【正文】 戶數(shù)量。對用戶的訪問控制，同樣應(yīng)按照一定的控制規(guī)則來允許或拒絕用戶的訪問。按照一定的規(guī)則允許或拒絕數(shù)據(jù)的流入、流出。所謂邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。在四級，a)控制點在三級要求的基礎(chǔ)上，要求“網(wǎng)絡(luò)設(shè)備”，范圍上又增加了要求，因此，a) 項在強度上有所增強。因此，a) b)項在強度上都有所增強。 四級：與三級要求基本相同。 二級：在一級要求的基礎(chǔ)上，要求網(wǎng)絡(luò)資源能夠滿足業(yè)務(wù)高峰的需要，同時應(yīng)以網(wǎng)段形式分隔不同部門的系統(tǒng)。 該控制點主要從網(wǎng)段劃分、資源（帶寬、處理能力）保證、優(yōu)先處理等方面來要求。只有結(jié)構(gòu)安全了，才能在其上實現(xiàn)各種技術(shù)功能，達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。 下表表明了網(wǎng)絡(luò)安全在控制點逐級變化的特點：表14 網(wǎng)絡(luò)安全層面控制點的逐級變化控制點一級二級三級四級結(jié)構(gòu)安全****訪問控制****安全審計***邊界完整性檢查***入侵防范***惡意代碼防范**網(wǎng)絡(luò)設(shè)備防護(hù)****合計3677 另外兩個特點（要求項增加和要求項強度增強）將在以下控制點描述時具體展開。網(wǎng)絡(luò)安全審計著眼于全局，做到集中審計分析，以便得到更多的綜合信息。網(wǎng)絡(luò)設(shè)備的防護(hù)手段要求兩種身份鑒別技術(shù)綜合使用。對網(wǎng)絡(luò)設(shè)備的防護(hù)不僅局限于簡單的身份鑒別，同時對標(biāo)識和鑒別信息都有了相應(yīng)的要求。對網(wǎng)絡(luò)邊界的訪問控制粒度進(jìn)一步增強。 一級網(wǎng)絡(luò)安全要求：主要提供網(wǎng)絡(luò)安全運行的基本保障，包括網(wǎng)絡(luò)結(jié)構(gòu)能夠基本滿足業(yè)務(wù)運行需要，網(wǎng)絡(luò)邊界處對進(jìn)出的數(shù)據(jù)包頭進(jìn)行基本過濾等訪問控制措施。 網(wǎng)絡(luò)安全主要關(guān)注的方面包括：網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體的控制點包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點。開放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動、共享，但同時也打開了“罪惡”的大門。由于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線，因此必須進(jìn)行各方面的防護(hù)。 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運行提供支持。四級：在三級要求的基礎(chǔ)上，要求屏蔽范圍擴展到機房關(guān)鍵區(qū)域。二級：要求具有基本的電磁防護(hù)能力，如線纜隔離。電磁防護(hù)手段從線纜物理距離上隔離、設(shè)備接地、到設(shè)備的電磁屏蔽等方面。具體見下表12：要求項一級二級三級四級項目a)a)－b）a)b)*—d）a)b)*—d）合計124+4+其中，短期供電設(shè)備在二級中要求滿足的是 “關(guān)鍵設(shè)備”，三級要求“主要設(shè)備”，四級要求“設(shè)備”，滿足的范圍逐漸增大，因此，第三級和第四級的b都是b)*。三級：除二級要求外，加強電力供應(yīng)保障，能夠長時間供電和備用供電線路。該控制點在不同級別主要表現(xiàn)為：一級：要求能夠提供穩(wěn)定的電壓供應(yīng)。采用穩(wěn)壓器和過電壓保護(hù)裝置是很好的控制電力波動的措施。電力波動對一些精密的電子配件會造成嚴(yán)重的物理損害。 電力供應(yīng)穩(wěn)定、充足的電力供應(yīng)是維持系統(tǒng)持續(xù)正常工作的重要條件。四級：與三級要求相同。二級：在一級基礎(chǔ)上，要求溫濕度控制的力度做到自動調(diào)控。溫度控制在20攝氏度左右是設(shè)備正常工作的良好溫度條件。理想的空氣濕度范圍被定義在40％－70％，高的濕度可能會在天花板、墻面以及設(shè)備表面形成水珠，造成危害，甚至還可能產(chǎn)生電連接腐蝕問題。 溫濕度控制機房內(nèi)的各種設(shè)備必須在一定的溫度、濕度范圍內(nèi)才能正常運行。四級：除三級要求外，要求采用專門設(shè)置防靜電裝置。二級：要求基本的接地防靜電措施。當(dāng)然，對室內(nèi)溫濕度的控制，也是防止靜電產(chǎn)生的較好措施（具體將在以下介紹）。由于靜電放電對電子元器件的損害初期僅表現(xiàn)出某些性能參數(shù)下降，但隨著這種效應(yīng)的累加，最終造成設(shè)備的嚴(yán)重?fù)p壞。 防靜電該控制點主要考慮在物理環(huán)境里，盡量避免產(chǎn)生靜電，以防止靜電對設(shè)備、人員造成的傷害。四級：與三級相同。二級：除一級要求外，增加了防止室內(nèi)水蒸汽和地下水的考慮，并禁止機房內(nèi)有水管通過。同時，也是控制室內(nèi)濕度的較好措施。因此，二級和三級都分別為a)*。四級：與三級要求相同。二級：除一級要求外，要求能夠自動報警火災(zāi)發(fā)生。分別從設(shè)備滅火、建筑材料防火和區(qū)域隔離防火等方面考慮。四級：與三級要求相同。二級：除一級要求外，增加了接地防感應(yīng)雷措施。目前，大多數(shù)建筑物都設(shè)有防直擊雷的措施－避雷裝置，因此，防雷擊主要集中在防感應(yīng)雷。 防雷擊該控制點主要考慮采取措施防止雷電對電流、進(jìn)而設(shè)備造成的不利影響，從而引起巨大的經(jīng)濟損失。四級：與三級要求相同。二級：不僅考慮了設(shè)備、還考慮通信線纜和介質(zhì)及主機房的防盜報警方面的防護(hù)要求。因此，防盜竊和防破壞控制點主要側(cè)重在機房內(nèi)部對設(shè)備、介質(zhì)和通信線纜進(jìn)行此方面的保護(hù)。 防盜竊和防破壞該控制點主要考慮了系統(tǒng)運行的設(shè)備、介質(zhì)以及通信線纜的安全性。其中，四級要求項較三級在強度上有所增強，即，由三級的一道電子門禁系統(tǒng)增強為四級的兩道電子門禁系統(tǒng)。四級：除三級要求外，進(jìn)一步強化了進(jìn)出機房的控制，要求兩道電子設(shè)備監(jiān)控。二級：除一級要求外，對人員進(jìn)入機房后的活動也應(yīng)進(jìn)行控制。對進(jìn)出口進(jìn)行控制，是防護(hù)物理安全的第一道關(guān)口，也是防止外部非授權(quán)人員對系統(tǒng)進(jìn)行本地惡意操作的重要防護(hù)措施。四級：與三級要求相同。二級：要求選擇時主要考慮建筑物具有基本防護(hù)自然條件的能力。因此，物理位置選擇必須考慮周遭的整體環(huán)境以及具體樓宇的物理位置是否能夠為信息系統(tǒng)的運行提供物理上的基本保證。譬如，在我國南方地區(qū)，夏季多雨水，雷擊和洪災(zāi)的發(fā)生可能性都很大，地理位置決定了該地區(qū)的系統(tǒng)必會遭受這類的威脅。 物理位置的選擇物理位置的選擇，主要是在初步選擇系統(tǒng)物理運行環(huán)境時進(jìn)行考慮。下表表明了物理安全在控制點上逐級變化的特點：表3 物理安全層面控制點的逐級變化控制點一級二級三級四級物理位置的選擇***物理訪問控制****防盜竊和防破壞****防雷擊****防火****防水和防潮****防靜電***溫濕度控制****電力供應(yīng)****電磁防護(hù)***合計7101010 注：* 代表此類控制點在該級物理安全中有要求，空格則表示無此類要求。如，防火要求，不僅要求自動消防系統(tǒng)，而且要求區(qū)域隔離防火，建筑材料防火等方面，將防火的范圍增大，從而使火災(zāi)發(fā)生的幾率和損失降低。 二級物理安全要求：對物理安全進(jìn)行了進(jìn)一步的防護(hù)，不僅對出入進(jìn)行基本的控制，對進(jìn)入后的活動也要進(jìn)行控制；物理環(huán)境方面，則加強了各方面的防護(hù)，采取更細(xì)的要求來多方面進(jìn)行防護(hù)。，在三個方面都有所體現(xiàn)。物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。4 各級安全要求 技術(shù)要求 物理安全物理安全保護(hù)的目的主要是使存放計算機、網(wǎng)絡(luò)設(shè)備的機房以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)等免受物理環(huán)境、自然災(zāi)難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。可見，安全要求的逐級增強并不是無規(guī)律可循，而是按照“層層剝開”的模式，由控制點的增加到要求項的增加，進(jìn)而是要求項的強度增強。l 粒度細(xì)化：如，網(wǎng)絡(luò)安全中的“撥號訪問控制”，一級要求“控制粒度為用戶組”，而二級要求則將控制粒度細(xì)化，為“控制粒度為單個用戶”。覆蓋范圍不再僅指服務(wù)器，而是擴大到服務(wù)器和重要客戶終端了，表明了該要求項強度的增強。 控制強度增強同控制點類似，安全要求項目也不能無限制的增加，對于同一安全要求項（這里的“同一”，指的是要求的方面是相同的，而不是具體的要求內(nèi)容），如果在要求的力度上加強，同樣也能夠反映出級別的差異。該控制點的強度得到增強。同一控制點，具體的安全項目數(shù)量增加，表明對該控制點的要求更細(xì)化，更嚴(yán)格，從而表現(xiàn)為該控制點的強度增強。必須將控制點之下的安全要求項目考慮其中。每級系統(tǒng)在每一層面上控制點的分布見下表：表1 《基本要求》控制點的分布安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874二級在控制點上的增加較為顯著。 控制點增加控制點增加，表明對系統(tǒng)的關(guān)注點增加，因而安全要求的級別差異就體現(xiàn)出來。管理方面，沒有增加控制點，在安全管理制度制訂和發(fā)布、評審和修訂等某些管理要求上要求項增加，強度增強。管理方面，增加了系統(tǒng)備案、等級測評、監(jiān)控管理和安全管理中心等控制點，同時要求設(shè)置必要的安全管理職能部門，加強了安全管理制度的評審以及人員安全的管理，對系統(tǒng)建設(shè)過程加強了質(zhì)量管理。三級基本要求：在二級基本要求的基礎(chǔ)上，技術(shù)方面，在控制點上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、抗抵賴等。管理方面，增加了審核和檢查、管理制度的評審和修訂、人員考核、密碼管理、變更管理和應(yīng)急預(yù)案管理等控制點。身份鑒別則要求在系統(tǒng)的整個生命周期，每一個用戶具有唯一標(biāo)識，使用戶對對自己的行為負(fù)責(zé)，具有可查性。3 逐級增強的特點 增強原則不同級別的信息系統(tǒng)，其應(yīng)該具備的安全保護(hù)能力不同，也就是對抗能力和恢復(fù)能力不同；安全保護(hù)能力不同意味著能夠應(yīng)對的威脅不同，較高級別的系統(tǒng)應(yīng)該能夠應(yīng)對更多的威脅；應(yīng)對威脅將通過技術(shù)措施和管理措施來實現(xiàn)，應(yīng)對同一個威脅可以有不同強度和數(shù)量的措施，較高級別的系統(tǒng)應(yīng)考慮更為周密的應(yīng)對措施。信息系統(tǒng)的生命周期主要分為五個階段：初始階段、采購/開發(fā)階段、實施階段、運行維護(hù)階段和廢棄階段。技術(shù)安全要求按其保護(hù)的側(cè)重點不同分為S、A、G三類，如果從另外一個角度考慮，根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看，信息系統(tǒng)安全可從五個層面：物理、網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進(jìn)行保護(hù)，因此，技術(shù)類安全要求也相應(yīng)的分為五個層面上的安全要求：——物理層面安全要求：主要是從外界環(huán)境、基礎(chǔ)設(shè)施、運行硬件、介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證；——網(wǎng)絡(luò)層面安全要求：為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境中運行提供支持，確保網(wǎng)絡(luò)系統(tǒng)安全運行，提供有效的網(wǎng)絡(luò)服務(wù)；——主機層面安全要求：在物理、網(wǎng)絡(luò)層面安全的情況下，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)，以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行；——應(yīng)用層面安全要求：在物理、網(wǎng)絡(luò)、系統(tǒng)等層面安全的支持下，實現(xiàn)用戶安全需求所確定的安全目標(biāo)；——數(shù)據(jù)及備份恢復(fù)層面安全要求：全面關(guān)注信息系統(tǒng)中存儲、傳輸、處理等過程的數(shù)據(jù)的安全性。如，物理訪問控制，該控制點主要是防止非授權(quán)人員物理訪問系統(tǒng)主要工作環(huán)境，由于進(jìn)入工作環(huán)境可能導(dǎo)致的后果既可能包括系統(tǒng)無法正常運行（如，損壞某臺重要服務(wù)器），也可能竊取某些重要數(shù)據(jù)。 通用安全保護(hù)類（G類）——既關(guān)注保護(hù)業(yè)務(wù)信息的安全性，同時也關(guān)注保護(hù)系統(tǒng)的 連續(xù)可用性。如，數(shù)據(jù)的備份和恢復(fù)，該控制點很好的體現(xiàn)了對業(yè)務(wù)正常運行的保護(hù)。至于對保證業(yè)務(wù)的正常連續(xù)運行并沒有直接的影響。安全要求從整體上分為技術(shù)和管理兩大類，其中，技術(shù)類安全要求按其保護(hù)的側(cè)重點不同，將其下的控制點分為三類： 信息安全類（S類）——關(guān)注的是保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權(quán)的修改。四級安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。二級安全保護(hù)能力：應(yīng)能夠防護(hù)系統(tǒng)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。因為系統(tǒng)越重要，其所伴隨的遭到破壞的可能性越大，遭到破壞后的后果越嚴(yán)重，因此需要提高相應(yīng)的安全保護(hù)能力。將“能力”分級，是基于系統(tǒng)的保護(hù)對象不同，其重要程度也不相同，重要程度決定了系統(tǒng)所具有的能力也就有所不同。2. 不同等級的安全保護(hù)能力信息系統(tǒng)的安全保護(hù)能力包括對抗能力和恢復(fù)能力。第三級：系統(tǒng)具有較高的數(shù)據(jù)備份和系統(tǒng)備份功能，在遭到破壞后能夠較快的恢復(fù)絕大部分功能。第一級：系統(tǒng)具有基本的數(shù)據(jù)備份功能，在遭到破壞后能夠不限時的恢復(fù)部分系統(tǒng)功能?；謴?fù)能力主要從恢復(fù)時間和恢復(fù)程度上來衡量其不同級別。b) 恢復(fù)能力但在某些情況下，信息系統(tǒng)無法阻擋威脅對自身的破壞時，如果系統(tǒng)具有很好的恢復(fù)能力，那么即使遭到破壞，也能在很短的時間內(nèi)恢復(fù)系統(tǒng)原有的狀態(tài)。第四級：本等級的威脅主要是1）危害整體的嚴(yán)重的自然事件、2）國家級滲透攻擊。第三級：本等級的威脅主要是1）危害整體的自然事件、2）具備較高能力、大范圍的、有預(yù)設(shè)目標(biāo)的滲透攻擊。第二級：本等級的威脅主要是1）危害局部的較嚴(yán)重的自然事件、2）具備中等能力、有預(yù)設(shè)目標(biāo)的威脅情景。通過對威脅主要因素的分析，我們可以組合得到不同等級的威脅：第一級：本等級的威脅是1）危害范圍為局部的環(huán)境或者設(shè)備故障、2）無意的員工失誤以及3）低能力的滲透攻擊等威脅情景。l 能力——主要是針對威脅源為人的情況，它是衡量攻擊成功可能性的主要因素。l 動機——與威脅源和目標(biāo)有著密切的聯(lián)系，不同的威脅源對