信息安全等级保护是基本制度、基本国策、基本方法。
信息系统的安全设计应基于业务流程自身特点,建立“可值、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
建设“一个中心”管理、“三重防护”体系,分别对计算环境、区域边界、通信网络体系进行管理,实施多层隔离和保护,以防止某薄弱环节影响整体安全。
重点对操作人员使用的终端、业务服务器等计算节点进行安全防护,控制操作人员行为,使其不能违规操作,从而把住攻击发起的源头,防止发生攻击行为。
分析应用系统的流程,确定用户(主体)和访问的文件(客体)的级别(标记),以此来制定访问控制安全策略,由操作系统、安全网关等机制自动执行,从而支撑应用安全。
