1、信息安全基礎(chǔ)概念在數(shù)據(jù)通信的過程中，由于各種不安全因素將會(huì)導(dǎo)致信息泄密、信息不完整不可用等問題，因此在通信過程中必須要保證信息安全。本章節(jié)描述了信息安全的基本概念以及如何保障信息安全，列舉了信息安全風(fēng)險(xiǎn)和如何評(píng)估規(guī)避這些風(fēng)險(xiǎn)。學(xué)完本課程后，您將能夠：描述信息安全的定義和特點(diǎn)描述不同安全模型的特點(diǎn)和區(qū)別區(qū)分不同的安全風(fēng)險(xiǎn)信息與信息安全信息安全風(fēng)險(xiǎn)與管理信息信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義。ISO/IEC IT安全管理指南（GMITS）什么是信息？書本信件電子郵件雷達(dá)信號(hào)國家機(jī)密考試題目交易數(shù)據(jù)信息安全是指通過采用計(jì)算機(jī)軟硬件技術(shù) 、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管

2、理措施，來保護(hù)信息在其神秘周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的機(jī)密性、完整性和可用性不被破壞。假如信息資產(chǎn)遭到損害，將會(huì)影響：信息安全的任務(wù)，就是要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅。信息安全國家安全組織系統(tǒng)正常運(yùn)作和持續(xù)發(fā)展個(gè)人隱私和財(cái)產(chǎn)信息安全發(fā)展歷程通信技術(shù)還不發(fā)達(dá)的時(shí)期，數(shù)據(jù)零散的存儲(chǔ)在各個(gè)地點(diǎn)。20世紀(jì)初期通信保密階段從傳統(tǒng)安全理念轉(zhuǎn)變到信息化安全理念。20世紀(jì)80年代信息保障階段20世紀(jì)60年代后信息安全階段互聯(lián)網(wǎng)的發(fā)展帶來了新的挑戰(zhàn)，攻擊者可以通過互聯(lián)網(wǎng)威脅信息安全。照片泄密案中國最著名“照片泄密案”日本情報(bào)專家根據(jù)左圖破解中國大慶油田的“秘

3、密”，由照片上王進(jìn)喜的衣著判斷出油田位于北緯46度至48度的區(qū)域內(nèi)；通過照片油田手柄的架式，推斷出油井的直徑；根據(jù)這些信息，迅速設(shè)計(jì)出適合大慶油田開采用的石油設(shè)備，在中國征求開采大慶油田的設(shè)備方案時(shí)，一舉中標(biāo)。通信保密階段在通信保密階段中通信技術(shù)還不發(fā)達(dá)，數(shù)據(jù)只是零散地位于不同的地點(diǎn)，信息系統(tǒng)的安全僅限于保證信息的物理安全以及通過密碼（主要是序列密碼）解決通信安全的保密問題。把信息安置在相對(duì)安全的地點(diǎn)，不容許非授權(quán)用戶接近，就基本可以保證數(shù)據(jù)的安全性了。信息安全階段從二十世紀(jì)90年代開始，由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息無論是企業(yè)內(nèi)部還是外部都得到了極大的開放，而由此產(chǎn)生的信息安全問題跨越了時(shí)間

4、和空間，信息安全的焦點(diǎn)已經(jīng)從傳統(tǒng)的保密性、完整性和可用性三個(gè)原則衍生為諸如可控性、不可否認(rèn)性等其他的原則和目標(biāo)。保密性完整性可用性可控性不可否認(rèn)性信息保障階段進(jìn)入面向業(yè)務(wù)的安全保障階段，從多角度來考慮信息的安全問題。不同業(yè)務(wù)流量有不同的風(fēng)險(xiǎn)點(diǎn)和防御方式從安全體系入手通過更多的技術(shù)手段把安全管理與技術(shù)防護(hù)聯(lián)系起來，主動(dòng)地防御攻擊而不是被動(dòng)保護(hù)從管理入手培養(yǎng)安全管理人才建立安全管理制度從業(yè)務(wù)入手信息安全案例 - WannaCry2017年不法分子利用的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）開始傳播一種勒索病毒軟件WannaCry，超過10萬臺(tái)電腦遭到了勒索病毒攻擊、感染，造成損失達(dá)80億美

5、元。能源政府教育交通信息安全案例 - 海蓮花組織2012年4月起，某境外組織對(duì)政府、科研院所、海事機(jī)構(gòu)、海運(yùn)建設(shè)、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域展開了有計(jì)劃、有針對(duì)性的長期滲透和攻擊，代號(hào)為OceanLotus(海蓮花)。意圖獲取機(jī)密資料，截獲受害電腦與外界傳遞的情報(bào)，甚至操縱終端自動(dòng)發(fā)送相關(guān)情報(bào)。討論：造成此類攻擊事件的原因是什么？表面原因深層根源病毒漏洞木馬后門程序DDOS攻擊 信息系統(tǒng)復(fù)雜性人為和環(huán)境VS信息化越重要，信息安全越重要信息網(wǎng)絡(luò)成為經(jīng)濟(jì)繁榮、社會(huì)穩(wěn)定和國家發(fā)展的基礎(chǔ)。信息化深刻影響著全球經(jīng)濟(jì)的整合國家戰(zhàn)略的調(diào)整和安全觀念的轉(zhuǎn)變。從單純的技術(shù)性問題變成事關(guān)國家安全的全球性問題。信息安全

6、適用于眾多技術(shù)領(lǐng)域例如：軍事計(jì)算機(jī)通訊指揮控制和情報(bào)(C4I)系統(tǒng)；電子商務(wù)系統(tǒng)；生物醫(yī)學(xué)系統(tǒng)；智能運(yùn)輸系統(tǒng)(ITS)等。建設(shè)信息安全的意義重要性適用性信息與信息安全信息安全風(fēng)險(xiǎn)與管理信息安全涉及的風(fēng)險(xiǎn)Page 16風(fēng)險(xiǎn)物理風(fēng)險(xiǎn)其他風(fēng)險(xiǎn)系統(tǒng)風(fēng)險(xiǎn)信息風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)應(yīng)用風(fēng)險(xiǎn)網(wǎng)絡(luò)風(fēng)險(xiǎn)物理風(fēng)險(xiǎn) 設(shè)備防盜，防毀 鏈路老化，人為破壞，被動(dòng)物咬斷等 網(wǎng)絡(luò)設(shè)備自身故障 停電導(dǎo)致網(wǎng)絡(luò)設(shè)備無法工作 機(jī)房電磁輻射信息風(fēng)險(xiǎn)信息存儲(chǔ)安全信息傳輸安全信息訪問安全信息風(fēng)險(xiǎn) - 信息傳輸安全Page 19總部下屬機(jī)構(gòu)信息泄密信息篡改企業(yè)業(yè)務(wù)信息篡改后信息攻擊者信息風(fēng)險(xiǎn) - 信息訪問安全Page 20內(nèi)部網(wǎng)絡(luò)非法用戶非法登錄合法

7、用戶網(wǎng)絡(luò)中有認(rèn)證服務(wù)器系統(tǒng)風(fēng)險(xiǎn)數(shù)據(jù)庫系統(tǒng)配置安全安全數(shù)據(jù)庫系統(tǒng)中運(yùn)行的服務(wù)安全應(yīng)用風(fēng)險(xiǎn)網(wǎng)絡(luò)病毒操作系統(tǒng)安全電子郵件應(yīng)用安全 WEB服務(wù)安全FTP服務(wù)安全DNS服務(wù)安全業(yè)務(wù)應(yīng)用軟件安全網(wǎng)絡(luò)風(fēng)險(xiǎn)安全區(qū)域管理風(fēng)險(xiǎn)確保信息系統(tǒng)是否存在管理風(fēng)險(xiǎn)，可以從以下幾個(gè)方面討論：國家政策國家是否制定了健全的信息安全法規(guī)國家是否成立了專門的機(jī)構(gòu)來管理信息安全企業(yè)制定安全管理規(guī)則、責(zé)權(quán)分明的機(jī)房管理制度企業(yè)可以考慮建立自己的安全管理機(jī)構(gòu)企業(yè)制度明確有效的安全策略、高素質(zhì)的安全管理人員行之有效的監(jiān)督檢查體系，保證規(guī)章制度被順利執(zhí)行管理體系信息安全管理的重要性據(jù)統(tǒng)計(jì)，企業(yè)信息收到損失的70%是由于內(nèi)部員工的疏忽或有意泄密

8、造成的。安全技術(shù)知識(shí)信息安全控制的手段，要讓安全技術(shù)發(fā)揮應(yīng)有的作用，必然要有適當(dāng)?shù)墓芾沓绦虻闹С帧?0%員工安全意識(shí)薄弱授權(quán)規(guī)則松散系統(tǒng)操作不規(guī)范惡意竊取資料三分技術(shù)七分管理信息安全管理發(fā)展現(xiàn)狀各個(gè)國家都已經(jīng)制定了自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全驗(yàn)證正確的方向發(fā)展。制定信息安全發(fā)展戰(zhàn)略和計(jì)劃已法律的形式規(guī)定和規(guī)范信息安全工作是有效實(shí)施安全措施的最有利保證。加強(qiáng)信息安全立法，實(shí)現(xiàn)統(tǒng)一和規(guī)范管理信息安全管理在20世紀(jì)90年代步入了標(biāo)準(zhǔn)化與系統(tǒng)化的管理時(shí)代。其中以ISO/IEC制定的27000標(biāo)準(zhǔn)體系最為人所知。步入標(biāo)準(zhǔn)化與系統(tǒng)化管理時(shí)代信息安全管理信息安全事件頻發(fā)的原因是存在漏洞病毒

9、后門程序等安全攻擊手段（ ）正確錯(cuò)誤信息安全發(fā)展過程信息安全基礎(chǔ)概念介紹信息安全標(biāo)準(zhǔn)與規(guī)范在信息安全體系建設(shè)過程中，標(biāo)準(zhǔn)和規(guī)范是企業(yè)遵循的范本和努力的方向。根據(jù)國際權(quán)威的標(biāo)準(zhǔn)規(guī)范制定相應(yīng)的企業(yè)信息安全規(guī)范，使信息安全運(yùn)營更加完善。本章將介紹幾種國際通用信息安全標(biāo)準(zhǔn)，分析其內(nèi)容，使讀者對(duì)于信息安全有更完整的印象。學(xué)完本課程后，您將能夠：描述常見信息安全標(biāo)準(zhǔn)描述信息安全標(biāo)準(zhǔn)的意義描述常見信息安全標(biāo)準(zhǔn)的主要內(nèi)容信息安全標(biāo)準(zhǔn)與規(guī)范ISO27001信息安全管理體系信息安全等級(jí)化保護(hù)體系其它標(biāo)準(zhǔn)簡介信息安全標(biāo)準(zhǔn)的意義標(biāo)準(zhǔn)是規(guī)范性文件之一。其定義是為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批

10、準(zhǔn)，共同使用的和重復(fù)使用的一種規(guī)范性文件。 企業(yè)在建立自己的信息系統(tǒng)時(shí)，如何能夠確保自己的系統(tǒng)是安全的呢？依據(jù)國際制定的權(quán)威標(biāo)準(zhǔn)來執(zhí)行和檢查每一個(gè)步驟是個(gè)好辦法！信息安全標(biāo)準(zhǔn)組織在國際上，與信息安全標(biāo)準(zhǔn)化有關(guān)的組織主要有以下4個(gè)：International Organization for Standardization (ISO) 國際標(biāo)準(zhǔn)化組織International Electrotechnical Commission (IEC)國際電工委員會(huì)International Telecommunication Union (ITU)國際電信聯(lián)盟The Internet Engineeri

11、ng Task Force (IETF)Internet工程任務(wù)組國內(nèi)的安全標(biāo)準(zhǔn)組織主要有：信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)中國通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)常見信息安全標(biāo)準(zhǔn)與規(guī)范ISO27001歐洲聯(lián)盟標(biāo)準(zhǔn)ITSEC美國標(biāo)準(zhǔn)TCSEC 國家等級(jí)保護(hù)制度（GB）信息安全標(biāo)準(zhǔn)與規(guī)范ISO27001信息安全管理體系信息安全等級(jí)化保護(hù)體系其它標(biāo)準(zhǔn)簡介信息安全管理體系（Information Security Management System,簡稱ISMS）的概念最初來源于英國標(biāo)準(zhǔn)學(xué)會(huì)制定的BS7799標(biāo)準(zhǔn), 并伴隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。信

12、息安全管理體系 (ISMS)PlanActionCheckDoPlan 策劃（建立ISMS）；Do 實(shí)施（實(shí)施和運(yùn)行ISMS）；Check 檢查（見識(shí)和評(píng)審ISMS）；Action 改進(jìn)保持和改進(jìn)ISMS。ISMSISO27000信息安全管理體系家族第二部分ISO/IEC 27006ISO/IEC 27007ISO/IEC 27008認(rèn)證認(rèn)可及審核指南第一部分ISO/IEC 27000ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003要求及支持性指南ISO/IEC 27004ISO/IEC 27005第四部分ISO 27799醫(yī)療信息安全管理標(biāo)準(zhǔn)處于研究階段并以新項(xiàng)

13、目提案方式體現(xiàn)的成果，例如：供應(yīng)鏈安全、存儲(chǔ)安全等。第三部分行業(yè)信息安全管理要求金融業(yè)電信業(yè)其它專門應(yīng)用與某個(gè)具體的安全域。ISO27001演變歷程BS 7799-1ISO/IEC 17799ISO/IEC 27002信息安全管理實(shí)施規(guī)則信息安全管理實(shí)用規(guī)范BS 7799-2ISO/IEC 27001信息安全管理體系規(guī)范信息安全管理體系要求ISMS與ISO/IEC 27000ISO/IEC 27001 是信息安全管理體系（ISMS）的國際規(guī)范性標(biāo)準(zhǔn)。ISO/IEC 27002 從14個(gè)方面提出35個(gè)控制目標(biāo)和113個(gè)控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實(shí)踐。實(shí)施和建設(shè)安全管理體系的

14、要求和標(biāo)準(zhǔn)信息安全管理體系ISMSISO27001標(biāo)準(zhǔn)建立ISO/IEC 27001ISO/IEC 27002提供最佳實(shí)踐規(guī)則信息安全管理思想信息安全管理具體操作 ISO27002控制項(xiàng)三、人力資源安全四、資產(chǎn)管理五、訪問控制六、加密二、組織信息安全一、信息安全策略七、物理及環(huán)境安全八、操作安全九、傳輸安全十一、供應(yīng)商關(guān)系十、系統(tǒng)獲取、開發(fā)和維護(hù)十二、信息安全事件管理十三、業(yè)務(wù)連續(xù)性管理的信息安全方面十四、合規(guī)性信息安全標(biāo)準(zhǔn)與規(guī)范ISO27001信息安全管理體系信息安全等級(jí)化保護(hù)體系其它標(biāo)準(zhǔn)簡介等級(jí)保護(hù)定義中辦發(fā)200327號(hào)文：加強(qiáng)信息安全保障工作的意見主要內(nèi)容：實(shí)行信息安全等級(jí)保護(hù)政策重視

15、信息安全風(fēng)險(xiǎn)評(píng)估工作建設(shè)和完善信息安全監(jiān)控體系保證信息安全資金健全信息安全管理責(zé)任制公通字200466號(hào)：關(guān)于印發(fā)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見的通知公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)國家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo) 國家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)、經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)（二）鐵路、銀行、海關(guān)、稅務(wù)、銀行、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)

16、、商務(wù)、水利、國土資源能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政行業(yè)部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。信息安全等級(jí)保護(hù): 對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。是國家政策要求由公安監(jiān)督檢查各機(jī)關(guān)和行業(yè)執(zhí)行第三章 網(wǎng)絡(luò)運(yùn)行安全第一節(jié) 一般規(guī)定第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行

17、為的技術(shù)措施（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施（五）法律、行政法規(guī)規(guī)定的其他義務(wù)等級(jí)保護(hù)的意義提高整體保障水平：能有效的提高信息安全保障工作的整體水平，有效解決信息系統(tǒng)面臨的威脅和存在的主要問題優(yōu)化安全資源分配：將有限的財(cái)力、物力、人力投入到重點(diǎn)地方，發(fā)揮最大的安全經(jīng)濟(jì)效益2、合法、合規(guī)1、提高保障水平、優(yōu)化資源分配等級(jí)保護(hù)背景介紹發(fā)展歷程等保經(jīng)歷了近20年的發(fā)展，大概經(jīng)歷了三個(gè)階段（這三個(gè)階段沒有嚴(yán)格的時(shí)間界限）2007至今 推廣階段開始定級(jí)、整改、測(cè)評(píng)、檢查，各行業(yè)單位開始全面定級(jí)/

18、整改建設(shè)。20042006 發(fā)展階段制定了大量等保護(hù)相關(guān)的標(biāo)準(zhǔn)、規(guī)范，并在部分單位進(jìn)行試點(diǎn)。19942003 起步階段國家呼吁加強(qiáng)信息安全建設(shè)，提出要對(duì)信息系統(tǒng)進(jìn)行劃分等級(jí)來保護(hù)。等級(jí)保護(hù)關(guān)鍵技術(shù)要求入侵防范惡意代碼防范集中管控邊界防護(hù)明確限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)。訪問控制通信傳輸明確應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)內(nèi)容的訪問控制。加密傳輸在網(wǎng)絡(luò)與通信和應(yīng)用和數(shù)據(jù)都有強(qiáng)調(diào)。應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析。應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)垃圾郵件進(jìn)行檢測(cè)和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級(jí)和

19、更新。強(qiáng)調(diào)集中管控，集中監(jiān)測(cè)，集中分析。保護(hù)等級(jí)公民、法人的合法權(quán)益社會(huì)秩序和公共利益國家安全第一級(jí)損害否否第二級(jí)嚴(yán)重?fù)p害損害否第三級(jí)/嚴(yán)重?fù)p害損害第四級(jí)/嚴(yán)重?fù)p害嚴(yán)重?fù)p害第五級(jí)/嚴(yán)重?fù)p害等級(jí)保護(hù)系統(tǒng)定級(jí)主要依據(jù)：根據(jù)系統(tǒng)被破壞后，對(duì)公民、社會(huì)、國家造成的損害程度定級(jí)。等級(jí)保護(hù)流程等保流程定級(jí)備案測(cè)評(píng)整改備案是向監(jiān)管部門告知將進(jìn)行等保建設(shè)的必要流程。建設(shè)整改是等保工作落實(shí)的 關(guān)鍵。等級(jí)測(cè)評(píng)是評(píng)價(jià)安全保護(hù)狀況的方法。定級(jí)是等級(jí)保護(hù)的首要環(huán)節(jié)。監(jiān)督監(jiān)督檢查是等保工作外在動(dòng)力。信息安全標(biāo)準(zhǔn)與規(guī)范ISO27001信息安全管理體系信息安全等級(jí)化保護(hù)體系其它標(biāo)準(zhǔn)簡介其它標(biāo)準(zhǔn) - 美國 - TCSECTru

20、sted Computer System Evaluation Criteria, 可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)。 TCSEC標(biāo)準(zhǔn)是計(jì)算機(jī)系統(tǒng)安全評(píng)估的第一個(gè)正式標(biāo)準(zhǔn)。1970年由美國國防科學(xué)委員會(huì)提出，1985年12月由美國國防部公布。參考：/item/TCSEC/8878477?fr=aladdin A：驗(yàn)證保護(hù)級(jí)A1系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型;所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文檔。B：強(qiáng)制保護(hù)級(jí)B1B類系統(tǒng)具有強(qiáng)制性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級(jí)相連，系統(tǒng)就不會(huì)讓用戶存取對(duì)象。B2B3C：自主保護(hù)級(jí)C1該類安全等級(jí)能夠提供審記的保護(hù)，并為用戶的行動(dòng)和責(zé)任提供審計(jì)能力。C2D：無保護(hù)級(jí)D1只為文件和用戶提供安全保護(hù)。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。其它標(biāo)準(zhǔn) - 歐洲 - ITSECInformation Technology Security Evaluation Criteria歐洲的安全評(píng)價(jià)標(biāo)準(zhǔn)，是英國、法國、德國和荷蘭制定的IT安全評(píng)估準(zhǔn)則，較美國軍方制定的TCSEC準(zhǔn)則在功能的靈活性和有關(guān)的評(píng)估技術(shù)方面均有很大的進(jìn)步。應(yīng)用領(lǐng)域?yàn)檐婈?duì)、政府和商業(yè)。功能級(jí)別描述F1F5TCSEC DAF6數(shù)據(jù)和程序的完整性F7系統(tǒng)的可