信息系统安全等级保护一些实施难点

1、等级保护的基本方法

：

分区域分等级安全保护
内部保护
边界防护
网络安全保护

2、安全技术保障框架

信息安全保证技术框架（Information Assurance Technical Framework：IATF）将计算机信息系统分为：本地计算环境区域边界、网络和基础设施、支撑基础设施。

本地计算环境：服务器、客户端及其上面的应用（如打印服务、目录服务等）、操作系统、数据库、基于主机的监控组件（病毒检测、入侵检测） 。

a）区域边界：

区域是指在单一安全策略管理下、通过网络连接起来的计算设备的集合
区域边界是区域与外部网络发生信息交换的部分
区域边界确保进入的信息不会影响区域内资源的安全，而离开的信息是经过合法授权的
b）网络和基础设施：

网络和基础设施在区域之间提供连接，包括局域网、校园网、城域网、广域网等。其中包括在网络节点间（如路由器和交换机）传递信息的传输部件（如：卫星，微波，光纤等），以及其他重要的网络基础设施组件如网络管理组件、域名服务器及目录服务组件等

c)支撑基础设施:

提供了一个IA机制在网络、区域及计算环境内进行安全管理、提供安全服务所使用的基础。主要为以下内容提供安全服务：终端用户工作站、web服务、应用、文件、DNS服务、目录服务等。

可信的应用操作平台、安全的共享服务资源边界保护和全程安全保护的网络通信，构成了工作流程相对固定的生产系统的信息安全保障框架。对于复杂系统可以用三纵（公共区域、专用区域、涉密区域）三横（应用环境、应用区域边界、网络通信）两个中心的安全防御框架。

3、一个独立的业务信息系统的内部安全域划分步骤：

查看网络上承载业务系统的访问终端与业务主机的访问关系以及业务主机之间的访问关系。
划分安全计算域。
划分安全用户域。
划分安全网络域。

4、强制访问控制技术：

   强制访问控制（英语：mandatory access control，缩写MAC）在计算机安全领域指一种由操作系统约束的访问控制，目标是限制主体或发起者访问或对对象或目标执行某种操作的能力。在实践中，主体通常是一个进程或线程，对象可能是文件、目录、TCP/UDP端口、共享内存段、I/O设备等。主体和对象各自具有一组安全属性。每当主体尝试访问对象时，都会由操作系统内核强制施行授权规则——检查安全属性并决定是否可进行访问。任何主体对任何对象的任何操作都将根据一组授权规则（也称策略）进行测试，决定操作是否允许。在数据库管理系统中也存在访问控制机制，因而也可以应用强制访问控制；在此环境下，对象为表、视图、过程等。
  通过强制访问控制，安全策略由安全策略管理员集中控制；用户无权覆盖策略，例如不能给被否决而受到限制的文件授予访问权限。相比而言，自主访问控制（DAC）也控制主体访问对象的能力，但允许用户进行策略决策和/或分配安全属性。（传统Unix系统的用户、组和读-写-执行就是一种DAC。）启用MAC的系统允许策略管理员实现组织范围的安全策略。在MAC（不同于DAC）下，用户不能覆盖或修改策略，无论为意外或故意。这使安全管理员定义的中央策略得以在原则上保证向所有用户强制实施。