1、构建纵深的防御体系

本标准从技术和管理两 个方面提出基本安全要求，在采取由点到面的各种安全措施时，在系统整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系，保证信息系统整 体的安全保护能力。应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施，形成纵深防御体系。

2、采取互补的安全措施

本标准以安全控制组件 的形式提出基本安全要求，在将各种安全控制组件集成到特定信息系统中时，应考虑各个安全控制组件的互补性，关注各个安全控制组件在层面内、层面间和功能间 产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制组件共同综合作用于信息系统的安全功能上，使得信息系统的整体安全保护能力得以保 证。

3、保证一致的安全强度

本标准将基本安全功能 要求，如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容，分解到信息系统中的各个层面，在实现各个层面安全功能时，应保证各个层面安全功能实现 强度的一致性。应防止某个层面安全功能的减弱导致系统整体安全保护能力在这个安全功能上消弱。如要实现双因子身份鉴别，则应在各个层面的身份鉴别上均实现 双因子身份鉴别；要实现强制访问控制，则应保证在各个层面均基于低层操作系统实现强制访问控制，并保证标记数据在整个信息系统内部流动时标记的唯一性等。

4、建立统一的支撑平台

本标准在较高级别信息 系统的安全功能要求上，提到了使用密码技术，多数安全功能（如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等）为了获得更高的强度，均要基于密码 技术，为了保证信息系统整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能 的实现。

 

5、进行集中的安全管理

本标准在较高级别信息 系统的安全功能管理要求上，提到了统一安全策略、统一安全管理等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制组件在可控 情况下发挥各自的作用，应建立安全管理中心，集中管理信息系统中的各个安全控制组件，支持统一安全管理。

 

附录B