昨天，我們簡單概括性談一下有關網(wǎng)絡安全等級保護基本技術，期望拋出去的磚能夠引來美玉！基本知識了解后，只是給與我們一個方向，需要不斷的在這個基礎上去深挖相關知識細節(jié)，做到精通相關知識，形成融會貫通的扎實本領。在有關標準中，等級保護除了基本技術外，還提到基于相關技術的基礎支撐平臺，了解這些相關基礎平臺知識，是通過一個途徑進一步消化基本技術相關知識，提升理解。在這個理解上，尚屬于中觀的理解，微觀層面的理解就涉及到具體的產(chǎn)品以及產(chǎn)品里蘊含的各類配置方法和技巧等等。今天，我們一起來了解一下網(wǎng)絡安全等級保護支撐平臺，包括以下內容不一定全面，權當一個參考。
1 密碼基礎設施平臺a) 組成：

由密碼技術所構成的密碼基礎設施平臺，由基于公鑰基礎設施（PKI）、授權管理基礎設施（PMI）、密鑰管理基礎設施（KMI）等密碼安全機制和授權管理機制等組成；

b) 功能：

密碼基礎設施平臺提供數(shù)據(jù)加/解密、數(shù)字簽名/驗證、數(shù)字證書簽發(fā)/驗證、數(shù)字信封封裝/解封、數(shù)據(jù)摘要/完整性驗證、會話密鑰生成和存儲等基礎密碼服務，為安全信息系統(tǒng)實現(xiàn)保密性、完整性、真實性、抗抵賴、訪問控制等安全機制提供支持；

c) 分等級要求：根據(jù)不同安全等級的信息系統(tǒng)對密碼強度的不同要求，密碼基礎設施平臺應提供不同安全等級的安全支持。
2 應用安全支撐平臺設計a) 總體要求

利用密碼基礎設施平臺提供的基于PKI/PMI/KMI技術的安全服務，采用安全中間件及一站式服務理論和技術，支持面向業(yè)務應用的各種應用軟件系統(tǒng)安全機制的設計，實現(xiàn)包括真實性鑒別、訪問控制、信息安全交換、數(shù)據(jù)安全傳輸以及數(shù)據(jù)的保密性、完整性保護等應用軟件系統(tǒng)的安全功能，是應用軟件系統(tǒng)安全支撐平臺的設計目標。

b) 安全服務要求

應用安全支撐平臺提供的安全服務主要包括：——支持服務器端的服務: 采用中間件技術，構建安全中間件模塊和安全中間件系統(tǒng)，實現(xiàn)以PKI為核心的安全技術的跨平臺分布式應用?！С挚蛻舳说姆眨喊凑辗Q為安全客戶端套件的輕量級中間件模式，采用層次結構，按設備層、硬件接口層、驅動層、底層接口層和高層接口層，構成客戶端安全的核心模塊，通過密碼設備驅動訪問所連接的各類終端密碼設備。

c) 分等級要求

根據(jù)不同安全等級的應用對安全支撐平臺的不同要求，應用安全支撐平臺應提供不同安全強度/等級的安全支持。

3 信息系統(tǒng)災難備份與恢復平臺

信息系統(tǒng)災難備份與恢復平臺包括：

a) 災難備份災難備份是在信息系統(tǒng)正常運行的情況下，為確保信息系統(tǒng)發(fā)生災難性故障中斷運行后恢復運行所作的一系列技術準備工作。災難備份包括：——數(shù)據(jù)備份：用來確保系統(tǒng)恢復運行后原有的數(shù)據(jù)信息不丟失或少丟失；——處理系統(tǒng)備份：用來確保當信息系統(tǒng)中斷運行后能在規(guī)定的時間范圍內替代原系統(tǒng)運行，并確保提供所需要的信息處理能力；——本地備份：是指對組成信息系統(tǒng)的主機/服務器，通過設置本地備份機制，實現(xiàn)對數(shù)據(jù)備份和處理系統(tǒng)備份； ——異地備份：是指對組成信息系統(tǒng)的主機/服務器，通過設置異地備份機制，實現(xiàn)對數(shù)據(jù)和處理系統(tǒng)的異地備份；異地備份能對付那些由地震、水災、戰(zhàn)爭破壞等重大破壞性災害所引起的災難性故障；

——網(wǎng)絡備份：是指對組成信息系統(tǒng)的網(wǎng)絡系統(tǒng)，通過設置備份路由或備份線路來確保當網(wǎng)絡系統(tǒng)的某些部位發(fā)生故障中斷運行時，備份網(wǎng)絡能替代故障部分實現(xiàn)所需要的網(wǎng)絡數(shù)據(jù)交換，而異地備份則需要有相應的網(wǎng)絡環(huán)境支持其對原有信息系統(tǒng)運行的替代，可見網(wǎng)絡備份也是處理系統(tǒng)備份的組成部分。

b) 災難恢復災難恢復是在信息系統(tǒng)發(fā)生災難性故障中斷運行后所采取的一系列恢復措施。如果說災難備份更多的是技術措施的話，災難恢復活動則更多的是管理措施。災難恢復的要求包括：——制定明確的災難恢復策略；——制定實施災難恢復的預案；——災難恢復策略應與災難備份技術支持密切結合，或者說災難備份所提供的技術支持是根據(jù)災難恢復的總體策略確定的。 ——設置相應的機構和人員，并明確其相應的職責： 

——災難恢復預案應進行常規(guī)的管理和維護，對相關人員進行培訓，并定期進行必要的演練。

c) 分等級要求

根據(jù)信息系統(tǒng)所承載的業(yè)務應用的業(yè)務連續(xù)性的不同要求，災難備份和恢復需要有不同等級的支持。災難備份和恢復的等級與目標信息系統(tǒng)的安全保護等級是兩個不同的概念，但是要求在實施災難備份與恢復的過程中應按照目標信息系統(tǒng)安全保護等級的要求對所涉及的數(shù)據(jù)信息進行相應的安全保護。

d) 標準化要求為了使我國信息系統(tǒng)的災難備份與恢復活動規(guī)范化，有必要制定相應的災難備份與恢復標準。
4 安全事件應急響應與管理平臺

應急響應通常是指一個組織為了應對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。信息系統(tǒng)安全事件應急響應的對象是指針對信息系統(tǒng)所存儲、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內部或外部的人為攻擊等。按照信息系統(tǒng)安全的三個特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等。信息系統(tǒng)安全事件應急響應與管理平臺主要包括以下方面：

a) 應急響應與管理

應急管理是指在緊急事件發(fā)生后為了維持和恢復關鍵的信息系統(tǒng)服務所進行的范圍廣泛的活動。從廣義的范圍講，所討論的應急響應與管理，包括業(yè)務連續(xù)性計劃(BCP)、業(yè)務恢復計劃(BRP)、操作連續(xù)性計劃(COOP)、危機通信計劃、計算機事件響應計劃、災難恢復計劃 (DRP)、場所緊急計劃 (OEP)等在內的活動與計劃等，統(tǒng)稱為應急計劃。通過預防及恢復措施的使用，把信息系統(tǒng)因災難或安全失效的停頓降到可接受的程度。

b) 應急計劃

應通過分析災難、安全失效及服務停頓的影響，制訂及實施應急計劃來保證系統(tǒng)能夠在規(guī)定時間內恢復。計劃應經(jīng)常修改及測試和演練，并最終變成管理過程的不可分割部分。應急計劃的制定應考慮：角色和職責，應急計劃所涉及的平臺和機構功能的類型范圍，機構所面臨的風險、風險發(fā)生的概率及影響，資源需求，培訓需求，測試和演練進度表，以及計劃維護進度表。在應急計劃的制定中，應該與包括物理安全、人力資源、系統(tǒng)操作和緊急事件等在內的相關方面協(xié)調一致。應經(jīng)常測試應急計劃的每個部分，以確保計劃可以在真實環(huán)境中實施。應急計劃的定期檢查和更新是至關重要的，應該作為機構變化管理過程的一部分，以確保新的信息能夠被添加進來，應急措施能夠根據(jù)需要被修訂。

c) 聯(lián)動要求

應急響應與管理不僅僅是一個單位和部門的事，而是各個相關的單位和部門的聯(lián)動活動。為了加強中國網(wǎng)絡安全水平建設，增強安全事件處理能力，國內成立了“中國計算機網(wǎng)絡應急處理協(xié)調中心”，簡稱 CNCERT，由信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應急處理小組協(xié)調辦公室直接領導，為各行業(yè)、部門和公司的應急響應小組協(xié)調和交流提供便利條件，同時為政府等重要部門提供應急響應服務。

d) 標準化要求應急響應的標準化工作就是為應急響應組織自身及相互協(xié)調提供信息交互的標準接口，并且為這種協(xié)調機制的成功運轉提供保證。建立信息系統(tǒng)應急響應與管理體系平臺，應急響應標準化工作十分重要，它是互聯(lián)網(wǎng)應急響應體系通信協(xié)調機制的基礎，同時也是應急響應聯(lián)動系統(tǒng)正常運作的基礎。這方面國際上已經(jīng)做了很多工作。我國在這方面的工作則剛剛起步，還有許多事情需要做?？梢詤⒖紘獾南嚓P標準，制定出適合具體情況的信息系統(tǒng)安全事件應急響應與管理國家標準。
5 安全管理平臺a) 總體要求

以信息系統(tǒng)安全管理中心為核心的安全管理平臺，是對信息系統(tǒng)的各種安全機制進行管理使其發(fā)揮應有安全作用的重要環(huán)節(jié)。除了進行信息系統(tǒng)自身的安全機制的管理外，信息系統(tǒng)安全管理平臺應按照統(tǒng)一的要求向上級安全主管部門報告情況，與相關單位交流信息。信息系統(tǒng)安全管理平臺既是一個管理機構，又具有濃厚的技術色彩，應按要求配備必要的專業(yè)人員，明確分管職責，并有統(tǒng)一的領導協(xié)調各方面的工作。

b) 安全機制具體配置對于大型復雜的信息系統(tǒng)，各種安全機制廣泛地分布于信息系統(tǒng)的各個組成部分。安全安全管理平臺擔負著對這些安全機制進行集中控制、統(tǒng)一配置管理和收集各類與安全有關信息的的責任，并對收集到的與安全有關的信息進行匯集和分析和風險評估，發(fā)現(xiàn)系統(tǒng)運行中與安全有關的問題，做相應處理。必要時，可以在確定的安全域設置安全管理分中心，形成多層結構的安全管理平臺，共同完成對信息安全系統(tǒng)的管理控制

7 等級化安全信息系統(tǒng)構建技術

等級化安全信息系統(tǒng)是指由不同安全保護等級的安全域組成的安全信息系統(tǒng)。等級化安全信息系統(tǒng)的構建包括：

a) 等級化安全信息系統(tǒng)的設計與實現(xiàn)

等級化安全信息系統(tǒng)的設計和實現(xiàn)，應按照信息系統(tǒng)安全等級保護的基本原理和方法，確定安全域的劃分，實施信息系統(tǒng)及安全域的內部保護、邊界防護和網(wǎng)絡系統(tǒng)的安全保護；按照安全保護等級的確定所描述的方法和過程，確定信息系統(tǒng)（安全域）的安全保護等級；根據(jù)所確定的安全保護等級，以信息系統(tǒng)安全等級保護相關的安全技術和安全產(chǎn)品標準為依據(jù)，選擇相應等級的安全技術和安全產(chǎn)品，按系統(tǒng)化的設計要求，采用集成化的方法，設計和實現(xiàn)滿足信息系統(tǒng)安全等級保護要求的安全信息系統(tǒng)。設計和實現(xiàn)過程還應按照系統(tǒng)安全工程管理的有關標準的要求，對整個工程過程進行安全管理。

b) 等級化安全信息系統(tǒng)的測試與評估等級化安全信息系統(tǒng)的測試與評估應按照相關標準的要求進行。系統(tǒng)的測試與評估應以技術和產(chǎn)品的測試與評估為基礎。首先應對構成等級化信息系統(tǒng)的安全技術和產(chǎn)品分別進行考察/測評?？疾斓哪康氖谴_認其是否通過相應安全等級的測評。鑒于信息安全等級保護工作還處于初期階段，按照等級標準的要求對產(chǎn)品進行測試與評估還有一個過程，所以必要時可以對所使用的安全技術和安全產(chǎn)品進行測試與評估，確定其是否具有所需要的安全保護等級。在技術和產(chǎn)品達到安全等級要求的基礎上應重點從系統(tǒng)角度對各安全技術、產(chǎn)品之間的接口及連接關系，以及系統(tǒng)各組成部分之間安全的一致性和關聯(lián)互補等所形成的系統(tǒng)整體安全性進行測試與評估，確定信息系統(tǒng)（安全域）整體上是否達到確定的安全等級的設計目標要求。

網(wǎng)絡安全等級保護工作，是一個體系化、系統(tǒng)性的工作，學習掌握有關知識也需要一個循序漸進的過程，需要不斷精益求精。每一個知識點，從宏觀到中觀再到微觀，都是非常豐富的。每一條線，若要學好，都是不容易的。在宣傳推廣等級保護工作中，我們本著從宏觀和微觀兩個層面出發(fā)，給接觸等級保護工作的朋友能夠一個參考。需要在等級保護工作領域進一步學習的，可以以此為參考進一步拓展加深。

在等級保護工作中，如果你有任何疑問，我將竭誠為您服務。