软考中级信息系统监理师（第二版）-第6章信息安全

第 6 章 信息安全

信息技术和信息产业以前所未有之势，渗透到各行各业和社会生活当中，正在逐渐改变人们的生产和生活方式，推动着社会的进步。但是，随着各类应用系统的广泛使用，以及信息网络的不断扩展，口令入侵、木马入侵、非法监听、网络钓鱼、拒绝服务等攻击充斥网络，信息网络的安全问题日益严峻。信息安全不仅关系个人用户的利益，还是影响社会经济发展、政治稳定和国家安全的战略性问题。因此，信息安全问题已经成为国内外专家学者广泛关注的课题。

6.1 信息安全的定义及属性

在ISO/IEC 27001信息安全管理体系中，将信息安全定义为保护信息的保密性、完整性、可用性及其他属性，即为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

信息安全的基本属性包括以下五个方面：

(1)保密性，即保证信息为授权者享用而不泄露给未经授权者。

(2)完整性，即保证信息从真实的发信者传送到真实的收信者手中，传送过程中没有被非 法用户添加、删除、替换等。

(3)可用性，即保证信息和信息系统随时为授权者提供服务，保证合法用户对信息和资源 的使用不会被不合理地拒绝。

(4)可控性，即出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必 要的控制管理，以对抗社会犯罪和外敌侵犯。

(5)不可否认性，即人们要为自己的信息行为负责，提供保证社会依法管理需要的公证、仲裁信息证据。

信息安全的重要性是任何一个国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家战略安全问题。对于政府、金融、电信和科研机构等来讲，信息安全的重要性毋庸置疑，但对于不同的部门、行业来讲，对信息安全的要求和重点策略还是有差异的。

6.2 信息安全的发展历程

信息安全的发展与信息技术的发展和用户的需求密不可分。信息安全的发展大致分为通信 保密、信息安全和信息安全保障三个阶段。

1.通信保密阶段

20世纪90年代以前，通信技术还不发达，面对电话、电报、传真等信息交换中存在的安全问题，人们强调的是信息的保密性。这一阶段对信息安全理论和技术的研究也只侧重于密码技术，可以称为通信保密安全，主要目的是保障传递的信息安全，防止信源、信宿以外的对象 查看信息。其保密性也仅表现在信息只能为授权者使用，而不泄露给未经授权者的特性。

2.信息安全阶段

20世纪90年代以后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段。这一阶段计算机病毒出现并广泛传播，非法拷贝软件的现象也相当普遍。随着网络技术的发展和应用，计算机病毒、蠕虫和木马等恶意 代码通过网络传播，造成了更大范围的危害。于是，防范计算机病毒等恶意代码、阻止非法拷 贝软件、保障网络安全成为社会对信息安全的迫切需要。除了通信保密之外，计算机操作系统 安全、分布式系统安全和网络系统安全的重要性和紧迫性逐渐凸显出来。为了解决这些信息安全问题，出现了计算机安全、软件保护等信息安全新内容和新技术，同时出现了防火墙、入侵检测、漏洞扫描及VPN网络安全技术等。

3.信息安全保障阶段

互联网、信息高速公路的出现和应用，构成了人类生存的信息环境，即网络空间。人类社会进入信息化时代。在信息化时代，信息科学技术和产业空前繁荣，社会的信息化程度大大提高。电子商务、电子政务、云计算、物联网、大数据处理等大型应用信息系统相继出现并广泛应用。这些都对信息安全提出了更新、更高的要求。信息安全不再局限于对信息的静态保护，而需要对整个信息和信息系统进行保护，对可能的信息安全攻击适时进行防御。

6.3 信息安全的主要技术和措施

信息安全的主要技术和措施包括身份认证、访问控制、入侵检测系统、防火墙、网闸、防 病毒、数据加密技术等。

6.3.1  身份认证

身份认证是在计算机网络中确认操作者身份的过程。身份认证可以分为用户与主机间的认证和主机与主机之间的认证，常见的认证措施如下：

(1)虚拟身份电子标识。虚拟身份电子标识 (Virtual Identiy Electronic Identification, VIEID),俗称网络身份证，是网民在网络上的身份标识，具有唯一性。VIEID 是一段含有标识 持有者身份信息并经过信息安全系统内的身份认证中心审核签发的电子数据，只要在网络环境 中有需要识别用户身份、进行信息交换和传输的地方，都可以用电子标识保障安全。

(2)静态密码。用户的密码通常都是由用户自己设定的。在网络登录时输入正确的密码， 计算机就认为操作者是合法用户。

(3)智能卡。一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专 门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须 将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

(4)短信密码。短信密码以手机短信形式请求包含4位或6位或一定位数随机数的动态密码，身份认证系统以短信形式发送随机的密码到客户的手机上。客户在登录或者交易认证时输入此动态密码，从而确保系统身份认证的安全性。它利用 what you have (你拥有什么)方法，也是日常生活中经常用到的认证方法之一。

(5)动态口令。目前比较常用且是安全性较高的身份认证方式，也是利用 what you have方法，是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，大多是基于时间同步方式的，在固定时间(如每60秒)变换一次动态口令，口令一次有效，它产生6位动态数字进 行一次一密的方式认证。

(6)USB Key。基于USB Key的身份认证方式是当前一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种 USB 接口的硬件设备，内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB  Key身份认证系统主要有两种应用模式：一种是基于冲击/响应(挑战/应答)的认证模式，另一种是基于公钥基础 设施 (Public Key Infrastructure,PKI) 体系的认证模式，比较多地运用在电子政务、网上银行。

公钥基础设施 (PKI)是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。PKI 体系是计算机软硬件、权威机构及应用系统的结合。它为实施电子商务、电子政务、办公自动化等提供了基本的安全 服务，从而使那些彼此不认识或距离很远的用户能通过信任链安全地交流。

(7)生物识别。运用who you are (你是谁)方法，通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的、可以测量或可以自动识别和验证的生理特征或 行为方式。生物特征分为身体特征(人脸识别)和行为特征(左右转转头、眨眨眼、张张嘴等) 两类。

(8)双因素认证。就是将两种认证方法结合起来，进一步加强认证的安全性。目前使用最为广泛的双因素有：动态口令牌+静态密码、USB Key+静态密码、二层静态密码等。

(9)Infogo认证。网络安全准入设备的制造商，与国内专业网络安全准入实验室联合研制并获得准入认证后，向信息安全市场推出的一种安全身份认证技术。

(10)虹膜认证。虹膜是瞳孔周围的环状颜色组织，具有丰富而各不相同的纹理图案，构成了虹膜识别的基础。虹膜识别技术是通过一种近似红外线的光线对虹膜图案进行扫描成像，并通过图案像素的异或操作来判定相似程度。与现有大量指纹鉴别产品相比，虹膜鉴别在可靠性、安全性(指纹易仿造)、稳定精度等方面仍具有巨大的优势。

6.3.2  访问控制

访问控制技术，指防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内 使用。通过用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些 控制功能的使用的一种技术，如 UniNAC 网络准入控制系统的原理就是基于此技术的。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

通过身份认证，能够确认用户的身份，而对用户的操作和访问行为的把控就需要授权和审计发挥作用了。

通俗地讲就是，用户是主体，文件是客体，读取文件操作是请求，一个主体请求一个客体，这个请求的授权由访问控制来完成。

主体：请求的发起者。主体可以是用户，也可以是进程、应用、设备等任何发起访问请求的来源。

客体：请求的接收方，一般是某种资源。例如某个文件、数据库，也可以是进程、设备等接受指令的实体。

请求：主体对客体进行的操作。一般是读、写和执行，也可以进一步细分为删除、追加等粒度更细的操作。

访问机制是否对请求进行授权，决定着这个操作能否顺利执行下去。所以，了解访问机制的规则至关重要。常见的访问控制机制有以下四种：

● 自主访问控制 (Discretionary Access Control,DAC)。让客体的所有者来定义访问控制规则。

●基于角色的访问控制 (Role-Based Access Control,Role-BAC)。将主体划分为不同的角色，然后对每个角色的权限进行定义。

●基于规则的访问控制 (Rule-Based Access Control,Rule-BAC)。制定某种规则，将主体、请求和客体的信息结合起来进行判定。

● 强制访问控制 (Mandatory Access Control,MAC)。一种基于安全级别标签的访问控制策略。

6.3.3  入侵检测系统

入侵检测系统是依照一定的安全策略，通过软硬件对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。

入侵检测可以分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识及神经网络模型对用户当前的 操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人 员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

入侵检测系统是国家信息安全的重要建设内容之一，已经纳入信息安全等级保护和安全测评的范畴。

6.3.4 防火墙

防火墙，又称防护墙、火墙，其功能主要是及时发现并处理计算机网络运行时潜在的安全 风险、数据传输风险等问题，同时可以对计算机网络安全中的各项操作进行记录与检测，以确 保计算机网络正常运行。

目前的防火墙已经是一个由软件和硬件设备组合而成的，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。防火墙位于计算 机和它所连接的网络之间，计算机流入、流出的所有网络通信和数据包均需要经过它。防火墙 在 Internet 与Intranet 之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙 主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。

1.防火墙的分类

通常情况下，防火墙分为四类：基于路由器的防火墙、用户化的防火墙工具组件、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。

按照结构划分，防火墙可以分为：代理主机结构、路由器+过滤器结构。

按照原理划分，防火墙可以分为：特殊设计的硬件防火墙、数据包过滤型防火墙、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型的防火墙，构筑多道防火 墙组成的“防御工事”。

防火墙应用的主要技术指标是吞吐量和报文转发率，一般采用全双工吞吐量(Full Duplex Throughput,FDT)来衡量， FDT 是指64字节数据包的全双工吞吐量，该指标既包括吞吐量指 标，也涵盖了报文转发率指标。

2.防火墙的基本特性

防火墙具有以下特性：

(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置的特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道时，才能够全面、有效地保护组织内部网络不受侵害。

(2)只有符合安全策略的数据流才能通过防火墙。这是防火墙最基本的功能，能够确保网络流量的合法性，并在此前提下将网络的流量快速地从一条链路转发到另外的链路上。

(3)防火墙自身应具有非常强的抗攻击免疫力。这是防火墙担当组织内部网络安全防护重任的先决条件。防火墙处于网络边缘，就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这就要求防火墙自身具有非常强的抗击入侵本领。防火墙操作系统是关键，只有自身具有完整 信任关系的操作系统才可以谈论系统的安全性。

(4)应用层防火墙具备更细致的防护能力。传统防火墙由于不具备区分端口和应用的能力，以至于只能防御传统的攻击，面对来自应用层的攻击可能毫无办法。

(5)数据库防火墙具有针对数据库恶意攻击的阻断能力。采用虚拟补丁技术、SQL 注入禁止技术、SQL黑名单技术等关键技术应用，为数据库提供安全、可靠的防护。

6.3.5  网闸

网闸是使用带有多种控制功能的固态开关读写介质、连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接 及信息传输协议，不存在依据协议进行的信息交换，只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了互联网、工作外网等对工作内网具有潜在攻击可能的一切网 络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

1.网闸技术

网闸技术也称网络隔离技术，由两套各自独立的系统分别连接安全和非安全的网络，两套系统之间通过网闸进行信息摆渡，保证两套系统之间没有直接的物理通路。在通信过程中，当存储介质与安全的网络连通时，断开与非安全网络的连接；当与非安全网络连通时，断开与安 全网络的连接；通过分时使用两套系统中的数据通路进行数据交换，以达到隔离与交换的目的。

此外，在数据交换过程中，需要同时进行防病毒、防恶意代码等信息过滤，以保证信息的安全。网络隔离技术的产品和方案主要有以下几种。

1)独立网络方案

根据保密需求的不同，将信息存放在两个独立的网络中。 一个是内部网络，用于存储、处理、传输涉密信息；另一个是外部网络，与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要，则采用人工操作(例如通过软盘、磁带等)的方式。

2)终端级解决方案

用户使用一台客户端设备排他性选择连接内部网络和外部网络。终端级解决方案主要分为 以下几类：

(1)双主板，双硬盘型。通过设置两套独立计算机的设备实现，使用时通过客户端开关分别选择两套计算机系统。

(2)单主板，双硬盘型。客户端通过增加一块隔离卡、 一块硬盘，将硬盘接口通过添加的隔离卡转接到主板，网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备，同时选择相应的网络接口，达到网络隔离的效果。

(3)单主板，单硬盘型。客户端需要增加一块隔离卡，存储器通过隔离卡连接到主板，网卡也通过隔离卡引出两个网络接口。对硬盘上划分安全区、非安全区，通过隔离卡控制客户端存储设备分时使用安全区和非安全区，同时对相应的网络接口进行选择，以实施网络隔离。

网闸实现了内外网的逻辑隔离，在技术特征上主要表现为网络模型各层的断开，实现了物理层断开、链路层断开、TCP/IP 协议隔离和应用协议隔离。

2.网闸应用的具体部署

1)涉密网与非涉密网之间

有些政府办公网络涉及敏感信息，当其与外部非涉密网连接的时候，可以用物理隔离网闸将两者隔开。

2)局域网与互联网之间(内网与外网之间)

有些局域网络，特别是政府办公网络，涉及政府敏感信息，有时需要与互联网在物理上断开，物理隔离网闸是一个常用的办法。

3)办公网与业务网之间

由于办公网络与业务网络的信息敏感程度不同，例如，银行办公网络和银行业务网络就是典型的信息敏感程度不同的网络。为了提高工作效率，办公网络有时需要与业务网络交换信息。为保障业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络的物理隔离。

4)电子政务的内网与专网之间

在电子政务系统建设中，要求政府内网与外网之间逻辑隔离，在政府专网与内网之间用物理隔离。常用的方法是采用物理隔离网闸来实现。

5)业务网与互联网之间

电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大用户。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。

6.3.6 防病毒

1.防病毒分析

防病毒指用户主动防范计算机等电子设备不受病毒入侵，从而避免出现用户资料泄密、设备程序被破坏等情况。病毒潜伏在电子设备中，即使还没有开始发作也总会留下一些“蛛丝马迹”。常见的中毒现象包括：

●计算机系统经常无故死机；

●计算机系统的运行速度明显减慢；

●系统出现异常的重新启动现象；

●磁盘坏簇莫名其妙地增多，它是病毒为了隐藏自己伪造的假象；

●操作系统无故频繁地报警或虚假报警；

●丢失文件或文件被破坏；

●系统中的文件时间、日期、大小发生了变化；

●磁盘出现特殊标签或系统无法正常引导磁盘；

●磁盘空间迅速减少；

●屏幕上出现异常显示；

●部分文档自动加了密码，限制阅读和修改；

●以前能正常运行的应用程序运行时经常发生死机或者出现非法错误；

●自动发送电子邮件等。

2.防病毒策略

在分析了病毒侵害的原因后，就需要有的放矢地设计病毒防护策略。

病毒防护策略准则包括：

(1)拒绝访问能力。来历不明的入侵软件(尤其是通过网络传输的软件)不得进入系统。

(2)病毒检测能力。应当认识到，病毒总是有可能进入系统的，系统中应设置检测病毒的机制。除了检测已知病毒外，能否检测未知病毒是一个重要的指标。

(3)控制病毒传播的能力。应当认识到，没有一种方法能检测出所有病毒。一旦病毒进入系统，不应让病毒在系统中到处传播，系统一定要有控制病毒传播的能力。

(4)清除能力。如果病毒突破了系统的防护，即使它的传播受到了控制，也要有相应的措施将它清除掉。对于已知病毒，可以使用专用杀毒软件；对于未知病毒，在发现后使用软件工具对它进行分析，尽快编写出消杀软件。当然，如果有后备文件，也可以使用它直接覆盖受感 染文件，但一定要查清楚病毒的来源。

(5)恢复能力。有可能在消除病毒以前，病毒就破坏了系统中的数据，系统应提供一种高效的方法来恢复这些数据。

(6)替代操作。系统应该提供一种替代操作方案。在恢复系统时可用替代系统工作，问题解决后再换回来。这一准则对于某些关键的系统应用是必须得到保证的。

6.3.7  数据加密技术

数据加密 (Data Encryption) 技术是指将一个信息(或称明文，Plain Text) 经过加密钥匙 (Encryption Key)及加密函数转换，变成无意义的密文 (Cipher Text), 而接收方则将此密文经过解密函数、解密钥匙 (Decryption Key)还原成明文。数据加密技术只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接收方以一些特殊的信息用于 加解密，即所谓的密钥。密钥的值是从大量的随机数中选取的。需要强调的是，数据加密技术 的首要目的是隐藏信息(数据)的含义，并不是隐藏信息(数据)的存在。

数据加密技术按加密算法分为专用密钥和公开密钥两种。

1)专用密钥

专用密钥又称为对称密钥或单密钥，加密和解密时使用同一个密钥，即同一个算法。例如 对称加密算法DES 和麻省理工学院 (Massachusetts Institute of Technology,MIT) 的MIT许可证中的Kerberos算法。

单密钥是最简单的方式，通信双方必须交换彼此的密钥，当需要给对方发信息时，用自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。当一个文本需要 加密传送时，该文本用密钥加密构成密文，密文在信道上传送，收到密文后用同一个密钥将密 文解出来，形成普通文本供阅读。

在对称密钥中，密钥的管理极为重要，一旦密钥丢失，密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂，而且密钥本身的安全也是一个问题。对称密钥 是最古老的加密方法，“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全 强度高，因而目前仍被广泛采用。

2)公开密钥

公开密钥又称为非对称密钥，加密和解密时使用不同的密钥，即不同的算法，虽然两者之 间存在一定的关系，但不可能轻易地从一个推导出另一个。有一个公用的加密密钥，有多个解密密钥，如RSA算法(非对称加密算法，是1977年由麻省理工学院的三人共同开发的，故用 其姓氏开头字母组合命名)。

非对称密钥由于两个密钥(加密密钥和解密密钥)各不相同，因而可以将一个密钥公开，而将另一个密钥保密，同样可以起到加密的作用。在这种编码过程中，一个密钥用来加密消息，而另一个密钥用来解密消息。

3)数字签名

公开密钥的加密机制虽提供了良好的保密性，但难以鉴别发送者，即任何得到公开密钥的 人都可以生成和发送报文。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡 改等问题。

数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名，但是 使用了公钥加密领域的技术实现的，用于鉴别数字信息的方法。 一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名不是指把签名扫描成数字图像，或者用 触摸板获取的签名，更不是个人的落款。经过数字签名的文件，其完整性是很容易验证的，而且具有不可抵赖性，不需要骑缝章、骑缝签名，也不需要笔迹专家来验证。

数字签名一般采用非对称加密技术(例如RSA), 通过对整个明文进行某种变换，得到一 个值，作为核实签名、确认身份的技术手段之一。接收者使用发送者的公开密钥对签名进行解 密运算，如其结果为明文，则签名有效，证明对方的身份是真实的。当然，签名也可以采用多种方式，例如将签名附在明文之后。数字签名普遍用于银行、电子贸易等。

数字签名不同于手写签字：数字签名随文本的变化而变化，手写签字反映某个人的个性特征，是不变的；数字签名与文本信息是不可分割的，而手写签字是附加在文本之后的，与文本 信息是分离的。

密码技术是网络安全最有效的技术之一。一个加密网络不但可以防止非授权用户搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

6.4  网络安全等级保护

随着互联网的飞速发展和广泛应用，国家机关、社会、企事业机构、团体和民众都面临着网络时代下互联网环境、信息交互等带来的信息安全防范不到位的威胁，“没有网络安全就没有国家安全”。《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国保守国家秘密法(修订)》等法律法规颁布执行，为承载影响国计民生的重要网络信息系统的安全提供了法律保障。

等级保护(简称“等保”),目前指网络安全等级保护。《中华人民共和国网络安全法》明确规定，我国实行网络安全等级保护制度。

1.等保发展历程

截至目前，等保经历了两个发展历程，即等保1.0和等保2.0两个典型阶段。

1)等保1.0

等保1.0的主要标准是：GB/T 22239《信息安全技术信息系统安全等级保护基本要求》、GB/T 25070《信息安全技术信息系统等级保护安全设计要求》和 GB/T 28448《信息安全技术信息系统安全等级保护测评要求》。

2)等保2.0

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布了三个网络安全领域的国家标准，即 GB/T22239《 信息安全技术网络安全等级保护基本要求》、GB/T25070《 信息安全技术网络安全等级保护安全设计技术要求》和GB/T28448《 信息安全技术网络安全等 级保护测评要求》,于2019年12月1日起实施，标志着我国进入等保2.0 时代。

2.等保分级

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

(1)第一级，自主保护级。指等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益。

(2)第二级，指导保护级。指等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国 家安全。

(3)第三级，监督保护级。指等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害。

(4)第四级，强制保护级。指等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害。

(5)第五级，专控保护级。指等级保护对象受到破坏后，会对国家安全造成特别严重危害。

3.等保1.0与等保2.0的主要差异

等保1.0与等保2.0的差异主要体现在：

●保护对象和名称有调整，等保1.0为信息系统安全等级保护，等保2.0为网络安全等级保护；

●等保2.0的保护对象较等保1.0扩大了保护范围；

●相比等保1.0,等保2.0进一步加强了等级保护基本要求；

●等保2.0对等保1.0的保护内容进行了适当扩容、完善和调整。两者的具体差异如表6-1所示。

表6-1 等保1.0与等保2.0的主要差异

序号	比较项	等保1.0	等保2.0
1	名称	信息系统安全等级保护	网络安全等级保护
2	对象	信息系统	基础信息网络、云计算平台/系统、大数据平台/系 统、物联网、工业控制系统、移动互联网系统等
3	基本要求	安全要求	安全要求
			新型应用安全扩展要求：云计算安全扩展要求、物联 网安全扩展要求、工业控制系统安全扩展要求、移动 互联安全扩展要求

4	内容	物理安全	安全物理环境
		网络安全	安全通信网络
		主机安全	安全区域边界
		数据安全及备份/恢复	安全计算环境
		应用安全	安全管理中心
		安全管理制度	安全管理制度
		安全管理机构	安全管理机构
		人员安全管理	安全管理人员
		系统建设管理	安全建设管理
		系统运维管理	安全运维管理

相较等保1.0,等保2.0在保护范围、法律效力、参考标准、定级流程、备案流程、保护重点、保护思路等方面都发生了较大的变化，具体体现为以下五点：

(1)等保2.0以《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》等法律为顶层设计，法律效力更强。

(2)等保2.0在等保1.0的标准体系上进行了修订，并增加了GB/T36627《信息安全技术网络安全等级保护测试评估技术指南》等新的技术标准。

(3)在定级原则方面，等保2.0将原有的“自主定级、自主保护”原则变成了国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。

(4)对关键信息基础设施提出了“定级原则上不低于三级”的指导意见。

(5)在备案流程方面，等保2.0 明确了定级流程，包括确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查，弥补了等保1.0时代只能按照定级要素进行级别 识别、没有严格流程等方面的不足。

依据GB/T 25058《信息安全技术网络安全等级保护实施指南》等技术规范，等级保护整体流程包括：系统定级、专家评审、网安备案、系统测评、系统整改、复测、出具报告等。

6.4.2  网络安全等级保护基本要求

1.信息系统安全等级保护的定级要素

信息系统安全等级保护就是在等级保护对象受到信息安全攻击的破坏时，使其遭受侵害的 程度、范围可以得到控制，或避免其遭受侵害。

等级保护对象的定级要素包括：受侵害的客体、对客体的侵害程度。

(1)等级保护对象受到破坏时所侵害的客体包括：

●公民、法人和其他组织的合法权益；

●社会秩序、公共利益；

●国家安全。

(2)对客体造成侵害的程度。

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为：造成一般损害、造成严重损害、造成特别严重损害。

2.定级要素与等级的关系

区分了受侵害的客体，确定了等级保护对象受到破坏后对客体造成侵害的程度，也就明确了其与信息系统安全保护等级的关系。定级要素与信息系统安全保护等级的关系如表6-2 所示。

表6-2  定级要素与安全保护等级的关系

信息安全被破坏时受侵害的客体	对相应客体的侵害程度
	一般损害	严重损害	特别严重损害
公民、法人和其他组织的合法权益	第一级	第二级	第二级
社会秩序、公共利益	第二级	第三级	第四级
国家安全	第三级	第四级	第五级

                         

3.信息系统定级的一般程序

确定信息系统安全保护等级的一般流程如图6-1所示。

(1)确定作为定级对象的信息系统及信息系统安全受到破坏 时所侵害的客体；

(2)根据不同的受侵害客体，分析确定遭受破坏对客体的侵 害程度，并完成初步定级，提出信息系统安全定级方案；

(3)组织专家对信息系统安全保护初步等级进行评审，并出 具专家意见；

(4)将信息系统安全定级方案、专家评审意见报送国家有关 信息系统安全等级保护部门，申报定级，完成备案审核；

(5)国家有关信息系统安全等级保护部门批复信息系统安全定级。

有关信息系统安全定级的具体方法，可参照 GB/T 22240《信息安全技术网络安全等级保护定级指南》和 GB/T 25058《信息安全技术网络安全等级保护实施指南》。

6.4.3  网络安全等级保护测评要求

网络安全等级保护测评(简称“等保测评”)是经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系 统安全等级保护状况进行检测评估的活动。

等级保护第三级(简称“等保三级”),即监督保护级，是当下信息系统建设过程中比较常见的等级保护定级级别。

由于该等级的信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，危害程度影响较大。又由于该等级的信息系统适用范围较广，如地市级以上 国家机关、企业、事业单位内部重要的信息系统，涉及工作秘密、商业秘密、敏感信息的办 公系统和管理系统，跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方 面的重要信息系统以及这类系统在省、地市的分支系统，中央各部委、省(区、市)门户网 站和重要网站，跨省连接的网络系统等，都属于等保三级。因此以下内容多以等保三级为例予以论述。

1.等保测评的主要内容

等保测评的主要内容包括：

(1)物理安全。包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。

(2)网络安全。包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。

等保三级要求的主要增强点包括：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码的检测和清除；安全审计要增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤。

(3)主机安全。包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控 制等。

等保三级要求的主要增强点包括：身份鉴别要求对管理用户采用组合鉴别技术。

(4)应用安全。包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。

等保三级要求的主要增强点包括：身份鉴别要求组合鉴别技术；访问控制和安全审计基本同主机安全的增强要求；要求对通信过程中的整个报文或会话过程进行加密。

(5)数据安全。包括数据完整性和保密性、数据的备份和恢复。

等保三级要求的主要增强点包括：对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中的完整性进行检测和恢复，采用加密或其他有效措施实现以上数据传输和存储的 保密性；提供异地数据备份等。

2.测评实施和实施要点

在实施测评过程中，对于每一项测评内容，根据技术标准的约定都要设置若干测评项，每一个测评项都有针对性的测评对象、测评方法，并根据测评结果给出分数，并在测评报告中给出总分。

等保测评的实施要点包括：

(1)需要注意的关键环节，具体如下：

●等保定级后，第二级以上系统需要到属地公安机关办理备案手续，公安机关审核合格后颁发备案证明；

●各单位、各部门根据系统等级，按照国家标准进行信息系统安全建设的整改工作；

●聘请测评机构进行等级测评；

●公安机关定期开展监督、检查、指导。

(2)目前必须进行等保定级并开展测评的行业主要有：国土资源、交通、海关、铁路、税

务、广电、征信、烟草、教育、档案、卫生、网约车、金融行业、网络借贷、电力行业、智慧城市、电子政务等。

(3)等级保护工作的流程和要求具体如下：

●等级保护整体流程包括系统定级、专家评审、网安备案、系统测评、系统整改、复测、出具报告等；

●时间周期安排，涵盖备案、整改和出具报告的时间，完整工作周期一般为三个月；

●整理内部资料；

●按照测评要求，开展对环境和设备的符合性自查及整改。

6.5 信息安全风险评估概述

信息安全风险评估是参照国家有关部门制定的风险评估标准和管理规范，对信息系统的产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率，以及可能造成的损失，提出风险管理措施的过程。

信息安全风险评估的技术标准主要有：GB/T 28449《信息安全技术网络安全等级保护测评过程指南》和 GB/T20984《信息安全技术信息安全风险评估方法》。

6.5.1  信息安全风险评估的重要性

风险评估不是一个新概念，早在21世纪初期，金融行业、电子商务等许多领域应用信息技术解决业务问题时，就已经有了对信息安全的风险分析、判断及风险评估需求的具体实践。随着国家对信息安全风险评估研究的快速进展，具体评估方法也在不断推陈出新、得到改进完善 并进入标准化。风险评估也从早期简单的漏洞扫描、人工审计、性能测试等类型的纯技术操作， 逐渐过渡到普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE- CMM等方法进行检测、分析，并寻求信息安全风险漏洞，在一定程度上充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因，适当地开展信息安全风险评估综合方法及操作模型。

信息安全风险评估的重要性主要体现在以下两个方面：

(1)在信息系统应用过程中，信息安全风险评估必须满足业务不断增长而带来的安全实际要求；

(2)信息安全风险评估必须响应国家法律法规的政策性要求。

6.5.2  信息安全常见风险点危害分析

T/ISEAA 001《网络安全等级保护测评高风险判定指引》整理出了大多数工程经常涉及的等保三级、等保二级所需产品和要求，业主单位、承建单位、监理单位有关人员可通过分析开展自查，为信息安全风险分析提供参考与帮助。

从技术措施角度，信息安全常见的风险点可以分为安全物理环境、安全通信网络、安全区域划分、安全计算环境(包括网络硬件设备、应用系统)和数据安全六个分项。

从管理措施角度，信息安全常见的风险点可以分为安全管理中心、安全管理制度及机构设置、安全管理人员、安全建设管理和安全运维管理五个分项。再针对各个分项的风险点检测项，以及每一个检测项对应的等保三级要求或等保二级要求进行分析，研究对策。

通过自查，可以比较直观地了解和掌握工程建设实践过程中，信息系统与等保三级、等保二级对应的要求，以及建设实际所存在的差距，并针对差异做出相应的信息安全规划和部署实施，再针对不符合项开展必要的补充、完善等整改工作，加强信息系统安全。

6.6  关键信息基础设施保护

关键信息基础设施保护是确保国家安全、经济发展和社会稳定的重要措施，用于保障重要网络系统、数据资源和关键服务稳定运行，以抵御外部攻击和应对内部风险。

1.关键信息基础设施保护的基本概念及依据

关键信息基础设施保护的法律依据是《中华人民共和国网络安全法》。

(1)《中华人民共和国网络安全法》有关规定。

第三十一条  国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、 水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。

(2)《关键信息基础设施安全保护条例》有关规定。

第二条  本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系 统等。

(3)《网络安全审查办法》有关规定。

第一条 为了确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全，根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》,制定本办法。

第二条 关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合的原则，从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

第四条 在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

2.关键信息基础设施保护内容

《关键信息基础设施安全保护条例》第五条规定：国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

6.7  数据安全的主要策略及方法

数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保 障持续安全状态的能力。数据安全有两方面含义：

(1)数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等；

(2)数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全，数据安全是一种主动的保护措施。数据本身的安全必须基于可靠的加密算法与安全体系，主要有对称算法与公开密钥密码体系两种。

数据处理的安全是指如何有效地防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象，某些敏感或保密的数据可能被不具备资格的人员或操作员阅读，从而造成数据泄密等后果。

数据存储的安全是指数据库在系统运行之外的可读性，一个标准的Access数据库，稍微懂得一些基本方法的计算机人员都可以打开阅读或修改。 一旦数据库被盗，即使没有原来的系统程序，照样可以另外编写程序对盗取的数据库进行查看或修改。从这个角度说，不加密的数据 库是不安全的，容易造成商业泄密。这就涉及计算机网络通信的保密、安全及软件保护等问题。

6.7.1 数据安全技术的发展要求

数据安全技术的发展要求为：

(1)必须适应新形势、新需求的需要。从信息安全合规性建设、实施与应用角度来看，数据安全技术迎来发展新趋势。具体表现为：

●数据安全技术正逐步获得国家政策重视以及用户认可，从顶层规划到配套法律法规的不断加码，企业层面越发重视加密技术应用；

●数据安全技术与业务的结合越来越紧密，业务应用层正成为数据安全建设的重点，将成为解决企业在平衡合规压力、改造复杂业务和信息系统方面困境的关键所在；

●数据安全技术应用扩展到各领域行业，密码技术的行业及场景适用性进一步延伸。如国家标准 GB/T 39786《信息安全技术信息系统密码应用基本要求》的发布，替代了行业 标准GM/T 0054《信息系统密码应用基本要求》。

(2)必须适应国家有关法律法规要求。

6.7.2 数据安全的特点

数据安全的三项基本特点是：机密性、完整性和可用性。

1.机密性

机密性又称保密性，是指个人或团体的信息不为其他不应获得者获得。

许多软件包括邮件软件、网络浏览器等，都有保密性相关设定，用以维护用户资讯的保密性。间谍档案或黑客也有可能导致保密性的问题。

2.完整性

数据完整性是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权地篡改或在篡改后能够被迅速发现。

在信息安全领域，完整性和保密性的边界经常混淆。以普通RSA 对数值信息加密为例，黑客或恶意用户在没有获得密钥破解密文的情况下，可以通过对密文进行线性运算，相应改变数值信息的值。例如交易金额为X 元，通过对密文乘2,可以使交易金额成为2X。 为解决以上问题，通常使用数字签名或散列函数对密文进行保护。

3.可用性

数据可用性是一种以使用者为中心的设计概念，其设计的重点在于让产品的设计能够符合使用者的习惯与需求。以互联网网站为例，设计人员希望让使用者在浏览过程中不会产生压力 或感到挫折，并让使用者在使用网站功能时，能够用最少的努力发挥最大的效能。

人们对信息安全的认识经历了三个比较显著的发展阶段：一是数据安全初级阶段，强调保密通信，实现数据传输加解密；二是网络信息安全时代，强调网络环境；三是信息保障时代，强调不能被动地保护，需要实现“保护一检测一反应—恢复”四个环节的多重安全保障。

6.7.3  数据安全主要防护技术

1.数据安全风险分析

威胁数据安全的因素有很多，主要有以下几种常见情形：

(1)硬盘驱动器损坏。一个硬盘驱动器的物理损坏意味着数据丢失。设备的运行损耗、存储介质失效、运行环境以及人为的破坏等，都能对硬盘驱动器设备造成影响。

(2)人为错误。由于操作失误，使用者可能会误删除系统的重要文件，或者修改影响系统运行的参数，以及没有按照规定要求或操作不当导致系统宕机。

(3)黑客攻击。入侵者通过网络远程入侵系统，造成黑客攻击的原因很多，如系统技术防范不到位、存在安全漏洞、管理措施不力等。

(4)病毒侵害。因感染计算机病毒而破坏计算机系统、造成重大损失的事件屡屡发生。计算机病毒的复制能力强，感染性强，特别是在网络环境下，传播速度更快。

(5)信息窃取。从计算机上复制、删除信息或干脆把计算机偷走。

(6)自然灾害。

(7)电源故障。电源供给系统故障，例如一个瞬间过载功率会使硬盘或存储设备上的数据 遭到破坏。

(8)电磁干扰。重要的数据接触到有磁性的物质，可能造成计算机数据被破坏。

2.主要防护技术

计算机存储的信息越来越多、越来越重要，为防止计算机中的数据意外丢失，一般都用多种安全防护技术或手段来确保数据安全，常用的数据防护机制包括：

(1)磁盘阵列。磁盘阵列是指把多个类型、容量、接口甚至品牌一致的专用磁盘或普通硬盘连成一个阵列，使其以更快的速度、准确、安全的方式读写磁盘数据，从而提升数据读取速 度和安全性的一种手段。

(2)数据备份。备份管理包括备份的可计划性、自动化操作、历史记录的保存或日志记录。

(3)双机容错。双机容错的目的在于保证系统数据和服务的在线性，即当某一系统发生故障时，仍然能够正常地向网络系统提供数据和服务，使系统不至于停顿。双机容错是为了保证 数据不丢失和系统不停机。

(4)网络附加存储 (NAS)。NAS解决方案通常配置为作为文件服务的设备，由工作站或服务器通过网络协议和应用程序来进行文件访问，大多数NAS链接在工作站客户机和NAS 文件共享设备之间进行。这些链接依赖于企业的网络基础设施来正常运行。

(5)数据迁移。由在线存储设备和离线存储设备共同构成一个协调工作的存储系统，该系统在在线存储和离线存储设备间动态地管理数据，使得访问频率高的数据存放于性能较高的在 线存储设备中，而访问频率低的数据存放于较为廉价的离线存储设备中。

(6)异地容灾。一种以异地实时备份为基础的高效、可靠的远程数据存储工作模式。在主数据中心基础上配备一个同城异地或外埠异地的备份数据中心，利用数据备份机制实现数据实 时的存储保护，一旦主数据中心出现故障或遭遇水患、火灾、地震等灾难时，主数据中心瘫痪了，备份数据中心立即接管主数据中心，继续为系统运行提供数据存储、数据支撑等服务。

(7)存储区域网络 (SAN)。SAN允许服务器在共享存储装置的同时仍能高速传送数据。这一方案具有带宽高、可用性高、容错能力强的优点，而且它可以轻松升级，容易管理，有助于改善整个系统的总体成本状况。SAN支持磁盘镜像技术、备份与恢复、档案数据的存档和检索、存储设备间的数据迁移以及网络中不同服务器间的数据共享等功能。典型的SAN是一个机构的整个计算机网络资源的重要部分。