【正文】 是監(jiān)視所在網(wǎng)段內(nèi)的各種數(shù)據(jù)包，對每一個數(shù)據(jù)包或可疑數(shù)據(jù)包進行分析，如果數(shù)據(jù)包與內(nèi)置的規(guī)則吻合，入侵檢測系統(tǒng)就會記錄事件的各種信息，并發(fā)出警報。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：能夠檢測常見攻擊的發(fā)生。 三級：在二級要求的基礎(chǔ)上，不僅能夠檢測，并能發(fā)出報警。 四級：在三級要求的基礎(chǔ)上，防范能力增強，做到檢測、報警并自動采取相應(yīng)動作阻斷等。 具體見下表19：要求項一級二級三級四級項目N/Aa) a)—b) a)－b)*合計0122+ 四級要求較三級，在強度上增強，當檢測到入侵事件時，不僅要求能夠發(fā)出報警，并能夠自動采取相應(yīng)動作，這對入侵檢測系統(tǒng)的要求就比較高。6. 惡意代碼防范 目前，對惡意代碼的防范已是全方位、立體防護的概念。根據(jù)對惡意代碼引入的源頭進行分析，可以得出，隨著互聯(lián)網(wǎng)的不斷發(fā)展，從網(wǎng)絡(luò)上引入到本地的惡意代碼占絕大多數(shù)。因此，在網(wǎng)絡(luò)邊界處對惡意代碼進行防范是整個防范工作的重點。部署了相應(yīng)的網(wǎng)絡(luò)防病毒產(chǎn)品后，并不代表“萬事大吉”了，根據(jù)統(tǒng)計，平均每個月有300種新的病毒被發(fā)現(xiàn)，如果產(chǎn)品惡意代碼庫跟不上這一速度，其實際檢測效率可能會大大降低，因此，必須及時地、自動更新產(chǎn)品中的惡意代碼定義。這種更新必須非常頻繁，且對用戶透明。 該控制點在不同級別主要表現(xiàn)為： 一級：無此要求。 二級：無此要求。 三級：要求能夠在網(wǎng)絡(luò)邊界處防范惡意代碼，并保持代碼庫的及時更新。 四級：與三級要求相同。 具體見下表20：要求項一級二級三級四級項目N/AN/A a)－b） a)－b） 合計00227. 網(wǎng)絡(luò)設(shè)備防護 對網(wǎng)絡(luò)安全的防護，除了對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界部署相應(yīng)的安全措施外，另外一個重要的方面就是對實現(xiàn)這些控制要求的網(wǎng)絡(luò)設(shè)備的保護。通過登錄網(wǎng)絡(luò)設(shè)備對各種參數(shù)進行配置、修改等，都直接影響網(wǎng)絡(luò)安全功能的發(fā)揮。因此，網(wǎng)絡(luò)設(shè)備的防護主要是對用戶登錄前后的行為進行控制。 該控制點在不同級別主要表現(xiàn)為： 一級：對網(wǎng)絡(luò)設(shè)備要求基本的登錄鑒別措施。 二級：對登錄要求進一步增強，提出了鑒別標識唯一、鑒別信息復(fù)雜等要求。 三級：在二級要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別，同時提 出了特權(quán)用戶權(quán)限分離。 四級：在三級要求的基礎(chǔ)上，要求其中一種鑒別技術(shù)為是不可偽造的。 具體見下表21：要求項一級二級三級四級項目a)－c)a)－f） a)－h(huán)） a)－i） 合計3689 主機安全主機系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計算機設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺式機與筆記本計算機，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分，其上承載著各種應(yīng)用。因此，主機系統(tǒng)安全是保護信息系統(tǒng)安全的中堅力量。主機系統(tǒng)安全涉及的控制點包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等九個控制點。，在三個方面都有所體現(xiàn)。一級主機系統(tǒng)安全要求：對主機進行基本的防護，要求主機做到簡單的身份鑒別，粗粒度的訪問控制以及重要主機能夠進行惡意代碼防范。二級主機系統(tǒng)安全要求：在控制點上增加了安全審計和資源控制等。同時，對身份鑒別和訪問控制都進一步加強，鑒別的標識、信息等都提出了具體的要求；訪問控制的粒度進行了細化等，惡意代碼增加了統(tǒng)一管理等。三級主機系統(tǒng)安全要求：在控制點上增加了剩余信息保護，即，訪問控制增加了設(shè)置敏感標記等，力度變強。同樣，身份鑒別的力度進一步增強，要求兩種以上鑒別技術(shù)同時使用。安全審計已不滿足于對安全事件的記錄，而要進行分析、生成報表。對惡意代碼的防范綜合考慮網(wǎng)絡(luò)上的防范措施，做到二者相互補充。對資源控制的增加了對服務(wù)器的監(jiān)視和最小服務(wù)水平的監(jiān)測和報警等。四級主機系統(tǒng)安全要求：在控制點上增加了安全標記和可信路徑，其他控制點在強度上也分別增強，如，身份鑒別要求使用不可偽造的鑒別技術(shù)，訪問控制要求部分按照強制訪問控制的力度實現(xiàn)，安全審計能夠做到統(tǒng)一集中審計等。下表表明了主機系統(tǒng)安全在控制點上逐級變化的特點：表22 主機系統(tǒng)安全層面控制點的逐級變化控制點一級二級三級四級身份鑒別****安全標記*訪問控制****可信路徑*安全審計***剩余信息保護**入侵防范****惡意代碼防范****資源控制***合計4679另外兩個特點（要求項增加和要求項強度增強）將在以下控制點描述時具體展開。1. 身份鑒別為確保系統(tǒng)的安全，必須對系統(tǒng)中的每一用戶或與之相連的服務(wù)器或終端設(shè)備進行有效的標識與鑒別，只有通過鑒別的用戶才能被賦予相應(yīng)的權(quán)限，進入系統(tǒng)并在規(guī)定的權(quán)限內(nèi)操作。該控制點在不同級別主要表現(xiàn)為：一級：主要強調(diào)了該功能的使能性，即，能夠進行簡單的身份鑒別。二級：在一級要求的基礎(chǔ)上，對登錄要求進一步增強，提出了鑒別標識唯一、鑒別信息復(fù)雜等要求。三級：在二級要求的基礎(chǔ)上，提出了兩種以上鑒別技術(shù)的組合來實現(xiàn)身份鑒別。四級：在三級要求的基礎(chǔ)上，要求其中一種鑒別技術(shù)為是不可偽造的，同時增加了設(shè)置鑒別警示信息的要求。具體見下表23：要求項一級二級三級四級項目a)a)－e) a)—f) a)—g) *合計1568+其中，四級中g(shù))是在三級的基礎(chǔ)上要求其中一種鑒別技術(shù)為是不可偽造的，所以是增強要求。2. 安全標記在主機系統(tǒng)層面，在高級別系統(tǒng)中要實現(xiàn)強度較強的訪問控制必須要增加安全標記，通過對主體和客體進行標記，主體不能隨意更改權(quán)限，權(quán)限是由系統(tǒng)客觀具有的屬性以及用戶本身具有的屬性決定的，因此，在很大程度上使非法訪問受到限制，增加了訪問控制的力度。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求對所有主體和客體設(shè)置敏感標記。具體見下表24：要求項一級二級三級四級項目N/AN/AN/Aa) 合計00013. 訪問控制在系統(tǒng)中實施訪問控制是為了保證系統(tǒng)資源（操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)）受控合法地使用。用戶只能根據(jù)自己的權(quán)限大小來訪問系統(tǒng)資源，不得越權(quán)訪問。該控制點在不同級別主要表現(xiàn)為：一級：要求根據(jù)一定的控制策略來限制用戶對系統(tǒng)資源的訪問，控制粒度較粗。二級：在一級要求的基礎(chǔ)上，實現(xiàn)不同系統(tǒng)用戶的權(quán)限分離。三級：除二級要求外，強調(diào)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時要求對重要信息資源設(shè)置敏感標記。四級：除三級要求外，增加了強制訪問控制的部分功能，要求依據(jù)安全策略和所有主體和客體設(shè)置的敏感標記控制主體對客體的訪問訪問，同時增強了控制粒度，達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表、記錄和字段級。具體見下表25：要求項一級二級三級四級項目a)－c)a) d) a)—g) a) *—f) 合計3476+ 其中，在四級，去掉了三級中的f)和g)同時對a) 要求依據(jù)安全策略和所有主體和客體設(shè)置的敏感標記控制主體對客體的訪問訪問，增強了要求，所以是a)*，同時在四級中增加了b)，主要是增強了控制粒度，所以盡管四級的要求項減少了，但實際要求增強了。4. 可信路徑在計算機系統(tǒng)中，用戶一般并不直接與內(nèi)核打交道，通過應(yīng)用層作為接口進行會話。但由于應(yīng)用層并不是能完全信任的，因此在系統(tǒng)的安全功能中，提出了“可信路徑”這一概念（也是桔皮書B2級的安全要求）。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：無此要求。四級：要求在用戶進行身份鑒別和訪問時，提供用戶與系統(tǒng)之間可信的安全通信路徑。具體見下表26：要求項一級二級三級四級項目N/AN/AN/Aa) –b)合計00025. 安全審計同網(wǎng)絡(luò)安全審計相似，對主機進行安全審計，目的是為了保持對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的運行情況以及系統(tǒng)用戶行為的跟蹤，以便事后追蹤分析。主機安全審計主要涉及的方面包括：用戶登錄情況、系統(tǒng)配置情況以及系統(tǒng)資源使用情況等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對用戶行為、系統(tǒng)異常情況等基本情況進行審計、記錄，審計范圍僅覆蓋服務(wù)器用戶。三級：除二級要求外，要求對形成的記錄能夠分析、生成報表。同時對審計記錄提出了保護要求。另外，審計覆蓋范圍擴大，由二級的服務(wù)器擴展到客戶端。四級：除三級要求外，要求做到集中審計。具體見下表27：要求項一級二級三級四級項目N/Aa)－d)a)*—f) a)—g) 合計046+7其中，三級中的審計覆蓋的范圍由二級的服務(wù)器到服務(wù)器和客戶端的數(shù)據(jù)庫和操作系統(tǒng)用戶，審計的力度增強，所以是a)*。6. 剩余信息保護為保證存儲在硬盤、內(nèi)存或緩沖區(qū)中的信息不被非授權(quán)的訪問，操作系統(tǒng)應(yīng)對這些剩余信息加以保護。用戶的鑒別信息、文件、目錄等資源所在的存儲空間，操作系統(tǒng)將其完全清除之后，才釋放或重新分配給其他用戶。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：無此要求。三級：要求對存放鑒別信息、文件、記錄等存儲空間進行重新使用前的清除。四級：與三級要求相同。具體見下表28：要求項一級二級三級四級項目N/AN/Aa)－b)a)－b)合計00227. 入侵防范由于基于網(wǎng)絡(luò)的入侵檢測只是在被監(jiān)測的網(wǎng)段內(nèi)對網(wǎng)絡(luò)非授權(quán)的訪問、使用等情況進行防范，它無法防范網(wǎng)絡(luò)內(nèi)單臺主機、服務(wù)器等被攻擊的情況?；谥鳈C的入侵檢測，可以說是基于網(wǎng)絡(luò)的“補充”，補充檢測那些出現(xiàn)在“授權(quán)”的數(shù)據(jù)流或其他遺漏的數(shù)據(jù)流中的入侵行為。該控制點在不同級別主要表現(xiàn)為：一級：基本的防范要求，要求安裝應(yīng)遵循最小授權(quán)原則，并及時更新。二級：在一級的基礎(chǔ)上要求設(shè)置升級服務(wù)器方式及時更新。三級：在二級的基礎(chǔ)上，增加對入侵行為進行記錄和檢測，并能夠采取報警等措施；對重要程序完整性進行檢測并恢復(fù)。四級：同三級要求。具體見下表29：要求項一級二級三級四級項目a)a)*a)－c)a)－c)合計11+338. 惡意代碼防范惡意代碼一般通過兩種方式造成各種破壞，一種是通過網(wǎng)絡(luò)，另外一種就是通過主機。網(wǎng)絡(luò)邊界處的惡意代碼防范可以說是防范工作的“第一道門檻”，然而，如果惡意代碼通過網(wǎng)絡(luò)進行蔓延，那么直接后果就是造成網(wǎng)絡(luò)內(nèi)的主機感染，所以說，網(wǎng)關(guān)處的惡意代碼防范并不是“一勞永逸”。另外，通過各種移動存儲設(shè)備的接入主機，也可能造成該主機感染病毒，而后通過網(wǎng)絡(luò)感染其他主機。所以說，這兩種方式是交叉發(fā)生的，必須在兩處同時進行防范，才能盡可能的保證安全。該控制點在不同級別主要表現(xiàn)為：一級：重要主機應(yīng)安裝一定的防范產(chǎn)品。二級：在一級要求的基礎(chǔ)上，要求對惡意代碼進行統(tǒng)一管理。三級：除二級要求外，要求主機與網(wǎng)絡(luò)處的防范產(chǎn)品不同。四級：與三級要求相同。具體見下表30：要求項一級二級三級四級項目a）a)－b）a)－c)a)－c)合計1233由于不同產(chǎn)商的惡意代碼防范產(chǎn)品在惡意代碼庫的定義以及升級時機上都有所不同，因此，如果主機和網(wǎng)絡(luò)的防范產(chǎn)品出于不同廠家，那么二者相互補充，在防范水平上會較同樣一種產(chǎn)品防范兩處要高。因此，在三級要求系統(tǒng)能夠采取兩種產(chǎn)品防范的要求。由于信息系統(tǒng)具有網(wǎng)絡(luò)層次多、節(jié)點多、覆蓋地域廣等特點，各部門對計算機的使用和維護水平也不盡相同，這些均要求防惡意代碼軟件能夠提供統(tǒng)一管理和集中監(jiān)控，能夠在惡意代碼監(jiān)控中心的統(tǒng)一管理下，統(tǒng)一、自動升級，將潛在的惡意代碼感染源清除在感染之前。同時，也極大的簡化了系統(tǒng)維護工作，有利于防范惡意代碼策略的有效實施。9. 資源控制操作系統(tǒng)是非常復(fù)雜的系統(tǒng)軟件，其最主要的特點是并發(fā)性和共享性。在邏輯上多個任務(wù)并發(fā)運行，處理器和外部設(shè)備能同時工作。多個任務(wù)共同使用系統(tǒng)資源，使其能被有效共享，大大提高系統(tǒng)的整體效率，這是操作系統(tǒng)的根本目標。通常計算機資源包括以下幾類：中央處理器、存儲器、外部設(shè)備、信息（包括程序和數(shù)據(jù)），為保證這些資源有效共享和充分利用，操作系統(tǒng)必須對資源的使用進行控制，包括限制單個用戶的多重并發(fā)會話、限制最大并發(fā)會話連接數(shù)、限制單個用戶對系統(tǒng)資源的最大和最小使用限度、當?shù)卿浗K端的操作超時或鑒別失敗時進行鎖定、根據(jù)服務(wù)優(yōu)先級分配系統(tǒng)資源等。該控制點在不同級別主要表現(xiàn)為：一級：無此要求。二級：要求對單個用戶的會話數(shù)量以及終端登錄進行限制。三級：除二級要求外，增加了監(jiān)視服務(wù)器和對系統(tǒng)最小服務(wù)進行監(jiān)測和報警的要求。四級：與三級要求相同。具體見下表31：要求項一級二級三級四級項目N/Aa)－c）a)－e)a)－e)合計0355 應(yīng)用安全通過網(wǎng)絡(luò)、主機系統(tǒng)的安全防護，最終應(yīng)用安全成為信息系統(tǒng)整體防御的最后一道防線。在應(yīng)用層面運行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以及特定業(yè)務(wù)應(yīng)用?；诰W(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ)，包括消息發(fā)送、web瀏覽等，可以說是基本的應(yīng)用。業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求，如電子商務(wù)、電子政務(wù)等。由于各種基本應(yīng)用最終是為業(yè)務(wù)應(yīng)用服務(wù)的，因此對應(yīng)用系統(tǒng)的安全保護最終就是如何保護系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運行。應(yīng)用安全主要涉及的安全控制點包括：身份鑒別、安全標記、訪問控制、可信路徑、安全審計、剩余信息保