昨天，我們簡單概括性談一下有關(guān)網(wǎng)絡(luò)安全等級保護基本技術(shù)，期望拋出去的磚能夠引來美玉！基本知識了解后，只是給與我們一個方向，需要不斷的在這個基礎(chǔ)上去深挖相關(guān)知識細節(jié)，做到精通相關(guān)知識，形成融會貫通的扎實本領(lǐng)。在有關(guān)標(biāo)準(zhǔn)中，等級保護除了基本技術(shù)外，還提到基于相關(guān)技術(shù)的基礎(chǔ)支撐平臺，了解這些相關(guān)基礎(chǔ)平臺知識，是通過一個途徑進一步消化基本技術(shù)相關(guān)知識，提升理解。在這個理解上，尚屬于中觀的理解，微觀層面的理解就涉及到具體的產(chǎn)品以及產(chǎn)品里蘊含的各類配置方法和技巧等等。今天，我們一起來了解一下網(wǎng)絡(luò)安全等級保護支撐平臺，包括以下內(nèi)容不一定全面，權(quán)當(dāng)一個參考。
1 密碼基礎(chǔ)設(shè)施平臺a) 組成：

由密碼技術(shù)所構(gòu)成的密碼基礎(chǔ)設(shè)施平臺，由基于公鑰基礎(chǔ)設(shè)施（PKI）、授權(quán)管理基礎(chǔ)設(shè)施（PMI）、密鑰管理基礎(chǔ)設(shè)施（KMI）等密碼安全機制和授權(quán)管理機制等組成；

b) 功能：

密碼基礎(chǔ)設(shè)施平臺提供數(shù)據(jù)加/解密、數(shù)字簽名/驗證、數(shù)字證書簽發(fā)/驗證、數(shù)字信封封裝/解封、數(shù)據(jù)摘要/完整性驗證、會話密鑰生成和存儲等基礎(chǔ)密碼服務(wù)，為安全信息系統(tǒng)實現(xiàn)保密性、完整性、真實性、抗抵賴、訪問控制等安全機制提供支持；

c) 分等級要求：根據(jù)不同安全等級的信息系統(tǒng)對密碼強度的不同要求，密碼基礎(chǔ)設(shè)施平臺應(yīng)提供不同安全等級的安全支持。
2 應(yīng)用安全支撐平臺設(shè)計a) 總體要求

利用密碼基礎(chǔ)設(shè)施平臺提供的基于PKI/PMI/KMI技術(shù)的安全服務(wù)，采用安全中間件及一站式服務(wù)理論和技術(shù)，支持面向業(yè)務(wù)應(yīng)用的各種應(yīng)用軟件系統(tǒng)安全機制的設(shè)計，實現(xiàn)包括真實性鑒別、訪問控制、信息安全交換、數(shù)據(jù)安全傳輸以及數(shù)據(jù)的保密性、完整性保護等應(yīng)用軟件系統(tǒng)的安全功能，是應(yīng)用軟件系統(tǒng)安全支撐平臺的設(shè)計目標(biāo)。

b) 安全服務(wù)要求

應(yīng)用安全支撐平臺提供的安全服務(wù)主要包括：——支持服務(wù)器端的服務(wù): 采用中間件技術(shù)，構(gòu)建安全中間件模塊和安全中間件系統(tǒng)，實現(xiàn)以PKI為核心的安全技術(shù)的跨平臺分布式應(yīng)用?！С挚蛻舳说姆?wù)：按照稱為安全客戶端套件的輕量級中間件模式，采用層次結(jié)構(gòu)，按設(shè)備層、硬件接口層、驅(qū)動層、底層接口層和高層接口層，構(gòu)成客戶端安全的核心模塊，通過密碼設(shè)備驅(qū)動訪問所連接的各類終端密碼設(shè)備。

c) 分等級要求

根據(jù)不同安全等級的應(yīng)用對安全支撐平臺的不同要求，應(yīng)用安全支撐平臺應(yīng)提供不同安全強度/等級的安全支持。

3 信息系統(tǒng)災(zāi)難備份與恢復(fù)平臺

信息系統(tǒng)災(zāi)難備份與恢復(fù)平臺包括：

a) 災(zāi)難備份災(zāi)難備份是在信息系統(tǒng)正常運行的情況下，為確保信息系統(tǒng)發(fā)生災(zāi)難性故障中斷運行后恢復(fù)運行所作的一系列技術(shù)準(zhǔn)備工作。災(zāi)難備份包括：——數(shù)據(jù)備份：用來確保系統(tǒng)恢復(fù)運行后原有的數(shù)據(jù)信息不丟失或少丟失；——處理系統(tǒng)備份：用來確保當(dāng)信息系統(tǒng)中斷運行后能在規(guī)定的時間范圍內(nèi)替代原系統(tǒng)運行，并確保提供所需要的信息處理能力；——本地備份：是指對組成信息系統(tǒng)的主機/服務(wù)器，通過設(shè)置本地備份機制，實現(xiàn)對數(shù)據(jù)備份和處理系統(tǒng)備份； ——異地備份：是指對組成信息系統(tǒng)的主機/服務(wù)器，通過設(shè)置異地備份機制，實現(xiàn)對數(shù)據(jù)和處理系統(tǒng)的異地備份；異地備份能對付那些由地震、水災(zāi)、戰(zhàn)爭破壞等重大破壞性災(zāi)害所引起的災(zāi)難性故障；

——網(wǎng)絡(luò)備份：是指對組成信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)，通過設(shè)置備份路由或備份線路來確保當(dāng)網(wǎng)絡(luò)系統(tǒng)的某些部位發(fā)生故障中斷運行時，備份網(wǎng)絡(luò)能替代故障部分實現(xiàn)所需要的網(wǎng)絡(luò)數(shù)據(jù)交換，而異地備份則需要有相應(yīng)的網(wǎng)絡(luò)環(huán)境支持其對原有信息系統(tǒng)運行的替代，可見網(wǎng)絡(luò)備份也是處理系統(tǒng)備份的組成部分。

b) 災(zāi)難恢復(fù)災(zāi)難恢復(fù)是在信息系統(tǒng)發(fā)生災(zāi)難性故障中斷運行后所采取的一系列恢復(fù)措施。如果說災(zāi)難備份更多的是技術(shù)措施的話，災(zāi)難恢復(fù)活動則更多的是管理措施。災(zāi)難恢復(fù)的要求包括：——制定明確的災(zāi)難恢復(fù)策略；——制定實施災(zāi)難恢復(fù)的預(yù)案；——災(zāi)難恢復(fù)策略應(yīng)與災(zāi)難備份技術(shù)支持密切結(jié)合，或者說災(zāi)難備份所提供的技術(shù)支持是根據(jù)災(zāi)難恢復(fù)的總體策略確定的。 ——設(shè)置相應(yīng)的機構(gòu)和人員，并明確其相應(yīng)的職責(zé)： 

——災(zāi)難恢復(fù)預(yù)案應(yīng)進行常規(guī)的管理和維護，對相關(guān)人員進行培訓(xùn)，并定期進行必要的演練。

c) 分等級要求

根據(jù)信息系統(tǒng)所承載的業(yè)務(wù)應(yīng)用的業(yè)務(wù)連續(xù)性的不同要求，災(zāi)難備份和恢復(fù)需要有不同等級的支持。災(zāi)難備份和恢復(fù)的等級與目標(biāo)信息系統(tǒng)的安全保護等級是兩個不同的概念，但是要求在實施災(zāi)難備份與恢復(fù)的過程中應(yīng)按照目標(biāo)信息系統(tǒng)安全保護等級的要求對所涉及的數(shù)據(jù)信息進行相應(yīng)的安全保護。

d) 標(biāo)準(zhǔn)化要求為了使我國信息系統(tǒng)的災(zāi)難備份與恢復(fù)活動規(guī)范化，有必要制定相應(yīng)的災(zāi)難備份與恢復(fù)標(biāo)準(zhǔn)。
4 安全事件應(yīng)急響應(yīng)與管理平臺

應(yīng)急響應(yīng)通常是指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。信息系統(tǒng)安全事件應(yīng)急響應(yīng)的對象是指針對信息系統(tǒng)所存儲、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照信息系統(tǒng)安全的三個特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等。信息系統(tǒng)安全事件應(yīng)急響應(yīng)與管理平臺主要包括以下方面：

a) 應(yīng)急響應(yīng)與管理

應(yīng)急管理是指在緊急事件發(fā)生后為了維持和恢復(fù)關(guān)鍵的信息系統(tǒng)服務(wù)所進行的范圍廣泛的活動。從廣義的范圍講，所討論的應(yīng)急響應(yīng)與管理，包括業(yè)務(wù)連續(xù)性計劃(BCP)、業(yè)務(wù)恢復(fù)計劃(BRP)、操作連續(xù)性計劃(COOP)、危機通信計劃、計算機事件響應(yīng)計劃、災(zāi)難恢復(fù)計劃 (DRP)、場所緊急計劃 (OEP)等在內(nèi)的活動與計劃等，統(tǒng)稱為應(yīng)急計劃。通過預(yù)防及恢復(fù)措施的使用，把信息系統(tǒng)因災(zāi)難或安全失效的停頓降到可接受的程度。

b) 應(yīng)急計劃

應(yīng)通過分析災(zāi)難、安全失效及服務(wù)停頓的影響，制訂及實施應(yīng)急計劃來保證系統(tǒng)能夠在規(guī)定時間內(nèi)恢復(fù)。計劃應(yīng)經(jīng)常修改及測試和演練，并最終變成管理過程的不可分割部分。應(yīng)急計劃的制定應(yīng)考慮：角色和職責(zé)，應(yīng)急計劃所涉及的平臺和機構(gòu)功能的類型范圍，機構(gòu)所面臨的風(fēng)險、風(fēng)險發(fā)生的概率及影響，資源需求，培訓(xùn)需求，測試和演練進度表，以及計劃維護進度表。在應(yīng)急計劃的制定中，應(yīng)該與包括物理安全、人力資源、系統(tǒng)操作和緊急事件等在內(nèi)的相關(guān)方面協(xié)調(diào)一致。應(yīng)經(jīng)常測試應(yīng)急計劃的每個部分，以確保計劃可以在真實環(huán)境中實施。應(yīng)急計劃的定期檢查和更新是至關(guān)重要的，應(yīng)該作為機構(gòu)變化管理過程的一部分，以確保新的信息能夠被添加進來，應(yīng)急措施能夠根據(jù)需要被修訂。

c) 聯(lián)動要求

應(yīng)急響應(yīng)與管理不僅僅是一個單位和部門的事，而是各個相關(guān)的單位和部門的聯(lián)動活動。為了加強中國網(wǎng)絡(luò)安全水平建設(shè)，增強安全事件處理能力，國內(nèi)成立了“中國計算機網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，簡稱 CNCERT，由信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理小組協(xié)調(diào)辦公室直接領(lǐng)導(dǎo)，為各行業(yè)、部門和公司的應(yīng)急響應(yīng)小組協(xié)調(diào)和交流提供便利條件，同時為政府等重要部門提供應(yīng)急響應(yīng)服務(wù)。

d) 標(biāo)準(zhǔn)化要求應(yīng)急響應(yīng)的標(biāo)準(zhǔn)化工作就是為應(yīng)急響應(yīng)組織自身及相互協(xié)調(diào)提供信息交互的標(biāo)準(zhǔn)接口，并且為這種協(xié)調(diào)機制的成功運轉(zhuǎn)提供保證。建立信息系統(tǒng)應(yīng)急響應(yīng)與管理體系平臺，應(yīng)急響應(yīng)標(biāo)準(zhǔn)化工作十分重要，它是互聯(lián)網(wǎng)應(yīng)急響應(yīng)體系通信協(xié)調(diào)機制的基礎(chǔ)，同時也是應(yīng)急響應(yīng)聯(lián)動系統(tǒng)正常運作的基礎(chǔ)。這方面國際上已經(jīng)做了很多工作。我國在這方面的工作則剛剛起步，還有許多事情需要做。可以參考國外的相關(guān)標(biāo)準(zhǔn)，制定出適合具體情況的信息系統(tǒng)安全事件應(yīng)急響應(yīng)與管理國家標(biāo)準(zhǔn)。
5 安全管理平臺a) 總體要求

以信息系統(tǒng)安全管理中心為核心的安全管理平臺，是對信息系統(tǒng)的各種安全機制進行管理使其發(fā)揮應(yīng)有安全作用的重要環(huán)節(jié)。除了進行信息系統(tǒng)自身的安全機制的管理外，信息系統(tǒng)安全管理平臺應(yīng)按照統(tǒng)一的要求向上級安全主管部門報告情況，與相關(guān)單位交流信息。信息系統(tǒng)安全管理平臺既是一個管理機構(gòu)，又具有濃厚的技術(shù)色彩，應(yīng)按要求配備必要的專業(yè)人員，明確分管職責(zé)，并有統(tǒng)一的領(lǐng)導(dǎo)協(xié)調(diào)各方面的工作。

b) 安全機制具體配置對于大型復(fù)雜的信息系統(tǒng)，各種安全機制廣泛地分布于信息系統(tǒng)的各個組成部分。安全安全管理平臺擔(dān)負著對這些安全機制進行集中控制、統(tǒng)一配置管理和收集各類與安全有關(guān)信息的的責(zé)任，并對收集到的與安全有關(guān)的信息進行匯集和分析和風(fēng)險評估，發(fā)現(xiàn)系統(tǒng)運行中與安全有關(guān)的問題，做相應(yīng)處理。必要時，可以在確定的安全域設(shè)置安全管理分中心，形成多層結(jié)構(gòu)的安全管理平臺，共同完成對信息安全系統(tǒng)的管理控制

7 等級化安全信息系統(tǒng)構(gòu)建技術(shù)

等級化安全信息系統(tǒng)是指由不同安全保護等級的安全域組成的安全信息系統(tǒng)。等級化安全信息系統(tǒng)的構(gòu)建包括：

a) 等級化安全信息系統(tǒng)的設(shè)計與實現(xiàn)

等級化安全信息系統(tǒng)的設(shè)計和實現(xiàn)，應(yīng)按照信息系統(tǒng)安全等級保護的基本原理和方法，確定安全域的劃分，實施信息系統(tǒng)及安全域的內(nèi)部保護、邊界防護和網(wǎng)絡(luò)系統(tǒng)的安全保護；按照安全保護等級的確定所描述的方法和過程，確定信息系統(tǒng)（安全域）的安全保護等級；根據(jù)所確定的安全保護等級，以信息系統(tǒng)安全等級保護相關(guān)的安全技術(shù)和安全產(chǎn)品標(biāo)準(zhǔn)為依據(jù)，選擇相應(yīng)等級的安全技術(shù)和安全產(chǎn)品，按系統(tǒng)化的設(shè)計要求，采用集成化的方法，設(shè)計和實現(xiàn)滿足信息系統(tǒng)安全等級保護要求的安全信息系統(tǒng)。設(shè)計和實現(xiàn)過程還應(yīng)按照系統(tǒng)安全工程管理的有關(guān)標(biāo)準(zhǔn)的要求，對整個工程過程進行安全管理。

b) 等級化安全信息系統(tǒng)的測試與評估等級化安全信息系統(tǒng)的測試與評估應(yīng)按照相關(guān)標(biāo)準(zhǔn)的要求進行。系統(tǒng)的測試與評估應(yīng)以技術(shù)和產(chǎn)品的測試與評估為基礎(chǔ)。首先應(yīng)對構(gòu)成等級化信息系統(tǒng)的安全技術(shù)和產(chǎn)品分別進行考察/測評?？疾斓哪康氖谴_認其是否通過相應(yīng)安全等級的測評。鑒于信息安全等級保護工作還處于初期階段，按照等級標(biāo)準(zhǔn)的要求對產(chǎn)品進行測試與評估還有一個過程，所以必要時可以對所使用的安全技術(shù)和安全產(chǎn)品進行測試與評估，確定其是否具有所需要的安全保護等級。在技術(shù)和產(chǎn)品達到安全等級要求的基礎(chǔ)上應(yīng)重點從系統(tǒng)角度對各安全技術(shù)、產(chǎn)品之間的接口及連接關(guān)系，以及系統(tǒng)各組成部分之間安全的一致性和關(guān)聯(lián)互補等所形成的系統(tǒng)整體安全性進行測試與評估，確定信息系統(tǒng)（安全域）整體上是否達到確定的安全等級的設(shè)計目標(biāo)要求。

網(wǎng)絡(luò)安全等級保護工作，是一個體系化、系統(tǒng)性的工作，學(xué)習(xí)掌握有關(guān)知識也需要一個循序漸進的過程，需要不斷精益求精。每一個知識點，從宏觀到中觀再到微觀，都是非常豐富的。每一條線，若要學(xué)好，都是不容易的。在宣傳推廣等級保護工作中，我們本著從宏觀和微觀兩個層面出發(fā)，給接觸等級保護工作的朋友能夠一個參考。需要在等級保護工作領(lǐng)域進一步學(xué)習(xí)的，可以以此為參考進一步拓展加深。

在等級保護工作中，如果你有任何疑問，我將竭誠為您服務(wù)。