【正文】 量。對(duì)用戶的訪問(wèn)控制，同樣應(yīng)按照一定的控制規(guī)則來(lái)允許或拒絕用戶的訪問(wèn)。按照一定的規(guī)則允許或拒絕數(shù)據(jù)的流入、流出。所謂邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的連接等。在四級(jí)，a)控制點(diǎn)在三級(jí)要求的基礎(chǔ)上，要求“網(wǎng)絡(luò)設(shè)備”，范圍上又增加了要求，因此，a) 項(xiàng)在強(qiáng)度上有所增強(qiáng)。因此，a) b)項(xiàng)在強(qiáng)度上都有所增強(qiáng)。 四級(jí)：與三級(jí)要求基本相同。 二級(jí)：在一級(jí)要求的基礎(chǔ)上，要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)高峰的需要，同時(shí)應(yīng)以網(wǎng)段形式分隔不同部門(mén)的系統(tǒng)。 該控制點(diǎn)主要從網(wǎng)段劃分、資源（帶寬、處理能力）保證、優(yōu)先處理等方面來(lái)要求。只有結(jié)構(gòu)安全了，才能在其上實(shí)現(xiàn)各種技術(shù)功能，達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。 下表表明了網(wǎng)絡(luò)安全在控制點(diǎn)逐級(jí)變化的特點(diǎn)：表14 網(wǎng)絡(luò)安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)結(jié)構(gòu)安全****訪問(wèn)控制****安全審計(jì)***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計(jì)3677 另外兩個(gè)特點(diǎn)（要求項(xiàng)增加和要求項(xiàng)強(qiáng)度增強(qiáng)）將在以下控制點(diǎn)描述時(shí)具體展開(kāi)。網(wǎng)絡(luò)安全審計(jì)著眼于全局，做到集中審計(jì)分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。對(duì)網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡(jiǎn)單的身份鑒別，同時(shí)對(duì)標(biāo)識(shí)和鑒別信息都有了相應(yīng)的要求。對(duì)網(wǎng)絡(luò)邊界的訪問(wèn)控制粒度進(jìn)一步增強(qiáng)。 一級(jí)網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運(yùn)行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運(yùn)行需要，網(wǎng)絡(luò)邊界處對(duì)進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過(guò)濾等訪問(wèn)控制措施。 網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體的控制點(diǎn)包括：結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。開(kāi)放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動(dòng)、共享，但同時(shí)也打開(kāi)了“罪惡”的大門(mén)。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行提供支持。四級(jí)：在三級(jí)要求的基礎(chǔ)上，要求屏蔽范圍擴(kuò)展到機(jī)房關(guān)鍵區(qū)域。二級(jí)：要求具有基本的電磁防護(hù)能力，如線纜隔離。電磁防護(hù)手段從線纜物理距離上隔離、設(shè)備接地、到設(shè)備的電磁屏蔽等方面。具體見(jiàn)下表12：要求項(xiàng)一級(jí)二級(jí)三級(jí)四級(jí)項(xiàng)目a)a)－b）a)b)*—d）a)b)*—d）合計(jì)124+4+其中，短期供電設(shè)備在二級(jí)中要求滿足的是 “關(guān)鍵設(shè)備”，三級(jí)要求“主要設(shè)備”，四級(jí)要求“設(shè)備”，滿足的范圍逐漸增大，因此，第三級(jí)和第四級(jí)的b都是b)*。三級(jí)：除二級(jí)要求外，加強(qiáng)電力供應(yīng)保障，能夠長(zhǎng)時(shí)間供電和備用供電線路。該控制點(diǎn)在不同級(jí)別主要表現(xiàn)為：一級(jí)：要求能夠提供穩(wěn)定的電壓供應(yīng)。采用穩(wěn)壓器和過(guò)電壓保護(hù)裝置是很好的控制電力波動(dòng)的措施。電力波動(dòng)對(duì)一些精密的電子配件會(huì)造成嚴(yán)重的物理?yè)p害。 電力供應(yīng)穩(wěn)定、充足的電力供應(yīng)是維持系統(tǒng)持續(xù)正常工作的重要條件。四級(jí)：與三級(jí)要求相同。二級(jí)：在一級(jí)基礎(chǔ)上，要求溫濕度控制的力度做到自動(dòng)調(diào)控。溫度控制在20攝氏度左右是設(shè)備正常工作的良好溫度條件。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會(huì)在天花板、墻面以及設(shè)備表面形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問(wèn)題。 溫濕度控制機(jī)房?jī)?nèi)的各種設(shè)備必須在一定的溫度、濕度范圍內(nèi)才能正常運(yùn)行。四級(jí)：除三級(jí)要求外，要求采用專(zhuān)門(mén)設(shè)置防靜電裝置。二級(jí)：要求基本的接地防靜電措施。當(dāng)然，對(duì)室內(nèi)溫濕度的控制，也是防止靜電產(chǎn)生的較好措施（具體將在以下介紹）。由于靜電放電對(duì)電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應(yīng)的累加，最終造成設(shè)備的嚴(yán)重?fù)p壞。 防靜電該控制點(diǎn)主要考慮在物理環(huán)境里，盡量避免產(chǎn)生靜電，以防止靜電對(duì)設(shè)備、人員造成的傷害。四級(jí)：與三級(jí)相同。二級(jí)：除一級(jí)要求外，增加了防止室內(nèi)水蒸汽和地下水的考慮，并禁止機(jī)房?jī)?nèi)有水管通過(guò)。同時(shí)，也是控制室內(nèi)濕度的較好措施。因此，二級(jí)和三級(jí)都分別為a)*。四級(jí)：與三級(jí)要求相同。二級(jí)：除一級(jí)要求外，要求能夠自動(dòng)報(bào)警火災(zāi)發(fā)生。分別從設(shè)備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。四級(jí)：與三級(jí)要求相同。二級(jí)：除一級(jí)要求外，增加了接地防感應(yīng)雷措施。目前，大多數(shù)建筑物都設(shè)有防直擊雷的措施－避雷裝置，因此，防雷擊主要集中在防感應(yīng)雷。 防雷擊該控制點(diǎn)主要考慮采取措施防止雷電對(duì)電流、進(jìn)而設(shè)備造成的不利影響，從而引起巨大的經(jīng)濟(jì)損失。四級(jí)：與三級(jí)要求相同。二級(jí)：不僅考慮了設(shè)備、還考慮通信線纜和介質(zhì)及主機(jī)房的防盜報(bào)警方面的防護(hù)要求。因此，防盜竊和防破壞控制點(diǎn)主要側(cè)重在機(jī)房?jī)?nèi)部對(duì)設(shè)備、介質(zhì)和通信線纜進(jìn)行此方面的保護(hù)。 防盜竊和防破壞該控制點(diǎn)主要考慮了系統(tǒng)運(yùn)行的設(shè)備、介質(zhì)以及通信線纜的安全性。其中，四級(jí)要求項(xiàng)較三級(jí)在強(qiáng)度上有所增強(qiáng)，即，由三級(jí)的一道電子門(mén)禁系統(tǒng)增強(qiáng)為四級(jí)的兩道電子門(mén)禁系統(tǒng)。四級(jí)：除三級(jí)要求外，進(jìn)一步強(qiáng)化了進(jìn)出機(jī)房的控制，要求兩道電子設(shè)備監(jiān)控。二級(jí)：除一級(jí)要求外，對(duì)人員進(jìn)入機(jī)房后的活動(dòng)也應(yīng)進(jìn)行控制。對(duì)進(jìn)出口進(jìn)行控制，是防護(hù)物理安全的第一道關(guān)口，也是防止外部非授權(quán)人員對(duì)系統(tǒng)進(jìn)行本地惡意操作的重要防護(hù)措施。四級(jí)：與三級(jí)要求相同。二級(jí)：要求選擇時(shí)主要考慮建筑物具有基本防護(hù)自然條件的能力。因此，物理位置選擇必須考慮周遭的整體環(huán)境以及具體樓宇的物理位置是否能夠?yàn)樾畔⑾到y(tǒng)的運(yùn)行提供物理上的基本保證。譬如，在我國(guó)南方地區(qū)，夏季多雨水，雷擊和洪災(zāi)的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會(huì)遭受這類(lèi)的威脅。 物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運(yùn)行環(huán)境時(shí)進(jìn)行考慮。下表表明了物理安全在控制點(diǎn)上逐級(jí)變化的特點(diǎn)：表3 物理安全層面控制點(diǎn)的逐級(jí)變化控制點(diǎn)一級(jí)二級(jí)三級(jí)四級(jí)物理位置的選擇***物理訪問(wèn)控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計(jì)7101010 注：* 代表此類(lèi)控制點(diǎn)在該級(jí)物理安全中有要求，空格則表示無(wú)此類(lèi)要求。如，防火要求，不僅要求自動(dòng)消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。 二級(jí)物理安全要求：對(duì)物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對(duì)出入進(jìn)行基本的控制，對(duì)進(jìn)入后的活動(dòng)也要進(jìn)行控制；物理環(huán)境方面，則加強(qiáng)了各方面的防護(hù)，采取更細(xì)的要求來(lái)多方面進(jìn)行防護(hù)。，在三個(gè)方面都有所體現(xiàn)。物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。4 各級(jí)安全要求 技術(shù)要求 物理安全物理安全保護(hù)的目的主要是使存放計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存儲(chǔ)數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊?？梢?jiàn)，安全要求的逐級(jí)增強(qiáng)并不是無(wú)規(guī)律可循，而是按照“層層剝開(kāi)”的模式，由控制點(diǎn)的增加到要求項(xiàng)的增加，進(jìn)而是要求項(xiàng)的強(qiáng)度增強(qiáng)。l 粒度細(xì)化：如，網(wǎng)絡(luò)安全中的“撥號(hào)訪問(wèn)控制”，一級(jí)要求“控制粒度為用戶組”，而二級(jí)要求則將控制粒度細(xì)化，為“控制粒度為單個(gè)用戶”。覆蓋范圍不再僅指服務(wù)器，而是擴(kuò)大到服務(wù)器和重要客戶終端了，表明了該要求項(xiàng)強(qiáng)度的增強(qiáng)。 控制強(qiáng)度增強(qiáng)同控制點(diǎn)類(lèi)似，安全要求項(xiàng)目也不能無(wú)限制的增加，對(duì)于同一安全要求項(xiàng)（這里的“同一”，指的是要求的方面是相同的，而不是具體的要求內(nèi)容），如果在要求的力度上加強(qiáng)，同樣也能夠反映出級(jí)別的差異。該控制點(diǎn)的強(qiáng)度得到增強(qiáng)。同一控制點(diǎn)，具體的安全項(xiàng)目數(shù)量增加，表明對(duì)該控制點(diǎn)的要求更細(xì)化，更嚴(yán)格，從而表現(xiàn)為該控制點(diǎn)的強(qiáng)度增強(qiáng)。必須將控制點(diǎn)之下的安全要求項(xiàng)目考慮其中。每級(jí)系統(tǒng)在每一層面上控制點(diǎn)的分布見(jiàn)下表：表1 《基本要求》控制點(diǎn)的分布安全要求類(lèi)層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差//1874二級(jí)在控制點(diǎn)上的增加較為顯著。 控制點(diǎn)增加控制點(diǎn)增加，表明對(duì)系統(tǒng)的關(guān)注點(diǎn)增加，因而安全要求的級(jí)別差異就體現(xiàn)出來(lái)。管理方面，沒(méi)有增加控制點(diǎn)，在安全管理制度制訂和發(fā)布、評(píng)審和修訂等某些管理要求上要求項(xiàng)增加，強(qiáng)度增強(qiáng)。管理方面，增加了系統(tǒng)備案、等級(jí)測(cè)評(píng)、監(jiān)控管理和安全管理中心等控制點(diǎn)，同時(shí)要求設(shè)置必要的安全管理職能部門(mén)，加強(qiáng)了安全管理制度的評(píng)審以及人員安全的管理，對(duì)系統(tǒng)建設(shè)過(guò)程加強(qiáng)了質(zhì)量管理。三級(jí)基本要求：在二級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴等。管理方面，增加了審核和檢查、管理制度的評(píng)審和修訂、人員考核、密碼管理、變更管理和應(yīng)急預(yù)案管理等控制點(diǎn)。身份鑒別則要求在系統(tǒng)的整個(gè)生命周期，每一個(gè)用戶具有唯一標(biāo)識(shí)，使用戶對(duì)對(duì)自己的行為負(fù)責(zé)，具有可查性。3 逐級(jí)增強(qiáng)的特點(diǎn) 增強(qiáng)原則不同級(jí)別的信息系統(tǒng)，其應(yīng)該具備的安全保護(hù)能力不同，也就是對(duì)抗能力和恢復(fù)能力不同；安全保護(hù)能力不同意味著能夠應(yīng)對(duì)的威脅不同，較高級(jí)別的系統(tǒng)應(yīng)該能夠應(yīng)對(duì)更多的威脅；應(yīng)對(duì)威脅將通過(guò)技術(shù)措施和管理措施來(lái)實(shí)現(xiàn)，應(yīng)對(duì)同一個(gè)威脅可以有不同強(qiáng)度和數(shù)量的措施，較高級(jí)別的系統(tǒng)應(yīng)考慮更為周密的應(yīng)對(duì)措施。信息系統(tǒng)的生命周期主要分為五個(gè)階段：初始階段、采購(gòu)/開(kāi)發(fā)階段、實(shí)施階段、運(yùn)行維護(hù)階段和廢棄階段。技術(shù)安全要求按其保護(hù)的側(cè)重點(diǎn)不同分為S、A、G三類(lèi)，如果從另外一個(gè)角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來(lái)看，信息系統(tǒng)安全可從五個(gè)層面：物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行保護(hù)，因此，技術(shù)類(lèi)安全要求也相應(yīng)的分為五個(gè)層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運(yùn)行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運(yùn)行提供基本的后臺(tái)支持和保證；——網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)；——主機(jī)層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng)，以實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的安全運(yùn)行；——應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實(shí)現(xiàn)用戶安全需求所確定的安全目標(biāo)；——數(shù)據(jù)及備份恢復(fù)層面安全要求：全面關(guān)注信息系統(tǒng)中存儲(chǔ)、傳輸、處理等過(guò)程的數(shù)據(jù)的安全性。如，物理訪問(wèn)控制，該控制點(diǎn)主要是防止非授權(quán)人員物理訪問(wèn)系統(tǒng)主要工作環(huán)境，由于進(jìn)入工作環(huán)境可能導(dǎo)致的后果既可能包括系統(tǒng)無(wú)法正常運(yùn)行（如，損壞某臺(tái)重要服務(wù)器），也可能竊取某些重要數(shù)據(jù)。 通用安全保護(hù)類(lèi)（G類(lèi)）——既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時(shí)也關(guān)注保護(hù)系統(tǒng)的 連續(xù)可用性。如，數(shù)據(jù)的備份和恢復(fù)，該控制點(diǎn)很好的體現(xiàn)了對(duì)業(yè)務(wù)正常運(yùn)行的保護(hù)。至于對(duì)保證業(yè)務(wù)的正常連續(xù)運(yùn)行并沒(méi)有直接的影響。安全要求從整體上分為技術(shù)和管理兩大類(lèi)，其中，技術(shù)類(lèi)安全要求按其保護(hù)的側(cè)重點(diǎn)不同，將其下的控制點(diǎn)分為三類(lèi)： 信息安全類(lèi)（S類(lèi)）——關(guān)注的是保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改。四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來(lái)自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。因?yàn)橄到y(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴(yán)重，因此需要提高相應(yīng)的安全保護(hù)能力。將“能力”分級(jí)，是基于系統(tǒng)的保護(hù)對(duì)象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。2. 不同等級(jí)的安全保護(hù)能力信息系統(tǒng)的安全保護(hù)能力包括對(duì)抗能力和恢復(fù)能力。第三級(jí)：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復(fù)絕大部分功能。第一級(jí)：系統(tǒng)具有基本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時(shí)的恢復(fù)部分系統(tǒng)功能?；謴?fù)能力主要從恢復(fù)時(shí)間和恢復(fù)程度上來(lái)衡量其不同級(jí)別。b) 恢復(fù)能力但在某些情況下，信息系統(tǒng)無(wú)法阻擋威脅對(duì)自身的破壞時(shí)，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時(shí)間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。第四級(jí)：本等級(jí)的威脅主要是1）危害整體的嚴(yán)重的自然事件、2）國(guó)家級(jí)滲透攻擊。第三級(jí)：本等級(jí)的威脅主要是1）危害整體的自然事件、2）具備較高能力、大范圍的、有預(yù)設(shè)目標(biāo)的滲透攻擊。第二級(jí)：本等級(jí)的威脅主要是1）危害局部的較嚴(yán)重的自然事件、2）具備中等能力、有預(yù)設(shè)目標(biāo)的威脅情景。通過(guò)對(duì)威脅主要因素的分析，我們可以組合得到不同等級(jí)的威脅：第一級(jí)：本等級(jí)的威脅是1）危害范圍為局部的環(huán)境或者設(shè)備故障、2）無(wú)意的員工失誤以及3）低能力的滲透攻擊等威脅情景。l 能力——主要是針對(duì)威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。l 動(dòng)機(jī)——與威脅源和目標(biāo)有著密切的聯(lián)系，不同的威脅源對(duì)應(yīng)不