【文章內容簡介】 一級：主要要求基本的設備滅火。二級：除一級要求外，要求能夠自動報警火災發(fā)生。三級：除二級要求外，增加了從建筑材料、區(qū)域隔離等方面考慮的防火措施。四級：與三級要求相同。具體見下表8：要求項一級二級三級四級項目a) a)*a)* b)－c)a) b)－c)合計11+3+3其中，在二級，雖然要求仍是采取設備滅火，但設備的功能性要求增強，即，能夠自動報警，仍然對于a）項，在三級進一步得到增強，要求設備能夠自動檢測、報警和滅火。因此，二級和三級都分別為a)*。 防水和防潮該控制點主要是考慮防止室內由于各種原因的積水、水霧或濕度太高造成設備運行異常。同時，也是控制室內濕度的較好措施。該控制點在不同級別主要表現為：一級：主要從室內水管、墻壁、屋頂等方面考慮防水防潮。二級：除一級要求外，增加了防止室內水蒸汽和地下水的考慮，并禁止機房內有水管通過。三級：除二級要求外，增加了對室內的防水檢測報警要求。四級：與三級相同。具體見下表9：要求項一級二級三級四級項目a)－b）a) *—c）a)—d）a)—d）合計23+44其中，在二級，水管安裝要求不得穿過機房屋頂和活動地板下，去掉了在一級要求穿過機房的水管使用套管的要求，所以對于a）項，增強了要求，為a)*。 防靜電該控制點主要考慮在物理環(huán)境里，盡量避免產生靜電，以防止靜電對設備、人員造成的傷害。大量靜電如果積聚在設備上，會導致磁盤讀寫錯誤、損壞磁頭、對CMOS靜電電路也會造成極大威脅。由于靜電放電對電子元器件的損害初期僅表現出某些性能參數下降，但隨著這種效應的累加，最終造成設備的嚴重損壞。防靜電措施包括最基本的接地、到防靜電地板、設備防靜電等方面。當然，對室內溫濕度的控制，也是防止靜電產生的較好措施（具體將在以下介紹）。該控制點在不同級別主要表現為：一級：無此要求。二級：要求基本的接地防靜電措施。三級：除二級要求外，對地板材料做出了防靜電要求。四級：除三級要求外，要求采用專門設置防靜電裝置。具體見下表10：要求項一級二級三級四級項目N/Aa)a) *—b）a) *—c）合計012+3+其中，在二級，要求“關鍵設備“接地防靜電，三級，要求“主要設備”，四級要求“設備”，所以對于a）項，在三級和四級都增強了要求，都為a)*。 溫濕度控制機房內的各種設備必須在一定的溫度、濕度范圍內才能正常運行。溫、濕度過高或過低都會對設備產生不利影響。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會在天花板、墻面以及設備表面形成水珠，造成危害，甚至還可能產生電連接腐蝕問題。低于40％的低濕度增加了靜電產生的危害。溫度控制在20攝氏度左右是設備正常工作的良好溫度條件。該控制點在不同級別主要表現為：一級：要求做到基本的溫濕度控制。二級：在一級基礎上，要求溫濕度控制的力度做到自動調控。三級：與二級要求相同。四級：與三級要求相同。具體見下表11：要求項一級二級三級四級項目a)a)*a)a)合計11+11其中，對二級要求溫濕度能夠自動調節(jié)，因此a)應為a) *。 電力供應穩(wěn)定、充足的電力供應是維持系統持續(xù)正常工作的重要條件。許多因素威脅到電力系統，最常見的是電力波動。電力波動對一些精密的電子配件會造成嚴重的物理損害。應控制電力在10％以內的波動范圍。采用穩(wěn)壓器和過電壓保護裝置是很好的控制電力波動的措施。保證充足短期電力供應措施是可配備不間斷電源（UPS），重要系統可配備備份供電系統，以備不時之需。該控制點在不同級別主要表現為：一級：要求能夠提供穩(wěn)定的電壓供應。二級：除一級要求外，要求能夠提供短期的電力供應。三級：除二級要求外，加強電力供應保障，能夠長時間供電和備用供電線路。四級：除三級要求外，短期備用供電范圍增大。具體見下表12：要求項一級二級三級四級項目a)a)－b）a)b)*—d）a)b)*—d）合計124+4+其中，短期供電設備在二級中要求滿足的是 “關鍵設備”，三級要求“主要設備”，四級要求“設備”，滿足的范圍逐漸增大，因此，第三級和第四級的b都是b)*。 電磁防護現代通信技術是建立在電磁信號傳播的基礎上，而空間電磁場的開放特性決定了電磁泄漏是危及系統安全性的一個重要因素，電磁防護主要是提供對信息系統設備的電磁信號進行保護，確保用戶信息在使用和傳輸過程中的安全性。電磁防護手段從線纜物理距離上隔離、設備接地、到設備的電磁屏蔽等方面。該控制點在不同級別主要表現為：一級：無此要求。二級：要求具有基本的電磁防護能力，如線纜隔離。三級：除二級要求外，增強了防護能力，要求設備接地并能夠做到部分電磁屏蔽。四級：在三級要求的基礎上，要求屏蔽范圍擴展到機房關鍵區(qū)域。具體見下表13：要求項一級二級三級四級項目N/Aa)a)—c）a)—c）*合計0133+其中，在第三級對關鍵設備和磁介質實施電磁屏蔽的基礎上，要求對關鍵區(qū)域實施電磁屏蔽，范圍增加了，因此c)為c)*。 網絡安全網絡安全為信息系統在網絡環(huán)境的安全運行提供支持。一方面，確保網絡設備的安全運行，提供有效的網絡服務，另一方面，確保在網上傳輸數據的保密性、完整性和可用性等。由于網絡環(huán)境是抵御外部攻擊的第一道防線，因此必須進行各方面的防護。對網絡安全的保護，主要關注兩個方面：共享和安全。開放的網絡環(huán)境便利了各種資源之間的流動、共享，但同時也打開了“罪惡”的大門。因此，必須在二者之間尋找恰當的平衡點，使得在盡可能安全的情況下實現最大程度的資源共享，這是我們實現網絡安全的理想目標。 網絡安全主要關注的方面包括：網絡結構、網絡邊界以及網絡設備自身安全等，具體的控制點包括：結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等七個控制點。 ，在三個方面都有所體現。 一級網絡安全要求：主要提供網絡安全運行的基本保障，包括網絡結構能夠基本滿足業(yè)務運行需要，網絡邊界處對進出的數據包頭進行基本過濾等訪問控制措施。 二級網絡安全要求：不僅要滿足網絡安全運行的基本保障，同時還要考慮網絡處理能力要滿足業(yè)務極限時的需要。對網絡邊界的訪問控制粒度進一步增強。同時，加強了網絡邊界的防護，增加了安全審計、邊界完整性檢查、入侵防范等控制點。對網絡設備的防護不僅局限于簡單的身份鑒別，同時對標識和鑒別信息都有了相應的要求。 三級網絡安全要求：對網絡處理能力增加了“優(yōu)先級”考慮，保證重要主機能夠在網絡擁堵時仍能夠正常運行；網絡邊界的訪問控制擴展到應用層，網絡邊界的其他防護措施進一步增強，不僅能夠被動的“防”，還應能夠主動發(fā)出一些動作，如報警、阻斷等。網絡設備的防護手段要求兩種身份鑒別技術綜合使用。 四級網絡安全要求：對網絡邊界的訪問控制做出了更為嚴格的要求，禁止遠程撥號訪問，不允許數據帶通用協議通過；邊界的其他防護措施也加強了要求。網絡安全審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網絡設備的防護，在身份鑒別手段上除要求兩種技術外，其中一種鑒別技術必須是不可偽造的，進一步加強了對網絡設備的防護。 下表表明了網絡安全在控制點逐級變化的特點：表14 網絡安全層面控制點的逐級變化控制點一級二級三級四級結構安全****訪問控制****安全審計***邊界完整性檢查***入侵防范***惡意代碼防范**網絡設備防護****合計3677 另外兩個特點（要求項增加和要求項強度增強）將在以下控制點描述時具體展開。1. 結構安全 在對網絡安全實現全方位保護之前，首先應關注整個網絡的資源分布、架構是否合理。只有結構安全了，才能在其上實現各種技術功能，達到網絡安全保護的目的。通常，一個機構是由多個業(yè)務部門組成，各部門的地位、重要性不同，部門所要處理的信息重要性也不同，因此，需要對整個網絡進行子網劃分。 該控制點主要從網段劃分、資源（帶寬、處理能力）保證、優(yōu)先處理等方面來要求。其在不同級別主要表現為： 一級：要求網絡資源方面能夠為網絡的正常運行提供基本的保障。 二級：在一級要求的基礎上，要求網絡資源能夠滿足業(yè)務高峰的需要，同時應以網段形式分隔不同部門的系統。 三級：除二級要求外，增加了“處理優(yōu)先級”考慮，以保證重要主機能夠正常運行。 四級：與三級要求基本相同。 具體見下表15：要求項一級二級三級四級項目a)－c)a)* b)* d) a)*b)*c)*—g) a)*—g) 合計34+7+7+ 在二級，a) b)控制點在網絡資源（設備處理能力、帶寬）加強了力度，不僅要求滿足基本的業(yè)務需要，更應滿足業(yè)務高峰時的網絡正常運行。因此，a) b)項在強度上都有所增強。在三級，a) b)控制點在第二級要求的“關鍵網絡設備”、“接入網絡和核心網絡”的基礎上在網絡范圍上增加了，要求“”主要網絡設備“、“網絡各個部分的帶寬”，因此，a) b)項在強度上都有所增強。在四級，a)控制點在三級要求的基礎上，要求“網絡設備”，范圍上又增加了要求，因此，a) 項在強度上有所增強。2. 訪問控制 對于網絡而言，最重要的一道安全防線就是邊界，邊界上匯聚了所有流經網絡的數據流，必須對其進行有效的監(jiān)視和控制。所謂邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間的連接、和其它業(yè)務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。有連接，必有數據間的流動，因此在邊界處，重要的就是對流經的數據（或者稱進出網絡）進行嚴格的訪問控制。按照一定的規(guī)則允許或拒絕數據的流入、流出。如果說，網絡訪問控制是從數據的角度對網絡中流動的數據進行控制，那么，撥號訪問控制則是從用戶的角度對遠程訪問網絡的用戶進行控制。對用戶的訪問控制，同樣應按照一定的控制規(guī)則來允許或拒絕用戶的訪問。 該控制點在不同級別主要表現為： 一級：主要在網絡邊界處對經過的數據進行包頭信息的過濾，以控制數據的進出網絡，對用戶進行基本的訪問控制。 二級：在一級要求的基礎上，對數據的過濾增強為根據會話信息進行過濾，對用戶訪問粒度進一步細化，由用戶組到單個用戶，同時限制撥號訪問的用戶數量。 三級：在二級要求的基礎上，將過濾的力度擴展到應用層，即根據應用的不同而過濾，對設備接入網絡進行了一定的限制。 四級：對數據本身所帶的協議進行了禁止，同時根據數據的敏感標記允許或拒絕數據通過，并禁止遠程撥號訪問。 具體見下表16：要求項一級二級三級四級項目a)b)c)a)b)c)*d) a)b)*—h) a)—d) 合計34+8+4 二級與一級相比，在對數據的過濾上由一級包頭信息過濾增強為對會話信息的過濾，過濾的粒度增強，使得網絡訪問控制的強度增強。另外，在四級，該控制點的要求項較三級減少，原因是在四級做出了更高的要求，禁止數據帶任何協議流經網絡，這樣在很大程度上縮減了其他要求。對用戶訪問粒度的變化（由用戶組到單個用戶）是該要求項的主要特點。其次，隨著級別的增加，對撥號用戶的數量有了一定的限制，到四級則是禁止用戶撥號訪問，因此，在四級，雖要求項減少，但強度已達最高。3. 安全審計 如果將安全審計僅僅理解為“日志記錄”功能，那么目前大多數的操作系統、網絡設備都有不同程度的日志功能。但是實際上僅這些日志根本不能保障系統的安全，也無法滿足事后的追蹤取證。安全審計并非日志功能的簡單改進，也并非等同于入侵檢測。 網絡安全審計重點包括的方面：對網絡流量監(jiān)測以及對異常流量的識別和報警、網絡設備運行情況的監(jiān)測等。通過對以上方面的記錄分析，形成報表，并在一定情況下發(fā)出報警、阻斷等動作。其次，對安全審計記錄的管理也是其中的一方面。由于各個網絡產品產生的安全事件記錄格式也不統一，難以進行綜合分析，因此，集中審計已成為網絡安全審計發(fā)展的必然趨勢。 該控制點在不同級別主要表現為： 一級：無此要求。 二級：要求對網絡設備運行、網絡流量等基本情況進行記錄。 三級：除二級要求外，要求對形成的記錄能夠分析、形成報表。同時對審計記錄提出了保護要求。 四級：除三級要求外，要求設置審計跟蹤極限閾值，并做到集中審計。 具體見下表17：要求項一級二級三級四級項目N/Aa) b）a)—d) a)－f）合計02464. 邊界完整性檢查 雖然網絡采取了防火墻、IDS等有效的技術手段對邊界進行了防護，但如果內網用戶在邊界處通過其他手段接入內網（如無線網卡、雙網卡、modem撥號上網），這些邊界防御則形同虛設。因此，必須在全網中對網絡的連接狀態(tài)進行監(jiān)控，準確定位并能及時報警和阻斷。 該控制點在不同級別主要表現為： 一級：無此要求。 二級：能夠檢測到內部的非法聯出情況。 三級：在二級的基礎上，能檢測到非授權設備私自外聯，而且能夠準確定位并阻斷。 四級：與三級要求相同。 具體見下表18：要求項一級二級三級四級項目N/Aa) a)—b)* a)－b）合計012+2在三級，b)項是二級中的增強項，要求不但能夠檢測到，而且能夠準確定位并阻斷。5. 入侵防范 網絡訪問控制在網絡安全中起到大門警衛(wèi)的作用，對進出的數據進行規(guī)則匹配，是網絡安全的第一道閘門。但其也有局限性，它只能對進出網絡的數據進行分析，對網絡內部發(fā)生的事件則無能為力?；诰W絡的入侵檢測，被認為是防火墻之后的第二道安全閘門，它主要是監(jiān)