网络安全等级保护基本要求之安全计算环境

边界内部称为“安全计算环境”，通常通过局域网将各种设备节点联结起来构成最为复杂的计算环境，构成节点包括网络设备、安全设备、服务器设备、终端设备、应用系统和其他设备等，涉及的对象包括各类操作系统、数据库系统、中间件系统及其他各类系统软件、应用软件和数据对象等，对这些节点和系统的安全防护构成了“一个中心，三重防御”的纵深防御体系最后一道防线。

安全通用要求的安全计算环境部分针对边界内部提出安全控制要求，主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等，涉及的安全控制点包括身份鉴别、访问控制、安全审计、人侵防范、恶意代码防范、数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护、可信验证。

安全计算环境在控制点和要求项上的逐级变化，如表所示。

安全计算环境在控制点和要求项上的逐级变化

高级别系统的计算环境强化了身份鉴别、访问控制、程序完整性等方面的要求。例如：应采用口令、密码技术、生物技术等中的两种或两种以上技术组合构成的鉴别技术对用户进行身份鉴别，且其中至少一种鉴别技术应使用密码技术实现；应对主体、客体设置安全标记，并依据安全标记和强制访问控制规则确定主体对客体的访问；应采用主动免疫可信验证机制及时识别人侵和病毒行为，并将其有效阻断。

一至四级，详情见下表：