包含該客體中信息訪問類。只有主體的敏感等級大于或等于客體的敏感等級時，才允許該主體去127軍用安全策略可以滿足這種要求，它既具有按非密、秘密、機(jī)密和絕密的等級性級別的標(biāo)記，又允許某個主體知道多種級別信息組成的無等級性類別的信息。對于強(qiáng)制性訪問控制政策的模型是Bell-LaPadula模型，在該模型中要支持軍用安全策略。B1類系統(tǒng)對所有訪問都要實(shí)現(xiàn)這種模型，同時也支持有限的用戶自主訪問控制功能。軍用安全策略可以滿足這種要求，它既具有按非密、秘密、機(jī)密和絕128可記賬性TCB應(yīng)該對所有涉及敏感性活動的用戶進(jìn)行身份識別，TCB應(yīng)該管理用戶的賬戶、口令、簽證與權(quán)限信息，防止發(fā)生非授權(quán)的用戶訪問。B1級的審計(jì)功能比C2級的功能更強(qiáng)，還增加了對任何濫用職權(quán)的人可讀輸出標(biāo)志和對安全級記錄的事件進(jìn)行審計(jì)，也可以對于用戶的安全性活動進(jìn)行有選擇的審計(jì)?？捎涃~性129在實(shí)現(xiàn)過程中，必須徹底分析B1類系統(tǒng)的設(shè)計(jì)文檔和源代碼，測試目標(biāo)代碼，盡可能發(fā)現(xiàn)系統(tǒng)存在的安全缺陷，并保證消除這些缺陷。要有一種非形式的或形式化的模型來描述系統(tǒng)實(shí)現(xiàn)的安全策略。在實(shí)現(xiàn)過程中，必須徹底分析B1類系統(tǒng)的設(shè)計(jì)文檔和源代碼，測130B2安全級——結(jié)構(gòu)化保護(hù)級。要求把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成獨(dú)立的模塊，采用最小特權(quán)原則進(jìn)行管理。內(nèi)部結(jié)構(gòu)必須是可證明的。對所有主體與客體實(shí)施更強(qiáng)的MAC。從主體客體擴(kuò)大到I/O設(shè)備等所有資源。TCB應(yīng)支持管理員與操作員的分離。能夠?qū)徲?jì)使用隱蔽存儲信道的標(biāo)志事件。必須給出可驗(yàn)證的頂級設(shè)計(jì)，要求開發(fā)者對隱蔽信道進(jìn)行徹底地搜索。TCB劃分保護(hù)與非保護(hù)部分，存放于固定區(qū)內(nèi)。B2安全級——結(jié)構(gòu)化保護(hù)級。131B2級稱為結(jié)構(gòu)化保護(hù)級（StructuredProtection）。B2級系統(tǒng)的設(shè)計(jì)中把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成明確而大體上獨(dú)立的模塊，并采用最小特權(quán)原則進(jìn)行管理。B2級不僅要求對所有對象加標(biāo)記，而且要求給設(shè)備（磁盤、磁帶或終端）分配一個或多個安全級別（實(shí)現(xiàn)設(shè)備標(biāo)記）。必須對所有的主體與客體（包括設(shè)備）實(shí)施強(qiáng)制性訪問控制保護(hù)，必須要有專職人員負(fù)責(zé)實(shí)施訪問控制策略，其他用戶無權(quán)管理。B2級稱為結(jié)構(gòu)化保護(hù)級（StructuredProtect132B2級強(qiáng)調(diào)實(shí)際中的評價手段，因此，增加或加強(qiáng)了以下功能：

（1）安全策略方面：進(jìn)一步加強(qiáng)了強(qiáng)制訪問控制功能，把強(qiáng)制訪問控制的對象，從主體到客體擴(kuò)展到I/O設(shè)備等所有資源，并要求每種系統(tǒng)資源必須與安全標(biāo)記相聯(lián)系。B2級強(qiáng)調(diào)實(shí)際中的評價手段，因此，增加或加強(qiáng)了以下功能：133

（2）可記賬性方面：進(jìn)一步加強(qiáng)系統(tǒng)的連續(xù)保護(hù)和防滲漏能力。主要措施包括能夠確保系統(tǒng)和用戶之間開始注冊與確認(rèn)時路徑是可信的，增加了對使用隱蔽存儲信道的標(biāo)記事件的審計(jì)功能。隱蔽存儲信道是指進(jìn)程之間通過對某存儲載體的讀寫來完成信息隱蔽傳輸?shù)男诺?，而這種信道是違反安全策略要求的。（2）可記賬性方面：進(jìn)一步加強(qiáng)系統(tǒng)的連續(xù)保134（3）最小特權(quán)原則：應(yīng)能支持操作人員與和系統(tǒng)管理人員的權(quán)限分離，對每個主體只授予滿足完成任務(wù)所需的最小存儲權(quán)，以保證最小特權(quán)原則的執(zhí)行。還應(yīng)該劃分保護(hù)與非保護(hù)部分，并使它們維持在一個固定的受保護(hù)的域中，防止被外界破壞或惡意篡改。（3）最小特權(quán)原則：應(yīng)能支持操作人員與和系統(tǒng)管理人員的權(quán)限分135B3安全級---安全域保護(hù)級要求系統(tǒng)劃分主體/客體的區(qū)域。有能力監(jiān)控對每個客體的每次訪問。用戶程序和操作被限定在某個安全域內(nèi)。安全域的訪問受到嚴(yán)格控制（有硬件支持）。系統(tǒng)設(shè)計(jì)要簡明完善、充分利用分層、抽象和信息隱蔽等原則，要求是高度防突破的。要求有一個安全管理員，管理安全活動。安全策略方面，采用訪問控制表方式實(shí)現(xiàn)DAC。用戶可以指定與控制對命名客體的共享。B3安全級---安全域保護(hù)級136為了能夠確實(shí)進(jìn)行廣泛而可信的測試，B3級系統(tǒng)的安全功能應(yīng)該是短小精悍的。為了便于理解與實(shí)現(xiàn)，系統(tǒng)的高級設(shè)計(jì)（HighLevelDesign）必須是簡明而完善的，必須組合使用有效的分層、抽象和信息隱蔽等原則。所實(shí)現(xiàn)的安全功能必須是高度防突破的，系統(tǒng)的審計(jì)功能能夠區(qū)分出何時能避免一種破壞安全的活動。為了使系統(tǒng)具備恢復(fù)能力，B3系統(tǒng)增加了一個安全策略：為了能夠確實(shí)進(jìn)行廣泛而可信的測試，B3級系統(tǒng)的安全功能應(yīng)該是137（1）安全策略：采用訪問控制表進(jìn)行控制，允許用戶指定和控制對客體的共享，也可以指定命名用戶對客體的訪問方式。（2）可記賬性：系統(tǒng)能夠監(jiān)視安全審計(jì)事件的發(fā)生與積累，當(dāng)超出某個安全閥值時，能夠立刻報(bào)警，通知安全管理人員進(jìn)行處理。（1）安全策略：采用訪問控制表進(jìn)行控制，允許用戶指定和控制對138（3）保障措施：只能完成與安全有關(guān)的管理功能，對其他完成非安全功能的操作要嚴(yán)加限制。當(dāng)系統(tǒng)出現(xiàn)故障與災(zāi)難性事件后，要提供一種過程與機(jī)理，保證在不損害保護(hù)的條件，使系統(tǒng)得到恢復(fù)。（3）保障措施：只能完成與安全有關(guān)的管理功能，對其他完成非安139A1安全級---可驗(yàn)證設(shè)計(jì)保護(hù)要求建立系統(tǒng)的安全模型，且可形式化驗(yàn)證的系統(tǒng)設(shè)計(jì)。對隱蔽信道進(jìn)行形式分析。有五條確認(rèn)標(biāo)準(zhǔn)：1）對系統(tǒng)安全模型進(jìn)行嚴(yán)謹(jǐn)與充分的證明。證明模型與公理的一致性，模型對策略的支持。2）給出保護(hù)系統(tǒng)的頂層設(shè)計(jì)說明。其中包括TCB抽象功能定義和支持隔離區(qū)域的硬件軟件/固件的機(jī)制。A1安全級---可驗(yàn)證設(shè)計(jì)保護(hù)1403）說明系統(tǒng)的頂層設(shè)計(jì)說明與系統(tǒng)安全形式模型的一致性；最好能夠使用驗(yàn)證工具，也可以使用非形式化技術(shù)說明。4）能非形式地說明TCB的實(shí)現(xiàn)與該設(shè)計(jì)一致。說明頂層設(shè)計(jì)表達(dá)了保護(hù)機(jī)制與安全策略的一致性，映射到TCB的各個部件正好是保護(hù)機(jī)制的對應(yīng)要素。5）對隱蔽信道進(jìn)行形式化分析與識別。對于時鐘信道可以采用非形式化方法識別，在系統(tǒng)中必須對被識別的隱蔽信道是否連續(xù)存在給予證明。3）說明系統(tǒng)的頂層設(shè)計(jì)說明與系統(tǒng)安全形式模型的一致性；最好能141A1級系統(tǒng)的要求極高，達(dá)到這種要求的系統(tǒng)很少，目前已獲得承認(rèn)的這類系統(tǒng)有Honeywell公司的SCOMP系統(tǒng)。A1級安全標(biāo)準(zhǔn)是安全信息系統(tǒng)的最高安全級別，一般信息系統(tǒng)很難達(dá)到這樣的安全能力。我國的標(biāo)準(zhǔn)去掉了A1級標(biāo)準(zhǔn)。A1級系統(tǒng)的要求極高，達(dá)到這種要求的系統(tǒng)很少，目前已獲得承認(rèn)142計(jì)算機(jī)系統(tǒng)安全等級計(jì)算機(jī)系統(tǒng)安全等級143二、信息安全等級保護(hù)(二)我國信息系統(tǒng)安全等級劃分GB17859把計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)能力劃分的5個等級是：用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。這五個級別的安全強(qiáng)度自低到高排列，且高一級包括低一級的安全能力。二、信息安全等級保護(hù)(二)我國信息系統(tǒng)安全等級劃分144第1級系統(tǒng)自主保護(hù)級本級的主要特點(diǎn)用戶具有自主安全保護(hù)能力。系統(tǒng)采用自主訪問控制機(jī)制，該機(jī)制允許命名用戶以用戶或用戶組的身份規(guī)定并控制客體的共享，能阻止非授權(quán)用戶讀取敏感信息。TCB在初始執(zhí)行時需要鑒別用戶的身份，不允許無權(quán)用戶訪問用戶身份鑒別信息。該安全級通過自主完整性策略，阻止無權(quán)用戶修改或破壞敏感信息。第1級系統(tǒng)自主保護(hù)級本級的主要特點(diǎn)用戶具有自主安全保護(hù)能145第2級系統(tǒng)審計(jì)保護(hù)級本級也屬于自主訪問控制級。但和第一級相比，TCB實(shí)施粒度更細(xì)的自主訪問控制，控制粒度可達(dá)單個用戶級，能夠控制訪問權(quán)限的擴(kuò)散，沒有訪問權(quán)的用戶只能由有權(quán)用戶指定對客體的訪問權(quán)。身份鑒別功能通過每個用戶唯一標(biāo)識監(jiān)控用戶的每個行為，并能對這些行為進(jìn)行審計(jì)。增加了客體重用要求和審計(jì)功能是本級的主要特色。第2級系統(tǒng)審計(jì)保護(hù)級本級也屬于自主訪問控制級。但和第一級146

審計(jì)功能要求TCB能夠記錄：對身份鑒別機(jī)制的使用；將客體引入用戶地址空間；客體的刪除；操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實(shí)施的動作以及其他與系統(tǒng)安全有關(guān)的事件?？腕w重用要求是指，客體運(yùn)行結(jié)束后，在其占用的存儲介質(zhì)（如內(nèi)存、外存、寄存器等）上寫入的信息（稱為殘留信息）必須加以清除，防止信息泄漏給其他使用這些介質(zhì)的客體。審計(jì)功能要求TCB能夠記錄：對身份鑒別機(jī)制的使用；將客體147第3級安全標(biāo)記保護(hù)級本級在提供系統(tǒng)審計(jì)保護(hù)級的所有功能的基礎(chǔ)上，提供基本的強(qiáng)制訪問功能。TCB能夠維護(hù)每個主體及其控制的存儲客體的敏感標(biāo)記，也可以要求授權(quán)用戶確定無標(biāo)記數(shù)據(jù)的安全級別。這些標(biāo)記是等級分類與非等級類別的集合（后面將進(jìn)一步說明），是實(shí)施強(qiáng)制訪問控制的依據(jù)。TCB可以支持對多種安全級別（如軍用安全級別可劃分為絕密、機(jī)密、秘密、無密4個安全級別）的訪問控制，強(qiáng)制訪問控制規(guī)則如下：第3級安全標(biāo)記保護(hù)級本級在提供系統(tǒng)審計(jì)保護(hù)級的所有功能的148

僅當(dāng)主體安全級別中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能對客體有讀權(quán)；僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。僅當(dāng)主體安全級別中的等級分類高于或等于客體安全級中的等級分149

TCB維護(hù)用戶身份識別數(shù)據(jù)，確定用戶的訪問權(quán)及授權(quán)數(shù)據(jù)，并且使用這些數(shù)據(jù)鑒別用戶的身份。審計(jì)功能除保持上一級的要求外，還要求記錄客體的安全級別，TCB還具有審計(jì)可讀輸出記號是否發(fā)生更改的能力。對數(shù)據(jù)完整性的要求則增加了在網(wǎng)絡(luò)環(huán)境中使用完整性敏感標(biāo)記來確信信息在傳輸過程中未受損。TCB維護(hù)用戶身份識別數(shù)據(jù)，確定用戶的訪問權(quán)及授權(quán)數(shù)據(jù)，并150

本級要求提供有關(guān)安全策略的模型，主體對客體強(qiáng)制訪問控制的非形式化描述，沒有對多級安全形式化模型提出要求。本級要求提供有關(guān)安全策略的模型，主體對客體強(qiáng)制訪問控制的非151第4級結(jié)構(gòu)化保護(hù)級本級TCB建立在明確定義的形式化安全策略模型之上，它要求將自主和強(qiáng)制訪問控制擴(kuò)展到所有主體與客體。它要求系統(tǒng)開發(fā)者應(yīng)該徹底搜索隱蔽存儲信道，要標(biāo)識出這些信道和它們的帶寬。本級最主要的特點(diǎn)是TCB必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素。TCB的接口要求是明確定義的，使其實(shí)現(xiàn)能得到充分的測試和全面的復(fù)審。第四級加強(qiáng)了鑒別機(jī)制，支持系統(tǒng)管理員和操作員的職能，提供可信設(shè)施管理，增強(qiáng)了系統(tǒng)配置管理控制，系統(tǒng)具有較強(qiáng)的抗?jié)B透能力。第4級結(jié)構(gòu)化保護(hù)級本級TCB建立在明確定義的形式化安全策152

強(qiáng)制訪問控制的能力更強(qiáng)，TCB可以對外部主體能夠直接或間接訪問的所有資源（如主體、存儲客體和輸入輸出資源）都實(shí)行強(qiáng)制訪問控制。關(guān)于訪問