1.3　信息安全管理基础

1.3.1　信息安全管理

信息安全管理是随着信息和信息安全的发展而发展的。在当今信息社会中，信息已成为人类的重要资产，而由于计算机及网络技术的迅猛发展带来的信息安全问题正变得日益突出，使得组织在业务运作过程中面临巨大的信息资产泄露风险，信息基础设施也面临着大量存在于组织内外的各种威胁。因此，对信息系统需要加以严格管理和妥善维护，信息安全管理也随之产生。

信息安全是一个广泛而抽象的概念，不同的领域不同的方向对其概念的阐述都会有所不同。对建立在现代计算机及网络的基础之上的信息系统，比较明确的定义是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意的侵犯而遭受破坏、更改和泄露；保证信息系统中信息的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。从更为广义的概念来看，当前信息安全的主要内容或目标可能还需要包括不可否认性（Non-Repudiability）、可控性（Controllability）、真实性（Authenticity）和有效性（Utility）等。为此，需要通过采用相应的计算机软硬件技术、网络技术、密码技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，其机密性、完整性和可用性等不被破坏。

信息安全的构建是一个系统工程，需要对信息系统的各个环节进行统一的综合考虑、规划和构架，并随时兼顾系统内外的变化情况。因此，信息安全管理的引入，对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要的意义和作用，是信息安全保障体系建设的重要组成部分。信息安全管理则可定义为通过维护信息的机密性、完整性和可用性等来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。

信息安全管理是保护国家、组织、个人等各个层面上信息安全的重要基础。只有以有效的信息安全管理体系为基础，完善信息安全的管理结构，综合应用信息安全管理策略和信息安全技术产品，才有可能建立起一个真正意义上的信息安全防护体系。信息安全管理应当涉及信息安全的各个方面，包括制定信息安全策略、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全培训等一系列工作。

信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标，以及完善这些目标所采用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，可表示为策略、原则、目标、方法、程序和资源等总的集合。以下从几个具体的方面做进一步的描述。

1.3.1.1　密码管理

为了保护计算机和信息系统中的敏感信息，有选择地采取技术上的和相关程序上的安全防护措施是各组织在信息安全管理体系中的迫切需求。使用基于密码机制的安全系统来保护敏感信息是行之有效的方法。被保护信息的机密性和完整性等安全特性由相应密码模块的功能来实现。因此，将密码模块置于信息安全系统中以及相应的密码管理就显得尤为重要。

在当今网络化、信息化的时代，密码技术的运用已经深入到各行各业以及人们的日常生活的各个方面。小到智能电话卡、银行信用卡，大到电子商务、电子政务，从个人到公司，从组织到政府，无一例外地越来越依赖密码技术所提供的保护。随着信息和信息技术的发展，电子数据交换逐步成为人们交换信息的主要形式。密码在信息安全领域中的应用将会不断拓宽，信息安全对密码的依赖也会越来越大。密码从最原始的利用一种变换来保护信息的秘密性，发展到适应当今信息技术的现代密码学，不仅用于解决信息保护的秘密性，而且也用于解决信息的完整性、可用性、可控性和不可抵赖性等。因此，可以说密码技术是保护信息安全的最有效手段，也是保护信息安全的最关键技术。

密码是一门科学，作为运用于军事和政治斗争的一种技术，有着悠久的历史。密码在古代就被用于传递秘密消息。在近代和现代战争中，传递情报和指挥战争均离不开密码，外交斗争中也离不开密码。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展，密码技术的发展也非常迅速，应用领域不断扩展。密码除了用于信息加密外，也用于数据信息签名和安全认证。这样，密码的应用也不再只局限于为军事、外交斗争服务，它也广泛应用在社会和经济活动中。当今世界已经出现了密码应用的社会化和个人化趋势。例如：可以将密码技术应用在电子商务中，对网上交易双方的身份和商业信用进行识别，防止网上电子商务中的“黑客”和欺诈行为；应用于增值税发票中，可以防伪、防篡改，杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为，并大大方便了税务稽查；应用于银行支票鉴别中，可以大大降低利用假支票进行金融诈骗的金融犯罪行为；应用于个人移动通信中，大大增强了通信信息的保密性等等。

过去密码的研制、生产、使用和管理都是在封闭的环境下进行的。1970年代以来，随着计算机、通信和信息技术的发展，密码领域也发生了新的变化。密码应用范围日益扩大，社会对密码的需求更加迫切，密码研究领域不断拓宽，密码研究也从专业机构走向社会和民间，密码技术得到了空前的发展。

基于密码的安全系统的设计和实现涉及密码模块的设计和实现。所谓密码模块就是一个硬件、软件、固件或其他相关组件的组合，用以实现密码的逻辑和处理。密码模块是提供密码服务（如加解密、签名、鉴别等）的系统或应用的一部分，也是整个安全系统的核心。

然而，密码学和密码机制不仅仅是一个与各个国家的外交和军事机构有关的问题，而且对于公民或个人与代表社会的国家之间的长久利益冲突有深远的影响。一方面，公民或公司通过有效的密码体制来保护公民的私人空间或公司商业利益，这是他们无可辩驳的权利。另一方面，国家又有法律所赋予的责任，必须保护国家的内外安全，而这又需要获取加密的消息来获得情报。因此，必然就会存在国家利益和个人利益的矛盾与冲突。

关于密码技术涉及的国家利益问题，各个国家的政策不尽相同。由于密码技术作为商品的特殊性，在美国，政府凭借其信息技术的优势，通过出口信息安全和密码产品来达到控制、获取别国信息的目的，并且在不同的时期适时的调整其密码管理政策。例如，美国政府最初限制40位密钥长度以上的密码产品出口，继而同意具有密钥托管或密钥恢复功能的强密码出口，这些政策都是美国政府可以控制和解读的，更不用说在密码芯片和操作系统中还会隐藏着人们尚未发现的危险性更大的一些“限门”和“木马”。一旦国家利益发生冲突，那些隐藏的木马可能会在某些秘密指令下激活起来，破坏或篡改系统中的重要信息，或把这些重要信息通过网络秘密的发送出去。对此，我们必须有清醒的认识。

加强对商用密码管理是目前国际上通行的做法。例如美国政府对密码出口的严格管制，其目的之一便是控制密码技术外流，以免为执法机关和情报机构“非正常获取”信息增加困难；其二是监控密码市场的发展情况；最后则是出于外交政策的需要。

我国的商用密码管理原则，在中共中央办公厅1996年27号文中，明确了我国发展和管理商用密码实行“统一领导，集中管理，定点研制，专控经营，满足使用”的20字方针。

商用密码的应用领域十分广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如：商用密码可用于企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容；也可用于各种安全认证、网上银行、数字签名等。

根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定：“本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。

如何来理解《条例》中对商用密码的定义呢？第一，它明确了商用密码是用于“不涉及国家秘密内容的信息”领域，即非涉密信息领域。商用密码所涉及的范围很广，凡是不涉及国家秘密内容的信息，又需要用密码加以保护的，均可以使用商用密码。第二，它指明了商用密码的作用，是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证，是现代密码的主要应用之一。第三，定义将商用密码归结为商用密码技术和商用密码产品，也就是说，商用密码是商用密码技术和商用密码产品的总称。而商用密码技术，则是指能够实现商用密码算法的加密、解密和认证等功能的技术（包括密码算法编程技术和密码算法芯片、加密卡等的实现技术）。商用密码技术是商用密码的核心，国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。

由原国家密码管理委员会办公室变更而来的国家密码管理局，履行对全国的密码管理职能，自成立以来，先后发布了《电子认证服务密码管理办法》及相应的《证书认证系统密码及其相关安全技术规范》。并于2006年1月1日起，施行《商用密码科研管理规定》、《商用密码产品生产管理规定》和《商用密码产品销售管理规定》。

国家密码管理局于2006年1月6日发布公告，公布了“无线局域网产品须使用的系列密码算法”，包括：

• 对称密码算法：SMS4；

• 签名算法：ECDSA；

• 密钥协商算法：ECDH；

• 杂凑算法：SHA-256；

• 随机数生成算法：自行选择。

其中，ECDSA和ECDH密码算法须采用国家密码管理局指定的椭圆曲线和参数。

这是国内官方公布的第一个商用密码算法系列。经过曲折和艰难的历程，我国商用密码终于掀开了神秘的面纱。该系列算法的公布是我国密码管理的突破性进展，对我国信息化安全和信息安全产业的健康发展必将起到关键性作用，对电子商务的发展也将起到推动作用，在我国信息化发展史上，具有里程碑的性质。

虽然公布的算法仅是指定给无线局域网产品使用的算法，但是它的公布在某种意义上代表了商用密码发展方向，将开辟我国密码管理的新航道。在其后的发展中，会有适合于更广泛范围应用的、种类更加丰富的密码算法公布于众。

有了公开的密码算法，密码和信息安全产品的研制者将有统一的标准和规范可以依循，可以将更多的精力放在产品技术和服务质量的竞争上；密码和信息安全产品的使用者可以不再担心由于产品的互操作性和可替代性差引起的另类安全问题；密码研究者可以有更加令人兴奋、更具现实意义和更具挑战性的研究课题。具有政治意义的是，此举向国际上展示了我国密码研究的实力和密码管理的胆略。此外，有了我国自己的普适性（指的是适用于高、中、低端软硬平台）的密码标准，密码使用者将不再面临不得不违背管理部门的要求而使用国外密码算法的尴尬。

根据国家密码管理局的最新公告，于2007年12月29日起施行《可信计算密码支撑平台功能与接口规范》；于2008年1月8日起施行《IPSec VPN技术规范》。

1.3.1.2　网络管理

网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重，网络安全管理还逐渐成为网络管理技术中的一个重要分支，正受到业界及用户的日益深切的广泛关注。

目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，各自为战，形成了相互没有关联的、隔离的“安全孤岛”；各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，从而使安全产品的应用效能无法得到充分的发挥。

从网络安全管理员的角度来说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生的大量日志信息和报警信息进行统一汇总、分析和审计；同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。

但是，一方面，由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂，异构性、差异性非常大，而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象（设备、系统、用户等），工作复杂度非常之大。

另一方面，应用系统是为业务服务的。企业内的员工在整个业务处理过程中处于不同的工作岗位，其对应用系统的使用权限也不尽相同，网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。

另外，对大型网络而言，管理与安全相关的事件变得越来越复杂。网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析，才能发现新的或更深层次的安全问题。

因此，比较理想的网络管理需要建立一种新型的整体网络安全管理解决方案——统一安全管理平台，来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。

网络管理最突出的特点是对网络组成成分管理的统一性和远程性。利用统一的入口，无论身处何处，管理员都能够实现对网络的勘查和控制。这是以保证网络传输的性能和安全性为前提的。为此，网络管理体系结构应该包括以下四个方面：

（1）协议：以SNMP为主。因为SNMP属于应用层，因而可方便地支持全网性远程管理，前提是物理上的可达性。

（2）表示：适用面向对象式的表示方法，例如SNMP所使用的ASN.1定义方法，用于定义管理对象库（MIB），并需针对新的管理需求（如业务管理）定义新的MIB库。

（3）安全：管理者和被管理者之间要有认证和加密协议。管理和被管理对象之间一定要建立安全联系，保证管理动作万无一失。

（4）对象：包括设备、各种协议、业务和交易过程。这将是管理的目标所在。网管的目的不仅在于提供网络单元和网络功能的透明性，更重要的是，使得网络各组成部分协调统一地支持用户需求和各种业务。这部分工作有两方面：其一是定义被管对象的属性及其操作方法，其二是对其进行表示化工作。这很像是对网络进行面向对象的分析和设计。

概括而言，在一个网络管理体系的四个部分，即：被管理对象本身、被管理对象的表示方法、管理协议和上层管理操作中，被管理信息的表示方法和网络管理通信协议是最容易做到标准化的，发展变化余量较小；被管理对象和管理操作虽然也可以部分做到标准化，但受具体网络技术和业务、政策的影响比较大，总是处于变化之中。总体而言，网络管理的4个确定性特征是：统一化、智能化、安全化和主动化。

目前，针对不同的网络管理内容，形成了网络管理多个发展方向。其中主要的几个开发方向有：网管系统、应用性能管理、桌面管理、员工行为管理、安全管理。

1．网管系统

（1）主要是针对网络设备进行监测、配置和故障诊断。主要功能有自动拓扑发现、远程配置、性能参数监测、故障诊断。网管系统主要由两类公司开发，一类是通用软件供应商，另一类是各个设备厂商。

（2）通用软件供应商开发的NMS系统是针对各个厂商网络设备的通用网管系统。各个设备厂商为自己产品设计的专用NMS系统对自己的产品监测、配置功能非常全面，可监测一些通用网管系统无法监测的重要性能指标，还有一些独特配置功能。但是对其他公司生产的设备基本上就无能为力了。

2．应用性能管理

（1）应用性能管理是一个比较新的网络管理方向，主要指对企业的关键业务应用进行监测、优化，提高企业应用的可靠性和质量，保证用户得到良好的服务，降低IT总拥有成本。一个企业的关键业务应用的性能强大，可以提高竞争力，并取得商业成功，因此，加强应用性能管理（APM）可以产生巨大商业利益。

（2）应用性能管理主要功能如下。

• 监测企业关键应用性能：过去，企业的IT部门在测量系统性能时，一般重点测量为最终用户提供服务的硬件组件的利用率，如CPU利用率以及通过网络传输的字节数。虽然这种方法也提供了一些宝贵的信息，但却忽视了最重要的因素——最终用户的响应时间。现在通过事务处理过程监测、模拟等手段可真实测量用户响应时间，此外还可以报告谁正在使用某一应用、该应用的使用频率以及用户所进行的事务处理过程是否成功完成。

• 快速定位应用系统性能故障：通过对应用系统各种组件（数据库、中间件）的监测，迅速定位系统故障，如发生数据库死锁等问题。

• 优化系统性能：精确分析系统各个组件占用系统资源情况，中间件、数据库执行效率，根据应用系统性能要求提出专家建议，保证应用在整个寿命周期内使用的系统资源要求最少，节约IT总拥有成本。

3．桌面管理系统

桌面管理环境是由最终用户的电脑组成，这些电脑运行Windows、MAC等系统。桌面管理是对计算机及其组件管理，内容比较多，目前主要关注在资产管理、软件派送和远程控制。桌面管理系统通过以上功能，一方面减少了网管员的劳动强度，另一方面增加系统维护的准确性、及时性。这类系统通常分为两部分——管理端和客户端。

4．员工行为管理

员工行为管理包括两部分，一部分是员工网上行为管理（EIM），另一部分是员工桌面行为监测。它一般在Internet应用层、网络层对信息控制，对数据根据EIM数据库进行过滤；定制因特网访问策略，根据用户、团组、部门、工作站或网络设置不同的因特网访问策略。

5．安全管理

网络安全管理指保障合法用户对资源安全访问，防止并杜绝黑客蓄意攻击和破坏。它包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。在选择产品时可以考虑以下方面：系统自身性能稳定；系统协议分析检测能力及解码速率；系统升级服务等。

1.3.1.3　设备管理

对设备的安全管理是保证信息系统安全的重要条件。设备安全管理包括设备的选型、检测、安装、登记、使用、维护和存储管理等多方面的内容。

设备管理的不安全可能会带来灾难性的后果，在一些重要的部门尤为如此。由于设备管理的安全缺陷可能带来的严重后果有：

如果系统的存储设备丢失或损坏，存储在其上的所有数据就都丢失了。即使事先有一定的备份，也将造成在备份数据恢复到替代设备上的过程中不能对数据进行及时访问。而如果丢失的数据没有加密，即使有备份可以进行数据的恢复，也很难确定丢失的重要数据没有被恶意的复制。如果是在商业上的一个竞争对手通过设备管理的缺陷获取了存储设备上的重要商业数据，那么通过备份进行的数据恢复也就没有很大的实际意义。

为了保障信息网络系统的物理安全，对系统所在环境的安全保护，应遵守国家标准GB50173－1993《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－1988《计算站场地安全要求》。网络设备、设施应配备相应的安全保障措施，包括防盗、防毁、防电磁干扰等，并定期或不定期地进行检查。

信息系统采用有关信息安全技术措施和采购相应的安全设备时，应遵循以下原则：

（1）严禁使用未经国家信息安全测评机构认可的信息安全产品；

（2）尽量避免直接使用境外的密码设备，必须采用境外的信息安全产品时，该产品须通过国家信息安全测评机构的认可；

（3）严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的国内密码设备。

设备的使用和维护须严格按照预先制定的信息系统安全管理规定执行。对设备进行维护维修时，至少应该做到以下几点：

（1）应根据设备的资质情况及系统的可靠性等级，制定相关的预防性维护维修计划；

（2）对系统进行设备维护维修时应采取相关的数据保护措施，对维护维修的情况进行记录并有专人管理；

（3）对折旧设备的处理或严重故障无法维修的设备处理，须由专业人士或机构对其进行鉴定并对其中的敏感数据进行处理、登记，提出报告和处理意见报管理机构备案和批准后方可进行报废处理。

1.3.1.4　人员管理

信息系统是由人来开发的，也是为人类服务的。影响信息系统安全的因素，除了少数难以预知和不可抗力的自然因素以外，绝大多数的安全威胁来自于人类自己。如有意对信息系统进行攻击和破坏的黑客、计算机病毒，以及无意的操作失误等。因此，人始终是影响信息系统安全的最大因素，人员管理也就成为信息系统安全管理的关键。全面提高信息系统相关人员的技术水平、道德品质和安全意识等是信息系统安全的重要保证。

制定安全措施、标准、原则和实施过程，仅仅是有效的信息安全计划的开始。如果不能切实保证参与人员都能意识到自己的权利和责任，再强大的安全体系也是徒劳的。有效的安全计划是管理层为保护其关键信息资源而采取的最为有效的办法。实施有效的安全意识计划，将有助于员工懂得为什么要认真保护信息资源，他们会得到什么好处，安全计划对员工完成工作有何帮助。安全意识计划的实施要覆盖到所有层次的所有员工。

许多安全事件都是由内部人员引起的，因此，人员的素质和人员的管理是十分重要的。人员管理的核心是要确保有关业务人员的思想素质、职业道德和业务素质。

人员管理的第一关要求加强人员审查，主要从人员的安全意识、法律意识和安全技能等几个方面进行审查。

有关人员的安全等级与信息密切相关，因此人员审查必须根据信息系统所规定的安全等级确定审查标准。所有人员应明确其在安全系统中的职责和权限。所有人员的工作、活动范围应当被限制在完成其任务的最小范围内。

对于人员管理的人事安全审查，要求对某人是否适合参与信息安全保障和接触敏感信息进行审查以判断是否值得信任。

来自人员的信息安全威胁，通常是由于安全意识淡薄，对信息安全方针不理解或专业技能不足等原因造成的。因此，为确保工作人员意识到信息安全的威胁和隐患，并在他们正常工作时遵守组织的信息安全方针，组织需要提供必要的信息安全教育和培训。

信息安全人员管理的安全教育对象，应当包括信息安全相关的所有人员，可能包括：领导和管理人员；信息系统的工程技术人员，包括系统研发和维护人员；一般用户；其他相关人员等。

信息安全教育和培训的具体内容和要求因对象不同而不同，主要包括法规教育，安全技术教育和安全意识教育等。

法规教育是信息安全教育的核心，只要与信息系统相关的人员都应该接受信息安全的法规教育。信息及信息安全技术，是信息安全的技术保障。常用的信息安全技术包括加密技术、防火墙技术、入侵检测技术、漏洞扫描技术、备份技术、计算机病毒防御技术和反垃圾邮件技术等。为了防止信息安全相关人员在操作信息系统时，由于误操作等引入安全威胁，对信息安全造成影响，应当对相关人员进行安全技术教育和培训。此外，作为安全技术教育的一部分，还必须了解信息系统的脆弱点和风险，以及与此有关的风险防范措施和技术。

所有信息系统相关人员都应当接受信息安全意识教育。安全意识教育主要包括：组织信息安全方针与控制目标；安全职责、安全程序及安全管理规章制度；适用的法律法规；防范恶意软件以及其他与安全有关的内容等。

1.3.2　信息安全政策

1.3.2.1　等级保护

为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》，并于2007年6月联合发文实施。

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

《信息安全等级保护管理办法》明确规定，在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859—1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术信息系统通用安全技术要求》（GB/T20271—2006）、《信息安全技术网络基础安全技术要求》（GB/T20270—2006）、《信息安全技术操作系统安全技术要求》（GB/T20272—2006）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273—2006）、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》（GA/T671—2006）等技术标准同步建设符合该等级要求的信息安全设施。其中GB17859—1999标准是计算机信息系统安全等级保护系列标准的核心，是施行计算机信息系统安全等级保护制度建设的重要基础。

GB17859—1999标准规定了计算机系统安全保护能力的五个等级，即：用户自主保护级；系统审计保护级；安全标记保护级；结构化保护级；访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

每一等级的具体划分准则与要求如下。

1．第一级用户自主保护级

本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

本级实施的是自主访问控制，即计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制（例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；阻止非授权用户读取敏感信息。

计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。

计算机信息系统可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信息。

2．第二级系统审计保护级

与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

本级在自主访问控制的基础上控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。

本级的身份鉴别通过为用户提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。

在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。

计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。

对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

计算机信息系统可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信息以保证数据完整性。

3．第三级安全标记保护级

本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

本级的主要特征是计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该用户的安全级和授权的控制。

计算机信息系统可信计算基应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算基审计。

从用户的角度来看，系统仍呈现两大功能：身份鉴别和审计。计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算基使用这些数据鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力，能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的能力。

对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。

4．第四级结构化保护级

本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。

在第三级实施的自主和强制访问控制基础上，进一步扩展到所有主体和客体。计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源（例如：主体、存储客体和输入输出资源）实施强制访问控制。计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资源（例如：主体、存储客体、只读存储器）相关的敏感标记。

在第三级审计的基础上，计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。

计算机信息系统可信计算基通过自主和强制完整性策略。阻止非授权用户修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。

系统开发者应彻底搜索隐蔽存储信道，并根据实际测量或工程估算确定每一个被标识信道的最大带宽。

对用户的初始登录和鉴别，计算机信息系统可信计算基在它与用户之间提供可信通信路径。该路径上的通信只能由该用户初始化。

5．第五级访问验证保护级

本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。

与第四级相比，自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。

审计方面，计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警。并且，如果这些与安全相关的事件继续发生或积累，系统应以最小的代价中止它们。

对于可信路径，当连接用户时（如注册、更改主体安全级），计算机信息系统可信计算基提供它与用户之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活，且在逻辑上与其他路径上的通信相隔离，且能正确地加以区分。计算机信息系统可信计算基提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

1.3.2.2　分级保护

1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务，提出要建立与《保密法》相配套的保密法规体系和执法体系，建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日，国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》，同时，《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施，国家已经基本形成了完善的保密法规体系。

涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是党政机关、军队和军工单位，由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏。国家秘密信息是国家主权的重要内容，关系到国家的安全和利益，一旦泄露，必将直接危害国家的政治安全、经济安全、国防安全、科技安全和文化安全。没有国家秘密的信息安全，国家就会丧失信息主权和信息控制权，所以国家秘密的信息安全是国家信息安全保障体系中的重要组成部分。

因为不同类别、不同层次的国家秘密信息，对于维护国家安全和利益具有不同的价值，所以需要不同的保护强度种措施。对不同密级的信息，应当合理平衡安全风险与成本，采取不同强度的保护措施，这就是分级保护的核心思想。对涉密信息系统实行分级保护，就是要使保护重点更加突出，保护方法更加科学，保护的投入产出比更加合理，从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。

涉密信息系统实行分级保护，先要根据涉密信息的涉密等级，涉密信息系统的重要性，遭到破坏后对国计民生造成的危害性，以及涉密信息系统必须达到的安全保护水平来确定信息安全的保护等级；涉密信息系统分级保护的核心是对信息系统安全进行合理分级、按标准进行建设、管理和监督。国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准，目前，正在执行的两个分级保护的国家保密标准是 BMB17 《涉及国家秘密的信息系统分级保护技术要求》和 BMB20 《涉及国家秘密的信息系统分级保护管理规范》。从物理安全、信息安全、运行安全和安全保密管理等方面，对不同级别的涉密信息系统有明确的分级保护措施，从技术要求和管理标准两个层面解决涉密信息系统的分级保护问题。

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级（增强）、绝密级三个等级：

（1）秘密级，信息系统中包含有最高为秘密级的国家秘密，其防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。

（2）机密级，信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级（增强）的要求：

• 信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门；

• 信息系统中的机密级信息含量较高或数量较多；

• 信息系统使用单位对信息系统的依赖程度较高。

（3）绝密级，信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相连。

涉密信息系统分级保护的管理过程分为八个阶段，即系统定级阶段、安全规划方案设计阶段、安全工程实施阶段、信息系统测评阶段、系统审批阶段、安全运行及维护阶段、定期评测与检查阶段和系统隐退终止阶段等。在实际工作中，涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段，尤其要引起重视。这三个阶段的具体实施方法如下：

1．涉密信息系统的定级

系统定级决定了系统方案的设计实施、安全措施、运行维护等涉密信息系统建设的各个环节，因此如何准确地对涉密信息系统进行定级在涉密信息系统实施分级保护中尤为重要。涉密信息系统定级遵循“谁建设、谁定级”的原则，可以根据信息密级、系统重要性和安全策略划分为不同的安全域，针对不同的安全域确定不同的等级，并进行相应的保护。在涉密信息系统定级时，可以综合考虑涉密信息系统中资产、威胁、受到损害后的影响，以及使用单位对涉密信息系统的信赖性等因素对涉密信息系统进行整体定级；同时，在同一个系统里，还允许划分不同的安全域，在每个安全域可以分别定级，不同的级别采取不同的安全措施，更加科学地实施分级保护，在一定程度上可以解决保重点，保核心的问题，也可以有效地避免因过度保护而造成应用系统运行效能降低以及投资浪费等问题。涉密信息系统建设单位在定级的同时，必须报主管部门审批。

2．安全规划方案设计的设施与调整

涉密信息系统要按照分级保护的标准，结合涉密信息系统应用的实际情况进行方案设计。设计时要逐项进行安全风险分析，并根据安全风险分析的结果，对部分保护要求进行适当的调整和改造，调整应以不降低涉密信息系统整体安全保护强度，确保国家秘密安全为原则。当保护要求不能满足实际安全需求时，应适当选择采用部分较高的保护要求，当保护要求明显高于实际安全需求时，可适当选择采用部分较低的保护要求。对于安全策略的调整以及改造方案进行论证，综合考虑修改项和其他保护要求之间的相关性，综合分析，改造方案的实施以及后续测评要按照国家的标准执行，并且要求文档化。在设计完成之后要进行方案论证，由建设使用单位组织有关的专家和部门进行方案设计论证，确定总体方案达到分级保护技术的要求后再开始实施；在工程建设实施过程中注意工程监理的要求；建设完成之后应该进行审批；审批前由国家保密局授权的涉密信息系统测评机构进行系统测评，确定在技术层面是否达到了涉密信息系统分级保护的要求。

3．安全运行与维护

运行及维护过程的不可控性以及随意性，往往是涉密信息系统安全运行的重大隐患。通过运行管理和控制、变更管理和控制，对安全状态进行监控，对发生的安全事件及时响应，在流程上对系统的运行维护进行规范，从而确保涉密信息系统正常运行。通过安全检查和持续改进，不断跟踪涉密信息系统的变化，并依据变化进行调整，确保涉密信息系统满足相应分级的安全要求，并处于良好安全状态。由于运行维护的规范化能够大幅度地提高系统运行及维护的安全级别，所以在运行维护中应尽可能地实现流程固化，操作自动化，减少人员参与带来的风险。还需要注意的是在安全运行及维护中保持系统安全策略的准确性以及与安全目标的一致性，使安全策略作为安全运行的驱动力以及重要的制约规则，从而保持整个涉密信息系统能够按照既定的安全策略运行。在安全运行及维护阶段，当局部调整等原因导致安全措施变化时，如果不影响系统的安全分级，应从安全运行及维护阶段进入安全工程实施阶段，重新调整和实施安全措施，确保满足分级保护的要求；当系统发生重大变更影响系统的安全分级时，应从安全运行及维护阶段进入系统定级阶段，重新开始一次分级保护实施过程。

随着我们国家民主与法制建设进程的不断推进，保密的范围和事项正在逐步减少，致使一些涉密人员保密意识和敌情观念淡化，对保密工作的必要性和重要性认识不足。虽然长期处于和平时期，但并不意味着无密可保。事实上，政府部门掌握着大量重要甚至核心的机密，已成为各种窃密活动的重点目标。我党政机关和军工单位也是国家秘密非常集中的领域，一直是窃密与反窃密，渗透与反渗透的主战场。据国家有关部门统计，在全国泄密事件中，军工系统占有很大比例。境内外敌对势力和情报机构以我党政军机关和军工单位为主要目标的窃密活动更加突出，渗透与反渗透、窃密与反窃密的斗争更加激烈。由于一些单位涉密信息系统安全保障能力不够、管理不力，导致涉密信息系统泄密案件的比例逐年上升，安全保密形势非常严峻。因此严格按照涉密信息系统分级保护的要求，加强涉密信息系统建设意义重大。

1.3.2.3　网络隔离

国家保密局在1998年发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中明确规定：涉密系统不得直接或间接与国际联网，必须实行物理隔离；2000年1月1日正式实施的《计算机信息系统国际联网保密管理规定》中也明确规定：“凡涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或者其他公共信息网络相连接，必须实行物理隔离。”

目前国内外的趋势都是用网络隔离这个概念来代替物理隔离或安全隔离等。首先，隔离的概念是基于网络来谈隔离的。没有联网的概念就没有隔离的必要。两个独立的主机，根本就没有联网，就没必要搞隔离。两个完全独立的网络，完全不相关，也没有联网，也没有什么必要搞隔离。离开网络来谈隔离是没有意义的。其次，没有信息交换或资源共享的概念，也谈不上隔离。两个完全独立的网络，一不需要信息交换，二不需要共享资源，本身就是完全不相关也没有联系的，既不需要联网也不需要隔离。因此，隔离的本质是在需要交换信息甚至是共享资源的情况下才出现，既要信息交换或共享资源，也要隔离。三是物理隔离和安全隔离无法给出一个技术上的精确定义。四是网络隔离可以给出一个完整准确的技术定义。

网络隔离是一项网络安全技术，它消除了基于网络和基于协议的安全威胁，但网络隔离技术也存在局限性，对非网络的威胁如内容安全，就无法从理论上彻底排除，就像人工拷盘一样，交换的数据本身可能带有病毒，即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题，不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的，那么网络隔离是用户解决网络安全问题的最佳选择。

网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。

隔离概念是在为了保护高安全度网络环境的情况下产生的；隔离产品的大量出现，也是经历了几代隔离技术不断的实践和理论相结合后得来的。

• 第一代隔离技术：完全地隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

• 第二代隔离技术：硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

• 第三代隔离技术：数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

• 第四代隔离技术：空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。

• 第五代隔离技术：安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

防火墙是最常用的网络隔离手段，主要是通过网络的路由控制，也就是访问控制列表技术。网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路和数据包的流向。早期的网络安全控制方面基本上是防火墙。但是，防火墙有一个很显著的缺点：就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。对于安全要求初级的隔离是可以的，但对于需要深层次的网络隔离就显得不足了。值得一提的是防火墙中的NAT技术。地址翻译可以隐藏内网的IP地址，很多人把它当作一种安全的防护，认为没有路由就是足够安全的。地址翻译其实是代理服务器技术的一种，不让业务访问直接通过是在安全上前进了一步，但目前应用层的绕过NAT技术很普遍，隐藏地址只是相对的。目前很多攻击技术是针对防火墙的，尤其防火墙对于应用层没有控制，方便了木马的进入。进入到内网的木马看到的是内网地址，直接报告给外网的攻击者，NAT的安全作用就不大了。

新一代防火墙技术多重安全网关通过架设更多的关卡来处理不同类别的事务。但是其基本的策略都是架桥的策略，主要是采用安全检查的方式，对应用的协议不做更改，所以速度快，流量大，从客户应用上来看，没有不同。

网闸的设计形象的借鉴了船闸的概念，设计采用“代理+摆渡”。不在河上架桥，可以设摆渡船，摆渡船不直接连接两岸，安全性当然要比桥好，即使是攻击，也不可能一下就进入，在船上总要受到管理者的各种控制。另外，网闸的功能有代理，这个代理不只是协议代理，而是数据的“拆卸”，把数据还原成原始的面貌，拆除各种通信协议添加的“包头包尾”。很多攻击是通过对数据的拆装来隐藏自己的，没有了这些“通信外衣”，攻击者就很难藏身了。网闸的安全理念是：网络隔离——“过河用船不用桥”：用“摆渡方式”来隔离网络。协议隔离——“禁止采用集装箱运输”：通讯协议落地，用专用协议或存储等方式阻断通讯协议的连接，用代理方式支持上层业务。

按国家安全要求是需要涉密网络与非涉密网络互联的时候，要采用网闸隔离；若非涉密网络与互联网连通时，采用单向网闸，若非涉密网络与互联网不连通时，采用双向网闸。

交换网络的模型来源于银行系统的Clark-Wilson模型，主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个数据交换区域，负责业务数据交换（单向或双向）。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。交换网络的核心也是业务代理。客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。网闸与交换网络技术都是采用渡船策略，延长数据通信“里程”，增加安全保障措施。

网络隔离技术的安全要点概括有如下几点：

（1）要具有高度的自身安全性。隔离产品要保证自身具有高度的安全性，在技术实现上，除了对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换，如此，即便黑客攻破了外网系统，仍然无法控制内网系统，就达到了更高的安全级别。

（2）要确保网络之间是隔离的。保证网间隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的。此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。

（3）要保证网间交换的只是应用数据。既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。

（4）要对网间的访问进行严格的控制和检查。作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。

（5）要在坚持隔离的前提下保证网络畅通和应用透明。隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性；不能够出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。

网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。

1.3.2.4　安全监控

系统安全监控是指对系统的运行状况和系统中的用户的行为进行监视、控制和记录。通过系统安全监控，安全管理人员可以有效地监视、控制和评估信息系统的安全运行状况，并为进一步提高系统安全性提供参考和依据。

安全监控通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使得管理员能够更有效地监视、控制和评估网络或主机系统。

安全监控可以分为网络安全监控和主机安全监控两大类。

1．网络安全监控

网络安全监控主要实现以下几种功能：

（1）全面的网络安全控制：除了简单的访问控制意外，还应该有入侵检测等功能。

（2）细粒度的控制：除了根据数据抱头为依据，还应该对应用层协议和数据包内容进行过滤。

（3）网络审计：对所有网络活动进行跟踪，对应用层协议（如HTTP、FTP、SMTP、POP3、TELNET等）会话过程进行实时与历史的重现。

（4）其他：包括日志、报警、报告和拦截等功能。

2．主机安全监控

主机安全监控主要实现以下几种功能：

（1）访问控制：加强用户访问系统资源及服务时的安全控制，防止非法用户的入侵及合法用户的非法访问。

（2）系统监控：实时监控系统的运行状态，包括运行进程、系统设备、系统资源和网络服务等，判断在线用户的行为，禁止其非法操作。

（3）系统审计：对用户的行为及系统事件进行记录审计。

（4）系统漏洞检查：检测主机系统的安全漏洞，防止因主机设置不当带来的安全隐患。

安全监控的内容主要包括以下几点：

（1）主机系统监视：通过系统状态监视可以实现对主机当前用户信息、系统信息、设备信息、系统进程、系统服务、系统事件、系统窗口、安装程序以及实时屏幕等信息的监视和记录。

（2）网络状态监视：查看受控主机当前活动的网络连接、开放的系统服务以及端口，从而全面了解主机的网络状态。

（3）用户操作监视：对用户的系统配置和操作、应用程序操作和文件操作等进行监视和记录。

（4）主机应用监控：对主机中的进程、服务和应用程序窗口进行控制。

（5）主机外设监视：对受控主机的USB端口、串行端口、并行端口等外设接口，以及USB盘、软驱、光驱等外设实施存取控制。

（6）网络连接监控：实现对非法主机接入的隔离和对合法主机网络行为的管控。一方面对非法接入的主机进行识别、报警和隔离；另一方面实现对合法主机网络访问行为的监控，包括网络地址端口控制、网络URL控制、邮件控制、拨号连接控制、网络共享控制以及网络邻居控制等。

1.3.3　信息安全风险评估与管理

信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估，则是指依据有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

信息系统风险分析和评估是一个复杂的过程，一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。

任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。

1.3.3.1　风险评估

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是对威胁、脆弱点以及由此带来的风险大小的评估。

对系统进行风险分析和评估的目的就是：了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证，也给用户提供了信息技术产品和系统可靠性的信心，增强产品、单位的竞争力。

风险评估的主要任务包括：

• 识别组织面临的各种风险；

• 评估风险概率和可能带来的负面影响；

• 确定组织承受风险的能力；

• 确定风险降低和控制的优先等级；

• 推荐风险降低政策。

风险评估过程就是在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估，首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系，应包括：系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。

风险评估具体评估过程如下：

1．确定资产

安全评估的第一步是确定信息系统的资产，并明确资产的价值，资产的价值是由对组织、供应商、合作伙伴、客户和其他利益相关方在安全事件中对保密性、完整性和可用性的影响来衡量的。资产的范围很广，一切需要加以保护的东西都算作资产，包括：信息资产、纸质文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始，最终覆盖所有的关键资产。

2．脆弱性和威胁分析

对资产进行细致周密的分析，发现它的脆弱点及由脆弱点所引发的威胁，统计分析发生概率、被利用后所造成的损失等。

3．制定及评估控制措施

在分析各种威胁及它们发生可能性基础上，研究消除、减轻、转移威胁风险的手段。这一阶段不需要做出什么决策，主要是考虑可能采取的各种安全防范措施和它们的实施成本。

制定出的控制措施应当全面，在有针对性的同时，要考虑系统地、根本性的解决方法，为下一阶段的决策作充足的准备，同时将风险和措施文档化。

4．决策

这一阶段包括评估影响，排列风险，制定决策。应当从3个方面来考虑最终的决策：接受风险、避免风险、转移风险。对安全风险决策后，明确信息系统所要接受的残余风险。在分析和决策过程中，要尽可能多地让更多的人参与进来，从管理层的代表到业务部门的主管，从技术人员到非技术人员。

5．沟通与交流

由上一阶段所做出的决策，必须经过领导层的签字和批准，并与各方面就决策结论进行沟通。这是很重要的一个过程，沟通能确保所有人员对风险有清醒地认识，并有可能在发现一些以前没有注意到的脆弱点。

6．监督实施

最后的步骤是安全措施的实施。实施过程要始终在监督下进行，以确保决策能够贯穿于工作之中。在实施的同时，要密切注意和分析新的威胁并对控制措施进行必要的修改。

另外，由于信息系统及其所在环境的不断变化，在信息系统的运行过程中，绝对安全的措施是不存在的：攻击者不断有新的方法绕过或扰乱系统中的安全措施；系统的变化会带来新的脆弱点；实施的安全措施会随着时间而过时等等，所有这些表明，信息系统的风险评估过程是一个动态循环的过程，应周期性的对信息系统安全进行重评估。

风险评估的方法有很多种，概括起来可分为三大类：定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。标准在信息系统风险评估过程中的指导作用不容忽视，而在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。评估方法的选择直接影响到评估过程中的每个环节，甚至可以左右最终的评估结果，所以需要根据系统的具体情况，选择合适的风险评估方法。

1．定量评估方法

定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。

定量的评估方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观，定量分析方法的采用，可以使研究结果更科学，更严密，更深刻。有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的；但常常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后还可能被误解和曲解。

2．定性评估方法

定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料进行编码整理，在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。

定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻；但它的主观性很强，对评估者本身的要求很高。

3．定性与定量相结合的综合评估方法

系统风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的，所以不主张在风险评估过程中一味地追求量化，也不认为一切都是量化的风险评估过程是科学、准确的。

定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂，是形成概念、观点，做出判断，得出结论所必须依靠的，在复杂的信息系统风险评估过程中，不能将定性分析和定量分析两种方法简单的割裂开来。而是应该将这两种方法融合起来，采用综合的评估方法。

4．典型的风险评估方法

在信息系统风险评估过程中，层次分析法经常被用到，它是一种综合的评估方法。该方法是由美国著名的运筹学专家萨蒂TL于20世纪70年代提出来的，是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的决策依据。目前该方法已被广泛地应用于尚无统一度量标尺的复杂问题的分析，解决用纯参数数学模型方法难以解决的决策分析问题。该方法对系统进行分层次、拟定量、规范化处理，在评估过程中经历系统分解、安全性判断和综合判断三个阶段。它的基本步骤是：

（1）系统分解，建立层次结构模型：层次模型的构造是基于分解法的思想，进行对象的系统分解。它的基本层次有三类：目标层、准则层和指标层，目的是基于系统基本特征建立系统的评估指标体系。

（2）构造判断矩阵，通过单层次计算进行安全性判断：判断矩阵的作用是在上一层某一元素约束条件下，对同层次的元素之间相对重要性进行比较，根据心理学家提出的“人区分信息等级的极限能力为7±2”的研究结论，层次分析方法在对评估指标的相对重要程度进行测量时，引入了九分位的相对重要的比例标度，构成判断矩阵。计算的中心问题是求解判断矩阵的最大特征根及其对应的特征向量；通过判断矩阵及矩阵运算的数学方法，确定对于上一层次的某个元素而言，本层次中与其相关元素的相对风险权值。

（3）层次总排序，完成综合判断：计算各层元素对系统目标的合成权重，完成综合判断，进行总排序，以确定递阶结构图中最底层各个元素在总目标中的风险程度。

1.3.3.2　风险管理

如今，风险管理已经是信息安全保障工作的一个主流范式。信息安全防范工作越来越基于风险管理。互联网的飞速发展使得公众网络的应用越来越广泛，在公众网络中间构建相对可信的网络，成为世界各国发展信息化的主要需求。如何有效地管理信息安全风险，自然成为各方面都十分关注的问题。

所谓风险管理就是以可以接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可以被接受的水平。风险管理还应考虑控制费用与风险之间的平衡。

风险管理是当今全球信息安全工作的一个热点。风险管理的核心内容目前在国际上基本包括以下四个方面：一是确立风险意识的文化；二要对风险进行现实的评估；三是要确立风险承担制；四是将风险管理纳入信息化建设的日常工作中。

安全政策的制定和实施是为了将安全风险减小到可以令人接受的限度。但由于风险具有不确定性，因此要完全消除风险是不切实际的。对信息安全管理的设计和维护人员来说，要根据信息风险的一般规律提出安全需求，建立具有自适应能力的信息安全模型，从而将风险减小到可以接受的限度。一个信息系统是否安全要看它的风险是否在可控范围内，而不是绝对的无风险。

通过风险评估对风险进行识别和评价后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。

风险控制的实质可归纳为以下几点：

（1）当存在系统脆弱性（缺陷或弱点）时，降低或修补系统脆弱性，减少脆弱性被攻击的可能性。

（2）当系统脆弱性可被恶意攻击时，运用层次化保护、结构化设计、管理控制等方法将风险最小化或防止脆弱性被利用。

（3）当攻击者的成本小于攻击的可能所得时，运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机（例如使用系统化的控制，如限制系统用户的访问对象和行为，这些措施能够大大降低攻击所得）。

（4）当损失巨大时，运用系统设计中的基本原则及结构化设计、技术或非技术类保护措施来限制攻击的范围，从而降低可能的损失。

当选择安全控制措施进行实施时应当考虑以下因素：

• 控制的易用性；

• 用户透明度；

• 为用户提供帮助，以发挥控制的功能；

• 控制的相对强度；

• 实现的功能类型。

通常，一个控制可以实现多个功能，实现的越多越好。当考虑总体安全性或应用一系列控制的时候，应尽可能保持各种功能之间的平衡，这有助于使得总体安全获得较好的效果与较高的效率。

组织根据控制的原则识别并选择了安全控制措施后，对选择的安全控制应严格实施并保持。一般可通过以下途径达到降低风险的目的：

（1）避免风险：例如通过将重要的计算机进行网络隔离，使之免受外部网络的攻击。

（2）转移风险：例如通过将高风险的信息处理业务外包给第三方或通过购买一定的商业保险进行风险转移。

（3）减少威胁：例如建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。

（4）减少脆弱性：例如经常为系统安装补丁，修补系统漏洞，以防止系统脆弱性被利用。

（5）减少威胁可能的影响：例如建立业务持续性计划，把灾难造成的损失降到最低。

（6）检测意外事件，并做出响应和恢复：例如使用网络管理系统对网络性能与故障进行监测，及时发现问题并做出反应。

在实施选择的安全控制后，仍然会存在风险，称之为残留风险或剩余风险。为确保组织信息系统的安全，剩余风险应当在可接受的范围之内。

风险接受是一个对残留风险进行确认和评价的过程。在安全控制实施之后，组织应对所选择的安全控制的实施情况进行评审，即对所选择的控制在多大程度上降低了风险做出判断，也就是对实施安全控制后的资产风险进行重新计算，以获得残留风险的大小，并将之分为可接受和不可接受的风险。对于每一个不可接受的风险，必须做出相应的业务决策以判断该风险可能的后果，或是增加控制费用以将该风险控制到一个可以接受的水平。

组织在完成了包括风险评估，降低风险和风险接受的风险管理过程之后，可以将风险控制在一个可以接受的水平，但并不意味着风险管理工作的结束。事实上，信息系统总是随着时间的推移而不断地更新和变化的，这样，风险就是随着时间而变化的，风险管理也就应该是一个动态的、持续的管理过程。这就要求组织实施动态的风险评估与风险管理，在组织有新增信息资产时、系统发生重大变化时、发生严重的信息安全事故时以及任何被认为有必要的时候，都应该组织进行风险评估，以便及时识别风险并进行有效的控制。