網(wǎng)絡與信息安全(簡)

1、網(wǎng)絡與信息安全1目錄一、網(wǎng)絡與信息安全基本概念二、信息系統(tǒng)安全等級保護三、當前的信息安全形勢四、網(wǎng)絡與信息安全技術五、加強網(wǎng)絡與信息安全的措施2一、網(wǎng)絡與信息安全基本概念(一)信息安全的涵義信息安全主要涉及到信息存儲的安全、信息傳輸?shù)陌踩约皩W(wǎng)絡傳輸信息內(nèi)容的審計三方面。它研究計算機系統(tǒng)和通信網(wǎng)絡內(nèi)信息的保護方法。從廣義來說，凡是涉及到信息的完整性、保密性、真實性、可用性和可控性的相關技術和理論都是信息安全所要研究的領域。信息安全的一般定義：計算機信息安全是指計算機信息系統(tǒng)的硬件、軟件、網(wǎng)絡及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息

2、服務不中斷。3一、網(wǎng)絡與信息安全基本概念對信息安全的威脅來自：用戶操作的有意無意的破壞；來自硬件、網(wǎng)絡和軟件的故障、缺陷和內(nèi)部的陷門；來自各種天災與人為災害來自入侵者的惡意攻擊。4一、網(wǎng)絡與信息安全基本概念計算機信息安全具有以下五方面的特征。1保密性2完整性3真實性4可用性5可控性5一、網(wǎng)絡與信息安全基本概念保密性：對信息資源開放范圍的控制，不讓不應涉密的人知道秘密。 保密性措施：信息加密、解密；信息劃分密級，對用戶分配不同權限，對不同權限的用戶訪問的對象進行訪問控制；防止硬件輻射泄露、網(wǎng)絡截獲、竊聽等。6一、網(wǎng)絡與信息安全基本概念完整性：使信息保持完整、真實或未受損狀態(tài)，任何中斷、竊取、篡改

3、和偽造信息應用特性或狀態(tài)等行為都是破壞信息的完整性的。 完整性措施：嚴格控制對系統(tǒng)中數(shù)據(jù)的寫訪問。只允許許可的當事人進行更改。7一、網(wǎng)絡與信息安全基本概念可用性：意味著資源只能由合法的當事人使用，保證合法用戶對信息的合法利用。 可用性措施：在堅持嚴格的訪問控制機制的條件下，為用戶提供方便和快速的訪問接口。提供安全性的訪問工具。8一、網(wǎng)絡與信息安全基本概念不可否認性：信息的發(fā)送者無法否認已發(fā)出的信息，信息的接收者無法否認已經(jīng)接收的信息。 不可否認性措施：數(shù)字簽名，可信第三方認證技術。9一、網(wǎng)絡與信息安全基本概念（二）網(wǎng)絡與信息安全事件網(wǎng)絡與信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故

4、障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶撁嬗绊懙氖录?10一、網(wǎng)絡與信息安全基本概念（1）有害程序事件有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運行。有害程序事件包括：計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。 11一、網(wǎng)絡與信息安全基本概念（2）網(wǎng)絡攻擊事件網(wǎng)絡攻擊事件是指通過網(wǎng)絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴

5、力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。網(wǎng)絡攻擊事件包括：拒絕服務事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件和其他網(wǎng)絡攻擊事件。12一、網(wǎng)絡與信息安全基本概念（3）信息破壞事件信息破壞事件是指通過網(wǎng)絡或其他技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。信息破壞事件包括：信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。13一、網(wǎng)絡與信息安全基本概念（4）信息內(nèi)容安全事件信息內(nèi)容安全事件是指利用信息網(wǎng)絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益

6、的內(nèi)容的安全事件。信息內(nèi)容安全事件包括：違反憲法和法律、行政法規(guī)的信息安全事件；針對社會事項進行討論、評論形成網(wǎng)上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動集會游行的信息安全事件；其他信息內(nèi)容安全事件等。14一、網(wǎng)絡與信息安全基本概念（5）設備設施故障設備設施故障是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。設備設施故障包括：軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。15一、網(wǎng)絡與信息安全基本概念（6）災害性事件災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞

7、而導致的信息安全事件。災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。16一、網(wǎng)絡與信息安全基本概念信息安全分類根據(jù)中國國家計算機安全規(guī)范，計算機的安全大致可分為如下三類。（1）實體安全：包括機房、線路和主機等的安全。（2）網(wǎng)絡與信息安全：包括網(wǎng)絡的暢通、準確以及網(wǎng)上信息的安全。（3）應用安全：包括程序開發(fā)運行、I/O、數(shù)據(jù)庫等的安全。其中，網(wǎng)絡與信息安全可分為如下四類（1）基本安全類。（2）管理與記賬類。（3）網(wǎng)絡互連設備安全類。（4）連接控制類。17一、網(wǎng)絡與信息安全基本概念（三）信息系統(tǒng)安全理論 安全控制理論：三大控制理論1）訪問控制：基于訪問矩陣與

8、訪問監(jiān)控器2）信息流控制：基于數(shù)學的格理論3）推理控制：基于邏輯推理，防數(shù)據(jù)庫泄漏安全操作系統(tǒng)的設計方法： 安全核技術，分層結(jié)構(gòu)，環(huán)型結(jié)構(gòu)18一、網(wǎng)絡與信息安全基本概念安全性概念包括安全政策、策略模型、安全服務和安全機制等內(nèi)容，其中安全政策是為了實現(xiàn)軟件系統(tǒng)的安全而制定的有關管理、保護和發(fā)布敏感信息的規(guī)定與實施細則；策略模型是指實施安全策略的模型；安全服務則是指根據(jù)安全政策和安全模型提供的安全方面的服務；安全機制是實現(xiàn)安全服務的方法。19 恢復 反應 檢測 保護信息保障PDRR模型ProtectionDetectionReactionRestore20一、網(wǎng)絡與信息安全基本概念訪問監(jiān)視器訪問監(jiān)

9、視數(shù)據(jù)庫用戶身份文件權限文件文件屬性訪問控制表主體、用戶進程 批作業(yè)目標文件、盤、帶、程序、終端等安全審計操作系統(tǒng)的訪問控制模型21一、網(wǎng)絡與信息安全基本概念網(wǎng)絡操作系統(tǒng)的訪問控制模型訪問監(jiān)視器訪問監(jiān)視器數(shù)據(jù)庫審計訪問監(jiān)視器訪問監(jiān)視器數(shù)據(jù)庫審計 目標 主體22二、信息安全等級保護（一）國際信息安全等級1、D安全級最低安全級，沒有任何安全措施，整個系統(tǒng)是不可信的硬件無任何保障機制操作系統(tǒng)容易受到侵害無身份認證與訪問控制典型系統(tǒng)是MS-DOS23二、信息安全等級保護2、C1安全級自主安全保護級實現(xiàn)粗粒度的自主訪問控制機制。系統(tǒng)能把用戶與數(shù)據(jù)隔離，TCB通過賬戶、口令去確認用戶身份硬件提供某種程度的

10、保護機制通過擁有者自定義和控制，防止自己的數(shù)據(jù)被別的用戶破壞。要求嚴格的測試和完善的文檔資料。 這類系統(tǒng)適合于多個協(xié)作用戶在同一個安全級上處理數(shù)據(jù)的工作環(huán)境。24二、信息安全等級保護3、C2安全級可控安全保護級 C2級達到企業(yè)級安全要求。可作為最低軍用安全級別C2實現(xiàn)更細的可控自主訪問控制，保護粒度要達到單個主體和客體一級；要求消除殘留信息泄露（內(nèi)存、外存、寄存器）；要求審計功能（與C1級的主要區(qū)別），審計粒度要能夠跟蹤每個主體對每個客體的每一次訪問。對審計記錄應該提供保護，防止非法修改。25二、信息安全等級保護比C1增加授權服務，還有防止訪問權失控擴散的機制。要求TCB必須保留在一特定區(qū)域，

11、防止來自外部的修改；TCB應與被保護的資源隔離。TCB能夠記錄對認證安全機制的使用、記錄對客體的讀入、刪除等操作，記錄系統(tǒng)管理員的管理活動。26二、信息安全等級保護4、B1安全級 加標記的訪問控制保護級 具有C2的全部功能，還增加或增強了標記、MAC、責任、審計、保證等功能。 標記：主客體都必須帶有標記，并準確體現(xiàn)其安全級別，且由TCB維護。因此本級又稱為帶標記的訪問控制保護級。采用強制保護機制。保護機制根據(jù)標記對客體進行保護。B1安全級要求以安全模型為依據(jù)，要求徹底分析系統(tǒng)的設計文件和源代碼，嚴格測試目標代碼。27二、信息安全等級保護B1級對標記的內(nèi)容與使用有以下要求： 1）主體與客體的敏標

12、記的完整性：安全標記應能唯一的指定感級別。當TCB輸出敏感標記時，應準確對應內(nèi)部標記，并輸出相應的關聯(lián)信息。 2）標記信息的輸出：人工指定每個I/O信道與I/O設備是單（安全）級的還是多（安全）級的，TCB應能知曉這種指定，并能對這種指定活動進行審計。 28二、信息安全等級保護 3）多級設備輸出：當TCB把一個客體輸出到多級I/O設備時，敏感標記也應同時輸出，并與輸出信息一起留存在同一物理介質(zhì)上。當TCB使用多級I/O信道通信時，協(xié)議應能支持多敏感標記信息的傳輸。 4）單級設備的輸出：雖然不要求對單級I/O設備和單級信道所處理的信息保留敏感標志，但要求TCB提供一種安全機制，允許用戶利用單級設

13、備與單級I/O信道安全地傳輸單級信息。 295）對人可讀輸出的標記輸出：系統(tǒng)管理員應該能夠指定與輸出敏感標記相關聯(lián)的可打印標記名，這些敏感標記可以是秘密、機密和絕密的。TCB應能標識這些敏感標記輸出的開始與結(jié)束。 30強制訪問控制每個受控的客體都必須附加上標記，用于標明該客體的安全級，當這些客體被訪問的時候，保護系統(tǒng)就依據(jù)這些標記對客體進行必要的控制。B1類要求每個受控的主體和客體都要配備一個安全級，但不要求保護系統(tǒng)控制每個客體。B1級中的訪問控制機制必須依據(jù)一種安全模型，在這種模型中，主體與客體的敏感性標記既有等級性級別的，又有無等級性的類別的。TCB應該支持兩個以上的安全級。在TCB控制的

14、主、客體間的所有訪問活動，并要求這些活動必須滿足以下要求： 31只有主體的敏感等級大于或等于客體的敏感等級時，才允許該主體去讀該客體，而且該主體的信息訪問類包含該客體中信息訪問類的全部內(nèi)容。信息訪問類中所包含的信息是非等級性。只有主體的敏感級不大于客體的敏感級時，才允許該主體去寫該客體，而且該主體的信息訪問類包含該客體中信息訪問類。 32軍用安全策略可以滿足這種要求，它既具有按非密、秘密、機密和絕密的等級性級別的標記，又允許某個主體知道多種級別信息組成的無等級性類別的信息。對于強制性訪問控制政策的模型是Bell-LaPadula模型，在該模型中要支持軍用安全策略。B1類系統(tǒng)對所有訪問都要實現(xiàn)這

15、種模型，同時也支持有限的用戶自主訪問控制功能。 33可記賬性TCB應該對所有涉及敏感性活動的用戶進行身份識別，TCB應該管理用戶的賬戶、口令、簽證與權限信息，防止發(fā)生非授權的用戶訪問。B1級的審計功能比C2級的功能更強，還增加了對任何濫用職權的人可讀輸出標志和對安全級記錄的事件進行審計，也可以對于用戶的安全性活動進行有選擇的審計。 34 在實現(xiàn)過程中，必須徹底分析B1類系統(tǒng)的設計文檔和源代碼，測試目標代碼，盡可能發(fā)現(xiàn)系統(tǒng)存在的安全缺陷，并保證消除這些缺陷。要有一種非形式的或形式化的模型來描述系統(tǒng)實現(xiàn)的安全策略。35B2安全級結(jié)構(gòu)化保護級。要求把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成獨立的模塊，采用最小特權原則

16、進行管理。內(nèi)部結(jié)構(gòu)必須是可證明的。對所有主體與客體實施更強的MAC。從主體客體擴大到I/O設備等所有資源。TCB應支持管理員與操作員的分離。能夠?qū)徲嬍褂秒[蔽存儲信道的標志事件。必須給出可驗證的頂級設計，要求開發(fā)者對隱蔽信道進行徹底地搜索。TCB劃分保護與非保護部分，存放于固定區(qū)內(nèi)。36B2級稱為結(jié)構(gòu)化保護級（Structured Protection）。B2級系統(tǒng)的設計中把系統(tǒng)內(nèi)部結(jié)構(gòu)化地劃分成明確而大體上獨立的模塊，并采用最小特權原則進行管理。B2級不僅要求對所有對象加標記，而且要求給設備（磁盤、磁帶或終端）分配一個或多個安全級別（實現(xiàn)設備標記）。必須對所有的主體與客體（包括設備）實施強制性

17、訪問控制保護，必須要有專職人員負責實施訪問控制策略，其他用戶無權管理。 37B2 級強調(diào)實際中的評價手段，因此，增加或加強了以下功能： （1）安全策略方面：進一步加強了強制訪問控制功能，把強制訪問控制的對象，從主體到客體擴展到I/O設備等所有資源，并要求每種系統(tǒng)資源必須與安全標記相聯(lián)系。 38 （2）可記賬性方面：進一步加強系統(tǒng)的連續(xù)保護和防滲漏能力。主要措施包括能夠確保系統(tǒng)和用戶之間開始注冊與確認時路徑是可信的，增加了對使用隱蔽存儲信道的標記事件的審計功能。隱蔽存儲信道是指進程之間通過對某存儲載體的讀寫來完成信息隱蔽傳輸?shù)男诺?，而這種信道是違反安全策略要求的。 39（3）最小特權原則：應能支

18、持操作人員與和系統(tǒng)管理人員的權限分離，對每個主體只授予滿足完成任務所需的最小存儲權，以保證最小特權原則的執(zhí)行。還應該劃分保護與非保護部分，并使它們維持在一個固定的受保護的域中，防止被外界破壞或惡意篡改。 40B3安全級-安全域保護級要求系統(tǒng)劃分主體/客體的區(qū)域。有能力監(jiān)控對每個客體的每次訪問。用戶程序和操作被限定在某個安全域內(nèi)。安全域的訪問受到嚴格控制（有硬件支持）。系統(tǒng)設計要簡明完善、充分利用分層、抽象和信息隱蔽等原則，要求是高度防突破的。要求有一個安全管理員，管理安全活動。安全策略方面，采用訪問控制表方式實現(xiàn)DAC。用戶可以指定與控制對命名客體的共享。41為了能夠確實進行廣泛而可信的測試，

19、B3級系統(tǒng)的安全功能應該是短小精悍的。為了便于理解與實現(xiàn)，系統(tǒng)的高級設計（High Level Design）必須是簡明而完善的，必須組合使用有效的分層、抽象和信息隱蔽等原則。所實現(xiàn)的安全功能必須是高度防突破的，系統(tǒng)的審計功能能夠區(qū)分出何時能避免一種破壞安全的活動。為了使系統(tǒng)具備恢復能力，B3系統(tǒng)增加了一個安全策略：42（1）安全策略：采用訪問控制表進行控制，允許用戶指定和控制對客體的共享，也可以指定命名用戶對客體的訪問方式。（2）可記賬性：系統(tǒng)能夠監(jiān)視安全審計事件的發(fā)生與積累，當超出某個安全閥值時，能夠立刻報警，通知安全管理人員進行處理。 43（3）保障措施：只能完成與安全有關的管理功能，對

20、其他完成非安全功能的操作要嚴加限制。當系統(tǒng)出現(xiàn)故障與災難性事件后，要提供一種過程與機理，保證在不損害保護的條件，使系統(tǒng)得到恢復。44A1安全級-可驗證設計保護要求建立系統(tǒng)的安全模型，且可形式化驗證的系統(tǒng)設計。對隱蔽信道進行形式分析。有五條確認標準：1）對系統(tǒng)安全模型進行嚴謹與充分的證明。證明模型與公理的一致性，模型對策略的支持。2）給出保護系統(tǒng)的頂層設計說明。其中包括TCB抽象功能定義和支持隔離區(qū)域的硬件軟件/固件的機制。453）說明系統(tǒng)的頂層設計說明與系統(tǒng)安全形式模型的一致性；最好能夠使用驗證工具，也可以使用非形式化技術說明。4）能非形式地說明TCB的實現(xiàn)與該設計一致。說明頂層設計表達了保護

21、機制與安全策略的一致性，映射到TCB的各個部件正好是保護機制的對應要素。5）對隱蔽信道進行形式化分析與識別。對于時鐘信道可以采用非形式化方法識別，在系統(tǒng)中必須對被識別的隱蔽信道是否連續(xù)存在給予證明。46A1級系統(tǒng)的要求極高，達到這種要求的系統(tǒng)很少，目前已獲得承認的這類系統(tǒng)有Honeywell公司的SCOMP系統(tǒng)。A1級安全標準是安全信息系統(tǒng)的最高安全級別，一般信息系統(tǒng)很難達到這樣的安全能力。 我國的標準去掉了A1級標準。47計算機系統(tǒng)安全等級48二、信息安全等級保護(二) 我國信息系統(tǒng)安全等級劃分GB17859把計算機信息系統(tǒng)的安全保護能力劃分的5個等級是：用戶自主保護級、系統(tǒng)審計保護級、安全

22、標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。這五個級別的安全強度自低到高排列，且高一級包括低一級的安全能力。49第1級 系統(tǒng)自主保護級本級的主要特點用戶具有自主安全保護能力。系統(tǒng)采用自主訪問控制機制，該機制允許命名用戶以用戶或用戶組的身份規(guī)定并控制客體的共享，能阻止非授權用戶讀取敏感信息。TCB在初始執(zhí)行時需要鑒別用戶的身份，不允許無權用戶訪問用戶身份鑒別信息。該安全級通過自主完整性策略，阻止無權用戶修改或破壞敏感信息。 50第2級 系統(tǒng)審計保護級本級也屬于自主訪問控制級。但和第一級相比，TCB實施粒度更細的自主訪問控制，控制粒度可達單個用戶級，能夠控制訪問權限的擴散，沒有訪問權的用戶只能由有權

23、用戶指定對客體的訪問權。身份鑒別功能通過每個用戶唯一標識監(jiān)控用戶的每個行為，并能對這些行為進行審計。增加了客體重用要求和審計功能是本級的主要特色。 51審計功能要求TCB能夠記錄：對身份鑒別機制的使用；將客體引入用戶地址空間；客體的刪除；操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實施的動作以及其他與系統(tǒng)安全有關的事件。客體重用要求是指，客體運行結(jié)束后，在其占用的存儲介質(zhì)（如內(nèi)存、外存、寄存器等）上寫入的信息（稱為殘留信息）必須加以清除，防止信息泄漏給其他使用這些介質(zhì)的客體。 52第3級 安全標記保護級本級在提供系統(tǒng)審計保護級的所有功能的基礎上，提供基本的強制訪問功能。TCB能夠維護每個主體及其控制的存

24、儲客體的敏感標記，也可以要求授權用戶確定無標記數(shù)據(jù)的安全級別。這些標記是等級分類與非等級類別的集合（后面將進一步說明），是實施強制訪問控制的依據(jù)。TCB可以支持對多種安全級別（如軍用安全級別可劃分為絕密、機密、秘密、無密4個安全級別）的訪問控制，強制訪問控制規(guī)則如下： 53僅當主體安全級別中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能對客體有讀權；僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。 54TCB維護用戶身份識別數(shù)據(jù)，確定用戶

25、的訪問權及授權數(shù)據(jù)，并且使用這些數(shù)據(jù)鑒別用戶的身份。審計功能除保持上一級的要求外，還要求記錄客體的安全級別，TCB還具有審計可讀輸出記號是否發(fā)生更改的能力。對數(shù)據(jù)完整性的要求則增加了在網(wǎng)絡環(huán)境中使用完整性敏感標記來確信信息在傳輸過程中未受損。 55本級要求提供有關安全策略的模型，主體對客體強制訪問控制的非形式化描述，沒有對多級安全形式化模型提出要求。 56第4級 結(jié)構(gòu)化保護級本級TCB建立在明確定義的形式化安全策略模型之上，它要求將自主和強制訪問控制擴展到所有主體與客體。它要求系統(tǒng)開發(fā)者應該徹底搜索隱蔽存儲信道，要標識出這些信道和它們的帶寬。本級最主要的特點是TCB必須結(jié)構(gòu)化為關鍵保護元素和非

26、關鍵保護元素。TCB的接口要求是明確定義的，使其實現(xiàn)能得到充分的測試和全面的復審。第四級加強了鑒別機制，支持系統(tǒng)管理員和操作員的職能，提供可信設施管理，增強了系統(tǒng)配置管理控制，系統(tǒng)具有較強的抗?jié)B透能力。 57強制訪問控制的能力更強，TCB可以對外部主體能夠直接或間接訪問的所有資源（如主體、存儲客體和輸入輸出資源）都實行強制訪問控制。關于訪問客體的主體的范圍有了擴大，第四級則規(guī)定TCB外部的所有主體對客體的直接或間接訪問都應該滿足上一級規(guī)定的訪問條件。 58而第三級則僅要求那些受TCB控制的主體對客體的訪問受到訪問權限的限制，且沒有指明間接訪問也應受到限制。要求對間接訪問也要進行控制，意味著TC

27、B必須具有信息流分析能力。 59為了實施更強的強制訪問控制，第四級要求TCB維護與可被外部主體直接或間接訪問到的計算機系統(tǒng)資源（如主體、存儲客體、只讀存儲器等）相關的敏感標記。第四級還顯式地增加了隱蔽信道分析和可信路徑的要求。可信路徑的要求如下：TCB在它與用戶之間提供可信通信路徑，供對用戶的初始登錄和鑒別，且規(guī)定該路徑上的通信只能由使用它的用戶初始化。對于審計功能，本級要求TCB能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。 60第5級 訪問驗證保護級本級的設計參照了訪問監(jiān)視器模型。它要求TCB能滿足訪問監(jiān)視器（RM-Reference Monitor）的需求，RM仲裁主體對客體的全部訪問。R

28、M本身是足夠小的，抗篡改的和能夠分析測試的。在構(gòu)造TCB要去掉與安全策略無關的代碼，在實現(xiàn)時要把TCB的復雜度降到最低。系統(tǒng)應支持安全管理員職能，擴充審計機制，在發(fā)生安全事件后要發(fā)出信號，提供系統(tǒng)恢復機制，系統(tǒng)應該具有很高的抗?jié)B透能力。 61對于實現(xiàn)的自主訪問控制功能，訪問控制能夠為每個命名客體指定命名用戶和用戶組，并規(guī)定它們對客體的訪問模式。對于強制訪問控制功能的要求與上一級別的要求相同。對于審計功能，要求TCB包括可以審計安全事件的發(fā)生與積累機制，當超過一定閾值時，能夠立即向安全管理員發(fā)出報警，并且能以最小代價終止這些與安全相關的事件繼續(xù)發(fā)生或積累。 62對于可信路徑功能要求如下：當與用戶

29、連接時（如注冊、更改主體安全級），TCB要提供它與用戶之間的可信通信路徑?？尚怕窂街荒苡稍撚脩艋騎CB激活，這條路徑在邏輯上與其他路徑上的通信是隔離的，并且是可以正確區(qū)分的。 63第五安全級還增加了可信恢復功能。TCB提供過程與機制，保證計算機系統(tǒng)失效或中斷后，可以進行不損害任何安全保護性能的恢復。以上5個安全等級各自提供的安全能力如表5-3-1所示。表中的“”表示在五個安全級別中首次出現(xiàn)的安全能力（表注中稱為新增功能）。 64我國信息系統(tǒng)安全等級劃分標準安全能力 一級 二級 三級 四級 五級自主訪問控制 強制訪問控制 標記 身份鑒別 客體重用 審計 數(shù)據(jù)完整性 隱蔽信道分析 可信路徑 65二

30、、信息安全等級保護（三）信息安全等級保護制度信息安全等級保護是我國網(wǎng)絡與信息安全的基本制度。國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。 66二、信息安全等級保護基本要求信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行

31、指導。67二、信息安全等級保護基本要求第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。68二、信息安全等級保護基本要求信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護，國家有

32、關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)運營、使用單位應當依

33、據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。69二、信息安全等級保護實施與管理 信息系統(tǒng)運營、使用單位應當確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。70二、信息安全等級保護實施與管理信息系統(tǒng)的安全保護等級確定后，運營、使用單位應當按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定，滿足信息系統(tǒng)安全保護等級需求

34、的信息技術產(chǎn)品，開展信息系統(tǒng)安全建設或者改建工作。71二、信息安全等級保護實施與管理在信息系統(tǒng)建設過程中，運營、使用單位應當按照計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求等技術標準，參照信息安全技術 信息系統(tǒng)通用安全技術要求（GB/T20271-2006）、信息安全技術 網(wǎng)絡基礎安全技術要求（GB/T20270-2006）、信息安全技術 操作系統(tǒng)安全技術要求（GB/T20272-2006）、信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求（GB/T20273-2006）、信息安全技術 服務器技術要求、信息安全技術 終端計算機系統(tǒng)安全等級技術要求（GA/

35、T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。 72二、信息安全等級保護實施與管理運營、使用單位應當參照信息安全技術 信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。 73二、信息安全等級保護實施與管理信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等級保護測評要求等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等

36、級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。74二、信息安全等級保護實施與管理信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。75二、信息安全等級保護實施與管理已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上

37、公安機關辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)卦O區(qū)的市級以上公安機關備案。76二、信息安全等級保護辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫信息系統(tǒng)安全等級保護備案表，第三級以上信息系統(tǒng)應當同時提供以下材料：（一）系統(tǒng)拓撲結(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機構(gòu)和管理制度；（三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案； （四

38、）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明； （五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準信息系統(tǒng)安全保護等級的意見。77二、信息安全等級保護信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。 運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，

39、應當按照本辦法向公安機關重新備案。78二、信息安全等級保護受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應當會同其主管部門進行。對第五級信息系統(tǒng)，應當由國家指定的專門部門進行檢查。 79二、信息安全等級保護對第五級信息系統(tǒng)，應當由國家指定的專門部門進行檢查。公安機關、國家指定的專門部門應當對下列事項進行檢查：信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確；運營、使用單位安全管理制度、措施的落實情況；運營、使用單位及其主管部門對

40、信息系統(tǒng)安全狀況的檢查情況；系統(tǒng)安全等級測評是否符合要求；信息安全產(chǎn)品使用是否符合要求； 信息系統(tǒng)安全整改情況；備案材料與運營、使用單位、信息系統(tǒng)的符合情況；其他應當進行監(jiān)督檢查的事項。80二、信息安全等級保護 信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數(shù)據(jù)文件：信息系統(tǒng)備案事項變更情況；安全組織、人員的變動情況；信息安全管理制度、措施變更情況；信息系統(tǒng)運行狀況記錄；運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄；81二、信息安全等級保護 對信息系統(tǒng)開展等級測評的技術測評報告

41、； 信息安全產(chǎn)品使用的變更情況；信息安全事件應急預案，信息安全事件應急處置結(jié)果報告； 信息系統(tǒng)安全建設、整改結(jié)果報告。 公安機關檢查發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的，應當向運營、使用單位發(fā)出整改通知。運營、使用單位應當根據(jù)整改通知要求，按照管理規(guī)范和技術標準進行整改。整改完成后，應當將整改報告向公安機關備案。必要時，公安機關可以對整改情況組織檢查。82二、信息安全等級保護 第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品：（一）產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內(nèi)具有獨立的法人資格；（二）產(chǎn)品的核心技

42、術、關鍵部件具有我國自主知識產(chǎn)權；（三）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務、技術人員無犯罪記錄； （四）產(chǎn)品研制、生產(chǎn)單位聲明沒有故意留有或者設置漏洞、后門、木馬等程序和功能；（五）對國家安全、社會秩序、公共利益不構(gòu)成危害；（六）對已列入信息安全產(chǎn)品認證目錄的，應當取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書。83二、信息安全等級保護第三級以上信息系統(tǒng)應當選擇符合下列條件的等級保護測評機構(gòu)進行測評：在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外）；由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；從事相關檢測評估工作兩年以上，無違法記錄；工作人員僅限于中國公民；法人及主要業(yè)務、技術人員無犯罪記錄；使用的技術裝備、設施應當符合本辦法對信息安全產(chǎn)品的要求； 具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；對國家安全、社會秩序、公共利益不構(gòu)成威脅。84