等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件

等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀.c

提綱等級(jí)保護(hù)背景等保相關(guān)標(biāo)準(zhǔn)中軟華泰公司參與等級(jí)保護(hù)建設(shè)工作設(shè)計(jì)技術(shù)要求的框架和方案安全建設(shè)整改技術(shù)路線(xiàn)提綱一、等級(jí)保護(hù)背景一、等級(jí)保護(hù)背景政策和標(biāo)準(zhǔn)國(guó)務(wù)院147號(hào)文法律政策依據(jù)科學(xué)技術(shù)依據(jù)GB17859－199950多個(gè)配套標(biāo)準(zhǔn)中辦國(guó)辦27號(hào)文四部委66號(hào)文件四部委43號(hào)文件第一次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù)，并確定了等級(jí)保護(hù)的職責(zé)單位----公安部會(huì)同有關(guān)部門(mén)。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障的一項(xiàng)基本制度。等級(jí)保護(hù)工作的開(kāi)展必須分步驟、分階段、有計(jì)劃的實(shí)施。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)、監(jiān)管部門(mén)在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)。政策和標(biāo)準(zhǔn)國(guó)務(wù)院147號(hào)文法律政策依據(jù)科學(xué)技術(shù)依據(jù)GB1785等級(jí)保護(hù)的標(biāo)準(zhǔn)體系GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T24856-2009信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南……5等級(jí)保護(hù)的標(biāo)準(zhǔn)體系GB17859-1999計(jì)算機(jī)信息系信息系統(tǒng)等級(jí)保護(hù)分級(jí)標(biāo)準(zhǔn)信息系統(tǒng)等級(jí)保護(hù)分級(jí)標(biāo)準(zhǔn)07年6月份開(kāi)始，全國(guó)范圍內(nèi)的重要信息系統(tǒng)普遍開(kāi)展了信息安全等級(jí)保護(hù)定級(jí)工作,到去年為止定級(jí)工作基本上已經(jīng)落實(shí)。通過(guò)信息系統(tǒng)的定級(jí)，國(guó)家掌握了重要信息系統(tǒng)在全國(guó)范圍內(nèi)的分布、使用情況以及其重要程度。在定級(jí)基礎(chǔ)上，應(yīng)開(kāi)展信息系統(tǒng)安全建設(shè)和整改，達(dá)到相應(yīng)等級(jí)的安全防護(hù)能力。07年6月份開(kāi)始，全國(guó)范圍內(nèi)的重要信息系統(tǒng)普遍開(kāi)展了信息安全二、等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀二、等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀

需要了解的幾個(gè)法規(guī)、政策9幾個(gè)與等級(jí)保護(hù)有關(guān)的標(biāo)志性政策、文件：《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）。《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（147號(hào)令）

需要了解的幾個(gè)法規(guī)、政策9幾個(gè)與等級(jí)保護(hù)有關(guān)的標(biāo)志性政策、

幾個(gè)重要的技術(shù)標(biāo)準(zhǔn)10《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T24856-2009）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）國(guó)家已出臺(tái)約50余個(gè)標(biāo)準(zhǔn)，重點(diǎn)需要了解的有：最早提出的基礎(chǔ)性、強(qiáng)制性標(biāo)準(zhǔn)；粒度較粗，是一個(gè)指導(dǎo)性標(biāo)準(zhǔn)；強(qiáng)調(diào)基本的技術(shù)和管理要求我們?cè)谶M(jìn)行產(chǎn)品開(kāi)發(fā)、等保系統(tǒng)設(shè)計(jì)時(shí)的主要依據(jù)：（一個(gè)中心三重防御） 幾個(gè)重要的技術(shù)標(biāo)準(zhǔn)10《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(G11標(biāo)準(zhǔn)間的關(guān)系介紹GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則11標(biāo)準(zhǔn)間的關(guān)系介紹GB/T22239-2008信息系統(tǒng)安《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》12第一級(jí)用戶(hù)自主保護(hù)級(jí)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)安全標(biāo)記保護(hù)級(jí)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪(fǎng)問(wèn)控制標(biāo)記自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪(fǎng)問(wèn)控制標(biāo)記自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪(fǎng)問(wèn)控制標(biāo)記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復(fù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》12第一級(jí)用戶(hù)自主保《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的定位是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”；按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力;針對(duì)本系統(tǒng)更具體的保護(hù)要求可以參考相關(guān)標(biāo)準(zhǔn)實(shí)現(xiàn)。13《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的定位是系統(tǒng)安全保護(hù)、等級(jí)各級(jí)系統(tǒng)的保護(hù)要求的內(nèi)容某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理14各級(jí)系統(tǒng)的保護(hù)要求的內(nèi)容某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本技術(shù)設(shè)計(jì)要求的思路《信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求》以信息（應(yīng)用）系統(tǒng)為核心，統(tǒng)籌規(guī)劃強(qiáng)調(diào)安全體系，一個(gè)中心支撐下的三重防御體系（計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)）嚴(yán)格的訪(fǎng)問(wèn)控制，操作人員行為控制將網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全綜合考慮技術(shù)設(shè)計(jì)要求的思路《信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求》

信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架16安全計(jì)算環(huán)境由定級(jí)系統(tǒng)中完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其連接部件組成，也可以是獨(dú)立的或移動(dòng)的計(jì)算機(jī)系統(tǒng)。安全區(qū)域邊界是定級(jí)系統(tǒng)中安全計(jì)算環(huán)境的邊界以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)聯(lián)接功能的部分，對(duì)安全計(jì)算環(huán)境及進(jìn)出安全計(jì)算環(huán)境的信息進(jìn)行保護(hù)。安全通信網(wǎng)絡(luò)是定級(jí)系統(tǒng)中實(shí)現(xiàn)安全計(jì)算環(huán)境之間信息傳輸功能的部分。安全管理中心是對(duì)部署在安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全策略與機(jī)制實(shí)施統(tǒng)一管理的設(shè)施。信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架16安全計(jì)算環(huán)境由定級(jí)系統(tǒng)等級(jí)保護(hù)核心要求（三級(jí)及以上）身份鑒別安全標(biāo)記（保密性級(jí)別、完整性級(jí)別、范疇）主體（用戶(hù)、進(jìn)程）客體（文件、程序、設(shè)備、網(wǎng)絡(luò)端口等）強(qiáng)制訪(fǎng)問(wèn)控制自主訪(fǎng)問(wèn)控制客體重用數(shù)據(jù)完整性審計(jì)非授權(quán)用戶(hù)“五不” “進(jìn)不來(lái)” “拿不走” “看不懂” “改不了” “賴(lài)不掉”等級(jí)保護(hù)核心要求（三級(jí)及以上）身份鑒別非授權(quán)用戶(hù)防內(nèi)為主安全標(biāo)記保護(hù)級(jí)（三級(jí)）涉及到重要性信息的系統(tǒng)，要具有抵御來(lái)自外部有組織的惡意攻擊能力，和防內(nèi)部人員攻擊的能力，不僅要對(duì)安全事件有審計(jì)紀(jì)錄，還要能追蹤、能響應(yīng)處理，要實(shí)現(xiàn)多重保護(hù)制度。結(jié)構(gòu)化保護(hù)級(jí)（四級(jí)）要有能抵御來(lái)自敵對(duì)組織的大規(guī)模攻擊的能力，和防止內(nèi)部人員內(nèi)外勾結(jié)的惡意攻擊的能力。不僅要全面審計(jì)違規(guī)行為還要具有及時(shí)報(bào)警和應(yīng)急處理能力。防內(nèi)為主安全標(biāo)記保護(hù)級(jí)（三級(jí)）涉及到重要性信息的系統(tǒng)，要具有三、我公司參與等級(jí)保護(hù)建設(shè)情況等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件中軟華泰致力于等級(jí)保護(hù)建設(shè)2008年初，公安部為制訂《信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求》的國(guó)家標(biāo)準(zhǔn)，進(jìn)行等級(jí)安全應(yīng)用技術(shù)平臺(tái)示范系統(tǒng)搭建工作。我公司在眾多競(jìng)爭(zhēng)者中脫穎而出，承接了目前最高等級(jí)四級(jí)系統(tǒng)的建設(shè)任務(wù)，目前已經(jīng)完成項(xiàng)目驗(yàn)收。國(guó)家標(biāo)準(zhǔn)即將出臺(tái)；示范系統(tǒng)搭建在公安部第一研究所；我公司還成為等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)863課題研究參與單位，目前正在配合國(guó)家主管單位參與國(guó)家重大支持項(xiàng)目的研究工作。中軟華泰致力于等級(jí)保護(hù)建設(shè)2008年初，公安部為制訂《信息系二、我公司參與等級(jí)保護(hù)建設(shè)情況等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件產(chǎn)品和服務(wù)體系形成了信息系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的體系結(jié)構(gòu)、技術(shù)框架、解決方案體系相關(guān)安全產(chǎn)品高等級(jí)操作系統(tǒng)終端安全防護(hù)服務(wù)器安全防護(hù)應(yīng)用安全網(wǎng)關(guān)網(wǎng)站防護(hù)系統(tǒng)安全管理平臺(tái)等產(chǎn)品和服務(wù)體系四、技術(shù)設(shè)計(jì)框架和方案等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件建設(shè)信息系統(tǒng)的可信計(jì)算基（TCB），即為信息系統(tǒng)建立基本的保護(hù)環(huán)境，并提供安全保護(hù)所要求的附加服務(wù)。下面以三級(jí)系統(tǒng)為例，展示在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)三重安全防護(hù)結(jié)構(gòu)框架。等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件26 等保系統(tǒng)整體架構(gòu)其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶(hù)終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心26 等保系統(tǒng)整體架構(gòu)其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境

保護(hù)環(huán)境框架圖

通過(guò)在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強(qiáng)制訪(fǎng)問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成了一個(gè)嚴(yán)密牢固的防護(hù)層，通過(guò)對(duì)用戶(hù)行為的控制，可以有效防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和授權(quán)用戶(hù)越權(quán)訪(fǎng)問(wèn)，確保信息和信息系統(tǒng)的保密性和完整性安全，從而為典型應(yīng)用子系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。保護(hù)環(huán)境框架圖通過(guò)在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以

保護(hù)環(huán)境框架圖

安全保護(hù)環(huán)境為應(yīng)用系統(tǒng)（如安全OA系統(tǒng)等）提供安全支撐服務(wù)。通過(guò)實(shí)施三級(jí)安全要求的業(yè)務(wù)應(yīng)用系統(tǒng)，使用安全保護(hù)環(huán)境所提供的安全機(jī)制，為應(yīng)用提供符合三級(jí)要求的安全功能支持和安全服務(wù)。保護(hù)環(huán)境框架圖安全保護(hù)環(huán)境為應(yīng)用系統(tǒng)（如安全OA

保護(hù)環(huán)境框架圖

區(qū)域邊界子系統(tǒng)通過(guò)對(duì)進(jìn)入和流出安全保護(hù)環(huán)境的信息流進(jìn)行安全檢查，確保不會(huì)有違背系統(tǒng)安全策略的信息流經(jīng)過(guò)邊界，是三級(jí)信息系統(tǒng)的第二道安全屏障。保護(hù)環(huán)境框架圖區(qū)域邊界子系統(tǒng)通過(guò)對(duì)進(jìn)入和流出安全

保護(hù)環(huán)境框架圖

通信網(wǎng)絡(luò)子系統(tǒng)通過(guò)對(duì)通信數(shù)據(jù)包的保密性和完整性進(jìn)行保護(hù)，確保其在傳輸過(guò)程中不會(huì)被非授權(quán)竊聽(tīng)和篡改，使得數(shù)據(jù)在傳輸過(guò)程中的安全得到了保障，是三級(jí)信息系統(tǒng)的外層安全屏障。保護(hù)環(huán)境框架圖通信網(wǎng)絡(luò)子系統(tǒng)通過(guò)對(duì)通信數(shù)據(jù)包的保

保護(hù)環(huán)境框架圖

系統(tǒng)管理子系統(tǒng)用戶(hù)身份管理，資源管理，應(yīng)急處理等。保護(hù)環(huán)境框架圖系統(tǒng)管理子系統(tǒng)

保護(hù)環(huán)境框架圖

標(biāo)記管理，授權(quán)管理，策略管理等。安全管理子系統(tǒng)通過(guò)制定相應(yīng)的系統(tǒng)安全策略，并且強(qiáng)制節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)及節(jié)點(diǎn)子系統(tǒng)執(zhí)行，從而實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的集中管理，為三級(jí)信息系統(tǒng)的安全提供了有力保障保護(hù)環(huán)境框架圖標(biāo)記管理，授權(quán)管理，策略管理等。

保護(hù)環(huán)境框架圖

審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞，安全審計(jì)員通過(guò)制定審計(jì)策略，強(qiáng)制實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的行為審計(jì)，確保用戶(hù)無(wú)法抵賴(lài)違背系統(tǒng)安全策略的行為，同時(shí)為應(yīng)急處理提供依據(jù)。保護(hù)環(huán)境框架圖審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞，安全審計(jì)安全管理流程安全管理流程主要由安全管理中心的安全管理員系統(tǒng)管理員和系統(tǒng)審計(jì)員實(shí)施，分別實(shí)施系統(tǒng)維護(hù)、安全策略部署和審計(jì)策略部署等機(jī)制。訪(fǎng)問(wèn)控制流程訪(fǎng)問(wèn)控制流程是在系統(tǒng)運(yùn)行時(shí)執(zhí)行，實(shí)施自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制等。 主要流程 主要流程1）策略初始化流程節(jié)點(diǎn)子系統(tǒng)在運(yùn)行之前，系統(tǒng)管理員確定所有用戶(hù)的身份、工作密鑰、證書(shū)等，即確定業(yè)務(wù)系統(tǒng)正常運(yùn)行所需要使用的執(zhí)行程序等資源配置。安全管理員為所有主\客體實(shí)施標(biāo)記管理，生成全局客體安全標(biāo)記列表和全局主體安全標(biāo)記列表，為主體實(shí)施授權(quán)管理，生成訪(fǎng)問(wèn)控制列表和級(jí)別調(diào)整檢查列表。安全審計(jì)員制定審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)跟蹤管理。1）策略初始化流程2）計(jì)算節(jié)點(diǎn)啟動(dòng)流程策略初始化完成后，節(jié)點(diǎn)系統(tǒng)在啟動(dòng)時(shí)需要對(duì)所裝載的可執(zhí)行代碼進(jìn)行可信驗(yàn)證，確保其在可執(zhí)行代碼預(yù)期值列表中。用戶(hù)登錄系統(tǒng)驗(yàn)證登錄用戶(hù)是否是該節(jié)點(diǎn)上的授權(quán)用戶(hù)。下載與該用戶(hù)相關(guān)的系統(tǒng)安全策略，并初始化用戶(hù)工作空間。2）計(jì)算節(jié)點(diǎn)啟動(dòng)流程37

全程訪(fǎng)問(wèn)控制其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶(hù)終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界37 全程訪(fǎng)問(wèn)控制其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備區(qū)域邊界通信五、安全建設(shè)整改技術(shù)路線(xiàn)五、安全建設(shè)整改技術(shù)路線(xiàn)

1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)

建設(shè)管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系結(jié)構(gòu)，實(shí)施多層隔離和保護(hù)，以防止某薄弱環(huán)節(jié)影響整體安全。1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)建設(shè)管理

1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)2）要重點(diǎn)做好操作人員使用的終端防護(hù)

要在框架體系上解決問(wèn)題，而不是在一些內(nèi)部的點(diǎn)上解決問(wèn)題。要?jiǎng)?chuàng)造可信安全的保護(hù)環(huán)境，然后在可信的環(huán)境中實(shí)施各種操作。要重點(diǎn)做好操作人員行為控制，使其不能違規(guī)操作，防止發(fā)生攻擊行為。要改變以往在網(wǎng)絡(luò)上封堵的觀念，首先搞好終端源頭的防御這樣才能符合人、技術(shù)、操作的縱深防御策略，而且將降低建設(shè)成本。1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)要在框架

1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)2）要重點(diǎn)做好操作人員使用的終端防護(hù)3）要以防內(nèi)為主，內(nèi)外兼防

安全保護(hù)體系搭建好以后，病毒失去了對(duì)系統(tǒng)的攻擊能力。三級(jí)以上的系統(tǒng)強(qiáng)制訪(fǎng)問(wèn)控制，嚴(yán)格控制了幾乎所有的有害程序，并通過(guò)校驗(yàn)方法對(duì)文件真實(shí)性加以驗(yàn)證，使病毒無(wú)法發(fā)揮作用。要實(shí)施自主防御，加強(qiáng)內(nèi)部的控制，這樣可以降低保護(hù)成本。要使非法攻擊者進(jìn)不去，進(jìn)去以后拿不到，拿到了以后也看不懂，想篡改也改不掉。1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)安全保護(hù)

1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)2）要重點(diǎn)做好操作人員使用的終端防護(hù)3）要以防內(nèi)為主，內(nèi)外兼防

4）加強(qiáng)技術(shù)平臺(tái)支持下的安全管理，與日常安全管理制度相適應(yīng)

以前的安全管理比較抽象，譬如防火墻和IDS的配置不同，難以理解和管理。我們要求安全管理跟日常的管理一樣，規(guī)定什么級(jí)別的人只能做與其權(quán)限相符的事，對(duì)照著進(jìn)行管理就行。應(yīng)該技術(shù)與管理并重，要在技術(shù)平臺(tái)支持下進(jìn)行管理，才能做到真正的有效管理。1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)以前的

1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)2）要重點(diǎn)做好操作人員使用的終端防護(hù)3）要以防內(nèi)為主，內(nèi)外兼防

4）加強(qiáng)技術(shù)平臺(tái)支持下的安全管理，與日常安全管理制度相適應(yīng)

5）為便于技術(shù)方案實(shí)施，整改時(shí)不改或少改原有的應(yīng)用系統(tǒng)，尤其是用戶(hù)應(yīng)用程序不能改

如果對(duì)原應(yīng)用和數(shù)據(jù)要進(jìn)行安全設(shè)計(jì)和改造，那么會(huì)涉及整個(gè)系統(tǒng)，修改程序就要重新調(diào)試系統(tǒng)，是不可行的。1）要加強(qiáng)定級(jí)對(duì)象信息系統(tǒng)整體防護(hù)如果對(duì)謝謝!謝謝!等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀.c

提綱等級(jí)保護(hù)背景等保相關(guān)標(biāo)準(zhǔn)中軟華泰公司參與等級(jí)保護(hù)建設(shè)工作設(shè)計(jì)技術(shù)要求的框架和方案安全建設(shè)整改技術(shù)路線(xiàn)提綱一、等級(jí)保護(hù)背景一、等級(jí)保護(hù)背景政策和標(biāo)準(zhǔn)國(guó)務(wù)院147號(hào)文法律政策依據(jù)科學(xué)技術(shù)依據(jù)GB17859－199950多個(gè)配套標(biāo)準(zhǔn)中辦國(guó)辦27號(hào)文四部委66號(hào)文件四部委43號(hào)文件第一次提出信息系統(tǒng)要實(shí)行等級(jí)保護(hù)，并確定了等級(jí)保護(hù)的職責(zé)單位----公安部會(huì)同有關(guān)部門(mén)。要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障的一項(xiàng)基本制度。等級(jí)保護(hù)工作的開(kāi)展必須分步驟、分階段、有計(jì)劃的實(shí)施。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容。明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門(mén)、監(jiān)管部門(mén)在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)。政策和標(biāo)準(zhǔn)國(guó)務(wù)院147號(hào)文法律政策依據(jù)科學(xué)技術(shù)依據(jù)GB17849等級(jí)保護(hù)的標(biāo)準(zhǔn)體系GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T20269-2006信息系統(tǒng)安全管理要求GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T24856-2009信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南……5等級(jí)保護(hù)的標(biāo)準(zhǔn)體系GB17859-1999計(jì)算機(jī)信息系信息系統(tǒng)等級(jí)保護(hù)分級(jí)標(biāo)準(zhǔn)信息系統(tǒng)等級(jí)保護(hù)分級(jí)標(biāo)準(zhǔn)07年6月份開(kāi)始，全國(guó)范圍內(nèi)的重要信息系統(tǒng)普遍開(kāi)展了信息安全等級(jí)保護(hù)定級(jí)工作,到去年為止定級(jí)工作基本上已經(jīng)落實(shí)。通過(guò)信息系統(tǒng)的定級(jí)，國(guó)家掌握了重要信息系統(tǒng)在全國(guó)范圍內(nèi)的分布、使用情況以及其重要程度。在定級(jí)基礎(chǔ)上，應(yīng)開(kāi)展信息系統(tǒng)安全建設(shè)和整改，達(dá)到相應(yīng)等級(jí)的安全防護(hù)能力。07年6月份開(kāi)始，全國(guó)范圍內(nèi)的重要信息系統(tǒng)普遍開(kāi)展了信息安全二、等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀二、等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀

需要了解的幾個(gè)法規(guī)、政策53幾個(gè)與等級(jí)保護(hù)有關(guān)的標(biāo)志性政策、文件：《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）?！缎畔踩燃?jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（147號(hào)令）

需要了解的幾個(gè)法規(guī)、政策9幾個(gè)與等級(jí)保護(hù)有關(guān)的標(biāo)志性政策、

幾個(gè)重要的技術(shù)標(biāo)準(zhǔn)54《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T24856-2009）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）國(guó)家已出臺(tái)約50余個(gè)標(biāo)準(zhǔn)，重點(diǎn)需要了解的有：最早提出的基礎(chǔ)性、強(qiáng)制性標(biāo)準(zhǔn)；粒度較粗，是一個(gè)指導(dǎo)性標(biāo)準(zhǔn)；強(qiáng)調(diào)基本的技術(shù)和管理要求我們?cè)谶M(jìn)行產(chǎn)品開(kāi)發(fā)、等保系統(tǒng)設(shè)計(jì)時(shí)的主要依據(jù)：（一個(gè)中心三重防御） 幾個(gè)重要的技術(shù)標(biāo)準(zhǔn)10《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(G55標(biāo)準(zhǔn)間的關(guān)系介紹GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則11標(biāo)準(zhǔn)間的關(guān)系介紹GB/T22239-2008信息系統(tǒng)安《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》56第一級(jí)用戶(hù)自主保護(hù)級(jí)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)安全標(biāo)記保護(hù)級(jí)第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪(fǎng)問(wèn)控制標(biāo)記自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪(fǎng)問(wèn)控制標(biāo)記自主訪(fǎng)問(wèn)控制身份鑒別完整性保護(hù)系統(tǒng)審計(jì)客體重用強(qiáng)制訪(fǎng)問(wèn)控制標(biāo)記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復(fù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》12第一級(jí)用戶(hù)自主?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求》的定位是系統(tǒng)安全保護(hù)、等級(jí)測(cè)評(píng)的一個(gè)基本“標(biāo)尺”；按照基本要求進(jìn)行保護(hù)后，信息系統(tǒng)具有相應(yīng)等級(jí)的基本安全保護(hù)能力;針對(duì)本系統(tǒng)更具體的保護(hù)要求可以參考相關(guān)標(biāo)準(zhǔn)實(shí)現(xiàn)。57《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的定位是系統(tǒng)安全保護(hù)、等級(jí)各級(jí)系統(tǒng)的保護(hù)要求的內(nèi)容某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理58各級(jí)系統(tǒng)的保護(hù)要求的內(nèi)容某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本技術(shù)設(shè)計(jì)要求的思路《信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求》以信息（應(yīng)用）系統(tǒng)為核心，統(tǒng)籌規(guī)劃強(qiáng)調(diào)安全體系，一個(gè)中心支撐下的三重防御體系（計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)）嚴(yán)格的訪(fǎng)問(wèn)控制，操作人員行為控制將網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全綜合考慮技術(shù)設(shè)計(jì)要求的思路《信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求》

信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架60安全計(jì)算環(huán)境由定級(jí)系統(tǒng)中完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及其連接部件組成，也可以是獨(dú)立的或移動(dòng)的計(jì)算機(jī)系統(tǒng)。安全區(qū)域邊界是定級(jí)系統(tǒng)中安全計(jì)算環(huán)境的邊界以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)聯(lián)接功能的部分，對(duì)安全計(jì)算環(huán)境及進(jìn)出安全計(jì)算環(huán)境的信息進(jìn)行保護(hù)。安全通信網(wǎng)絡(luò)是定級(jí)系統(tǒng)中實(shí)現(xiàn)安全計(jì)算環(huán)境之間信息傳輸功能的部分。安全管理中心是對(duì)部署在安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全策略與機(jī)制實(shí)施統(tǒng)一管理的設(shè)施。信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架16安全計(jì)算環(huán)境由定級(jí)系統(tǒng)等級(jí)保護(hù)核心要求（三級(jí)及以上）身份鑒別安全標(biāo)記（保密性級(jí)別、完整性級(jí)別、范疇）主體（用戶(hù)、進(jìn)程）客體（文件、程序、設(shè)備、網(wǎng)絡(luò)端口等）強(qiáng)制訪(fǎng)問(wèn)控制自主訪(fǎng)問(wèn)控制客體重用數(shù)據(jù)完整性審計(jì)非授權(quán)用戶(hù)“五不” “進(jìn)不來(lái)” “拿不走” “看不懂” “改不了” “賴(lài)不掉”等級(jí)保護(hù)核心要求（三級(jí)及以上）身份鑒別非授權(quán)用戶(hù)防內(nèi)為主安全標(biāo)記保護(hù)級(jí)（三級(jí)）涉及到重要性信息的系統(tǒng)，要具有抵御來(lái)自外部有組織的惡意攻擊能力，和防內(nèi)部人員攻擊的能力，不僅要對(duì)安全事件有審計(jì)紀(jì)錄，還要能追蹤、能響應(yīng)處理，要實(shí)現(xiàn)多重保護(hù)制度。結(jié)構(gòu)化保護(hù)級(jí)（四級(jí)）要有能抵御來(lái)自敵對(duì)組織的大規(guī)模攻擊的能力，和防止內(nèi)部人員內(nèi)外勾結(jié)的惡意攻擊的能力。不僅要全面審計(jì)違規(guī)行為還要具有及時(shí)報(bào)警和應(yīng)急處理能力。防內(nèi)為主安全標(biāo)記保護(hù)級(jí)（三級(jí)）涉及到重要性信息的系統(tǒng)，要具有三、我公司參與等級(jí)保護(hù)建設(shè)情況等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件中軟華泰致力于等級(jí)保護(hù)建設(shè)2008年初，公安部為制訂《信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)要求》的國(guó)家標(biāo)準(zhǔn)，進(jìn)行等級(jí)安全應(yīng)用技術(shù)平臺(tái)示范系統(tǒng)搭建工作。我公司在眾多競(jìng)爭(zhēng)者中脫穎而出，承接了目前最高等級(jí)四級(jí)系統(tǒng)的建設(shè)任務(wù)，目前已經(jīng)完成項(xiàng)目驗(yàn)收。國(guó)家標(biāo)準(zhǔn)即將出臺(tái)；示范系統(tǒng)搭建在公安部第一研究所；我公司還成為等級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)863課題研究參與單位，目前正在配合國(guó)家主管單位參與國(guó)家重大支持項(xiàng)目的研究工作。中軟華泰致力于等級(jí)保護(hù)建設(shè)2008年初，公安部為制訂《信息系二、我公司參與等級(jí)保護(hù)建設(shè)情況等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件產(chǎn)品和服務(wù)體系形成了信息系統(tǒng)等級(jí)保護(hù)建設(shè)和整改的體系結(jié)構(gòu)、技術(shù)框架、解決方案體系相關(guān)安全產(chǎn)品高等級(jí)操作系統(tǒng)終端安全防護(hù)服務(wù)器安全防護(hù)應(yīng)用安全網(wǎng)關(guān)網(wǎng)站防護(hù)系統(tǒng)安全管理平臺(tái)等產(chǎn)品和服務(wù)體系四、技術(shù)設(shè)計(jì)框架和方案等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件建設(shè)信息系統(tǒng)的可信計(jì)算基（TCB），即為信息系統(tǒng)建立基本的保護(hù)環(huán)境，并提供安全保護(hù)所要求的附加服務(wù)。下面以三級(jí)系統(tǒng)為例，展示在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)三重安全防護(hù)結(jié)構(gòu)框架。等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)解讀課件70 等保系統(tǒng)整體架構(gòu)其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶(hù)終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計(jì)算環(huán)境安全管理中心26 等保系統(tǒng)整體架構(gòu)其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備計(jì)算環(huán)境

保護(hù)環(huán)境框架圖

通過(guò)在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強(qiáng)制訪(fǎng)問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成了一個(gè)嚴(yán)密牢固的防護(hù)層，通過(guò)對(duì)用戶(hù)行為的控制，可以有效防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和授權(quán)用戶(hù)越權(quán)訪(fǎng)問(wèn)，確保信息和信息系統(tǒng)的保密性和完整性安全，從而為典型應(yīng)用子系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。保護(hù)環(huán)境框架圖通過(guò)在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以

保護(hù)環(huán)境框架圖

安全保護(hù)環(huán)境為應(yīng)用系統(tǒng)（如安全OA系統(tǒng)等）提供安全支撐服務(wù)。通過(guò)實(shí)施三級(jí)安全要求的業(yè)務(wù)應(yīng)用系統(tǒng)，使用安全保護(hù)環(huán)境所提供的安全機(jī)制，為應(yīng)用提供符合三級(jí)要求的安全功能支持和安全服務(wù)。保護(hù)環(huán)境框架圖安全保護(hù)環(huán)境為應(yīng)用系統(tǒng)（如安全OA

保護(hù)環(huán)境框架圖

區(qū)域邊界子系統(tǒng)通過(guò)對(duì)進(jìn)入和流出安全保護(hù)環(huán)境的信息流進(jìn)行安全檢查，確保不會(huì)有違背系統(tǒng)安全策略的信息流經(jīng)過(guò)邊界，是三級(jí)信息系統(tǒng)的第二道安全屏障。保護(hù)環(huán)境框架圖區(qū)域邊界子系統(tǒng)通過(guò)對(duì)進(jìn)入和流出安全

保護(hù)環(huán)境框架圖

通信網(wǎng)絡(luò)子系統(tǒng)通過(guò)對(duì)通信數(shù)據(jù)包的保密性和完整性進(jìn)行保護(hù)，確保其在傳輸過(guò)程中不會(huì)被非授權(quán)竊聽(tīng)和篡改，使得數(shù)據(jù)在傳輸過(guò)程中的安全得到了保障，是三級(jí)信息系統(tǒng)的外層安全屏障。保護(hù)環(huán)境框架圖通信網(wǎng)絡(luò)子系統(tǒng)通過(guò)對(duì)通信數(shù)據(jù)包的保

保護(hù)環(huán)境框架圖

系統(tǒng)管理子系統(tǒng)用戶(hù)身份管理，資源管理，應(yīng)急處理等。保護(hù)環(huán)境框架圖系統(tǒng)管理子系統(tǒng)

保護(hù)環(huán)境框架圖

標(biāo)記管理，授權(quán)管理，策略管理等。安全管理子系統(tǒng)通過(guò)制定相應(yīng)的系統(tǒng)安全策略，并且強(qiáng)制節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)及節(jié)點(diǎn)子系統(tǒng)執(zhí)行，從而實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的集中管理，為三級(jí)信息系統(tǒng)的安全提供了有力保障保護(hù)環(huán)境框架圖標(biāo)記管理，授權(quán)管理，策略管理等。

保護(hù)環(huán)境框架圖

審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞，安全審計(jì)員通過(guò)制定審計(jì)策略，強(qiáng)制實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的行為審計(jì)，確保用戶(hù)無(wú)法抵賴(lài)違背系統(tǒng)安全策略的行為，同時(shí)為應(yīng)急處理提供依據(jù)。保護(hù)環(huán)境框架圖審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞，安全審計(jì)安全管理流程安全管理流程主要由安全管理中心的安全管理員系統(tǒng)管理員和系統(tǒng)審計(jì)員實(shí)施，分別實(shí)施系統(tǒng)維護(hù)、安全策略部署和審計(jì)策略部署等機(jī)制。訪(fǎng)問(wèn)控制流程訪(fǎng)問(wèn)控制流程是在系統(tǒng)運(yùn)行時(shí)執(zhí)行，實(shí)施自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制等。 主要流程 主要流程1）策略初始化流程節(jié)點(diǎn)子系統(tǒng)在運(yùn)行之前，系統(tǒng)管理員確定所有用戶(hù)的身份、工作密鑰、證書(shū)等，即確定業(yè)務(wù)系統(tǒng)正常運(yùn)行所需要使用的執(zhí)行程序等資源配置。安全管理員為所有主\客體實(shí)施標(biāo)記管理，生成全局客體安全標(biāo)記列表和全局主體安全標(biāo)記列表，為主體實(shí)施授權(quán)管理，生成訪(fǎng)問(wèn)控制列表和級(jí)別調(diào)整檢查列表。安全審計(jì)員制定審計(jì)策略，實(shí)施系統(tǒng)的審計(jì)跟蹤管理。1）策略初始化流程2）計(jì)算節(jié)點(diǎn)啟動(dòng)流程策略初始化完成后，節(jié)點(diǎn)系統(tǒng)在啟動(dòng)時(shí)需要對(duì)所裝載的可執(zhí)行代碼進(jìn)行可信驗(yàn)證，確保其在可執(zhí)行代碼預(yù)期值列表中。用戶(hù)登錄系統(tǒng)驗(yàn)證登錄用戶(hù)是否是該節(jié)點(diǎn)上的授權(quán)用戶(hù)。下載與該用戶(hù)相關(guān)的系統(tǒng)安全策略，并初始化用戶(hù)工作空間。2）計(jì)算節(jié)點(diǎn)啟動(dòng)流程81

全程訪(fǎng)問(wèn)控制其它定級(jí)系統(tǒng)安全接入/隔離設(shè)備區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶(hù)終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界37