系統評估準則與安全策略

北京科技大學計算機系陳紅松副教授1系統評估準則與安全策略北京科技大學計算機系11系統評估準則2信息安全測評認證準則3安全管理的實施4制定安全策略5系統備份和緊急恢復方法6審計與評估7容災技術及其典型應用21系統評估準則21系統評估準則1.1可信計算機系統評估準則1.2歐洲信息技術安全評估準則1.3加拿大可信計算機產品評估準則1.4美國聯邦信息技術安全準則1.5國際通用準則1.6標準的比較與評價31系統評估準則1.1可信計算機系統評估準則31系統評估準則表7.1安全評估準則時間國別名稱1985年12月1990年5月1990年5月1991年2月1996年1月1999年7月美國法德荷英四國加拿大美國北美及聯盟國際標準化組織ISO可信計算機系統評估準則（TCSEC）歐洲信息技術安全評估準則（ITSEC）加拿大可信計算機產品評估準則（CTCPEC）美國聯邦信息技術安全準則（FC）通用信息技術安全評估準則（CC）批準CC成為國際標準ISO/IEC15408-199941系統評估準則表7.1安全評估準則時間國別名稱1系統評估準則1.1可信計算機系統評估準則表7.2TCSEC安全等級和功能說明安全等級名稱功能D低級保護系統已經被評估，但不滿足A到C級要求的等級，最低級安全產品C1自主安全保護該級產品提供一些必須要知道的保護，用戶和數據分離C2受控存取保護該級產品提供了比C1級更細的訪問控制，可把注冊過程、審計跟蹤和資源分配分開B1標記性安全保護除了需要C2級的特點外，該級還要求數據標號、目標的強制性訪問控制以及正規或非正規的安全模型規范B2結構性保護該級保護建立在B1級上，具有安全策略的形式描述，更多的自由選擇和強制性訪問控制措施，驗證機制強，并含有隱蔽通道分析。通常，B2級相對可以防止非法訪問B3安全域該級覆蓋了B2級的安全要求，并增加了下述內容：傳遞所有用戶行為，系統防竄改，安全特點完全是健全的和合理的。安全信息之中不含有任何附加代碼或信息。系統必須要提供管理支持、審計、備份和恢復方法。通常，B3級完全能夠防止非法訪問A1驗證設計A1級與B3級的功能完全相同，但A1級的安全特點經過了更正式的分析和驗證。通常，A1級只適用于軍事計算機系統超A1已經超出當前技術發展，有待進一步描述51系統評估準則1.1可信計算機系統評估準則安全等級名1.2歐洲信息技術安全評估準則表7.3ITSEC和TCSEC的關系1系統評估準則ITSEC準則TCSEC準則含義功能級可信賴等級分類等級E0D非安全保護F1E1C1自主安全保護F2E2C2可控安全保護F3E3B1標記強制安全保護F4E4B2結構強制保護級F5E4B3強制安全區域保護F6E6A1驗證設計安全保護超A1超出當前技術發展61.2歐洲信息技術安全評估準則1系統評估準則ITSEC1.3加拿大可信計算機產品評估準則表7.4CTCPEC功能要求和規格等級1系統評估準則功能要求等級可計算性審計WA-0→WA-5識別和驗證WI-0→WI-3可信路徑WT-0→WT-3可用性容量AC-0→AC-3容錯AF-0→AF-3堅固性AR-0→AR-3恢復AY-0→AY-3機密性隱蔽信道CC-0→CC-3選擇機密性CD-0→CD-4強制機密性CM-0→CM-4目標重用CR-0→CR-1完整性域完整性IB-0→IB-2選擇完整性ID-0→ID-4強制完整性IM-0→IM-4物理完整性IP-0→IP-4重新運行IR-0→IR-2功能分離IS-0→IS-3自測試IT-0→IT-371.3加拿大可信計算機產品評估準則1系統評估準則功能

表7.5四種準則安全等級的近似比較1.4美國聯邦信息技術安全準則TCSECFCCTCPECITSECDE0C1E1C2T-1T-1E2B1T-2T-2E3T-3T-3T-4B2T-5T-4E4B3T-6T-5E5A1T-7T-6E6T-71系統評估準則8

表7.5四種準則安全等級的近似比較1.4美國聯1.5國際通用準則

“信息技術安全性通用標準”（CC）是事實上的國際安全評估標準。1999年，CC被國際標準化組織（ISO）批準成為國際標準ISO/IEC15408-1999并正式頒布發行。表7.6通用準則的功能類族功能類名稱族成員數量通信2識別和驗證10保密性4可信安全功能的保護14資源分配3安全審計10TOE入口9可信路徑3用戶數據保護131系統評估準則91.5國際通用準則功能類名稱族成員數量通信2識別和驗證101.5國際通用準則表7.7通用準則的可信賴性類族1系統評估準則可信賴性類名稱族成員數量配置管理3傳遞和操作2開發10引導文件2壽命周期支持4測試4脆弱性測驗4101.5國際通用準則1系統評估準則可信賴性類名稱族成員數量1.6標準的比較與評價最初的TCSEC是針對孤立計算機系統提出的，特別是小型機和大型機系統。該標準僅適用于軍隊和政府，不適用于企業。TCSEC與ITSEC均是不涉及開放系統的安全標準，僅針對產品的安全保證要求來劃分等級并進行評測，且均為靜態模型，僅能反映靜態安全狀況。CTCPEC雖在二者的基礎上有一定發展，但也未能突破上述的局限性。FC對TCSEC作了補充和修改，對保護框架（PP）和安全目標（ST)作了定義，明確了由用戶提供出其系統安全保護要求的詳細框架，由產品廠商定義產品的安全功能、安全目標等。CC定義了作為評估信息技術產品和系統安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結構。CC與早期的評估標準相比，其優勢體現在其結構的開放性、表達方式的通用性以及結構和表達方式的內在完備性和實用性三個方面。CC的幾項明顯的缺點。

1系統評估準則111.6標準的比較與評價1系統評估準則112信息安全測評認證準則2.1信息安全測評認證制度2.2安全產品控制2.3測評認證的標準與規范2.4中國測評認證標準與工作體系122信息安全測評認證準則2.1信息安全測評認證制度122.1信息安全測評認證制度測評認證制度的組成測評——檢驗產品是否符合所定義的評估標準。認證——檢驗評估過程是否正確，并保證評估結果的正確性和權威性，且公布于眾。測評認證制度的重要性

根據信息安全測評認證制度，產品的使用者就能在眾多銷售環境下放心地構筑、運用信息系統，開發者也能在可以信賴的指南下開發產品。信息安全測評認證制度對維護國家的信息安全起著極其重要的作用，對信息安全產業起步較晚且不夠完善的中國而言尤為重要。2信息安全測評認證準則132.1信息安全測評認證制度2信息安全測評認證準則132.2安全產品控制在市場準入上，發達國家為嚴格進出口控制。對國內使用的產品，實行強制性認證。對信息技術和信息安全技術中的核心技術，由政府直接控制。形成政府的行政管理與技術支持相結合、相依賴的管理體制。

2.3測評認證的標準與規范信息技術安全性通用標準CC，使大部分的基礎性安全機制，在任何一個地方通過了CC準則評價并得到許可進入國際市場時，不需要再作評價，大幅度節省評價支出并迅速推向市場。各國通常是在充分借鑒國際標準的前提下，制訂自己的測評認證標準。

2信息安全測評認證準則142.2安全產品控制2信息安全測評認證準則142.4中國測評認證標準與工作體系開展信息安全測評認證的緊迫性

評測認證標準

評測工作體系

信息安全測評認證體系，由3個層次的組織和功能構成國家信息安全測評認證管理委員會國家信息安全測評認證中心若干個產品或信息系統的測評分支機構(實驗室，分中心等)

測評認證中心

中國國家信息安全測評認證中心(CNISTEC)對外開展4種認證業務產品形式認證產品認證信息系統安全認證信息安全服務認證

2信息安全測評認證準則152.4中國測評認證標準與工作體系2信息安全測評認證準則153安全管理的實施3.1安全管理的類型3.2安全管理的原則3.3安全管理的基礎163安全管理的實施3.1安全管理的類型163.1安全管理的類型系統安全管理安全服務管理安全機制管理OSI管理的安全3.2安全管理的原則安全管理平臺的設計原則標準化設計原則

逐步擴充的原則

集中與分布的原則

安全管理平臺的管理原則多人負責原則系統管理崗位任期有限原則職責有限、分離原則

3安全管理的實施173.1安全管理的類型3安全管理的實施173.3安全管理的基礎根據安全等級，確定安全管理的范圍，分別進行安全管理制定安全制度和操作規程重視系統維護的安全管理制定緊急恢復措施加強人員管理，建立有利于保護系統安全的雇傭和解聘制度網絡用戶安全管理

3安全管理的實施183.3安全管理的基礎3安全管理的實施184制定安全策略4.1制定安全策略的原則4.2制定安全策略的目的和內容4.3制定安全策略的層次

194制定安全策略4.1制定安全策略的原則194.1制定安全策略的原則均衡性整體性一致性易操作性可靠性層次性可評價性

4.2制定安全策略的目的和內容目的：

保證網絡安全保護工作的整體、計劃性及規范性，保證各項措施和管理手段的正確實施，使網絡系統信息數據的機密性、完整性及可使用性受到全面、可靠的保護內容：進行安全需求分析對網絡系統資源進行評估對可能存在的風險進行分析確定內部信息對外開放的種類及發布方式和訪問方式明確網絡系統管理人員的責任和義務確定針對潛在風險采取的安全保護措施的主要構成方面，制定安全存取、訪問規則4制定安全策略204.1制定安全策略的原則4制定安全策略204.3制定安全策略的層次按照網絡OSI的7層模型，網絡安全應貫穿在整個模型的各個層次。根據內部網(如Intranet)的層次結構，網絡安全的層次分為網絡層和應用層兩個方面：網絡層——該層安全策略的目的，是在可用性的前提下實現網絡服務安全性。

應用層——應用層的安全措施主要有以下幾方面：建立全網統一、有效的身份認證機制。單一注冊。信息傳輸加密。確定是否采用代理服務（ProxyService）及選擇配置方式、維護方式，根據安全防范的重點對象，靈活運用代理服務器與防火墻的不同配置，以達到最大限度同時滿足開放性與安全性的要求。建立審計和統計分析機制。

4制定安全策略214.3制定安全策略的層次4制定安全策略215系統備份和緊急恢復方法5.1系統備份方法5.2緊急恢復225系統備份和緊急恢復方法5.1系統備份方法225.1系統備份方法系統備份系統備份主要的對象包括：數據備份，關鍵設備及部件，電源備份，外部設備及空調設備備份，通信線路備份等。系統備份對象中的關鍵設備、部件以及電源的備份：設備備份方式、主機備份方式、高可靠電源備份、網卡備份。數據備份數據備份是指將計算機系統中硬盤上的一部分數據通過適當的形式轉錄到可脫機保存的介質(如磁帶，軟盤和光盤)上，以便需要時再輸入計算機系統使用。熱備份、冷備份在線的備份稱為熱備份脫機數據備份稱為冷備份5系統備份和緊急恢復方法235.1系統備份方法5系統備份和緊急恢復方法235.1系統備份方法數據備份數據備份的介質軟磁盤光盤磁帶硬盤基本備份方法日常業務數據備份數據庫數據備份永久性數據備份應用項目基本備份遠程備份5系統備份和緊急恢復方法245.1系統備份方法5系統備份和緊急恢復方法245.2緊急恢復

緊急恢復又稱災難恢復，是指災難產生后迅速采取措施恢復網絡系統的正常運行。

緊急事件的主要內容制定緊急恢復計劃

制定緊急恢復計劃的大的原則和至少要考慮的因素：

明確規定事先的預備措施和事后的應急方案緊急反應根據網絡的實際情況明確緊急反應的等級緊急恢復計劃的制定應簡潔明了

5系統備份和緊急恢復方法255.2緊急恢復5系統備份和緊急恢復方法256審計與評估6.1安全審計6.2網絡安全評估266審計與評估6.1安全審計266.1安全審計安全審計的目的：有針對性地對網絡運行的狀況和過程進行記錄、跟蹤和審查，以從中發現安全問題。安全審計的主要功能：記錄、跟蹤系統運行狀況。檢測各種安全事故。保存、維護和管理審計日志。

6審計與評估276.1安全審計6審計與評估276.2網絡安全評估

網絡安全評估是運用系統的方法，根據各種網絡安全保護措施、管理機制以及結合所產生的客觀效果，對網絡系統作出是否安全的結論。 網絡安全掃描：基于服務器的安全掃描器、基于網絡的安全掃描器

評估的主要內容

環境控制應用安全管理機制遠程通信安全審計機制評估實例

某行業對計算機信息系統(包括網絡)的安全競選檢查評估的評分標準，見表7.9安全檢查評估標準。

6審計與評估286.2網絡安全評估6審計與評估287容災技術及其典型應用7.1容災理論和技術的發展過程7.2容災在國內外的規范現狀7.3容災的基本理論7.4容災的關鍵技術7.5容災系統7.6遠程應用級容災系統模型7.7企業如何選擇容災解決方案7.8銀行各容災級別及案例分析

297容災技術及其典型應用7.1容災理論和技術的發展過程297.1容災理論和技術的發展過程

容災這個概念出現于90年代初期提出的。國內對于容災技術領域的研究，最早的是在90年代中后期（在1997年）。7.2容災在國內外的規范現狀

國外政府對數據備份有詳細規定；我國香港特別行政區也針對不同行業的特點，對容災、數據備份有嚴格的規定；但在國內，目前對這部分的要求還較少。

7容災技術及其典型應用307.1容災理論和技術的發展過程7容災技術及其典型應用307.3容災的基本理論容災的相關定義：容災是在災難發生時，能夠保證數據盡量少的丟失，系統能夠不間斷地運行，或者盡量快地恢復正常運行。容災備份是通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。根據容災系統對災難的抵抗程度，可分為數據容災和應用容災:數據容災是指建立一個異地的數據系統應用容災比數據容災層次更高，即在異地建立一套完整的、與本地數據系統相當的備份應用系統容災技術與傳統數據系統安全技術比較傳統的數據系統的安全體系主要有數據備份系統和高可用系統兩個方面。容災不僅是一項技術，而應該把它理解為一項系統工程。

7容災技術及其典型應用317.3容災的基本理論7容災技術及其典型應用317.3容災的基本理論容災的分類表7.10容災的分類7容災技術及其典型應用級別內容說明第一級本地數據容災只有很低的災難恢復能力，能應付計算機軟硬件方面的系統災難，在災難發生后無法保證業務連續性，且需要較長恢復時間。第二級本地應用容災能應付計算機軟硬件方面的系統災難，但系統能迅速切換，保持業務的連續性。第三級異地數據冷備份在本地將關鍵數據備份，然后送異地保存。災難發生后，按預定數據恢復程序恢復系統和數據。特點：成本低，易于配置，是常用的一種方法。問題是：當數據量增大時，存儲介質難以管理。災難發生時，大量數據難以及時恢復，對業務影響仍然很大，損失的數據量也較大。第四級異地異步數據容災在異地建立一個數據備份站點，通過網絡以異步方式進行數據備份。備份站點只備份數據，不承擔業務。在對災難的容忍程度同第3級。但他采用網絡進行數據復制度方式，因此兩個站點的數據同步程度要比3高，丟失數據也更少。第五級異地同步數據容災除了是同步方式以外，基本和上面相同，出現災難時，數據丟失量比上面小，基本可以做得零數據丟失，但存在系統恢復較慢地缺點。投入成本較大，注：同步數據容災有距離限制，超過一定范圍（10km～100km）在目前情況下性能大打折扣，和異步差別不大。它和第4級存在地共同問題是：沒有備用應用系統，因此無法保證業務的連續性。第六級異地異步應用容災在異地建立一個與生產系統完全相同的備用系統，他們之間采用異步的方式進行數據同步，當生產中心發生災難時，備用系統接替其工作。該級別的容災，既可以保證數據的極少量丟失，又可及時切換，從而保證業務的連續性。現在一般采用廣域高可靠集群方式實現。第七級異地同步應用容災在異地建立一個與生產系統完全相同的備用系統，他們之間采用同步的方式進行數據復制。當生產中心發生災難時，備用系統接替其工作。該級別的容災，在發生災難時，可以基本保證數據零丟失和業務的連續性。容災的等級標準327.3容災的基本理論7容災技術及其典型應用級別內容說7.4容災的關鍵技術數據存儲管理數據存儲管理指對于計算機系統數據存儲相關的一系列操作（如備份、歸檔、恢復等）進行的統一管理。數據存儲管理包括數據備份、數據恢復、備份索引、備份設備及媒體和災難恢復等。數據復制數據復制即將一個地點的數據拷貝到另一個不同的物理點上的過程。數據復制分為同步數據復制和異步數據復制。實現數據異地復制，有軟件和硬件方式兩種途徑。災難檢測

對于災難的發現方式，一般是通過心跳技術和檢查點技術。系統遷移7容災技術及其典型應用337.4容災的關鍵技術7容災技術及其典型應用337.5容災系統衡量容災系統的技術評價指標：公認的標準有RPO/RTO。

容災系統的系統結構

7容災技術及其典型應用本地生產系統本地備用生產系統生產數據中心本地數據備份中心異地應用系統異地數據中心系統遷移災難檢測數據備份數據同步本地高可用系統本地容災系統異地容災系統347.5容災系統7容災技術及其典型應用本地生產系統本地備用7.6遠程應用級容災系統模型數據源容災主系統容災平臺容災平臺備應用系統主應用系統容災備系統遠程容災同步數據業務數據信息業務數據信息業務數據信息業務數據信息7容災技術及其典型應用圖7.2遠程應用級容災系統模型357.6遠程應用級容災系統模型數據源容災主系統容災平臺容災平7.7企業如何選擇容災解決方案國外企業在選擇容災解決方案方面積累的經驗國外的主流容災產品：HP、VERITAS、IBM公司解決災備問題的方法

7.8銀行各容災級別及案例分析銀行各容災級別分析根據銀行業務特色和具體情況，綜合的概括為以下容災層次：業務連續性容災數據連續性容災IT設施容災案例分析 中國建設銀行——我國最早引入和應用容災系統

7容災技術及其典型應用367.7企業如何選擇容災解決方案7容災技術及其典型應用36建設銀行總行于1997年3月成立了計算機災難備份模式安全設計小組，通過風險分析提出了如何劃分應用系統災難備份等級以及如何選擇最佳災難備份方案的策略，明確提出了不同類別的行、不同等級的應用系統的數據備份策略、系統備份策略和網絡備份策略，做出了同城專用災難備份中心、共用災難備份中心、相同機型互為備份和網控中心四種災難備份模式的設計。中國建設銀行總行災備系統以HP9000/T600為生產系統主機，以HP9000/T500為災難備份系統主機，以EMCSymmetrix3430智能信息存儲系統的SRDF遠程磁盤鏡像技術為數據備份技術，在生產中心和災難備份中心之間（距離20公里）通過直連光纖實現數據備份通道，構成總行資金清算災難備份系統。總行資金清算災難備份系統由網絡備份、遠程數據備份、系統備份、應用數據檢查與恢復四部分組成。

遠程數據鏡像（SymmetrixRemoteDataFacility，簡寫為SRDF）能夠對異地數據實行完全的、實時的數據鏡像，迅速保護并恢復業務數據。37建設銀行總行于1997年3月成立了計算機災難備份模式安全設計本章小結

本章介紹了系統評估的準則與安全策略。系統評估準則，如今國際通用的是信息技術安全標準（CC），其體現了結構的開放性、表達方式的通用性以及結構和表達方式的內在完備性和實用性三個方面的優勢。信息安全測評認證制度由測評和認證兩大過程組成，“測評”就是檢驗產品是否符合所定義的評估標準，“認證”即檢驗評估過程是否正確，并保證評估結果的正確性和權威性，且公布于眾。按OSI的安全體系結構標準，安全管理可分為系統安全管理、安全服務管理、安全機制管理、OSI管理的安全4種類型。安全策略要遵循均衡性、整體性、一致性等原則。安全審計的目的是利用審計機制，有針對性地對網絡運行的狀況和過程進行記錄、跟蹤和審查，從中發現安全問題。系統容災技術及應用。38本章小結本章介紹了系統評估的準則與安全策略。38系統評估準則與安全策略

北京科技大學計算機系陳紅松副教授39系統評估準則與安全策略北京科技大學計算機系11系統評估準則2信息安全測評認證準則3安全管理的實施4制定安全策略5系統備份和緊急恢復方法6審計與評估7容災技術及其典型應用401系統評估準則21系統評估準則1.1可信計算機系統評估準則1.2歐洲信息技術安全評估準則1.3加拿大可信計算機產品評估準則1.4美國聯邦信息技術安全準則1.5國際通用準則1.6標準的比較與評價411系統評估準則1.1可信計算機系統評估準則31系統評估準則表7.1安全評估準則時間國別名稱1985年12月1990年5月1990年5月1991年2月1996年1月1999年7月美國法德荷英四國加拿大美國北美及聯盟國際標準化組織ISO可信計算機系統評估準則（TCSEC）歐洲信息技術安全評估準則（ITSEC）加拿大可信計算機產品評估準則（CTCPEC）美國聯邦信息技術安全準則（FC）通用信息技術安全評估準則（CC）批準CC成為國際標準ISO/IEC15408-1999421系統評估準則表7.1安全評估準則時間國別名稱1系統評估準則1.1可信計算機系統評估準則表7.2TCSEC安全等級和功能說明安全等級名稱功能D低級保護系統已經被評估，但不滿足A到C級要求的等級，最低級安全產品C1自主安全保護該級產品提供一些必須要知道的保護，用戶和數據分離C2受控存取保護該級產品提供了比C1級更細的訪問控制，可把注冊過程、審計跟蹤和資源分配分開B1標記性安全保護除了需要C2級的特點外，該級還要求數據標號、目標的強制性訪問控制以及正規或非正規的安全模型規范B2結構性保護該級保護建立在B1級上，具有安全策略的形式描述，更多的自由選擇和強制性訪問控制措施，驗證機制強，并含有隱蔽通道分析。通常，B2級相對可以防止非法訪問B3安全域該級覆蓋了B2級的安全要求，并增加了下述內容：傳遞所有用戶行為，系統防竄改，安全特點完全是健全的和合理的。安全信息之中不含有任何附加代碼或信息。系統必須要提供管理支持、審計、備份和恢復方法。通常，B3級完全能夠防止非法訪問A1驗證設計A1級與B3級的功能完全相同，但A1級的安全特點經過了更正式的分析和驗證。通常，A1級只適用于軍事計算機系統超A1已經超出當前技術發展，有待進一步描述431系統評估準則1.1可信計算機系統評估準則安全等級名1.2歐洲信息技術安全評估準則表7.3ITSEC和TCSEC的關系1系統評估準則ITSEC準則TCSEC準則含義功能級可信賴等級分類等級E0D非安全保護F1E1C1自主安全保護F2E2C2可控安全保護F3E3B1標記強制安全保護F4E4B2結構強制保護級F5E4B3強制安全區域保護F6E6A1驗證設計安全保護超A1超出當前技術發展441.2歐洲信息技術安全評估準則1系統評估準則ITSEC1.3加拿大可信計算機產品評估準則表7.4CTCPEC功能要求和規格等級1系統評估準則功能要求等級可計算性審計WA-0→WA-5識別和驗證WI-0→WI-3可信路徑WT-0→WT-3可用性容量AC-0→AC-3容錯AF-0→AF-3堅固性AR-0→AR-3恢復AY-0→AY-3機密性隱蔽信道CC-0→CC-3選擇機密性CD-0→CD-4強制機密性CM-0→CM-4目標重用CR-0→CR-1完整性域完整性IB-0→IB-2選擇完整性ID-0→ID-4強制完整性IM-0→IM-4物理完整性IP-0→IP-4重新運行IR-0→IR-2功能分離IS-0→IS-3自測試IT-0→IT-3451.3加拿大可信計算機產品評估準則1系統評估準則功能

表7.5四種準則安全等級的近似比較1.4美國聯邦信息技術安全準則TCSECFCCTCPECITSECDE0C1E1C2T-1T-1E2B1T-2T-2E3T-3T-3T-4B2T-5T-4E4B3T-6T-5E5A1T-7T-6E6T-71系統評估準則46

表7.5四種準則安全等級的近似比較1.4美國聯1.5國際通用準則

“信息技術安全性通用標準”（CC）是事實上的國際安全評估標準。1999年，CC被國際標準化組織（ISO）批準成為國際標準ISO/IEC15408-1999并正式頒布發行。表7.6通用準則的功能類族功能類名稱族成員數量通信2識別和驗證10保密性4可信安全功能的保護14資源分配3安全審計10TOE入口9可信路徑3用戶數據保護131系統評估準則471.5國際通用準則功能類名稱族成員數量通信2識別和驗證101.5國際通用準則表7.7通用準則的可信賴性類族1系統評估準則可信賴性類名稱族成員數量配置管理3傳遞和操作2開發10引導文件2壽命周期支持4測試4脆弱性測驗4481.5國際通用準則1系統評估準則可信賴性類名稱族成員數量1.6標準的比較與評價最初的TCSEC是針對孤立計算機系統提出的，特別是小型機和大型機系統。該標準僅適用于軍隊和政府，不適用于企業。TCSEC與ITSEC均是不涉及開放系統的安全標準，僅針對產品的安全保證要求來劃分等級并進行評測，且均為靜態模型，僅能反映靜態安全狀況。CTCPEC雖在二者的基礎上有一定發展，但也未能突破上述的局限性。FC對TCSEC作了補充和修改，對保護框架（PP）和安全目標（ST)作了定義，明確了由用戶提供出其系統安全保護要求的詳細框架，由產品廠商定義產品的安全功能、安全目標等。CC定義了作為評估信息技術產品和系統安全性的基礎準則，提出了目前國際上公認的表述信息技術安全性的結構。CC與早期的評估標準相比，其優勢體現在其結構的開放性、表達方式的通用性以及結構和表達方式的內在完備性和實用性三個方面。CC的幾項明顯的缺點。

1系統評估準則491.6標準的比較與評價1系統評估準則112信息安全測評認證準則2.1信息安全測評認證制度2.2安全產品控制2.3測評認證的標準與規范2.4中國測評認證標準與工作體系502信息安全測評認證準則2.1信息安全測評認證制度122.1信息安全測評認證制度測評認證制度的組成測評——檢驗產品是否符合所定義的評估標準。認證——檢驗評估過程是否正確，并保證評估結果的正確性和權威性，且公布于眾。測評認證制度的重要性

根據信息安全測評認證制度，產品的使用者就能在眾多銷售環境下放心地構筑、運用信息系統，開發者也能在可以信賴的指南下開發產品。信息安全測評認證制度對維護國家的信息安全起著極其重要的作用，對信息安全產業起步較晚且不夠完善的中國而言尤為重要。2信息安全測評認證準則512.1信息安全測評認證制度2信息安全測評認證準則132.2安全產品控制在市場準入上，發達國家為嚴格進出口控制。對國內使用的產品，實行強制性認證。對信息技術和信息安全技術中的核心技術，由政府直接控制。形成政府的行政管理與技術支持相結合、相依賴的管理體制。

2.3測評認證的標準與規范信息技術安全性通用標準CC，使大部分的基礎性安全機制，在任何一個地方通過了CC準則評價并得到許可進入國際市場時，不需要再作評價，大幅度節省評價支出并迅速推向市場。各國通常是在充分借鑒國際標準的前提下，制訂自己的測評認證標準。

2信息安全測評認證準則522.2安全產品控制2信息安全測評認證準則142.4中國測評認證標準與工作體系開展信息安全測評認證的緊迫性

評測認證標準

評測工作體系

信息安全測評認證體系，由3個層次的組織和功能構成國家信息安全測評認證管理委員會國家信息安全測評認證中心若干個產品或信息系統的測評分支機構(實驗室，分中心等)

測評認證中心

中國國家信息安全測評認證中心(CNISTEC)對外開展4種認證業務產品形式認證產品認證信息系統安全認證信息安全服務認證

2信息安全測評認證準則532.4中國測評認證標準與工作體系2信息安全測評認證準則153安全管理的實施3.1安全管理的類型3.2安全管理的原則3.3安全管理的基礎543安全管理的實施3.1安全管理的類型163.1安全管理的類型系統安全管理安全服務管理安全機制管理OSI管理的安全3.2安全管理的原則安全管理平臺的設計原則標準化設計原則

逐步擴充的原則

集中與分布的原則

安全管理平臺的管理原則多人負責原則系統管理崗位任期有限原則職責有限、分離原則

3安全管理的實施553.1安全管理的類型3安全管理的實施173.3安全管理的基礎根據安全等級，確定安全管理的范圍，分別進行安全管理制定安全制度和操作規程重視系統維護的安全管理制定緊急恢復措施加強人員管理，建立有利于保護系統安全的雇傭和解聘制度網絡用戶安全管理

3安全管理的實施563.3安全管理的基礎3安全管理的實施184制定安全策略4.1制定安全策略的原則4.2制定安全策略的目的和內容4.3制定安全策略的層次

574制定安全策略4.1制定安全策略的原則194.1制定安全策略的原則均衡性整體性一致性易操作性可靠性層次性可評價性

4.2制定安全策略的目的和內容目的：

保證網絡安全保護工作的整體、計劃性及規范性，保證各項措施和管理手段的正確實施，使網絡系統信息數據的機密性、完整性及可使用性受到全面、可靠的保護內容：進行安全需求分析對網絡系統資源進行評估對可能存在的風險進行分析確定內部信息對外開放的種類及發布方式和訪問方式明確網絡系統管理人員的責任和義務確定針對潛在風險采取的安全保護措施的主要構成方面，制定安全存取、訪問規則4制定安全策略584.1制定安全策略的原則4制定安全策略204.3制定安全策略的層次按照網絡OSI的7層模型，網絡安全應貫穿在整個模型的各個層次。根據內部網(如Intranet)的層次結構，網絡安全的層次分為網絡層和應用層兩個方面：網絡層——該層安全策略的目的，是在可用性的前提下實現網絡服務安全性。

應用層——應用層的安全措施主要有以下幾方面：建立全網統一、有效的身份認證機制。單一注冊。信息傳輸加密。確定是否采用代理服務（ProxyService）及選擇配置方式、維護方式，根據安全防范的重點對象，靈活運用代理服務器與防火墻的不同配置，以達到最大限度同時滿足開放性與安全性的要求。建立審計和統計分析機制。

4制定安全策略594.3制定安全策略的層次4制定安全策略215系統備份和緊急恢復方法5.1系統備份方法5.2緊急恢復605系統備份和緊急恢復方法5.1系統備份方法225.1系統備份方法系統備份系統備份主要的對象包括：數據備份，關鍵設備及部件，電源備份，外部設備及空調設備備份，通信線路備份等。系統備份對象中的關鍵設備、部件以及電源的備份：設備備份方式、主機備份方式、高可靠電源備份、網卡備份。數據備份數據備份是指將計算機系統中硬盤上的一部分數據通過適當的形式轉錄到可脫機保存的介質(如磁帶，軟盤和光盤)上，以便需要時再輸入計算機系統使用。熱備份、冷備份在線的備份稱為熱備份脫機數據備份稱為冷備份5系統備份和緊急恢復方法615.1系統備份方法5系統備份和緊急恢復方法235.1系統備份方法數據備份數據備份的介質軟磁盤光盤磁帶硬盤基本備份方法日常業務數據備份數據庫數據備份永久性數據備份應用項目基本備份遠程備份5系統備份和緊急恢復方法625.1系統備份方法5系統備份和緊急恢復方法245.2緊急恢復

緊急恢復又稱災難恢復，是指災難產生后迅速采取措施恢復網絡系統的正常運行。

緊急事件的主要內容制定緊急恢復計劃

制定緊急恢復計劃的大的原則和至少要考慮的因素：

明確規定事先的預備措施和事后的應急方案緊急反應根據網絡的實際情況明確緊急反應的等級緊急恢復計劃的制定應簡潔明了

5系統備份和緊急恢復方法635.2緊急恢復5系統備份和緊急恢復方法256審計與評估6.1安全審計6.2網絡安全評估646審計與評估6.1安全審計266.1安全審計安全審計的目的：有針對性地對網絡運行的狀況和過程進行記錄、跟蹤和審查，以從中發現安全問題。安全審計的主要功能：記錄、跟蹤系統運行狀況。檢測各種安全事故。保存、維護和管理審計日志。

6審計與評估656.1安全審計6審計與評估276.2網絡安全評估

網絡安全評估是運用系統的方法，根據各種網絡安全保護措施、管理機制以及結合所產生的客觀效果，對網絡系統作出是否安全的結論。 網絡安全掃描：基于服務器的安全掃描器、基于網絡的安全掃描器

評估的主要內容

環境控制應用安全管理機制遠程通信安全審計機制評估實例

某行業對計算機信息系統(包括網絡)的安全競選檢查評估的評分標準，見表7.9安全檢查評估標準。

6審計與評估666.2網絡安全評估6審計與評估287容災技術及其典型應用7.1容災理論和技術的發展過程7.2容災在國內外的規范現狀7.3容災的基本理論7.4容災的關鍵技術7.5容災系統7.6遠程應用級容災系統模型7.7企業如何選擇容災解決方案7.8銀行各容災級別及案例分析

677容災技術及其典型應用7.1容災理論和技術的發展過程297.1容災理論和技術的發展過程

容災這個概念出現于90年代初期提出的。國內對于容災技術領域的研究，最早的是在90年代中后期（在1997年）。7.2容災在國內外的規范現狀

國外政府對數據備份有詳細規定；我國香港特別行政區也針對不同行業的特點，對容災、數據備份有嚴格的規定；但在國內，目前對這部分的要求還較少。

7容災技術及其典型應用687.1容災理論和技術的發展過程7容災技術及其典型應用307.3容災的基本理論容災的相關定義：容災是在災難發生時，能夠保證數據盡量少的丟失，系統能夠不間斷地運行，或者盡量快地恢復正常運行。容災備份是通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。根據容災系統對災難的抵抗程度，可分為數據容災和應用容災:數據容災是指建立一個異地的數據系統應用容災比數據容災層次更高，即在異地建立一套完整的、與本地數據系統相當的備份應用系統容災技術與傳統數據系統安全技術比較傳統的數據系統的安全體系主要有數據備份系統和高可用系統兩個方面。容災不僅是一項技術，而應該把它理解為一項系統工程。

7容災技術及其典型應用697.3容災的基本理論7容災技術及其典型應用317.3容災的基本理論容災的分類表7.10容災的分類7容災技術及其典型應用級別內容說明第一級本地數據容災只有很低的災難恢復能力，能應付計算機軟硬件方面的系統災難，在災難發生后無法保證業務連續性，且需要較長恢復時間。第二級本地應用容災能應付計算機軟硬件方面的系統災難，但系統能迅速切換，保持業務的連續性。第三級異地數據冷備份在本地將關鍵數據備份，然后送異地保存。災難發生后，按預定數據恢復程序恢復系統和數據。特點：成本低，易于配置，是常用的一種方法。問題是：當數據量增大時，存儲介質難以管理。災難發生時，大量數據難以及時恢復，對業務影響仍然很大，損失的數據量也較大。第四級異地異步數據容災在異地建立一個數據備份站點，通過網絡以異步方式進行數據備份。備份站點只備份數據，不承擔業務。在對災難的容忍程度同第3級。但他采用網絡進行數據復制度方式，因此兩個站點的數據同步程度要比3高，丟失數據也更少。第五級異地同步數據容災除了是同步方式以外，基本和上面相同，出現災難時，數據丟失量比上面小，基本可以做得零數據丟失，但存在系統恢復較慢地缺點。投入成本較大，注：同步數據容災有距離限制，超過一定范圍（10km～100km）在目前情況下性能大打折扣，和異步差別不大。它和第4級存在地共同問題是：沒有備用應用系統，因此無法保證業務的連續性。第六級異地異步應用容災在異地建立一個與生產系統完全相同的備用系統，他們之間采用異步的方式進行數據同步，當生產中心發生災難時，備用系統接替其工作。該級別的容災，既可以保證數據的極少量丟失，又可及時切換，從而保證業務的連續性。現在一般采用廣域高可靠集群方式實現。第七級異地同步應用容災在異地建立一個與生產系統完全相同的備用系