附錄B（規范性附錄）關于等級保護對象整體安全保護能力的要求

網絡安全等級保護的核心是保證不同安全保護等級的對象具有相適應的安全保護能力。本標準第5章提出了不同級別的等級保護對象的安全保護能力要求，第6章到第10章分別針對不同安全保護等級的對象應該具有的安全保護能力提出了相應的安全通用要求和安全擴展要求。

依據本標準分層面采取各種安全措施時，還應考慮以下總體性要求，保證等級保護對象的整體安全保護能力。

a) 構建縱深的防御體系

本標準從技術和管理兩個方面提出安全要求，在采取由點到面的各種安全措施時，在整體上還應保證各種安全措施的組合從外到內構成一個縱深的安全防御體系，保證等級保護對象整體的安全保護能力。應從通信網絡、網絡邊界、局域網絡內部、各種業務應用平臺等各個層次落實本標準中提到的各種安全措施，形成縱深防御體系。

b) 采取互補的安全措施

本標準以安全控制的形式提出安全要求，在將各種安全控制落實到特定等級保護對象中時，應考慮各個安全控制之間的互補性，關注各個安全控制在層面內、層面間和功能間產生的連接、交互、依賴、協調、協同等相互關聯關系，保證各個安全控制共同綜合作用于等級保護對象上，使得等級保護對象的整體安全保護能力得以保證。

c) 保證一致的安全強度

本標準將安全功能要求，如身份鑒別、訪問控制、安全審計、入侵防范等內容，分解到等級保護對象的各個層面，在實現各個層面安全功能時，應保證各個層面安全功能實現強度的一致性。應防止某個層面安全功能的減弱導致整體安全保護能力在這個安全功能上消弱。例如，要實現雙因子身份鑒別，則應在各個層面的身份鑒別上均實現雙因子身份鑒別；要實現基于標記的訪問控制，則應保證在各個層面均實現基于標記的訪問控制，并保證標記數據在整個等級保護對象內部流動時標記的唯一性等。

d) 建立統一的支撐平臺

本標準針對較高級別的等級保護對象，提到了使用密碼技術、可信技術等，多數安全功能（如身份鑒別、訪問控制、數據完整性、數據保密性等）為了獲得更高的強度，均要基于密碼技術或可信技術，為了保證等級保護對象的整體安全防護能力，應建立基于密碼技術的統一支撐平臺，支持高強度身份鑒別、訪問控制、數據完整性、數據保密性等安全功能的實現。

e) 進行集中的安全管理

本標準針對較高級別的等級保護對象，提到了實現集中的安全管理、安全監控和安全審計等要求，為了保證分散于各個層面的安全功能在統一策略的指導下實現，各個安全控制在可控情況下發揮各自的作用，應建立集中的管理中心，集中管理等級保護對象中的各個安全控制組件，支持統一安全管理。