【正文】 量。對用戶的訪問控制，同樣應按照一定的控制規(guī)則來允許或拒絕用戶的訪問。按照一定的規(guī)則允許或拒絕數(shù)據(jù)的流入、流出。所謂邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。在四級，a)控制點在三級要求的基礎(chǔ)上，要求“網(wǎng)絡設備”，范圍上又增加了要求，因此，a) 項在強度上有所增強。因此，a) b)項在強度上都有所增強。 四級：與三級要求基本相同。 二級：在一級要求的基礎(chǔ)上，要求網(wǎng)絡資源能夠滿足業(yè)務高峰的需要，同時應以網(wǎng)段形式分隔不同部門的系統(tǒng)。 該控制點主要從網(wǎng)段劃分、資源（帶寬、處理能力）保證、優(yōu)先處理等方面來要求。只有結(jié)構(gòu)安全了，才能在其上實現(xiàn)各種技術(shù)功能，達到網(wǎng)絡安全保護的目的。 下表表明了網(wǎng)絡安全在控制點逐級變化的特點：表14 網(wǎng)絡安全層面控制點的逐級變化控制點一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡設備防護****合計3677 另外兩個特點（要求項增加和要求項強度增強）將在以下控制點描述時具體展開。網(wǎng)絡安全審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網(wǎng)絡設備的防護手段要求兩種身份鑒別技術(shù)綜合使用。對網(wǎng)絡設備的防護不僅局限于簡單的身份鑒別，同時對標識和鑒別信息都有了相應的要求。對網(wǎng)絡邊界的訪問控制粒度進一步增強。 一級網(wǎng)絡安全要求：主要提供網(wǎng)絡安全運行的基本保障，包括網(wǎng)絡結(jié)構(gòu)能夠基本滿足業(yè)務運行需要，網(wǎng)絡邊界處對進出的數(shù)據(jù)包頭進行基本過濾等訪問控制措施。 網(wǎng)絡安全主要關(guān)注的方面包括：網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡邊界以及網(wǎng)絡設備自身安全等，具體的控制點包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡設備防護等七個控制點。開放的網(wǎng)絡環(huán)境便利了各種資源之間的流動、共享，但同時也打開了“罪惡”的大門。由于網(wǎng)絡環(huán)境是抵御外部攻擊的第一道防線，因此必須進行各方面的防護。 網(wǎng)絡安全網(wǎng)絡安全為信息系統(tǒng)在網(wǎng)絡環(huán)境的安全運行提供支持。四級：在三級要求的基礎(chǔ)上，要求屏蔽范圍擴展到機房關(guān)鍵區(qū)域。二級：要求具有基本的電磁防護能力，如線纜隔離。電磁防護手段從線纜物理距離上隔離、設備接地、到設備的電磁屏蔽等方面。具體見下表12：要求項一級二級三級四級項目a)a)－b）a)b)*—d）a)b)*—d）合計124+4+其中，短期供電設備在二級中要求滿足的是 “關(guān)鍵設備”，三級要求“主要設備”，四級要求“設備”，滿足的范圍逐漸增大，因此，第三級和第四級的b都是b)*。三級：除二級要求外，加強電力供應保障，能夠長時間供電和備用供電線路。該控制點在不同級別主要表現(xiàn)為：一級：要求能夠提供穩(wěn)定的電壓供應。采用穩(wěn)壓器和過電壓保護裝置是很好的控制電力波動的措施。電力波動對一些精密的電子配件會造成嚴重的物理損害。 電力供應穩(wěn)定、充足的電力供應是維持系統(tǒng)持續(xù)正常工作的重要條件。四級：與三級要求相同。二級：在一級基礎(chǔ)上，要求溫濕度控制的力度做到自動調(diào)控。溫度控制在20攝氏度左右是設備正常工作的良好溫度條件。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會在天花板、墻面以及設備表面形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問題。 溫濕度控制機房內(nèi)的各種設備必須在一定的溫度、濕度范圍內(nèi)才能正常運行。四級：除三級要求外，要求采用專門設置防靜電裝置。二級：要求基本的接地防靜電措施。當然，對室內(nèi)溫濕度的控制，也是防止靜電產(chǎn)生的較好措施（具體將在以下介紹）。由于靜電放電對電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應的累加，最終造成設備的嚴重損壞。 防靜電該控制點主要考慮在物理環(huán)境里，盡量避免產(chǎn)生靜電，以防止靜電對設備、人員造成的傷害。四級：與三級相同。二級：除一級要求外，增加了防止室內(nèi)水蒸汽和地下水的考慮，并禁止機房內(nèi)有水管通過。同時，也是控制室內(nèi)濕度的較好措施。因此，二級和三級都分別為a)*。四級：與三級要求相同。二級：除一級要求外，要求能夠自動報警火災發(fā)生。分別從設備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。四級：與三級要求相同。二級：除一級要求外，增加了接地防感應雷措施。目前，大多數(shù)建筑物都設有防直擊雷的措施－避雷裝置，因此，防雷擊主要集中在防感應雷。 防雷擊該控制點主要考慮采取措施防止雷電對電流、進而設備造成的不利影響，從而引起巨大的經(jīng)濟損失。四級：與三級要求相同。二級：不僅考慮了設備、還考慮通信線纜和介質(zhì)及主機房的防盜報警方面的防護要求。因此，防盜竊和防破壞控制點主要側(cè)重在機房內(nèi)部對設備、介質(zhì)和通信線纜進行此方面的保護。 防盜竊和防破壞該控制點主要考慮了系統(tǒng)運行的設備、介質(zhì)以及通信線纜的安全性。其中，四級要求項較三級在強度上有所增強，即，由三級的一道電子門禁系統(tǒng)增強為四級的兩道電子門禁系統(tǒng)。四級：除三級要求外，進一步強化了進出機房的控制，要求兩道電子設備監(jiān)控。二級：除一級要求外，對人員進入機房后的活動也應進行控制。對進出口進行控制，是防護物理安全的第一道關(guān)口，也是防止外部非授權(quán)人員對系統(tǒng)進行本地惡意操作的重要防護措施。四級：與三級要求相同。二級：要求選擇時主要考慮建筑物具有基本防護自然條件的能力。因此，物理位置選擇必須考慮周遭的整體環(huán)境以及具體樓宇的物理位置是否能夠為信息系統(tǒng)的運行提供物理上的基本保證。譬如，在我國南方地區(qū)，夏季多雨水，雷擊和洪災的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會遭受這類的威脅。 物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運行環(huán)境時進行考慮。下表表明了物理安全在控制點上逐級變化的特點：表3 物理安全層面控制點的逐級變化控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應****電磁防護***合計7101010 注：* 代表此類控制點在該級物理安全中有要求，空格則表示無此類要求。如，防火要求，不僅要求自動消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災發(fā)生的幾率和損失降低。 二級物理安全要求：對物理安全進行了進一步的防護，不僅對出入進行基本的控制，對進入后的活動也要進行控制；物理環(huán)境方面，則加強了各方面的防護，采取更細的要求來多方面進行防護。，在三個方面都有所體現(xiàn)。物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設備和介質(zhì)的防盜竊防破壞等方面。4 各級安全要求 技術(shù)要求 物理安全物理安全保護的目的主要是使存放計算機、網(wǎng)絡設備的機房以及信息系統(tǒng)的設備和存儲數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊?？梢?，安全要求的逐級增強并不是無規(guī)律可循，而是按照“層層剝開”的模式，由控制點的增加到要求項的增加，進而是要求項的強度增強。l 粒度細化：如，網(wǎng)絡安全中的“撥號訪問控制”，一級要求“控制粒度為用戶組”，而二級要求則將控制粒度細化，為“控制粒度為單個用戶”。覆蓋范圍不再僅指服務器，而是擴大到服務器和重要客戶終端了，表明了該要求項強度的增強。 控制強度增強同控制點類似，安全要求項目也不能無限制的增加，對于同一安全要求項（這里的“同一”，指的是要求的方面是相同的，而不是具體的要求內(nèi)容），如果在要求的力度上加強，同樣也能夠反映出級別的差異。該控制點的強度得到增強。同一控制點，具體的安全項目數(shù)量增加，表明對該控制點的要求更細化，更嚴格，從而表現(xiàn)為該控制點的強度增強。必須將控制點之下的安全要求項目考慮其中。每級系統(tǒng)在每一層面上控制點的分布見下表：表1 《基本要求》控制點的分布安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡安全3677主機安全4679應用安全47911數(shù)據(jù)安全及備份恢復2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874二級在控制點上的增加較為顯著。 控制點增加控制點增加，表明對系統(tǒng)的關(guān)注點增加，因而安全要求的級別差異就體現(xiàn)出來。管理方面，沒有增加控制點，在安全管理制度制訂和發(fā)布、評審和修訂等某些管理要求上要求項增加，強度增強。管理方面，增加了系統(tǒng)備案、等級測評、監(jiān)控管理和安全管理中心等控制點，同時要求設置必要的安全管理職能部門，加強了安全管理制度的評審以及人員安全的管理，對系統(tǒng)建設過程加強了質(zhì)量管理。三級基本要求：在二級基本要求的基礎(chǔ)上，技術(shù)方面，在控制點上增加了網(wǎng)絡惡意代碼防范、剩余信息保護、抗抵賴等。管理方面，增加了審核和檢查、管理制度的評審和修訂、人員考核、密碼管理、變更管理和應急預案管理等控制點。身份鑒別則要求在系統(tǒng)的整個生命周期，每一個用戶具有唯一標識，使用戶對對自己的行為負責，具有可查性。3 逐級增強的特點 增強原則不同級別的信息系統(tǒng)，其應該具備的安全保護能力不同，也就是對抗能力和恢復能力不同；安全保護能力不同意味著能夠應對的威脅不同，較高級別的系統(tǒng)應該能夠應對更多的威脅；應對威脅將通過技術(shù)措施和管理措施來實現(xiàn)，應對同一個威脅可以有不同強度和數(shù)量的措施，較高級別的系統(tǒng)應考慮更為周密的應對措施。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購/開發(fā)階段、實施階段、運行維護階段和廢棄階段。技術(shù)安全要求按其保護的側(cè)重點不同分為S、A、G三類，如果從另外一個角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡、主機系統(tǒng)、應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護，因此，技術(shù)類安全要求也相應的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證；——網(wǎng)絡層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡環(huán)境中運行提供支持，確保網(wǎng)絡系統(tǒng)安全運行，提供有效的網(wǎng)絡服務；——主機層面安全要求：在物理、網(wǎng)絡層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行；——應用層面安全要求：在物理、網(wǎng)絡、系統(tǒng)等層面安全的支持下，實現(xiàn)用戶安全需求所確定的安全目標；——數(shù)據(jù)及備份恢復層面安全要求：全面關(guān)注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性。如，物理訪問控制，該控制點主要是防止非授權(quán)人員物理訪問系統(tǒng)主要工作環(huán)境，由于進入工作環(huán)境可能導致的后果既可能包括系統(tǒng)無法正常運行（如，損壞某臺重要服務器），也可能竊取某些重要數(shù)據(jù)。 通用安全保護類（G類）——既關(guān)注保護業(yè)務信息的安全性，同時也關(guān)注保護系統(tǒng)的 連續(xù)可用性。如，數(shù)據(jù)的備份和恢復，該控制點很好的體現(xiàn)了對業(yè)務正常運行的保護。至于對保證業(yè)務的正常連續(xù)運行并沒有直接的影響。安全要求從整體上分為技術(shù)和管理兩大類，其中，技術(shù)類安全要求按其保護的側(cè)重點不同，將其下的控制點分為三類： 信息安全類（S類）——關(guān)注的是保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。四級安全保護能力：應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴重的自然災難、以及其他相當危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能。二級安全保護能力：應能夠防護系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復部分功能。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴重，因此需要提高相應的安全保護能力。將“能力”分級，是基于系統(tǒng)的保護對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。2. 不同等級的安全保護能力信息系統(tǒng)的安全保護能力包括對抗能力和恢復能力。第三級：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復絕大部分功能。第一級：系統(tǒng)具有基本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時的恢復部分系統(tǒng)功能?；謴湍芰χ饕獜幕謴蜁r間和恢復程度上來衡量其不同級別。b) 恢復能力但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復系統(tǒng)原有的狀態(tài)。第四級：本等級的威脅主要是1）危害整體的嚴重的自然事件、2）國家級滲透攻擊。第三級：本等級的威脅主要是1）危害整體的自然事件、2）具備較高能力、大范圍的、有預設目標的滲透攻擊。第二級：本等級的威脅主要是1）危害局部的較嚴重的自然事件、2）具備中等能力、有預設目標的威脅情景。通過對威脅主要因素的分析，我們可以組合得到不同等級的威脅：第一級：本等級的威脅是1）危害范圍為局部的環(huán)境或者設備故障、2）無意的員工失誤以及3）低能力的滲透攻擊等威脅情景。l 能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。l 動機——與威脅源和目標有著密切的聯(lián)系，不同的威脅源對應不