?今天我們先簡單概括性談一下有關網絡安全等級保護基本技術，等級保護工作是系統性、體系性的工作，其技術可以用龐大或龐雜來形容。

如果你對安全知識體系有了一個真正的認知，那么你對其感覺是龐大而有條理的，但是如果你對安全知識體系一知半解，那么就變得龐大而雜亂，很多東西似是而非，總能找到不同的解答。

究其原因，就是對知識的把握不全面，不牢固造成的，這個是每一個人都可能經歷的過程，不必為此而煩惱，做事秉持著當下最佳就行了。

下面我們概括性探討一下等級保護用到的一些技術，有關這些技術的每一個方面的每一個部分都可以是一部大塊頭，甚至一部大塊頭都無法介紹清楚，需要系列性的書籍去展開，所以這里也只能做到拋磚而已。期望起到拋磚引玉的作用！

?

1.標識與鑒別技術

標識是區別實體身份的方法。?

用戶標識通常由用戶名和用戶標識符（UID）表示，設備標識通常由設備名和設備號表示。用戶標識確保系統中標識用戶的唯一性，這種唯一性要求在信息系統的整個生存周期起作用，從而支持系統安全事件的可審計性；設備標識確保連接到系統中的設備的可管理性。

鑒別是確認實體真實性的方法。

用戶鑒別用以確認試圖進入系統的用戶身份的真實性，防止攻擊者假冒合法用戶進入系統；設備鑒別用以確認接入系統的設備身份的真實性，防止設備的非法接入。

鑒別的主要特點是鑒別信息的不可見性和難以偽造。

常見的鑒別技術有：

a) 口令鑒別

口令鑒別是長期以來主要使用的用戶身份鑒別方法。但簡單的口令容易被猜測，復雜的口令用戶又難以記憶。

b) 生物特征鑒別

主要用于用戶身份真實性鑒別，包括以指紋特征信息為鑒別信息的用戶身份鑒別，以虹膜特征信息為鑒別信息的用戶身份鑒別，具有唯一性好和難以偽造等優點。

c) 數字證書鑒別

以數字形式表示的用于鑒別實體身份的證書信息，以一定的格式存放在證書載體之中，系統通過檢驗證書載體中的證書信息，實現對實體身份鑒別的目的。證書信息的不可見性通常是由密碼支持的安全機制實現的，也可以由其它安全機制，如采用信息隱藏技術安全機制實現。數字證書鑒別既可以用于用戶身份的真實性鑒別，也可以用于設備身份的真實性鑒別。

基于生物特征識別的移動智能終端身份鑒別技術架構

2.訪問控制技術

訪問控制是通過對信息系統中主、客體之間的訪問關系進行控制，實現對主體行為進行限制、對客體安全性進行保護的技術。訪問控制是以授權管理為基礎實現的。由系統按照統一的規則進行授權管理所實現的訪問控制稱為強制訪問控制；由用戶按照個人意愿自主進行授權管理所實現的訪問控制稱為自主訪問控制。

其實，除了下面談到的幾種訪問控制兩大類，還有基于對象、基于任務等訪問類型，這里主要談兩種最基礎的類型，順便提及基于角色的訪問。

a) 自主訪問控制

自主訪問控制是一種提供由用戶對自身所創建的客體的訪問權限進行控制的安全機制。這些訪問權限包括允許或拒絕其它用戶對該用戶所創建客體進行讀、寫、執行、修改、刪除操作，以及授權轉移等。自主訪問控制的主要特點是由用戶自主進行授權管理。

目前常見的實現自主訪問控制的方法是各種形式的訪問控制表（ACL），目錄表訪問控制、訪問控制矩陣、能力表等。

b) 強制訪問控制

強制訪問控制是一種提供由系統按確定的規則對每一個用戶所創建的客體的訪問權限進行控制的安全機制。這種訪問權限包括主體對客體的讀、寫、修改、刪除等操作。強制訪問控制的主要特點是由系統安全員統一進行授權管理。強制訪問控制安全策略，通過對主體訪問客體的訪問操作的控制，實現對客體的保密性保護和完整性保護。

目前常見的強制訪問控制有基于多級安全模型的訪問控制和基于角色的訪問控制（BRAC）。在多級安全模型中，Bell-La Padula信息保密性模型是實現保密性保護的安全策略，Biba信息完整性模型是實現完整性保護安全策略。

c)基于角色的訪問控制

基于角色的訪問控制（BRAC）則是既可以實現保密性保護，也可以實現完整性保護的安全策略。強制訪問控制通常需要按照最小授權原則，對系統管理員、系統安全員和系統審計員的權限進行合理的分配和嚴格的管理。

三種訪問控制之間的關系

3.存儲和傳輸數據的完整性保護技術

完整性保護是對因各種原因引起的數據信息和系統破壞進行對抗的安全保護技術，包括傳輸數據的完整性保護和存儲數據的完整性保護。由于系統的破壞實際上是對系統中的軟件和數據信息的破壞，所以系統破壞可以歸結為是信息破壞。

實現完整性保護的安全技術和機制包括一般的校驗碼機制（如奇偶校驗、海明校驗等）、密碼系統支持的校驗機制、隱藏信息技術支持的糾錯機制等。訪問控制、身份鑒別、邊界隔離與防護等實際上也都是與完整性保護有關的安全技術和機制。

4.存儲和傳輸數據的保密性保護技術

保密性保護是對因各種原因引起的信息和系統的非法泄露進行對抗的安全保護技術，包括數據傳輸的保密性保護、數據存儲的保密性保護。由于系統的非法泄露實際上是對系統中的軟件和數據信息的泄露，所以系統泄露同樣可以歸結為是信息泄露。

實現保密性保護的安全技術和機制主要包括密碼系統支持的加密機制、隱藏信息技術支持的信息保護機制等。訪問控制、身份鑒別、邊界隔離與防護等實際上也都是與保密性保護有關的安全技術和機制。

5.邊界隔離與防護技術

邊界隔離與防護是一種適用于信息系統邊界（也稱網絡邊界）安全防護的安全技術，主要包括防火墻、入侵檢測、防病毒網關、非法外連檢測、網閘、邏輯隔離、物理隔離、信息過濾等，用于阻止來自外部網絡的各種攻擊行為。

使用邊界隔離與防護技術進行安全防護首先要有明確的邊界，包括整個信息系統的外部邊界和信息系統中各個安全域的內部邊界。

6.系統安全運行及可用性保護技術

為了確保信息系統的安全運行，確保信息系統中的信息及信息系統所提供的安全功能達到應有的可用性要求，除了上述信息安全保護技術和邊界防護技術外，還應提供以下安全技術：

a) 安全審計技術

對信息安全系統運行過程中的每一個安全相關事件，應提供審計支持。審計機制應能及時發現并記錄各種與安全事件有關的行為，成功的或失敗的，并根據不同安全等級的要求，對發現的安全事件作出不同的處理。

b) 安全性檢測分析技術

對運行中的信息系統，應定期或不定期進行信息系統安全性檢測分析，發現存在的問題和漏洞。信息系統安全性檢測分析機制應提供對信息系統的各個重要組成部分，如硬件系統、操作系統、數據庫管理系統、應用軟件系統、網絡系統的各關鍵設備、設施，以及電磁泄露發射等，提供安全性檢測分析功能。高安全等級的信息系統應由安全機制管理控制中心集中管理系統安全性檢測分析功能。

c) 系統安全監控技術

對運行中的信息系統，應實時地進行安全監控，及時發現并處理各種攻擊和入侵。信息系統安全監控機制應通過設置分布式探測機制監測并截獲與攻擊和入侵有關的信息，在信息系統安全機制管理控制中心設置安全監控集中管理機制，匯集由探測機制截獲的信息，并在綜合分析的基礎上對攻擊和入侵事件作出處理。

d) 信息系統容錯備份與故障恢復技術

確保信息系統不間斷運行和對故障的快速處理和恢復，是提供信息和信息系統功能可用性的基礎和前提。信息系統容錯、備份與故障恢復，要求對信息系統的各個重要組成部分應提供復算、熱備份等容錯機制，使可能出現的某些錯誤消除在內部，對上層應用透明；應提供信息備份與故障恢復、系統備份與故障恢復等機制，對出現的某些故障通過備份所提供的支持實現恢復。對于重要的信息系統，通過設置主機系統的異地備份，當主機系統發生災難性故障中斷運行時，能在較短時間內啟動，替代主機系統工作，使系統不間斷運行，以確保業務應用的連續性。

災難恢復服務生命周期示意圖

7.密碼技術

應根據信息系統安全保護的要求配置國家批準的相應密碼技術。密碼技術包含對稱密鑰密碼、非對稱密鑰密碼和單向函數。密碼技術可用于實現數據加密、數字簽名、身份認證、權限驗證、數據完整性驗證等安全需求的場合。

電子文件密碼應用技術框架

后記：宋郭若虛《圖畫見聞志》有關閻立本的記載：唐閻立本至荊州，觀張僧繇舊跡，曰：‘定虛得名耳。’明日又往，曰：‘猶是近代佳手？’ 明日又往，曰：‘名下無虛士。’坐臥觀之，留宿其下，十余日不能去。我曾思考數日，如何表述這段文字描述的故事。其中義理大部分人都一眼明了，人卻都在其中。試看文字描述，同樣一幅畫，三看三異三得，次次都有新境界。

故事在告誡我們自身的知識和認知尚不圓滿，需日日不斷精進，故學習這事情需要保持空杯心態，茍日新、日日新！等級保護這些基本技術，我個人自是都很熟悉，但卻又不深入，也需要時時多讀，做到“舊書重讀添新味”，一次要比一次多得一些吧。