昨天，我們簡(jiǎn)單概括性談一下有關(guān)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本技術(shù)，期望拋出去的磚能夠引來美玉！基本知識(shí)了解后，只是給與我們一個(gè)方向，需要不斷的在這個(gè)基礎(chǔ)上去深挖相關(guān)知識(shí)細(xì)節(jié)，做到精通相關(guān)知識(shí)，形成融會(huì)貫通的扎實(shí)本領(lǐng)。在有關(guān)標(biāo)準(zhǔn)中，等級(jí)保護(hù)除了基本技術(shù)外，還提到基于相關(guān)技術(shù)的基礎(chǔ)支撐平臺(tái)，了解這些相關(guān)基礎(chǔ)平臺(tái)知識(shí)，是通過一個(gè)途徑進(jìn)一步消化基本技術(shù)相關(guān)知識(shí)，提升理解。在這個(gè)理解上，尚屬于中觀的理解，微觀層面的理解就涉及到具體的產(chǎn)品以及產(chǎn)品里蘊(yùn)含的各類配置方法和技巧等等。今天，我們一起來了解一下網(wǎng)絡(luò)安全等級(jí)保護(hù)支撐平臺(tái)，包括以下內(nèi)容不一定全面，權(quán)當(dāng)一個(gè)參考。
1 密碼基礎(chǔ)設(shè)施平臺(tái)a) 組成：

由密碼技術(shù)所構(gòu)成的密碼基礎(chǔ)設(shè)施平臺(tái)，由基于公鑰基礎(chǔ)設(shè)施（PKI）、授權(quán)管理基礎(chǔ)設(shè)施（PMI）、密鑰管理基礎(chǔ)設(shè)施（KMI）等密碼安全機(jī)制和授權(quán)管理機(jī)制等組成；

b) 功能：

密碼基礎(chǔ)設(shè)施平臺(tái)提供數(shù)據(jù)加/解密、數(shù)字簽名/驗(yàn)證、數(shù)字證書簽發(fā)/驗(yàn)證、數(shù)字信封封裝/解封、數(shù)據(jù)摘要/完整性驗(yàn)證、會(huì)話密鑰生成和存儲(chǔ)等基礎(chǔ)密碼服務(wù)，為安全信息系統(tǒng)實(shí)現(xiàn)保密性、完整性、真實(shí)性、抗抵賴、訪問控制等安全機(jī)制提供支持；

c) 分等級(jí)要求：根據(jù)不同安全等級(jí)的信息系統(tǒng)對(duì)密碼強(qiáng)度的不同要求，密碼基礎(chǔ)設(shè)施平臺(tái)應(yīng)提供不同安全等級(jí)的安全支持。
2 應(yīng)用安全支撐平臺(tái)設(shè)計(jì)a) 總體要求

利用密碼基礎(chǔ)設(shè)施平臺(tái)提供的基于PKI/PMI/KMI技術(shù)的安全服務(wù)，采用安全中間件及一站式服務(wù)理論和技術(shù)，支持面向業(yè)務(wù)應(yīng)用的各種應(yīng)用軟件系統(tǒng)安全機(jī)制的設(shè)計(jì)，實(shí)現(xiàn)包括真實(shí)性鑒別、訪問控制、信息安全交換、數(shù)據(jù)安全傳輸以及數(shù)據(jù)的保密性、完整性保護(hù)等應(yīng)用軟件系統(tǒng)的安全功能，是應(yīng)用軟件系統(tǒng)安全支撐平臺(tái)的設(shè)計(jì)目標(biāo)。

b) 安全服務(wù)要求

應(yīng)用安全支撐平臺(tái)提供的安全服務(wù)主要包括：——支持服務(wù)器端的服務(wù): 采用中間件技術(shù)，構(gòu)建安全中間件模塊和安全中間件系統(tǒng)，實(shí)現(xiàn)以PKI為核心的安全技術(shù)的跨平臺(tái)分布式應(yīng)用?！С挚蛻舳说姆?wù)：按照稱為安全客戶端套件的輕量級(jí)中間件模式，采用層次結(jié)構(gòu)，按設(shè)備層、硬件接口層、驅(qū)動(dòng)層、底層接口層和高層接口層，構(gòu)成客戶端安全的核心模塊，通過密碼設(shè)備驅(qū)動(dòng)訪問所連接的各類終端密碼設(shè)備。

c) 分等級(jí)要求

根據(jù)不同安全等級(jí)的應(yīng)用對(duì)安全支撐平臺(tái)的不同要求，應(yīng)用安全支撐平臺(tái)應(yīng)提供不同安全強(qiáng)度/等級(jí)的安全支持。

3 信息系統(tǒng)災(zāi)難備份與恢復(fù)平臺(tái)

信息系統(tǒng)災(zāi)難備份與恢復(fù)平臺(tái)包括：

a) 災(zāi)難備份災(zāi)難備份是在信息系統(tǒng)正常運(yùn)行的情況下，為確保信息系統(tǒng)發(fā)生災(zāi)難性故障中斷運(yùn)行后恢復(fù)運(yùn)行所作的一系列技術(shù)準(zhǔn)備工作。災(zāi)難備份包括：——數(shù)據(jù)備份：用來確保系統(tǒng)恢復(fù)運(yùn)行后原有的數(shù)據(jù)信息不丟失或少丟失；——處理系統(tǒng)備份：用來確保當(dāng)信息系統(tǒng)中斷運(yùn)行后能在規(guī)定的時(shí)間范圍內(nèi)替代原系統(tǒng)運(yùn)行，并確保提供所需要的信息處理能力；——本地備份：是指對(duì)組成信息系統(tǒng)的主機(jī)/服務(wù)器，通過設(shè)置本地備份機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)備份和處理系統(tǒng)備份； ——異地備份：是指對(duì)組成信息系統(tǒng)的主機(jī)/服務(wù)器，通過設(shè)置異地備份機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)和處理系統(tǒng)的異地備份；異地備份能對(duì)付那些由地震、水災(zāi)、戰(zhàn)爭(zhēng)破壞等重大破壞性災(zāi)害所引起的災(zāi)難性故障；

——網(wǎng)絡(luò)備份：是指對(duì)組成信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)，通過設(shè)置備份路由或備份線路來確保當(dāng)網(wǎng)絡(luò)系統(tǒng)的某些部位發(fā)生故障中斷運(yùn)行時(shí)，備份網(wǎng)絡(luò)能替代故障部分實(shí)現(xiàn)所需要的網(wǎng)絡(luò)數(shù)據(jù)交換，而異地備份則需要有相應(yīng)的網(wǎng)絡(luò)環(huán)境支持其對(duì)原有信息系統(tǒng)運(yùn)行的替代，可見網(wǎng)絡(luò)備份也是處理系統(tǒng)備份的組成部分。

b) 災(zāi)難恢復(fù)災(zāi)難恢復(fù)是在信息系統(tǒng)發(fā)生災(zāi)難性故障中斷運(yùn)行后所采取的一系列恢復(fù)措施。如果說災(zāi)難備份更多的是技術(shù)措施的話，災(zāi)難恢復(fù)活動(dòng)則更多的是管理措施。災(zāi)難恢復(fù)的要求包括：——制定明確的災(zāi)難恢復(fù)策略；——制定實(shí)施災(zāi)難恢復(fù)的預(yù)案；——災(zāi)難恢復(fù)策略應(yīng)與災(zāi)難備份技術(shù)支持密切結(jié)合，或者說災(zāi)難備份所提供的技術(shù)支持是根據(jù)災(zāi)難恢復(fù)的總體策略確定的。 ——設(shè)置相應(yīng)的機(jī)構(gòu)和人員，并明確其相應(yīng)的職責(zé)： 

——災(zāi)難恢復(fù)預(yù)案應(yīng)進(jìn)行常規(guī)的管理和維護(hù)，對(duì)相關(guān)人員進(jìn)行培訓(xùn)，并定期進(jìn)行必要的演練。

c) 分等級(jí)要求

根據(jù)信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用的業(yè)務(wù)連續(xù)性的不同要求，災(zāi)難備份和恢復(fù)需要有不同等級(jí)的支持。災(zāi)難備份和恢復(fù)的等級(jí)與目標(biāo)信息系統(tǒng)的安全保護(hù)等級(jí)是兩個(gè)不同的概念，但是要求在實(shí)施災(zāi)難備份與恢復(fù)的過程中應(yīng)按照目標(biāo)信息系統(tǒng)安全保護(hù)等級(jí)的要求對(duì)所涉及的數(shù)據(jù)信息進(jìn)行相應(yīng)的安全保護(hù)。

d) 標(biāo)準(zhǔn)化要求為了使我國信息系統(tǒng)的災(zāi)難備份與恢復(fù)活動(dòng)規(guī)范化，有必要制定相應(yīng)的災(zāi)難備份與恢復(fù)標(biāo)準(zhǔn)。
4 安全事件應(yīng)急響應(yīng)與管理平臺(tái)

應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。信息系統(tǒng)安全事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)信息系統(tǒng)所存儲(chǔ)、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照信息系統(tǒng)安全的三個(gè)特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等。信息系統(tǒng)安全事件應(yīng)急響應(yīng)與管理平臺(tái)主要包括以下方面：

a) 應(yīng)急響應(yīng)與管理

應(yīng)急管理是指在緊急事件發(fā)生后為了維持和恢復(fù)關(guān)鍵的信息系統(tǒng)服務(wù)所進(jìn)行的范圍廣泛的活動(dòng)。從廣義的范圍講，所討論的應(yīng)急響應(yīng)與管理，包括業(yè)務(wù)連續(xù)性計(jì)劃(BCP)、業(yè)務(wù)恢復(fù)計(jì)劃(BRP)、操作連續(xù)性計(jì)劃(COOP)、危機(jī)通信計(jì)劃、計(jì)算機(jī)事件響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃 (DRP)、場(chǎng)所緊急計(jì)劃 (OEP)等在內(nèi)的活動(dòng)與計(jì)劃等，統(tǒng)稱為應(yīng)急計(jì)劃。通過預(yù)防及恢復(fù)措施的使用，把信息系統(tǒng)因?yàn)?zāi)難或安全失效的停頓降到可接受的程度。

b) 應(yīng)急計(jì)劃

應(yīng)通過分析災(zāi)難、安全失效及服務(wù)停頓的影響，制訂及實(shí)施應(yīng)急計(jì)劃來保證系統(tǒng)能夠在規(guī)定時(shí)間內(nèi)恢復(fù)。計(jì)劃應(yīng)經(jīng)常修改及測(cè)試和演練，并最終變成管理過程的不可分割部分。應(yīng)急計(jì)劃的制定應(yīng)考慮：角色和職責(zé)，應(yīng)急計(jì)劃所涉及的平臺(tái)和機(jī)構(gòu)功能的類型范圍，機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)發(fā)生的概率及影響，資源需求，培訓(xùn)需求，測(cè)試和演練進(jìn)度表，以及計(jì)劃維護(hù)進(jìn)度表。在應(yīng)急計(jì)劃的制定中，應(yīng)該與包括物理安全、人力資源、系統(tǒng)操作和緊急事件等在內(nèi)的相關(guān)方面協(xié)調(diào)一致。應(yīng)經(jīng)常測(cè)試應(yīng)急計(jì)劃的每個(gè)部分，以確保計(jì)劃可以在真實(shí)環(huán)境中實(shí)施。應(yīng)急計(jì)劃的定期檢查和更新是至關(guān)重要的，應(yīng)該作為機(jī)構(gòu)變化管理過程的一部分，以確保新的信息能夠被添加進(jìn)來，應(yīng)急措施能夠根據(jù)需要被修訂。

c) 聯(lián)動(dòng)要求

應(yīng)急響應(yīng)與管理不僅僅是一個(gè)單位和部門的事，而是各個(gè)相關(guān)的單位和部門的聯(lián)動(dòng)活動(dòng)。為了加強(qiáng)中國網(wǎng)絡(luò)安全水平建設(shè)，增強(qiáng)安全事件處理能力，國內(nèi)成立了“中國計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，簡(jiǎn)稱 CNCERT，由信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理小組協(xié)調(diào)辦公室直接領(lǐng)導(dǎo)，為各行業(yè)、部門和公司的應(yīng)急響應(yīng)小組協(xié)調(diào)和交流提供便利條件，同時(shí)為政府等重要部門提供應(yīng)急響應(yīng)服務(wù)。

d) 標(biāo)準(zhǔn)化要求應(yīng)急響應(yīng)的標(biāo)準(zhǔn)化工作就是為應(yīng)急響應(yīng)組織自身及相互協(xié)調(diào)提供信息交互的標(biāo)準(zhǔn)接口，并且為這種協(xié)調(diào)機(jī)制的成功運(yùn)轉(zhuǎn)提供保證。建立信息系統(tǒng)應(yīng)急響應(yīng)與管理體系平臺(tái)，應(yīng)急響應(yīng)標(biāo)準(zhǔn)化工作十分重要，它是互聯(lián)網(wǎng)應(yīng)急響應(yīng)體系通信協(xié)調(diào)機(jī)制的基礎(chǔ)，同時(shí)也是應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)正常運(yùn)作的基礎(chǔ)。這方面國際上已經(jīng)做了很多工作。我國在這方面的工作則剛剛起步，還有許多事情需要做?？梢詤⒖紘獾南嚓P(guān)標(biāo)準(zhǔn)，制定出適合具體情況的信息系統(tǒng)安全事件應(yīng)急響應(yīng)與管理國家標(biāo)準(zhǔn)。
5 安全管理平臺(tái)a) 總體要求

以信息系統(tǒng)安全管理中心為核心的安全管理平臺(tái)，是對(duì)信息系統(tǒng)的各種安全機(jī)制進(jìn)行管理使其發(fā)揮應(yīng)有安全作用的重要環(huán)節(jié)。除了進(jìn)行信息系統(tǒng)自身的安全機(jī)制的管理外，信息系統(tǒng)安全管理平臺(tái)應(yīng)按照統(tǒng)一的要求向上級(jí)安全主管部門報(bào)告情況，與相關(guān)單位交流信息。信息系統(tǒng)安全管理平臺(tái)既是一個(gè)管理機(jī)構(gòu)，又具有濃厚的技術(shù)色彩，應(yīng)按要求配備必要的專業(yè)人員，明確分管職責(zé)，并有統(tǒng)一的領(lǐng)導(dǎo)協(xié)調(diào)各方面的工作。

b) 安全機(jī)制具體配置對(duì)于大型復(fù)雜的信息系統(tǒng)，各種安全機(jī)制廣泛地分布于信息系統(tǒng)的各個(gè)組成部分。安全安全管理平臺(tái)擔(dān)負(fù)著對(duì)這些安全機(jī)制進(jìn)行集中控制、統(tǒng)一配置管理和收集各類與安全有關(guān)信息的的責(zé)任，并對(duì)收集到的與安全有關(guān)的信息進(jìn)行匯集和分析和風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)系統(tǒng)運(yùn)行中與安全有關(guān)的問題，做相應(yīng)處理。必要時(shí)，可以在確定的安全域設(shè)置安全管理分中心，形成多層結(jié)構(gòu)的安全管理平臺(tái)，共同完成對(duì)信息安全系統(tǒng)的管理控制

7 等級(jí)化安全信息系統(tǒng)構(gòu)建技術(shù)

等級(jí)化安全信息系統(tǒng)是指由不同安全保護(hù)等級(jí)的安全域組成的安全信息系統(tǒng)。等級(jí)化安全信息系統(tǒng)的構(gòu)建包括：

a) 等級(jí)化安全信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

等級(jí)化安全信息系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，應(yīng)按照信息系統(tǒng)安全等級(jí)保護(hù)的基本原理和方法，確定安全域的劃分，實(shí)施信息系統(tǒng)及安全域的內(nèi)部保護(hù)、邊界防護(hù)和網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)；按照安全保護(hù)等級(jí)的確定所描述的方法和過程，確定信息系統(tǒng)（安全域）的安全保護(hù)等級(jí)；根據(jù)所確定的安全保護(hù)等級(jí)，以信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)的安全技術(shù)和安全產(chǎn)品標(biāo)準(zhǔn)為依據(jù)，選擇相應(yīng)等級(jí)的安全技術(shù)和安全產(chǎn)品，按系統(tǒng)化的設(shè)計(jì)要求，采用集成化的方法，設(shè)計(jì)和實(shí)現(xiàn)滿足信息系統(tǒng)安全等級(jí)保護(hù)要求的安全信息系統(tǒng)。設(shè)計(jì)和實(shí)現(xiàn)過程還應(yīng)按照系統(tǒng)安全工程管理的有關(guān)標(biāo)準(zhǔn)的要求，對(duì)整個(gè)工程過程進(jìn)行安全管理。

b) 等級(jí)化安全信息系統(tǒng)的測(cè)試與評(píng)估等級(jí)化安全信息系統(tǒng)的測(cè)試與評(píng)估應(yīng)按照相關(guān)標(biāo)準(zhǔn)的要求進(jìn)行。系統(tǒng)的測(cè)試與評(píng)估應(yīng)以技術(shù)和產(chǎn)品的測(cè)試與評(píng)估為基礎(chǔ)。首先應(yīng)對(duì)構(gòu)成等級(jí)化信息系統(tǒng)的安全技術(shù)和產(chǎn)品分別進(jìn)行考察/測(cè)評(píng)。考察的目的是確認(rèn)其是否通過相應(yīng)安全等級(jí)的測(cè)評(píng)。鑒于信息安全等級(jí)保護(hù)工作還處于初期階段，按照等級(jí)標(biāo)準(zhǔn)的要求對(duì)產(chǎn)品進(jìn)行測(cè)試與評(píng)估還有一個(gè)過程，所以必要時(shí)可以對(duì)所使用的安全技術(shù)和安全產(chǎn)品進(jìn)行測(cè)試與評(píng)估，確定其是否具有所需要的安全保護(hù)等級(jí)。在技術(shù)和產(chǎn)品達(dá)到安全等級(jí)要求的基礎(chǔ)上應(yīng)重點(diǎn)從系統(tǒng)角度對(duì)各安全技術(shù)、產(chǎn)品之間的接口及連接關(guān)系，以及系統(tǒng)各組成部分之間安全的一致性和關(guān)聯(lián)互補(bǔ)等所形成的系統(tǒng)整體安全性進(jìn)行測(cè)試與評(píng)估，確定信息系統(tǒng)（安全域）整體上是否達(dá)到確定的安全等級(jí)的設(shè)計(jì)目標(biāo)要求。

網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，是一個(gè)體系化、系統(tǒng)性的工作，學(xué)習(xí)掌握有關(guān)知識(shí)也需要一個(gè)循序漸進(jìn)的過程，需要不斷精益求精。每一個(gè)知識(shí)點(diǎn)，從宏觀到中觀再到微觀，都是非常豐富的。每一條線，若要學(xué)好，都是不容易的。在宣傳推廣等級(jí)保護(hù)工作中，我們本著從宏觀和微觀兩個(gè)層面出發(fā)，給接觸等級(jí)保護(hù)工作的朋友能夠一個(gè)參考。需要在等級(jí)保護(hù)工作領(lǐng)域進(jìn)一步學(xué)習(xí)的，可以以此為參考進(jìn)一步拓展加深。

在等級(jí)保護(hù)工作中，如果你有任何疑問，我將竭誠為您服務(wù)。