《信息系統(tǒng)安全等級保護(hù)基本要求》培訓(xùn)資料

PAGE2 信息平安等級保護(hù)培訓(xùn)教材?信息系統(tǒng)平安等級保護(hù)根本要求?公安部2007年7月

目錄1 概述 3 背景介紹 3 主要作用及特點 3 與其他標(biāo)準(zhǔn)的關(guān)系 4 框架結(jié)構(gòu) 42 描述模型 5 總體描述 5 保護(hù)對象 6 平安保護(hù)能力 6 平安要求 83 逐級增強(qiáng)的特點 9 增強(qiáng)原那么 9 總體描述 10 控制點增加 11 要求項增加 11 控制強(qiáng)度增強(qiáng) 124 各級平安要求 13 技術(shù)要求 13 物理平安 13 網(wǎng)絡(luò)平安 19 主機(jī)平安 24 應(yīng)用平安 30 數(shù)據(jù)平安及備份恢復(fù) 36 管理要求 38 平安管理制度 38 平安管理機(jī)構(gòu) 41 人員平安管理 44 系統(tǒng)建設(shè)管理 47 系統(tǒng)運維管理 52

本教材根據(jù)?信息系統(tǒng)平安等級保護(hù)管理方法?公通字[2007]43號和?關(guān)于開展全國重要信息系統(tǒng)平安等級保護(hù)定級工作的通知?公信安[2007]861號文件，圍繞信息平安等級工作，介紹信息系統(tǒng)平安建設(shè)和改造過程中使用的主要標(biāo)準(zhǔn)之一?信息系統(tǒng)平安等級保護(hù)根本要求?〔以下簡稱?根本要求?〕，描述?根本要求?的技術(shù)要求分級思路、逐級增強(qiáng)特點以及具體各級平安要求。通過培訓(xùn)，使得用戶能夠了解?根本要求?在信息系統(tǒng)平安等級保護(hù)中的作用、根本思路和主要內(nèi)容，以便正確選擇適宜的平安要求進(jìn)行信息系統(tǒng)保護(hù)。概述背景介紹2004年，66號文件中指出“信息平安等級保護(hù)工作是個龐大的系統(tǒng)工程，關(guān)系到國家信息化建設(shè)的方方面面，這就決定了這項工作的開展必須分步驟、分階段、有方案的實施，信息平安等級保護(hù)制度方案用三年左右的時間在全國范圍內(nèi)分三個階段實施。〞信息平安等級保護(hù)工作第一階段為準(zhǔn)備階段，準(zhǔn)備階段中重要工作之一是“加快制定、完善管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)體系〞。依據(jù)此要求，?根本要求?列入了首批需完成的6個標(biāo)準(zhǔn)之一。主要作用及特點主要作用?根本要求?對等級保護(hù)工作中的平安控制選擇、調(diào)整、實施等提出標(biāo)準(zhǔn)性要求，根據(jù)使用對象不同，其主要作用分為三種：為信息系統(tǒng)建設(shè)單位和運營、使用單位提供技術(shù)指導(dǎo)在信息系統(tǒng)的平安保護(hù)等級確定后，?根本要求?為信息系統(tǒng)的建設(shè)單位和運營、使用單位如何對特定等級的信息系統(tǒng)進(jìn)行保護(hù)提供技術(shù)指導(dǎo)。為測評機(jī)構(gòu)提供評估依據(jù)?根本要求?為信息系統(tǒng)主管部門，信息系統(tǒng)運營、使用單位或?qū)ｉT的等級測評機(jī)構(gòu)對信息系統(tǒng)平安保護(hù)等級的檢測評估提供依據(jù)。為職能監(jiān)管部門提供監(jiān)督檢查依據(jù)?根本要求?為監(jiān)管部門的監(jiān)督檢查提供依據(jù)，用于判斷一個特定等級的信息系統(tǒng)是否按照國家要求進(jìn)行了根本的保護(hù)。主要特點?根本要求?是針對每個等級的信息系統(tǒng)提出相應(yīng)平安保護(hù)要求，“根本〞意味著這些要求是針對該等級的信息系統(tǒng)到達(dá)根本保護(hù)能力而提出的，也就是說，這些要求的實現(xiàn)能夠保證系統(tǒng)到達(dá)相應(yīng)等級的根本保護(hù)能力，但反過來說，系統(tǒng)到達(dá)相應(yīng)等級的保護(hù)能力并不僅僅完全依靠這些平安保護(hù)要求。同時，?根本要求?強(qiáng)調(diào)的是“要求〞，而不是具體實施方案或作業(yè)指導(dǎo)書，?根本要求?給出了系統(tǒng)每一保護(hù)方面需到達(dá)的要求，至于這種要求采取何種方式實現(xiàn)，不在?根本要求?的描述范圍內(nèi)。按照?根本要求?進(jìn)行保護(hù)后，信息系統(tǒng)到達(dá)一種平安狀態(tài)，具備了相應(yīng)等級的保護(hù)能力。與其他標(biāo)準(zhǔn)的關(guān)系 從標(biāo)準(zhǔn)間的承接關(guān)系上講：?信息系統(tǒng)平安等級保護(hù)定級指南?確定出系統(tǒng)等級以及業(yè)務(wù)信息平安性等級和系統(tǒng)效勞平安等級后，需要按照相應(yīng)等級，根據(jù)?根本要求?選擇相應(yīng)等級的平安保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實施。?信息系統(tǒng)平安等級保護(hù)測評準(zhǔn)那么?是針對?根本要求?的具體控制要求開發(fā)的測評要求，旨在強(qiáng)調(diào)系統(tǒng)按照?根本要求?進(jìn)行建設(shè)完畢后，檢驗系統(tǒng)的各項保護(hù)要求是否符合相應(yīng)等級的根本要求。由上可見，?根本要求?在整個標(biāo)準(zhǔn)體系中起著承上啟下的作用。 從技術(shù)角度上講：?根本要求?的技術(shù)局部吸收和借鑒了GB17859:1999標(biāo)準(zhǔn)，采納其中的身份鑒別、數(shù)據(jù)完整性、自主訪問控制、強(qiáng)制訪問控制、審計、客體重用〔改為剩余信息保護(hù)〕標(biāo)記、可信路徑等8個平安機(jī)制的局部或全部內(nèi)容，并將這些機(jī)制擴(kuò)展到網(wǎng)絡(luò)層、主機(jī)系統(tǒng)層、應(yīng)用層和數(shù)據(jù)層。?根本要求?的技術(shù)局部弱化了在信息系統(tǒng)中實現(xiàn)平安機(jī)制結(jié)構(gòu)化設(shè)計及平安機(jī)制可信性方面的要求，例如沒有提出信息系統(tǒng)的可信恢復(fù)，但在4級系統(tǒng)提出了災(zāi)難備份與恢復(fù)的要求，保證業(yè)務(wù)連續(xù)運行。?根本要求?沒有對隱蔽通道分析的平安機(jī)制提出要求。此外，?根本要求?的管理局部充分借鑒了ISO/IEC17799:2005等國際上流行的信息平安管理方面的標(biāo)準(zhǔn)，盡量做到全方位的平安管理?？蚣芙Y(jié)構(gòu)?根本要求?在整體框架結(jié)構(gòu)上以三種分類為支撐點，自上而下分別為：類、控制點和項。其中，類表示?根本要求?在整體上大的分類，其中技術(shù)局部分為：物理平安、網(wǎng)絡(luò)平安、主機(jī)平安、應(yīng)用平安和數(shù)據(jù)平安及備份恢復(fù)等5大類，管理局部分為：平安管理制度、平安管理機(jī)構(gòu)、人員平安管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等5大類，一共分為10大類?？刂泣c表示每個大類下的關(guān)鍵控制點，如物理平安大類中的“物理訪問控制〞作為一個控制點。而項那么是控制點下的具體要求項，如“機(jī)房出入應(yīng)安排專人負(fù)責(zé)，控制、鑒別和記錄進(jìn)入的人員。〞具體框架結(jié)構(gòu)如下圖：第三級第三級根本要求物理平安網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安第一級根本要求第二級根本要求第四級根本要求第五級根本要求數(shù)據(jù)平安及備份恢復(fù)技術(shù)要求管理要求平安管理制度平安管理機(jī)構(gòu)人員平安管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理圖1-1?根本要求?的框架結(jié)構(gòu)描述模型總體描述信息系統(tǒng)是頗受誘惑力的被攻擊目標(biāo)。它們抵抗著來自各方面威脅實體的攻擊。對信息系統(tǒng)實行平安保護(hù)的目的就是要對抗系統(tǒng)面臨的各種威脅，從而盡量降低由于威脅給系統(tǒng)帶來的損失。能夠應(yīng)對威脅的能力構(gòu)成了系統(tǒng)的平安保護(hù)能力之一——對抗能力。但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。能夠在一定時間內(nèi)恢復(fù)系統(tǒng)原有狀態(tài)的能力構(gòu)成了系統(tǒng)的另一種平安保護(hù)能力——恢復(fù)能力。對抗能力和恢復(fù)能力共同形成了信息系統(tǒng)的平安保護(hù)能力。不同級別的信息系統(tǒng)應(yīng)具備相應(yīng)等級的平安保護(hù)能力，即應(yīng)該具備不同的對抗能力和恢復(fù)能力，以對抗不同的威脅和能夠在不同的時間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。針對各等級系統(tǒng)應(yīng)當(dāng)對抗的平安威脅和應(yīng)具有的恢復(fù)能力，?根本要求?提出各等級的根本平安要求。根本平安要求包括了根本技術(shù)要求和根本管理要求，根本技術(shù)要求主要用于對抗威脅和實現(xiàn)技術(shù)能力，根本管理要求主要為平安技術(shù)實現(xiàn)提供組織、人員、程序等方面的保障。各等級的根本平安要求，由包括物理平安、網(wǎng)絡(luò)平安、主機(jī)系統(tǒng)平安、應(yīng)用平安和數(shù)據(jù)平安等五個層面的根本平安技術(shù)措施和包括平安管理機(jī)構(gòu)、平安管理制度、人員平安管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的根本平安管理措施來實現(xiàn)和保證。下列圖說明了?根本要求?的描述模型。每一等級信息系統(tǒng)每一等級信息系統(tǒng)平安保護(hù)能力技術(shù)措施管理措施包含具備根本平安要求滿足包含滿足實現(xiàn)圖1-2?根本要求?的描述模型保護(hù)對象作為保護(hù)對象，?管理方法?中將信息系統(tǒng)分為五級，分別為：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家平安、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家平安。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家平安造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家平安造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家平安造成特別嚴(yán)重?fù)p害。平安保護(hù)能力定義對抗能力能夠應(yīng)對威脅的能力構(gòu)成了系統(tǒng)的平安保護(hù)能力之一—對抗能力。不同等級系統(tǒng)所應(yīng)對抗的威脅主要從威脅源〔自然、環(huán)境、系統(tǒng)、人為〕動機(jī)〔不可抗外力、無意、有意〕范圍〔局部、全局〕能力〔工具、技術(shù)、資源等〕四個要素來考慮。在對威脅進(jìn)行級別劃分前，我們首先解釋以上幾個要素：威脅源——是指任何能夠?qū)е路穷A(yù)期的不利事件發(fā)生的因素，通常分為自然〔如自然災(zāi)害〕環(huán)境〔如電力故障〕IT系統(tǒng)〔如系統(tǒng)故障〕和人員〔如心懷不滿的員工〕四類。動機(jī)——與威脅源和目標(biāo)有著密切的聯(lián)系，不同的威脅源對應(yīng)不同的目標(biāo)有著不同的動機(jī)，通?？煞譃椴豢煽雇饬Α踩缱匀粸?zāi)害〕無意的〔如員工的疏忽大意〕和成心的〔如情報機(jī)構(gòu)的信息收集活動〕。范圍——是指威脅潛在的危害范疇，分為局部和整體兩種情況；如病毒威脅，有些計算機(jī)病毒的傳染性較弱，危害范圍是有限的；但是蠕蟲類病毒那么相反，它們可以在網(wǎng)絡(luò)中以驚人的速度迅速擴(kuò)散并導(dǎo)致整個網(wǎng)絡(luò)癱瘓。能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。能力主要表達(dá)在威脅源占有的計算資源的多少、工具的先進(jìn)程度、人力資源〔包括經(jīng)驗〕等方面。通過對威脅主要因素的分析，我們可以組合得到不同等級的威脅：第一級：本等級的威脅是1〕危害范圍為局部的環(huán)境或者設(shè)備故障、2〕無意的員工失誤以及3〕低能力的滲透攻擊等威脅情景。典型情況如灰塵超標(biāo)〔環(huán)境〕單個非重要工作站〔設(shè)備〕崩潰等。第二級：本等級的威脅主要是1〕危害局部的較嚴(yán)重的自然事件、2〕具備中等能力、有預(yù)設(shè)目標(biāo)的威脅情景。典型情況如有組織的情報搜集等。第三級：本等級的威脅主要是1〕危害整體的自然事件、2〕具備較高能力、大范圍的、有預(yù)設(shè)目標(biāo)的滲透攻擊。典型情況如較嚴(yán)重的自然災(zāi)害、大型情報組織的情報搜集等。第四級：本等級的威脅主要是1〕危害整體的嚴(yán)重的自然事件、2〕國家級滲透攻擊。典型情況如國家經(jīng)營，組織精良，有很好的財政資助，從其他具有經(jīng)濟(jì)、軍事或政治優(yōu)勢的國家收集機(jī)密信息等?；謴?fù)能力但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。能夠在一定時間內(nèi)恢復(fù)系統(tǒng)原有狀態(tài)的能力構(gòu)成了另一種平安保護(hù)能力——恢復(fù)能力。恢復(fù)能力主要從恢復(fù)時間和恢復(fù)程度上來衡量其不同級別?；謴?fù)時間越短、恢復(fù)程度越接近系統(tǒng)正常運行狀態(tài)，說明恢復(fù)能力越高。第一級：系統(tǒng)具有根本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時的恢復(fù)局部系統(tǒng)功能。第二級：系統(tǒng)具有一定的數(shù)據(jù)備份功能，在遭到破壞后能夠在一段時間內(nèi)恢復(fù)局部功能。第三級：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復(fù)絕大局部功能。第四級：系統(tǒng)具有極高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠迅速恢復(fù)所有系統(tǒng)功能。不同等級的平安保護(hù)能力信息系統(tǒng)的平安保護(hù)能力包括對抗能力和恢復(fù)能力。不同級別的信息系統(tǒng)應(yīng)具備相應(yīng)等級的平安保護(hù)能力，即應(yīng)該具備不同的對抗能力和恢復(fù)能力。將“能力〞分級，是基于系統(tǒng)的保護(hù)對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。一般來說，信息系統(tǒng)越重要，應(yīng)具有的保護(hù)能力就越高。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴(yán)重，因此需要提高相應(yīng)的平安保護(hù)能力。不同等級信息系統(tǒng)所具有的保護(hù)能力如下：一級平安保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自個人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在系統(tǒng)遭到損害后，能夠恢復(fù)局部功能。二級平安保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的平安漏洞和平安事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)局部功能。三級平安保護(hù)能力：應(yīng)能夠在統(tǒng)一平安策略下防護(hù)系統(tǒng)免受來自外部有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)平安漏洞和平安事件，在系統(tǒng)遭到損害后，能夠較快恢復(fù)絕大局部功能。四級平安保護(hù)能力：應(yīng)能夠在統(tǒng)一平安策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)平安漏洞和平安事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。 平安要求首先介紹?根本要求?的平安要求的分類。平安要求從整體上分為技術(shù)和管理兩大類，其中，技術(shù)類平安要求按其保護(hù)的側(cè)重點不同，將其下的控制點分為三類： 信息平安類〔S類〕——關(guān)注的是保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。如，自主訪問控制，該控制點主要關(guān)注的是防止未授權(quán)的訪問系統(tǒng)，進(jìn)而造成數(shù)據(jù)的 修改或泄漏。至于對保證業(yè)務(wù)的正常連續(xù)運行并沒有直接的影響。 效勞保證類〔A類〕——關(guān)注的是保護(hù)系統(tǒng)連續(xù)正常的運行，防止因?qū)ο到y(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用。如，數(shù)據(jù)的備份和恢復(fù)，該控制點很好的表達(dá)了對業(yè)務(wù)正常運行的保護(hù)。通過對數(shù)據(jù) 進(jìn)行備份，在發(fā)生平安事件后能夠及時的進(jìn)行恢復(fù)，從而保證了業(yè)務(wù)的正常運行。 通用平安保護(hù)類〔G類〕——既關(guān)注保護(hù)業(yè)務(wù)信息的平安性，同時也關(guān)注保護(hù)系統(tǒng)的 連續(xù)可用性。大多數(shù)技術(shù)類平安要求都屬于此類，保護(hù)的重點既是為了保證業(yè)務(wù)能夠正常運行，同時數(shù)據(jù)要平安。如，物理訪問控制，該控制點主要是防止非授權(quán)人員物理訪問系統(tǒng)主要工作環(huán)境，由于進(jìn)入工作環(huán)境可能導(dǎo)致的后果既可能包括系統(tǒng)無法正常運行〔如，損壞某臺重要效勞器〕，也可能竊取某些重要數(shù)據(jù)。因此，它保護(hù)的重點二者兼而有之。技術(shù)平安要求按其保護(hù)的側(cè)重點不同分為S、A、G三類，如果從另外一個角度考慮，根據(jù)信息系統(tǒng)平安的整體結(jié)構(gòu)來看，信息系統(tǒng)平安可從五個層面：物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進(jìn)行保護(hù)，因此，技術(shù)類平安要求也相應(yīng)的分為五個層面上的平安要求：——物理層面平安要求：主要是從外界環(huán)境、根底設(shè)施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的平安運行提供根本的后臺支持和保證；——網(wǎng)絡(luò)層面平安要求：為信息系統(tǒng)能夠在平安的網(wǎng)絡(luò)環(huán)境中運行提供支持，確保網(wǎng)絡(luò)系統(tǒng)平安運行，提供有效的網(wǎng)絡(luò)效勞；——主機(jī)層面平安要求：在物理、網(wǎng)絡(luò)層面平安的情況下，提供平安的操作系統(tǒng)和平安的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的平安運行；——應(yīng)用層面平安要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面平安的支持下，實現(xiàn)用戶平安需求所確定的平安目標(biāo)；——數(shù)據(jù)及備份恢復(fù)層面平安要求：全面關(guān)注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的平安性。管理類平安要求主要是圍繞信息系統(tǒng)整個生命周期全過程而提出的，均為G類要求。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購/開發(fā)階段、實施階段、運行維護(hù)階段和廢棄階段。管理類平安要求正是針對這五個階段的不同平安活動提出的，分為：平安管理制度、平安管理機(jī)構(gòu)、人員平安管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面。逐級增強(qiáng)的特點增強(qiáng)原那么不同級別的信息系統(tǒng)，其應(yīng)該具備的平安保護(hù)能力不同，也就是對抗能力和恢復(fù)能力不同；平安保護(hù)能力不同意味著能夠應(yīng)對的威脅不同，較高級別的系統(tǒng)應(yīng)該能夠應(yīng)對更多的威脅；應(yīng)對威脅將通過技術(shù)措施和管理措施來實現(xiàn)，應(yīng)對同一個威脅可以有不同強(qiáng)度和數(shù)量的措施，較高級別的系統(tǒng)應(yīng)考慮更為周密的應(yīng)對措施。不同級別的信息系統(tǒng)根本平安要求的考慮思路和增強(qiáng)原那么如下列圖所示：圖1-3?根本要求?逐級的考慮思路和增強(qiáng)原那么總體描述不同等級的信息系統(tǒng)平安保護(hù)能力不同，故其平安要求也不同，從宏觀來看，各個級別的平安要求逐級增強(qiáng)，表現(xiàn)為：二級根本要求：在一級根本要求的根底上，技術(shù)方面，二級要求在控制點上增加了平安審計、邊界完整性檢查、入侵防范、資源控制以及通信保密性等控制點。身份鑒別那么要求在系統(tǒng)的整個生命周期，每一個用戶具有唯一標(biāo)識，使用戶對對自己的行為負(fù)責(zé)，具有可查性。同時，要求訪問控制具有更細(xì)的訪問控制粒度等。管理方面，增加了審核和檢查、管理制度的評審和修訂、人員考核、密碼管理、變更管理和應(yīng)急預(yù)案管理等控制點。要求制定信息平安工作的總體方針和平安策略，設(shè)立平安主管、平安管理各個方面的負(fù)責(zé)人崗位，健全各項平安管理的規(guī)章制度，對各類人員進(jìn)行不同層次要求的平安培訓(xùn)等，從而確保系統(tǒng)所設(shè)置的各種平安功能發(fā)揮其應(yīng)有的作用。三級根本要求：在二級根本要求的根底上，技術(shù)方面，在控制點上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴等。同時，對身份鑒別、訪問控制、平安審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進(jìn)一步的要求，如訪問控制增加了對重要信息資源設(shè)置敏感標(biāo)記等。管理方面，增加了系統(tǒng)備案、等級測評、監(jiān)控管理和平安管理中心等控制點，同時要求設(shè)置必要的平安管理職能部門，加強(qiáng)了平安管理制度的評審以及人員平安的管理，對系統(tǒng)建設(shè)過程加強(qiáng)了質(zhì)量管理。四級根本要求：在三級根本要求的根底上，技術(shù)方面，在控制點上增加了平安標(biāo)記、可信路徑，同時，對身份鑒別、訪問控制、平安審計、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進(jìn)一步的要求，如要求訪問控制的粒度應(yīng)到達(dá)主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表、記錄和字段級，建立異地災(zāi)難備份中心等，對局部功能進(jìn)行了限制〔如禁止撥號訪問控制〕。管理方面，沒有增加控制點，在平安管理制度制訂和發(fā)布、評審和修訂等某些管理要求上要求項增加，強(qiáng)度增強(qiáng)。具體從微觀來看，平安要求逐級增強(qiáng)主要表現(xiàn)在三個方面：控制點增加、同一控制點的要求項增加、同一要求項強(qiáng)度增強(qiáng)?？刂泣c增加控制點增加，說明對系統(tǒng)的關(guān)注點增加，因而平安要求的級別差異就表達(dá)出來。比擬突出的控制點增加，如，二級控制點增加了平安審計，三級控制點增加了剩余信息保護(hù)。每級系統(tǒng)在每一層面上控制點的分布見下表：表1?根本要求?控制點的分布平安要求類層面一級二級三級四級技術(shù)要求物理平安7101010網(wǎng)絡(luò)平安3677主機(jī)平安4679應(yīng)用平安47911數(shù)據(jù)平安及備份恢復(fù)2333管理要求平安管理制度2333平安管理機(jī)構(gòu)4555人員平安管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874二級在控制點上的增加較為顯著。要求項增加由于控制點是有限的，特別在高級別上，如三、四級平安要求〔兩者之間控制點的變化只有一處〕，單靠控制點增加來表達(dá)平安要求逐級增強(qiáng)的特點是很難的。必須將控制點之下的平安要求工程考慮其中。要求工程的增加，就可以很好的表達(dá)了逐級增強(qiáng)的特點。同一控制點，具體的平安工程數(shù)量增加，說明對該控制點的要求更細(xì)化，更嚴(yán)格，從而表現(xiàn)為該控制點的強(qiáng)度增強(qiáng)。如，對于控制點身份鑒別，在二級只要求標(biāo)識唯一性、鑒別信息復(fù)雜性以及登錄失敗處理等要求；而在三級，對該控制點增加了組合鑒別方式等。該控制點的強(qiáng)度得到增強(qiáng)。每級系統(tǒng)在每一層面上要求項的分布見下表：表2?根本要求?要求項在各層面的分布平安要求類層面一級二級三級四級技術(shù)要求物理平安9193233網(wǎng)絡(luò)平安9183332主機(jī)平安6193236應(yīng)用平安7193136數(shù)據(jù)平安及備份恢復(fù)24811管理要求平安管理制度371114平安管理機(jī)構(gòu)492020人員平安管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528可見，在二級與一級之間，三級與二級之間要求項的增加比擬顯著，尤其是三、二級之間，盡管控制點的增加不多，但在具體的控制點上增加了要求項，故整體的級差增強(qiáng)較顯著?？刂茝?qiáng)度增強(qiáng)同控制點類似，平安要求工程也不能無限制的增加，對于同一平安要求項〔這里的“同一〞，指的是要求的方面是相同的，而不是具體的要求內(nèi)容〕，如果在要求的力度上加強(qiáng)，同樣也能夠反映出級別的差異。平安工程強(qiáng)度的增強(qiáng)表現(xiàn)為：范圍增大：如，對主機(jī)系統(tǒng)平安的“平安審計〞，二級只要求“審計范圍應(yīng)覆蓋到效勞器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶〞；而三級那么在對象的范圍上發(fā)生了變化，為“審計范圍應(yīng)覆蓋到效勞器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；“。覆蓋范圍不再僅指效勞器，而是擴(kuò)大到效勞器和重要客戶終端了，說明了該要求項強(qiáng)度的增強(qiáng)。要求細(xì)化：如，人員平安管理中的“平安意識教育和培訓(xùn)〞，二級要求“應(yīng)制定平安教育和培訓(xùn)方案，對信息平安根底知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)；〞，而三級在對培訓(xùn)方案進(jìn)行了進(jìn)一步的細(xì)化并要求應(yīng)有書面文件，為“應(yīng)對定期平安教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)方案，對信息平安根底知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)〞，培訓(xùn)方案有了針對性，更符合各個崗位人員的實際需要。粒度細(xì)化：如，網(wǎng)絡(luò)平安中的“撥號訪問控制〞，一級要求“控制粒度為用戶組〞，而二級要求那么將控制粒度細(xì)化，為“控制粒度為單個用戶〞。由“用戶組〞到“單個用戶〞，粒度上的細(xì)化，同樣也增強(qiáng)了要求的強(qiáng)度?？梢姡桨惨蟮闹鸺壴鰪?qiáng)并不是無規(guī)律可循，而是按照“層層剝開〞的模式，由控制點的增加到要求項的增加，進(jìn)而是要求項的強(qiáng)度增強(qiáng)。三者綜合表達(dá)了不同等級的平安要求的級差。各級平安要求技術(shù)要求物理平安物理平安保護(hù)的目的主要是使存放計算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。物理平安是防護(hù)信息系統(tǒng)平安的最底層，缺乏物理平安，其他任何平安措施都是毫無意義的。物理平安主要涉及的方面包括環(huán)境平安〔防火、防水、防雷擊等〕設(shè)備和介質(zhì)的防盜竊防破壞等方面。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供給和電磁防護(hù)等十個控制點。不同等級的根本要求在物理平安方面所表達(dá)的不同如第3.1節(jié)所描述的一樣，在三個方面都有所表達(dá)。 一級物理平安要求：主要要求對物理環(huán)境進(jìn)行根本的防護(hù)，對出入進(jìn)行根本控制，環(huán)境平安能夠?qū)ψ匀煌{進(jìn)行根本的防護(hù)，電力那么要求提供供電電壓的正常。 二級物理平安要求：對物理平安進(jìn)行了進(jìn)一步的防護(hù)，不僅對出入進(jìn)行根本的控制，對進(jìn)入后的活動也要進(jìn)行控制；物理環(huán)境方面，那么加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來多方面進(jìn)行防護(hù)。 三級物理平安要求：對出入加強(qiáng)了控制，做到人、電子設(shè)備共同監(jiān)控；物理環(huán)境方面，進(jìn)一步采取各種控制措施來進(jìn)行防護(hù)。如，防火要求，不僅要求自動消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。 四級物理平安要求：對機(jī)房出入的要求進(jìn)一步增強(qiáng)，要求多道電子設(shè)備監(jiān)控；物理環(huán)境方面，要求采用一定的防護(hù)設(shè)備進(jìn)行防護(hù)，如靜電消除裝置等。下表說明了物理平安在控制點上逐級變化的特點：表3物理平安層面控制點的逐級變化控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供給****電磁防護(hù)***合計7101010 注：*代表此類控制點在該級物理平安中有要求，空格那么表示無此類要求。〔以下同〕另外兩個特點〔要求項增加和要求項強(qiáng)度增強(qiáng)〕將在以下控制點描述時具體展開。物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運行環(huán)境時進(jìn)行考慮。物理位置的正確選擇是保證系統(tǒng)能夠在平安的物理環(huán)境中運行的前提，它在一定程度上決定了面臨的自然災(zāi)難以及可能的環(huán)境威脅。譬如，在我國南方地區(qū)，夏季多雨水，雷擊和洪災(zāi)的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會遭受這類的威脅。如果沒有正確的選擇物理位置，必然會造成后期為保護(hù)物理環(huán)境而投入大量資金、設(shè)備，甚至無法彌補(bǔ)。因此，物理位置選擇必須考慮周遭的整體環(huán)境以及具體樓宇的物理位置是否能夠為信息系統(tǒng)的運行提供物理上的根本保證。該控制點在不同級別主要表現(xiàn)為：一級：無此方面要求。二級：要求選擇時主要考慮建筑物具有根本防護(hù)自然條件的能力。三級：除二級要求外，對建筑物的樓層以及周圍環(huán)境也提出了要求。四級：與三級要求相同。具體見下表4：要求項一級二級三級四級工程N(yùn)/Aa)a)—b)a)—b)合計0122物理訪問控制物理訪問控制主要是對內(nèi)部授權(quán)人員和臨時外部外部人員進(jìn)出系統(tǒng)主要物理工作環(huán)境進(jìn)行人員控制。對進(jìn)出口進(jìn)行控制，是防護(hù)物理平安的第一道關(guān)口，也是防止外部非授權(quán)人員對系統(tǒng)進(jìn)行本地惡意操作的重要防護(hù)措施。該控制點在不同級別主要表現(xiàn)為：一級：要求對進(jìn)出機(jī)房時進(jìn)行根本的出入控制。二級：除一級要求外，對人員進(jìn)入機(jī)房后的活動也應(yīng)進(jìn)行控制。三級：除二級要求外，加強(qiáng)了對進(jìn)出機(jī)房時的控制手段，做到人員和電子設(shè)備共同控制，并對機(jī)房分區(qū)域管理。四級：除三級要求外，進(jìn)一步強(qiáng)化了進(jìn)出機(jī)房的控制，要求兩道電子設(shè)備監(jiān)控。具體見下表5： 要求項一級二級三級四級工程a)a)—b)a)—d)a)—d)*合計1244+ 注：“*〞代表該要求項同上級相比，在強(qiáng)度上增強(qiáng)，“+〞代表此級的要求項在強(qiáng)度上較上一級增強(qiáng)〔以下同〕。其中，四級要求項較三級在強(qiáng)度上有所增強(qiáng)，即，由三級的一道電子門禁系統(tǒng)增強(qiáng)為四級的兩道電子門禁系統(tǒng)。因此，三級、四級雖在要求工程數(shù)量上是相同的〔同為4項〕，但四級的要求項在強(qiáng)度上得到了增強(qiáng)，為4+。防盜竊和防破壞該控制點主要考慮了系統(tǒng)運行的設(shè)備、介質(zhì)以及通信線纜的平安性。物理訪問控制主要側(cè)重在進(jìn)出口，這在一定程度上防止了設(shè)備的被盜，但在機(jī)房內(nèi)部，該控制點那么無法提供保護(hù)。因此，防盜竊和防破壞控制點主要側(cè)重在機(jī)房內(nèi)部對設(shè)備、介質(zhì)和通信線纜進(jìn)行此方面的保護(hù)。該控制點在不同級別主要表現(xiàn)為：一級：主要從設(shè)備的存放位置和設(shè)備本身兩方面考慮。二級：不僅考慮了設(shè)備、還考慮通信線纜和介質(zhì)及主機(jī)房的防盜報警方面的防護(hù)要求。三級：除二級要求外，主要加強(qiáng)了機(jī)房內(nèi)的監(jiān)控報警要求。四級：與三級要求相同。具體見下表6：要求項一級二級三級四級工程a)－b)a)－e)a)－e)*f)a)－f)合計256+6其中，在三級，e〕項相對于二級的e〕項在強(qiáng)度上增強(qiáng)，即，明確強(qiáng)調(diào)了采用光電等控制裝置監(jiān)控機(jī)房內(nèi)情況。防雷擊該控制點主要考慮采取措施防止雷電對電流、進(jìn)而設(shè)備造成的不利影響，從而引起巨大的經(jīng)濟(jì)損失。雷電對設(shè)備的破壞主要有兩類：直擊雷破壞，即雷電直擊在建筑物或設(shè)備上，使其發(fā)熱燃燒和機(jī)械劈裂破壞；另一類是感應(yīng)雷破壞，即雷電的第二次作用，強(qiáng)大的雷電磁場產(chǎn)生的電磁效應(yīng)和靜電效應(yīng)使金屬構(gòu)件產(chǎn)生高至數(shù)十萬伏的電壓。目前，大多數(shù)建筑物都設(shè)有防直擊雷的措施－避雷裝置，因此，防雷擊主要集中在防感應(yīng)雷。該控制點在不同級別主要表現(xiàn)為：一級：主要考慮建筑防雷。二級：除一級要求外，增加了接地防感應(yīng)雷措施。三級：除二級要求外，增加了具體設(shè)備防感應(yīng)雷措施。四級：與三級要求相同。具體見下表7：要求項一級二級三級四級工程a)a)－b)a)－c)a)－c)合計1233防火該控制點主要考慮采取各種措施防止火災(zāi)的發(fā)生以及發(fā)生后能夠及時滅火。分別從設(shè)備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。該控制點在不同級別主要表現(xiàn)為：一級：主要要求根本的設(shè)備滅火。二級：除一級要求外，要求能夠自動報警火災(zāi)發(fā)生。三級：除二級要求外，增加了從建筑材料、區(qū)域隔離等方面考慮的防火措施。四級：與三級要求相同。具體見下表8：要求項一級二級三級四級工程a)a)*a)*b)－c)a)b)－c)合計11+3+3其中，在二級，雖然要求仍是采取設(shè)備滅火，但設(shè)備的功能性要求增強(qiáng)，即，能夠自動報警，仍然對于a〕項，在三級進(jìn)一步得到增強(qiáng)，要求設(shè)備能夠自動檢測、報警和滅火。因此，二級和三級都分別為a)*。防水和防潮該控制點主要是考慮防止室內(nèi)由于各種原因的積水、水霧或濕度太高造成設(shè)備運行異常。同時，也是控制室內(nèi)濕度的較好措施。該控制點在不同級別主要表現(xiàn)為：一級：主要從室內(nèi)水管、墻壁、屋頂?shù)确矫婵紤]防水防潮。二級：除一級要求外，增加了防止室內(nèi)水蒸汽和地下水的考慮，并禁止機(jī)房內(nèi)有水管通過。三級：除二級要求外，增加了對室內(nèi)的防水檢測報警要求。四級：與三級相同。具體見下表9：要求項一級二級三級四級工程a)－b〕a)*—c〕a)—d〕a)—d〕合計23+44其中，在二級，水管安裝要求不得穿過機(jī)房屋頂和活動地板下，去掉了在一級要求穿過機(jī)房的水管使用套管的要求，所以對于a〕項，增強(qiáng)了要求，為a)*。防靜電該控制點主要考慮在物理環(huán)境里，盡量防止產(chǎn)生靜電，以防止靜電對設(shè)備、人員造成的傷害。大量靜電如果積聚在設(shè)備上，會導(dǎo)致磁盤讀寫錯誤、損壞磁頭、對CMOS靜電電路也會造成極大威脅。由于靜電放電對電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應(yīng)的累加，最終造成設(shè)備的嚴(yán)重?fù)p壞。防靜電措施包括最根本的接地、到防靜電地板、設(shè)備防靜電等方面。當(dāng)然，對室內(nèi)溫濕度的控制，也是防止靜電產(chǎn)生的較好措施〔具體將在以下介紹〕。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求根本的接地防靜電措施。三級：除二級要求外，對地板材料做出了防靜電要求。四級：除三級要求外，要求采用專門設(shè)置防靜電裝置。具體見下表10：要求項一級二級三級四級工程N(yùn)/Aa)a)*—b〕a)*—c〕合計012+3+其中，在二級，要求“關(guān)鍵設(shè)備“接地防靜電，三級，要求“主要設(shè)備〞，四級要求“設(shè)備〞，所以對于a〕項，在三級和四級都增強(qiáng)了要求，都為a)*。溫濕度控制機(jī)房內(nèi)的各種設(shè)備必須在一定的溫度、濕度范圍內(nèi)才能正常運行。溫、濕度過高或過低都會對設(shè)備產(chǎn)生不利影響。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會在天花板、墻面以及設(shè)備外表形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問題。低于40％的低濕度增加了靜電產(chǎn)生的危害。溫度控制在20攝氏度左右是設(shè)備正常工作的良好溫度條件。該控制點在不同級別主要表現(xiàn)為：一級：要求做到根本的溫濕度控制。二級：在一級根底上，要求溫濕度控制的力度做到自動調(diào)控。三級：與二級要求相同。四級：與三級要求相同。具體見下表11：要求項一級二級三級四級工程a)a)*a)a)合計11+11其中，對二級要求溫濕度能夠自動調(diào)節(jié)，因此a)應(yīng)為a)*。電力供給穩(wěn)定、充足的電力供給是維持系統(tǒng)持續(xù)正常工作的重要條件。許多因素威脅到電力系統(tǒng)，最常見的是電力波動。電力波動對一些精密的電子配件會造成嚴(yán)重的物理損害。應(yīng)控制電力在10％以內(nèi)的波動范圍。采用穩(wěn)壓器和過電壓保護(hù)裝置是很好的控制電力波動的措施。保證充足短期電力供給措施是可配備不間斷電源〔UPS〕，重要系統(tǒng)可配備備份供電系統(tǒng)，以備不時之需。該控制點在不同級別主要表現(xiàn)為：一級：要求能夠提供穩(wěn)定的電壓供給。二級：除一級要求外，要求能夠提供短期的電力供給。三級：除二級要求外，加強(qiáng)電力供給保障，能夠長時間供電和備用供電線路。四級：除三級要求外，短期備用供電范圍增大。具體見下表12：要求項一級二級三級四級工程a)a)－b〕a)b)*—d〕a)b)*—d〕合計124+4+其中，短期供電設(shè)備在二級中要求滿足的是“關(guān)鍵設(shè)備〞，三級要求“主要設(shè)備〞，四級要求“設(shè)備〞，滿足的范圍逐漸增大，因此，第三級和第四級的b都是b)*。電磁防護(hù)現(xiàn)代通信技術(shù)是建立在電磁信號傳播的根底上，而空間電磁場的開放特性決定了電磁泄漏是危及系統(tǒng)平安性的一個重要因素，電磁防護(hù)主要是提供對信息系統(tǒng)設(shè)備的電磁信號進(jìn)行保護(hù)，確保用戶信息在使用和傳輸過程中的平安性。電磁防護(hù)手段從線纜物理距離上隔離、設(shè)備接地、到設(shè)備的電磁屏蔽等方面。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求具有根本的電磁防護(hù)能力，如線纜隔離。三級：除二級要求外，增強(qiáng)了防護(hù)能力，要求設(shè)備接地并能夠做到局部電磁屏蔽。四級：在三級要求的根底上，要求屏蔽范圍擴(kuò)展到機(jī)房關(guān)鍵區(qū)域。具體見下表13：要求項一級二級三級四級工程N(yùn)/Aa)a)—c〕a)—c〕*合計0133+其中，在第三級對關(guān)鍵設(shè)備和磁介質(zhì)實施電磁屏蔽的根底上，要求對關(guān)鍵區(qū)域?qū)嵤╇姶牌帘危秶黾恿?，因此c)為c)*。網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的平安運行提供支持。一方面，確保網(wǎng)絡(luò)設(shè)備的平安運行，提供有效的網(wǎng)絡(luò)效勞，另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。對網(wǎng)絡(luò)平安的保護(hù)，主要關(guān)注兩個方面：共享和平安。開放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動、共享，但同時也翻開了“罪惡〞的大門。因此，必須在二者之間尋找恰當(dāng)?shù)钠胶恻c，使得在盡可能平安的情況下實現(xiàn)最大程度的資源共享，這是我們實現(xiàn)網(wǎng)絡(luò)平安的理想目標(biāo)。 網(wǎng)絡(luò)平安主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身平安等，具體的控制點包括：結(jié)構(gòu)平安、訪問控制、平安審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點。 不同等級的根本要求在網(wǎng)絡(luò)平安方面所表達(dá)的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達(dá)。 一級網(wǎng)絡(luò)平安要求：主要提供網(wǎng)絡(luò)平安運行的根本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠根本滿足業(yè)務(wù)運行需要，網(wǎng)絡(luò)邊界處對進(jìn)出的數(shù)據(jù)包頭進(jìn)行根本過濾等訪問控制措施。 二級網(wǎng)絡(luò)平安要求：不僅要滿足網(wǎng)絡(luò)平安運行的根本保障，同時還要考慮網(wǎng)絡(luò)處理能力要滿足業(yè)務(wù)極限時的需要。對網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強(qiáng)。同時，加強(qiáng)了網(wǎng)絡(luò)邊界的防護(hù)，增加了平安審計、邊界完整性檢查、入侵防范等控制點。對網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單的身份鑒別，同時對標(biāo)識和鑒別信息都有了相應(yīng)的要求。 三級網(wǎng)絡(luò)平安要求：對網(wǎng)絡(luò)處理能力增加了“優(yōu)先級〞考慮，保證重要主機(jī)能夠在網(wǎng)絡(luò)擁堵時仍能夠正常運行；網(wǎng)絡(luò)邊界的訪問控制擴(kuò)展到應(yīng)用層，網(wǎng)絡(luò)邊界的其他防護(hù)措施進(jìn)一步增強(qiáng)，不僅能夠被動的“防〞，還應(yīng)能夠主動發(fā)出一些動作，如報警、阻斷等。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。 四級網(wǎng)絡(luò)平安要求：對網(wǎng)絡(luò)邊界的訪問控制做出了更為嚴(yán)格的要求，禁止遠(yuǎn)程撥號訪問，不允許數(shù)據(jù)帶通用協(xié)議通過；邊界的其他防護(hù)措施也加強(qiáng)了要求。網(wǎng)絡(luò)平安審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)，在身份鑒別手段上除要求兩種技術(shù)外，其中一種鑒別技術(shù)必須是不可偽造的，進(jìn)一步加強(qiáng)了對網(wǎng)絡(luò)設(shè)備的防護(hù)。 下表說明了網(wǎng)絡(luò)平安在控制點逐級變化的特點：表14網(wǎng)絡(luò)平安層面控制點的逐級變化控制點一級二級三級四級結(jié)構(gòu)平安****訪問控制****平安審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計3677 另外兩個特點〔要求項增加和要求項強(qiáng)度增強(qiáng)〕將在以下控制點描述時具體展開。結(jié)構(gòu)平安 在對網(wǎng)絡(luò)平安實現(xiàn)全方位保護(hù)之前，首先應(yīng)關(guān)注整個網(wǎng)絡(luò)的資源分布、架構(gòu)是否合理。只有結(jié)構(gòu)平安了，才能在其上實現(xiàn)各種技術(shù)功能，到達(dá)網(wǎng)絡(luò)平安保護(hù)的目的。通常，一個機(jī)構(gòu)是由多個業(yè)務(wù)部門組成，各部門的地位、重要性不同，部門所要處理的信息重要性也不同，因此，需要對整個網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分。 該控制點主要從網(wǎng)段劃分、資源〔帶寬、處理能力〕保證、優(yōu)先處理等方面來要求。其在不同級別主要表現(xiàn)為： 一級：要求網(wǎng)絡(luò)資源方面能夠為網(wǎng)絡(luò)的正常運行提供根本的保障。 二級：在一級要求的根底上，要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)頂峰的需要，同時應(yīng)以網(wǎng)段形式分隔不同部門的系統(tǒng)。 三級：除二級要求外，增加了“處理優(yōu)先級〞考慮，以保證重要主機(jī)能夠正常運行。 四級：與三級要求根本相同。 具體見下表15：要求項一級二級三級四級工程a)－c)a)*b)*-d)a)*b)*c)*—g)a)*—g)合計34+7+7+ 在二級，a)b)控制點在網(wǎng)絡(luò)資源〔設(shè)備處理能力、帶寬〕加強(qiáng)了力度，不僅要求滿足根本的業(yè)務(wù)需要，更應(yīng)滿足業(yè)務(wù)頂峰時的網(wǎng)絡(luò)正常運行。因此，a)b)項在強(qiáng)度上都有所增強(qiáng)。在三級，a)b)控制點在第二級要求的“關(guān)鍵網(wǎng)絡(luò)設(shè)備〞、“接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)〞的根底上在網(wǎng)絡(luò)范圍上增加了，要求“〞主要網(wǎng)絡(luò)設(shè)備“、“網(wǎng)絡(luò)各個局部的帶寬〞，因此，a)b)項在強(qiáng)度上都有所增強(qiáng)。在四級，a)控制點在三級要求的根底上，要求“網(wǎng)絡(luò)設(shè)備〞，范圍上又增加了要求，因此，a)項在強(qiáng)度上有所增強(qiáng)。訪問控制 對于網(wǎng)絡(luò)而言，最重要的一道平安防線就是邊界，邊界上會聚了所有流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)流，必須對其進(jìn)行有效的監(jiān)視和控制。所謂邊界即是采用不同平安策略的兩個網(wǎng)絡(luò)連接處，比方用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。有連接，必有數(shù)據(jù)間的流動，因此在邊界處，重要的就是對流經(jīng)的數(shù)據(jù)〔或者稱進(jìn)出網(wǎng)絡(luò)〕進(jìn)行嚴(yán)格的訪問控制。按照一定的規(guī)那么允許或拒絕數(shù)據(jù)的流入、流出。如果說，網(wǎng)絡(luò)訪問控制是從數(shù)據(jù)的角度對網(wǎng)絡(luò)中流動的數(shù)據(jù)進(jìn)行控制，那么，撥號訪問控制那么是從用戶的角度對遠(yuǎn)程訪問網(wǎng)絡(luò)的用戶進(jìn)行控制。對用戶的訪問控制，同樣應(yīng)按照一定的控制規(guī)那么來允許或拒絕用戶的訪問。 該控制點在不同級別主要表現(xiàn)為： 一級：主要在網(wǎng)絡(luò)邊界處對經(jīng)過的數(shù)據(jù)進(jìn)行包頭信息的過濾，以控制數(shù)據(jù)的進(jìn)出網(wǎng)絡(luò)，對用戶進(jìn)行根本的訪問控制。 二級：在一級要求的根底上，對數(shù)據(jù)的過濾增強(qiáng)為根據(jù)會話信息進(jìn)行過濾，對用戶訪問粒度進(jìn)一步細(xì)化，由用戶組到單個用戶，同時限制撥號訪問的用戶數(shù)量。 三級：在二級要求的根底上，將過濾的力度擴(kuò)展到應(yīng)用層，即根據(jù)應(yīng)用的不同而過濾，對設(shè)備接入網(wǎng)絡(luò)進(jìn)行了一定的限制。 四級：對數(shù)據(jù)本身所帶的協(xié)議進(jìn)行了禁止，同時根據(jù)數(shù)據(jù)的敏感標(biāo)記允許或拒絕數(shù)據(jù)通過，并禁止遠(yuǎn)程撥號訪問。 具體見下表16：要求項一級二級三級四級工程a)b)c)a)b)c)*-d)a)b)*—h)a)—d)合計34+8+4 二級與一級相比，在對數(shù)據(jù)的過濾上由一級包頭信息過濾增強(qiáng)為對會話信息的過濾，過濾的粒度增強(qiáng)，使得網(wǎng)絡(luò)訪問控制的強(qiáng)度增強(qiáng)。另外，在四級，該控制點的要求項較三級減少，原因是在四級做出了更高的要求，禁止數(shù)據(jù)帶任何協(xié)議流經(jīng)網(wǎng)絡(luò)，這樣在很大程度上縮減了其他要求。對用戶訪問粒度的變化〔由用戶組到單個用戶〕是該要求項的主要特點。其次，隨著級別的增加，對撥號用戶的數(shù)量有了一定的限制，到四級那么是禁止用戶撥號訪問，因此，在四級，雖要求項減少，但強(qiáng)度已達(dá)最高。平安審計 如果將平安審計僅僅理解為“日志記錄〞功能，那么目前大多數(shù)的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備都有不同程度的日志功能。但是實際上僅這些日志根本不能保障系統(tǒng)的平安，也無法滿足事后的追蹤取證。平安審計并非日志功能的簡單改良，也并非等同于入侵檢測。 網(wǎng)絡(luò)平安審計重點包括的方面：對網(wǎng)絡(luò)流量監(jiān)測以及對異常流量的識別和報警、網(wǎng)絡(luò)設(shè)備運行情況的監(jiān)測等。通過對以上方面的記錄分析，形成報表，并在一定情況下發(fā)出報警、阻斷等動作。其次，對平安審計記錄的管理也是其中的一方面。由于各個網(wǎng)絡(luò)產(chǎn)品產(chǎn)生的平安事件記錄格式也不統(tǒng)一，難以進(jìn)行綜合分析，因此，集中審計已成為網(wǎng)絡(luò)平安審計開展的必然趨勢。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：要求對網(wǎng)絡(luò)設(shè)備運行、網(wǎng)絡(luò)流量等根本情況進(jìn)行記錄。 三級：除二級要求外，要求對形成的記錄能夠分析、形成報表。同時對審計記錄提出了保護(hù)要求。 四級：除三級要求外，要求設(shè)置審計跟蹤極限閾值，并做到集中審計。 具體見下表17：要求項一級二級三級四級工程N(yùn)/Aa)b〕a)—d)a)－f〕合計0246邊界完整性檢查 雖然網(wǎng)絡(luò)采取了防火墻、IDS等有效的技術(shù)手段對邊界進(jìn)行了防護(hù)，但如果內(nèi)網(wǎng)用戶在邊界處通過其他手段接入內(nèi)網(wǎng)〔如無線網(wǎng)卡、雙網(wǎng)卡、modem撥號上網(wǎng)〕，這些邊界防御那么形同虛設(shè)。因此，必須在全網(wǎng)中對網(wǎng)絡(luò)的連接狀態(tài)進(jìn)行監(jiān)控，準(zhǔn)確定位并能及時報警和阻斷。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：能夠檢測到內(nèi)部的非法聯(lián)出情況。 三級：在二級的根底上，能檢測到非授權(quán)設(shè)備私自外聯(lián)，而且能夠準(zhǔn)確定位并阻斷。 四級：與三級要求相同。 具體見下表18：要求項一級二級三級四級工程N(yùn)/Aa)a)—b)*a)－b〕合計012+2在三級，b)項是二級中的增強(qiáng)項，要求不但能夠檢測到，而且能夠準(zhǔn)確定位并阻斷。入侵防范 網(wǎng)絡(luò)訪問控制在網(wǎng)絡(luò)平安中起到大門警衛(wèi)的作用，對進(jìn)出的數(shù)據(jù)進(jìn)行規(guī)那么匹配，是網(wǎng)絡(luò)平安的第一道閘門。但其也有局限性，它只能對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件那么無能為力?；诰W(wǎng)絡(luò)的入侵檢測，被認(rèn)為是防火墻之后的第二道平安閘門，它主要是監(jiān)視所在網(wǎng)段內(nèi)的各種數(shù)據(jù)包，對每一個數(shù)據(jù)包或可疑數(shù)據(jù)包進(jìn)行分析，如果數(shù)據(jù)包與內(nèi)置的規(guī)那么吻合，入侵檢測系統(tǒng)就會記錄事件的各種信息，并發(fā)出警報。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：能夠檢測常見攻擊的發(fā)生。 三級：在二級要求的根底上，不僅能夠檢測，并能發(fā)出報警。 四級：在三級要求的根底上，防范能力增強(qiáng)，做到檢測、報警并自動采取相應(yīng)動作阻斷等。 具體見下表19：要求項一級二級三級四級工程N(yùn)/Aa)a)—b)a)－b)*合計0122+ 四級要求較三級，在強(qiáng)度上增強(qiáng)，當(dāng)檢測到入侵事件時，不僅要求能夠發(fā)出報警，并能夠自動采取相應(yīng)動作，這對入侵檢測系統(tǒng)的要求就比擬高。惡意代碼防范 目前，對惡意代碼的防范已是全方位、立體防護(hù)的概念。根據(jù)對惡意代碼引入的源頭進(jìn)行分析，可以得出，隨著互聯(lián)網(wǎng)的不斷開展，從網(wǎng)絡(luò)上引入到本地的惡意代碼占絕大多數(shù)。因此，在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行防范是整個防范工作的重點。部署了相應(yīng)的網(wǎng)絡(luò)防病毒產(chǎn)品后，并不代表“萬事大吉〞了，根據(jù)統(tǒng)計，平均每個月有300種新的病毒被發(fā)現(xiàn)，如果產(chǎn)品惡意代碼庫跟不上這一速度，其實際檢測效率可能會大大降低，因此，必須及時地、自動更新產(chǎn)品中的惡意代碼定義。這種更新必須非常頻繁，且對用戶透明。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：無此要求。 三級：要求能夠在網(wǎng)絡(luò)邊界處防范惡意代碼，并保持代碼庫的及時更新。 四級：與三級要求相同。 具體見下表20：要求項一級二級三級四級工程N(yùn)/AN/Aa)－b〕a)－b〕合計0022網(wǎng)絡(luò)設(shè)備防護(hù) 對網(wǎng)絡(luò)平安的防護(hù)，除了對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界部署相應(yīng)的平安措施外，另外一個重要的方面就是對實現(xiàn)這些控制要求的網(wǎng)絡(luò)設(shè)備的保護(hù)。通過登錄網(wǎng)絡(luò)設(shè)備對各種參數(shù)進(jìn)行配置、修改等，都直接影響網(wǎng)絡(luò)平安功能的發(fā)揮。因此，網(wǎng)絡(luò)設(shè)備的防護(hù)主要是對用戶登錄前后的行為進(jìn)行控制。 該控制點在不同級別主要表現(xiàn)為： 一級：對網(wǎng)絡(luò)設(shè)備要求根本的登錄鑒別措施。 二級：對登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識唯一、鑒別信息復(fù)雜等要求。 三級：在二級要求的根底上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別，同時提 出了特權(quán)用戶權(quán)限別離。 四級：在三級要求的根底上，要求其中一種鑒別技術(shù)為是不可偽造的。 具體見下表21：要求項一級二級三級四級工程a)－c)a)－f〕a)－h(huán)〕a)－i〕合計3689主機(jī)平安主機(jī)系統(tǒng)平安是包括效勞器、終端/工作站等在內(nèi)的計算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的平安。終端/工作站是帶外設(shè)的臺式機(jī)與筆記本計算機(jī)，效勞器那么包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等效勞器。主機(jī)系統(tǒng)是構(gòu)成信息系統(tǒng)的主要局部，其上承載著各種應(yīng)用。因此，主機(jī)系統(tǒng)平安是保護(hù)信息系統(tǒng)平安的中堅力量。主機(jī)系統(tǒng)平安涉及的控制點包括：身份鑒別、平安標(biāo)記、訪問控制、可信路徑、平安審計、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個控制點。不同等級的根本要求在主機(jī)系統(tǒng)平安方面所表達(dá)的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達(dá)。一級主機(jī)系統(tǒng)平安要求：對主機(jī)進(jìn)行根本的防護(hù)，要求主機(jī)做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機(jī)能夠進(jìn)行惡意代碼防范。二級主機(jī)系統(tǒng)平安要求：在控制點上增加了平安審計和資源控制等。同時，對身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識、信息等都提出了具體的要求；訪問控制的粒度進(jìn)行了細(xì)化等，惡意代碼增加了統(tǒng)一管理等。三級主機(jī)系統(tǒng)平安要求：在控制點上增加了剩余信息保護(hù)，即，訪問控制增加了設(shè)置敏感標(biāo)記等，力度變強(qiáng)。同樣，身份鑒別的力度進(jìn)一步增強(qiáng)，要求兩種以上鑒別技術(shù)同時使用。平安審計已不滿足于對平安事件的記錄，而要進(jìn)行分析、生成報表。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補(bǔ)充。對資源控制的增加了對效勞器的監(jiān)視和最小效勞水平的監(jiān)測和報警等。四級主機(jī)系統(tǒng)平安要求：在控制點上增加了平安標(biāo)記和可信路徑，其他控制點在強(qiáng)度上也分別增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求局部按照強(qiáng)制訪問控制的力度實現(xiàn)，平安審計能夠做到統(tǒng)一集中審計等。下表說明了主機(jī)系統(tǒng)平安在控制點上逐級變化的特點：表22主機(jī)系統(tǒng)平安層面控制點的逐級變化控制點一級二級三級四級身份鑒別****平安標(biāo)記*訪問控制****可信路徑*平安審計***剩余信息保護(hù)**入侵防范****惡意代碼防范****資源控制***合計4679另外兩個特點〔要求項增加和要求項強(qiáng)度增強(qiáng)〕將在以下控制點描述時具體展開。身份鑒別為確保系統(tǒng)的平安，必須對系統(tǒng)中的每一用戶或與之相連的效勞器或終端設(shè)備進(jìn)行有效的標(biāo)識與鑒別，只有通過鑒別的用戶才能被賦予相應(yīng)的權(quán)限，進(jìn)入系統(tǒng)并在規(guī)定的權(quán)限內(nèi)操作。該控制點在不同級別主要表現(xiàn)為：一級：主要強(qiáng)調(diào)了該功能的使能性，即，能夠進(jìn)行簡單的身份鑒別。二級：在一級要求的根底上，對登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識唯一、鑒別信息復(fù)雜等要求。三級：在二級要求的根底上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別。四級：在三級要求的根底上，要求其中一種鑒別技術(shù)為是不可偽造的，同時增加了設(shè)置鑒別警示信息的要求。具體見下表23：要求項一級二級三級四級工程a)a)－e)a)—f)a)—g)*合計1568+其中，四級中g(shù))是在三級的根底上要求其中一種鑒別技術(shù)為是不可偽造的，所以是增強(qiáng)要求。平安標(biāo)記在主機(jī)系統(tǒng)層面，在高級別系統(tǒng)中要實現(xiàn)強(qiáng)度較強(qiáng)的訪問控制必須要增加平安標(biāo)記，通過對主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，權(quán)限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求對所有主體和客體設(shè)置敏感標(biāo)記。具體見下表24：要求項一級二級三級四級工程N(yùn)/AN/AN/Aa)合計0001訪問控制在系統(tǒng)中實施訪問控制是為了保證系統(tǒng)資源〔操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)〕受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不得越權(quán)訪問。該控制點在不同級別主要表現(xiàn)為：一級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗。二級：在一級要求的根底上，實現(xiàn)不同系統(tǒng)用戶的權(quán)限別離。三級：除二級要求外，強(qiáng)調(diào)了最小授權(quán)原那么，使得用戶的權(quán)限最小化，同時要求對重要信息資源設(shè)置敏感標(biāo)記。四級：除三級要求外，增加了強(qiáng)制訪問控制的局部功能，要求依據(jù)平安策略和所有主體和客體設(shè)置的敏感標(biāo)記控制主體對客體的訪問訪問，同時增強(qiáng)了控制粒度，到達(dá)主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表、記錄和字段級。具體見下表25：要求項一級二級三級四級工程a)－c)a)-d)a)—g)a)*—f)合計3476+其中，在四級，去掉了三級中的f)和g)同時對a)要求依據(jù)平安策略和所有主體和客體設(shè)置的敏感標(biāo)記控制主體對客體的訪問訪問，增強(qiáng)了要求，所以是a)*，同時在四級中增加了b)，主要是增強(qiáng)了控制粒度，所以盡管四級的要求項減少了，但實際要求增強(qiáng)了。可信路徑在計算機(jī)系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過應(yīng)用層作為接口進(jìn)行會話。但由于應(yīng)用層并不是能完全信任的，因此在系統(tǒng)的平安功能中，提出了“可信路徑〞這一概念〔也是桔皮書B2級的平安要求〕。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求在用戶進(jìn)行身份鑒別和訪問時，提供用戶與系統(tǒng)之間可信的平安通信路徑。具體見下表26：要求項一級二級三級四級工程N(yùn)/AN/AN/Aa)–b)合計0002平安審計同網(wǎng)絡(luò)平安審計相似，對主機(jī)進(jìn)行平安審計，目的是為了保持對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。主機(jī)平安審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對用戶行為、系統(tǒng)異常情況等根本情況進(jìn)行審計、記錄，審計范圍僅覆蓋效勞器用戶。三級：除二級要求外，要求對形成的記錄能夠分析、生成報表。同時對審計記錄提出了保護(hù)要求。另外，審計覆蓋范圍擴(kuò)大，由二級的效勞器擴(kuò)展到客戶端。四級：除三級要求外，要求做到集中審計。具體見下表27：要求項一級二級三級四級工程N(yùn)/Aa)－d)a)*—f)a)—g)合計046+7其中，三級中的審計覆蓋的范圍由二級的效勞器到效勞器和客戶端的數(shù)據(jù)庫和操作系統(tǒng)用戶，審計的力度增強(qiáng)，所以是a)*。剩余信息保護(hù)為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，操作系統(tǒng)應(yīng)對這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，操作系統(tǒng)將其完全去除之后，才釋放或重新分配給其他用戶。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求對存放鑒別信息、文件、記錄等存儲空間進(jìn)行重新使用前的去除。四級：與三級要求相同。具體見下表28：要求項一級二級三級四級工程N(yùn)/AN/Aa)－b)a)－b)合計0022入侵防范由于基于網(wǎng)絡(luò)的入侵檢測只是在被監(jiān)測的網(wǎng)段內(nèi)對網(wǎng)絡(luò)非授權(quán)的訪問、使用等情況進(jìn)行防范，它無法防范網(wǎng)絡(luò)內(nèi)單臺主機(jī)、效勞器等被攻擊的情況?；谥鳈C(jī)的入侵檢測，可以說是基于網(wǎng)絡(luò)的“補(bǔ)充〞，補(bǔ)充檢測那些出現(xiàn)在“授權(quán)〞的數(shù)據(jù)流或其他遺漏的數(shù)據(jù)流中的入侵行為。該控制點在不同級別主要表現(xiàn)為：一級：根本的防范要求，要求安裝應(yīng)遵循最小授權(quán)原那么，并及時更新。二級：在一級的根底上要求設(shè)置升級效勞器方式及時更新。三級：在二級的根底上，增加對入侵行為進(jìn)行記錄和檢測，并能夠采取報警等措施；對重要程序完整性進(jìn)行檢測并恢復(fù)。四級：同三級要求。具體見下表29：要求項一級二級三級四級工程a)a)*a)－c)a)－c)合計11+33惡意代碼防范惡意代碼一般通過兩種方式造成各種破壞，一種是通過網(wǎng)絡(luò)，另外一種就是通過主機(jī)。網(wǎng)絡(luò)邊界處的惡意代碼防范可以說是防范工作的“第一道門檻〞，然而，如果惡意代碼通過網(wǎng)絡(luò)進(jìn)行蔓延，那么直接后果就是造成網(wǎng)絡(luò)內(nèi)的主機(jī)感染，所以說，網(wǎng)關(guān)處的惡意代碼防范并不是“一勞永逸〞。另外，通過各種移動存儲設(shè)備的接入主機(jī)，也可能造成該主機(jī)感染病毒，而后通過網(wǎng)絡(luò)感染其他主機(jī)。所以說，這兩種方式是交叉發(fā)生的，必須在兩處同時進(jìn)行防范，才能盡可能的保證平安。該控制點在不同級別主要表現(xiàn)為：一級：重要主機(jī)應(yīng)安裝一定的防范產(chǎn)品。二級：在一級要求的根底上，要求對惡意代碼進(jìn)行統(tǒng)一管理。三級：除二級要求外，要求主機(jī)與網(wǎng)絡(luò)處的防范產(chǎn)品不同。四級：與三級要求相同。具體見下表30：要求項一級二級三級四級工程a〕a)－b〕a)－c)a)－c)合計1233由于不同產(chǎn)商的惡意代碼防范產(chǎn)品在惡意代碼庫的定義以及升級時機(jī)上都有所不同，因此，如果主機(jī)和網(wǎng)絡(luò)的防范產(chǎn)品出于不同廠家，那么二者相互補(bǔ)充，在防范水平上會較同樣一種產(chǎn)品防范兩處要高。因此，在三級要求系統(tǒng)能夠采取兩種產(chǎn)品防范的要求。由于信息系統(tǒng)具有網(wǎng)絡(luò)層次多、節(jié)點多、覆蓋地域廣等特點，各部門對計算機(jī)的使用和維護(hù)水平也不盡相同，這些均要求防惡意代碼軟件能夠提供統(tǒng)一管理和集中監(jiān)控，能夠在惡意代碼監(jiān)控中心的統(tǒng)一管理下，統(tǒng)一、自動升級，將潛在的惡意代碼感染源去除在感染之前。同時，也極大的簡化了系統(tǒng)維護(hù)工作，有利于防范惡意代碼策略的有效實施。資源控制操作系統(tǒng)是非常復(fù)雜的系統(tǒng)軟件，其最主要的特點是并發(fā)性和共享性。在邏輯上多個任務(wù)并發(fā)運行，處理器和外部設(shè)備能同時工作。多個任務(wù)共同使用系統(tǒng)資源，使其能被有效共享，大大提高系統(tǒng)的整體效率，這是操作系統(tǒng)的根本目標(biāo)。通常計算機(jī)資源包括以下幾類：中央處理器、存儲器、外部設(shè)備、信息〔包括程序和數(shù)據(jù)〕，為保證這些資源有效共享和充分利用，操作系統(tǒng)必須對資源的使用進(jìn)行控制，包括限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時或鑒別失敗時進(jìn)行鎖定、根據(jù)效勞優(yōu)先級分配系統(tǒng)資源等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對單個用戶的會話數(shù)量以及終端登錄進(jìn)行限制。三級：除二級要求外，增加了監(jiān)視效勞器和對系統(tǒng)最小效勞進(jìn)行監(jiān)測和報警的要求。四級：與三級要求相同。具體見下表31：要求項一級二級三級四級工程N(yùn)/Aa)－c〕a)－e)a)－e)合計0355應(yīng)用平安通過網(wǎng)絡(luò)、主機(jī)系統(tǒng)的平安防護(hù)，最終應(yīng)用平安成為信息系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用。基于網(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的根底，包括消息發(fā)送、web瀏覽等，可以說是根本的應(yīng)用。業(yè)務(wù)應(yīng)用采納根本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等。由于各種根本應(yīng)用最終是為業(yè)務(wù)應(yīng)用效勞的，因此對應(yīng)用系統(tǒng)的平安保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序平安運行。應(yīng)用平安主要涉及的平安控制點包括：身份鑒別、平安標(biāo)記、訪問控制、可信路徑、平安審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點。不同等級的根本要求在應(yīng)用平安方面所表達(dá)的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達(dá)。一級應(yīng)用平安要求：對應(yīng)用進(jìn)行根本的防護(hù)，要求做到簡單的身份鑒別，粗粒度的訪問控制以及數(shù)據(jù)有效性檢驗等根本防護(hù)。二級應(yīng)用平安要求：在控制點上增加了平安審計、通信保密性和資源控制等。同時，對身份鑒別和訪問控制都進(jìn)一步加強(qiáng)，鑒別的標(biāo)識、信息等都提出了具體的要求。訪問控制的粒度進(jìn)行了細(xì)化，對通信過程的完整性保護(hù)提出了特定的校驗碼技術(shù)。應(yīng)用軟件自身的平安要求進(jìn)一步增強(qiáng)，軟件容錯能力增強(qiáng)。三級應(yīng)用平安要求：在控制點上增加了剩余信息保護(hù)和抗抵賴等。同時，身份鑒別的力度進(jìn)一步增強(qiáng)，要求組合鑒別技術(shù)，訪問控制增加了敏感標(biāo)記功能，平安審計已不滿足于對平安事件的記錄，而要進(jìn)行分析等。對通信過程的完整性保護(hù)提出了特定的密碼技術(shù)。應(yīng)用軟件自身的平安要求進(jìn)一步增強(qiáng)，軟件容錯能力增強(qiáng)，增加了自動保護(hù)功能。四級應(yīng)用平安要求：在控制點上增加了平安標(biāo)記和可信路徑等。局部控制點在強(qiáng)度上進(jìn)一步增強(qiáng)，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，平安審計能夠做到統(tǒng)一平安策略提供集中審計接口等，軟件應(yīng)具有自動恢復(fù)的能力等。下表說明了應(yīng)用系統(tǒng)平安在控制點上逐級變化的特點：表32應(yīng)用平安層面控制點的逐級變化控制點一級二級三級四級身份鑒別****平安標(biāo)記*訪問控制****可信路經(jīng)*平安審計***剩余信息保護(hù)**通信完整性****通信保密性***抗抵賴**軟件容錯****資源控制***合計47911另外兩個特點〔要求項增加和要求項強(qiáng)度增強(qiáng)〕將在以下控制點描述時具體展開。身份鑒別同主機(jī)系統(tǒng)的身份鑒別一樣，應(yīng)用系統(tǒng)同樣對登錄的用戶進(jìn)行身份鑒別，以確保用戶在規(guī)定的權(quán)限內(nèi)進(jìn)行操作。該控制點在不同級別主要表現(xiàn)為：一級：主要強(qiáng)調(diào)了該功能的使能性，即，能夠進(jìn)行簡單的身份鑒別。二級：在一級要求的根底上，對登錄要求進(jìn)一步增強(qiáng)，提出了鑒別標(biāo)識唯一、鑒別信息復(fù)雜等要求。三級：在二級要求的根底上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別。四級：在三級要求的根底上，要求其中一種鑒別技術(shù)為是不可偽造的。具體見下表33：要求項一級二級三級四級工程a)－c)a)－d)*a)—e)a)b)*—e)合計34+55+其中，二級中，d)增加了鑒別標(biāo)志唯一、鑒別信息復(fù)雜要求，是增強(qiáng)要求；四級中，b)增加了其中一種鑒別技術(shù)為是不可偽造的要求。平安標(biāo)記在應(yīng)用系統(tǒng)層面，在高級別系統(tǒng)中要實現(xiàn)強(qiáng)度較強(qiáng)的訪問控制必須要增加平安標(biāo)記，通過對主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，權(quán)限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求為主體和客體設(shè)置平安標(biāo)記的功能并在安裝后啟用。具體見下表34：要求項一級二級三級四級工程N(yùn)/AN/AN/Aa)合計0001訪問控制在應(yīng)用系統(tǒng)中實施訪問控制是為了保證應(yīng)用系統(tǒng)受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來訪問應(yīng)用系統(tǒng)，不得越權(quán)訪問。該控制點在不同級別主要表現(xiàn)為：一級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗。二級：在一級要求的根底上，控制粒度細(xì)化，增加覆蓋范圍要求，并強(qiáng)調(diào)了最小授權(quán)原那么，使得用戶的權(quán)限最小化。三級：在二級要求的根底上，增加了對重要信息設(shè)置敏感標(biāo)記，并控制對其的操作。四級：除三級要求外，提出以標(biāo)記的方式進(jìn)行應(yīng)用系統(tǒng)訪問的控制。具體見下表35：要求項一級二級三級四級工程a)－b)a)*－d)a)—f)a)b)c)*—e)合計24+75+其中，在二級，a)增加了依據(jù)平安策略控制訪問；四級中，去掉了三級中的e)和f)，提出以標(biāo)記的方式進(jìn)行應(yīng)用系統(tǒng)訪問的控制，c〕增加了禁止默認(rèn)賬戶的訪問，所以盡管比三級要求項減少了，但是強(qiáng)度增強(qiáng)了?？尚怕窂皆谟嬎銠C(jī)系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過應(yīng)用層作為接口進(jìn)行會話。但由于應(yīng)用層并不是能完全信任的，因此在系統(tǒng)的平安功能中，提出了“可信路徑〞這一概念〔也是桔皮書B2級的平安要求〕。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求在用戶進(jìn)行身份鑒別和訪問時，提供用戶與系統(tǒng)之間可信的平安通信路徑。具體見下表36：要求項一級二級三級四級工程N(yùn)/AN/AN/Aa)–b)合計0002平安審計同主機(jī)平安審計相似，應(yīng)用系統(tǒng)平安審計目的是為了保持對應(yīng)用系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。應(yīng)用平安審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)功能執(zhí)行以及系統(tǒng)資源使用情況等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對用戶行為、平安事件等進(jìn)行記錄。三級：除二級要求外，要求對形成的記錄能夠統(tǒng)計、分析、并生成報表。四級：除三級要求外，要求根據(jù)系統(tǒng)統(tǒng)一平安策略，提供集中審計接口。具體見下表37：要求項一級二級三級四級工程N(yùn)/Aa)－c)a)b)*—d)a)—e)合計034+5其中，三級中，b)增加了無法單獨中斷審計進(jìn)程要求，所以強(qiáng)度增加。剩余信息保護(hù)為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，應(yīng)用系統(tǒng)應(yīng)對這些剩余信息加以保護(hù)。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，應(yīng)將其完全去除之后，才釋放或重新分配給其他用戶。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求對存放鑒別信息、文件、記錄等存儲空間進(jìn)行重新使用前的去除。四級：與三級要求相同。具體見下表38：要求項一級二級三級四級工程N(yùn)/AN/Aa)－b)a)－b)合計0022通信完整性許多應(yīng)用程序通過網(wǎng)絡(luò)與最終用戶之間傳遞數(shù)據(jù)，此外還在中間應(yīng)用程序節(jié)點之間傳遞數(shù)據(jù)，這些數(shù)據(jù)由于與應(yīng)用有關(guān)，多數(shù)帶有機(jī)密性，如信用卡號碼或銀行交易明細(xì)數(shù)據(jù)等。為了防止發(fā)生意外的信息泄漏，并保護(hù)數(shù)據(jù)免受傳輸時擅自修改，就必須確保通信點間的平安性。平安的通信具有以下兩個特點：完整性和保密性。我們首先了解通信完整性。該控制點在不同級別主要表現(xiàn)為：一級：要求通信雙方確定一定的會話方式，從而判斷數(shù)據(jù)的完整性。二級：要求通信雙方利用單向校驗碼技術(shù)來判斷數(shù)據(jù)的完整性。三級：要求通信雙方利用密碼技術(shù)來判斷數(shù)據(jù)的完整性。四級：與三級要求相同。具體見下表39：要求項一級二級三級四級工程a)a)*a)*a)合計11+1+1通信保密性同通信完整性一樣，通信保密性也是保證通信平安的重要方面。它主要確保數(shù)據(jù)處于保密狀態(tài)，不被竊聽。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對建立連接前初始化驗證和通信過程敏感信息加密。三級：在二級要求的根底上，要求對通信過程加密的范圍擴(kuò)大為整個報文或會話過程。四級：在三級要求的根底上，對加解密運算要求設(shè)備化。具體見下表40：要求項一級二級三級四級工程N(yùn)/Aa)—b〕a)—b)*a)—c)合計022+3對數(shù)據(jù)加密的范圍由二級的敏感信息擴(kuò)大為三級的整個報文或會話過程，保密性得到加強(qiáng)?？沟仲囃ㄐ磐暾院捅Ｃ苄圆⒉荒鼙ＷC通信抗抵賴行為，即，通信雙方或不成認(rèn)已發(fā)出的數(shù)據(jù)，或不成認(rèn)已接收到的數(shù)據(jù)，從而無法保證應(yīng)用的正常進(jìn)行。必須采取一定的抗抵賴手段，從而防止雙方否認(rèn)數(shù)據(jù)所進(jìn)行的交換。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求具有通信雙方提供原發(fā)接收或發(fā)送數(shù)據(jù)的功能。四級：與三級要求相同。具體見下表41：要求項一級二級三級四級工程N(yùn)/AN/Aa)—b〕a)—b〕合計0022軟件容錯容錯技術(shù)是提高整個系統(tǒng)可靠性的有效途徑，通常在硬件配置上，采用了冗余備份的方法，以便在資源上保證系統(tǒng)的可靠性。在軟件設(shè)計上，那么主要考慮應(yīng)用程序?qū)﹀e誤〔故障〕的檢測、處理能力。該控制點在不同級別主要表現(xiàn)為：一級：要求具有根本的數(shù)據(jù)校驗功能。二級：在一級要求的根底上，要求故障發(fā)生時能夠繼續(xù)運行局部功能。三級：在二級要求的根底上，要求具有自動保護(hù)功能。四級：在三級要求的根底上，要求具有自動恢復(fù)功能。具體見下表42：要求項一級二級三級四級工程a)a)－b)a)—b〕*a)—c〕合計122+3三級中，b)項要求在二級的根底上，提出具有自動保護(hù)功能的要求，所以強(qiáng)度增加。資源控制操作系統(tǒng)對同時的連接數(shù)量、翻開文件數(shù)量、進(jìn)程使用內(nèi)存等進(jìn)行了一定的資源控制，保證資源合理有效的使用，以及防止系統(tǒng)資源被濫用而引發(fā)各種攻擊。同樣，應(yīng)用程序也有相應(yīng)的資源控制措施，包括限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當(dāng)?shù)卿浗K端的操作超時或鑒別失敗時進(jìn)行鎖定、根據(jù)效勞優(yōu)先級分配系統(tǒng)資源等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求單個用戶會話數(shù)量、最大并發(fā)會話數(shù)量的限制。三級：除二級要求外，增加了一段時間內(nèi)的并發(fā)會話數(shù)量、單個賬戶或進(jìn)程的資源配額、根據(jù)效勞優(yōu)先級分配資源以及對系統(tǒng)最小效勞進(jìn)行監(jiān)測和報警的要求。四級：與三級要求相同。具體見下表43：要求項一級二級三級四級工程N(yùn)/Aa)－c〕a)－g)a)－g)合計0377數(shù)據(jù)平安及備份恢復(fù)信息系統(tǒng)處理的各種數(shù)據(jù)〔用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等〕在維持系統(tǒng)正常運行上起著至關(guān)重要的作用。一旦數(shù)據(jù)遭到破壞〔泄漏、修改、毀壞〕，都會在不同程度上造成影響，從而危害到系統(tǒng)的正常運行。由于信息系統(tǒng)的各個層面〔網(wǎng)絡(luò)、主機(jī)、應(yīng)用等〕都對各類數(shù)據(jù)進(jìn)行傳輸、存儲和處理等，因此，對數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。各個“關(guān)口〞把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對數(shù)據(jù)造成的損害降至最小。另外，數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段，而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容，在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災(zāi)難發(fā)生時可能造成的系統(tǒng)危害。保證數(shù)據(jù)平安和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個控制點考慮。不同等級的根本要求在應(yīng)用平安方面所表達(dá)的不同如3.1節(jié)所描述的一樣，在三個方面都有所表達(dá)。一級數(shù)據(jù)平安及備份恢復(fù)要求：對數(shù)據(jù)完整性用戶數(shù)據(jù)在傳輸過程提出要求，能夠檢測出數(shù)據(jù)完整性受到破壞；同時能夠?qū)χ匾畔⑦M(jìn)行備份。二級數(shù)據(jù)平安備份恢復(fù)要求：對數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。對數(shù)據(jù)保密性要求實現(xiàn)鑒別信息存儲保密性，數(shù)據(jù)備份增強(qiáng)，要求一定的硬件冗余。三級數(shù)據(jù)平安備份恢復(fù)要求：對數(shù)據(jù)完整性的要求增強(qiáng)，范圍擴(kuò)大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進(jìn)行恢復(fù)。對數(shù)據(jù)保密性要求范圍擴(kuò)大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性，數(shù)據(jù)的備份不僅要求本地完全數(shù)據(jù)備份，還要求異地備份和冗余網(wǎng)絡(luò)拓?fù)洹Ｋ募墧?shù)據(jù)平安備份恢復(fù)要求：為進(jìn)一步保證數(shù)據(jù)的完整性和保密性，提出使用專有的平安協(xié)議的要求。同時，備份方式增加了建立異地適時災(zāi)難備份中心，在災(zāi)難發(fā)生后系統(tǒng)能夠自動切換和恢復(fù)。下表說明了數(shù)據(jù)平安在控制點上逐級變化的特點：表44數(shù)據(jù)平安層面控制點的逐級變化控制點一級二級三級四級數(shù)據(jù)完整性****數(shù)據(jù)保密性***備份和恢復(fù)****合計2333另外兩個特點〔要求項增加和要求項強(qiáng)度增強(qiáng)〕將在以下控制點描述時具體展開。數(shù)據(jù)完整性數(shù)據(jù)完整性主要保證各種重要數(shù)據(jù)在存儲和傳輸過程中免受未授權(quán)的破壞。這種保護(hù)包括對完整性破壞的檢測和恢復(fù)。該控制點在不同級別主要表現(xiàn)為：一級：能夠?qū)τ脩魯?shù)據(jù)在傳輸過程的完整性進(jìn)行檢測。二級：在一級要求的根底上，范圍擴(kuò)大，要求鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中都要保證其完整性。三級：在二級要求的根底上，范圍又?jǐn)U大，增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性，不僅能夠檢測出數(shù)據(jù)受到破壞，并能進(jìn)行恢復(fù)。四級：除三級要求外，要求采用平安、專用的通信協(xié)議。具體見下表45：要求項一級二級三級四級工程a)a)*a)*－b)a)－c)合計11+2+3在二級，a)范圍增加了重要業(yè)務(wù)數(shù)據(jù)的傳輸完整性；在三級，a)增加了系統(tǒng)管理數(shù)據(jù)的傳輸完整性。數(shù)據(jù)保密性數(shù)據(jù)保密性主要從數(shù)據(jù)的傳輸和存儲兩方面保證各類敏感數(shù)據(jù)不被未授權(quán)的訪問，以免造成數(shù)據(jù)泄漏。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求能夠?qū)崿F(xiàn)鑒別信息的存儲保密性。三級：除二級要求外，范圍擴(kuò)大到實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的傳輸和存儲的保密性。四級：除三級要求外，要求采用平安、專用的通信協(xié)議。具體見下表46：要求項一級二級三級四級工程N(yùn)/Aa)a)－b〕*a)－c)合計012+3在三級，b〕增加了系統(tǒng)管理數(shù)據(jù)的傳輸保密性。數(shù)據(jù)備份和恢復(fù)所謂“防患于未然〞，即使對數(shù)據(jù)進(jìn)