1.第壹層: 實體安全
實體安全是信息系統安全的基礎。依據實體安全國家標準,將實施過程確定為以下檢測和優化項目:機房安全、場地安全、機房環境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建築/防火/防雷/圍墻/門禁、設施安全、設備可靠性、通信線路安全性、輻射控制和防泄露、動力、電源/空調、災難預防和恢復等,檢測優化實施過程按照國家相關標準和公安部的實體安全標準。
2.第二層: 平臺安全
平臺安全泛指操作系統和通用基礎服務安全,主要用於防範黑客攻擊手段。目前市場上大多數安全產品均限於解決平臺安全,CNNS以信息安全評估準則為依據,確定平臺安全實施過程包括以下內容:操作系統漏洞檢測和修復; Unix系統、視窗系統系統、網絡協議、網絡基礎設施漏洞檢測和修復; 路由器、交換機、防火墻、通用基礎應用程式漏洞檢測和修復; 數據庫、Web/Ftp/Mail/DNS等其他各種系統守護進程、網絡安全產品部署。平臺安全實施需要用到市場上常見的網絡安全產品,主要包括防火墻、入侵檢測、脆弱性掃描和防病毒產品、整體網絡系統平臺安全綜合測試/模擬入侵和安全優化。
3.第三層: 數據安全
為防止數據丟失、崩潰和被非法訪問,CNNS以用戶需求和數據安全實際威脅為依據,為保障數據安全提供如下實施內容:介質和載體安全保護、數據訪問控制、系統數據訪問控制檢查、標識和鑒別、數據完整性、數據可用性、數據監視和審計、數據存儲和備份安全。
4.第四層: 通信安全
為防止系統之間通信的安全脆弱性威脅,CNNS以網絡通信面臨的實際威脅為依據,為保障系統之間通信的安全采取的措施有:通信線路和網絡基礎設施安全性測試和優化、安裝網絡加密設施、設置通信加密軟件、設置身份鑒別機制、設置並測試安全通道、測試各項網絡協議運行漏洞。
5.第五層: 應用安全
應用安全可保障相關業務在計算機網絡系統上安全運行,他的脆弱性可能給信息化系統帶來致命威脅。CNNS以業務運行實際面臨的威脅為依據,為應用安全提供的評估措施有:業務軟件的程式安全性測試(Bug分析)、業務交往的防抵賴測試、業務資源的訪問控制驗證測試、業務實體的身份鑒別檢測、業務現場的備份和恢復機制檢查、業務數據的惟壹性/壹致性/防沖突檢測、業務數據的保密性測試、業務系統的可靠性測試、業務系統的可用性測試。
測試實施後,可有針對性地為業務系統提供安全建議、修復方法、安全策略和安全管理規範。
6. 第六層: 運行安全
運行安全可保障系統的穩定性,較長時間內將網絡系統的安全控制在壹定範圍內。CNNS為運行安全提供的實施措施有:應急處置機制和配套服務、網絡系統安全性監測、網絡安全產品運行監測、定期檢查和評估、系統升級和補丁提供、跟蹤最新安全漏洞、災難恢復機制和預防、系統改造管理、網絡安全專業技術咨詢服務。運行安全是壹項長期的服務,包含在網絡安全系統工程的售後服務內。
7.第七層: 管理安全
管理安全對以上各個層次的安全性提供管理機制,以網絡系統的特點、實際條件和管理需求為依據,利用各種安全管理機制,為用戶綜合控制風險、降低損失和消耗,促進安全生產效益。CNNS為管理安全設置的機制有:人員管理、培訓管理、應用系統管理、軟件管理、設備管理、文件管理、數據管理、操作管理、運行管理、機房管理。
通過管理安全的實施,為以上各個方面建立安全策略,形成安全制度,並通過培訓保障各項管理制度落到實處。