等级三级系统安全防护应用

概述信息安全等级保护制度作为国家信息安全保护的基本国策，目前已在全国各行业得到广泛推广和落实。根据国家的相关要求，已经定级备案的信息系统应在三年之内完成整改建设工作，并通过等级保护相关测评。随着等保建设逐步提上日程，各单位在如何利用现有安全保密产品的条件下，结合本单位实际满足等保要求方面面临诸多困惑。笔者结合本单位在等保建设中的实践，抛砖引玉，就三级系统下如何满足等保要求进行有效的探索。第三级系统安全保护环境的设计目标是：按照GB17859-1999对第三级系统的安全保护要求，在第二级系统安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感资源的能力。本系统根据“一个中心”管理下的“三重保护”体系框架进行设计，构建安全机制和策略，形成定级系统的安全保护环境。该环境共包括四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。1、等级保护三级系统的防护要求与设计要求分析按照等级保护三级的要求，笔者主要针对以下四个方面进行设计：2.1安全计算环境设计(1)用户身份鉴别应支持用户标识和用户鉴别。(2)自主访问控制在安全策略控制范围内，使用户对其创建的对象具有访问操作权限，这个权限可以根据用户进行授权。可以具体到针对被访问对象的具体操作。(3)标记和强制访问控制可以对访问者和被访问者在身份鉴别的基础上进行安全标记，实现对主体访问客体的操作进行控制。(4)系统安全审计对访问行为进行完整的审计，审计的内容包括访问对象、被访问对象，访问的行为、时间等内容。(5)用户数据完整性保护采用备份、HASH方法对数据的完整性进行保护，防止被篡改。(6)用户数据保密性保护采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。(7)客体安全重用客体安全重用即指被访问对象不应保留访问对象的特征，避免由于不同访问对象的访问而造成访问对象之间信息的泄露。(8)程序可信执行保护采用可信计算技术，保证程序执行过程是可信的。可信是个复杂的环节，但是我们可以在重点服务器计算环境内实现可信。对于(1),(2),(3),(4)的要求可以通过高强度的身份认证产品实现。(5),(6),(7)可以通过比较流行的敏感信息数据保护技术实现;(8)是一个复杂的要求，如何做到可信的环境也是一个复杂的命题，毕竟在多数情况下，我们的计算环境还是建立在一个开放的平台上进行建设。而且，从硬件开始至操作系统，基本都是国外的产品构成.可信执行保护只能在操作系统平台上实现，很难做到完全的可信。2.2安全区域边界设计(1)区域边界访问控制要求在区域边界进行控制，防止非授权访问。(2)区域边界包过滤要求在区域边界进行包过滤检测措施。(3)区域边界安全审计要求在区域边界进行安全审计措施，保证内外数据的审计。(4)区城边界完整性保护应在区域边界设置探测器，例如外接探测软件，探渊非法外联和人侵行为，并及时报告安全管理中心。2.3安全通信网络设计(1)通信网络安全审计在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警。(2)通信网络数据传输完轶性保护对网络传输数据进行完整性检验和保护。保证网络传输数据的安全性。(3)通信网络数据传输保密性保护对网络数据进行传输保密。(4)通信网络可信接人保护对通信网络采用可信接人保护。安全通信网络设计主要是针对通信网络的保密要求，采用网络加密技术可以实现等级保护三级中的所有要求，这里我们采用VPN技术实现对通信网络和数据的保护。2.4安全管理中心设计(1)系统管理等保三级要求系统可以对系统管理员的行为进行身份鉴别和授权，仅允许系统管理员访问特定的界面和特定的系统。在多数情况下，系统管理员可以分为网络管理员、主机管理员和存储管理员。网络管理员主要对网络设备进行策略配置。主机管理员主要对服务器操作系统进行管理和配置。多数情况下，主机管理员又分为PC服务器管理员和小型机管理员;存储管理员主要对存储设备进行维护和管理。(2)安全管理等保三级要求对安全管理员进行身份鉴别和授权。总所周知，安全管理员仅是对安全设备的管理，安全设备又涉及到了整个计算系统的各个方面，对安全管理员的管理也变得尤为重要，多数安全设备都具有LOG记录功能，同时提供了方便的接口可以进行授权管理。(3)审计管理等保共级要求对安全审计员进行身份鉴别和管理，安全审计员要和多种设备打交道，如何保证安全审计员的行为进行控制同样是一个复杂的要求。2、网络的现状分析3、具体设计实施3、针对本单位的具体实践3.1安全计算环境建设安全计算环境设计选用的一个重要的产品是高强度的多因子身份认证系统，采用该身份认证系统，可以实现等保三级中要求的用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计等要求，笔者采用基于代理技术的身份认证技术。除了以上功能外，还可以实现对访问过程的控制，保证请求的有效、请求过程的正确、数据格式的正确等等。敏感数据保护系统是一个近年来刚刚兴起的技术，普遍基于文件驱动管理技术，优点在干稳定性较好，缺点在于其工作在操作系统平台之上，在操作系统内部是没有办法对数据进行保护的。当前市面上有些企业采用国外的技术实现了在操作系统内部的数据保护，但是其稳定性还待进一步观察。该系统可以实现等保三级要求的用户数据完整性保护、用户数据保密性保护和客体安全重用的要求。可信计算平台是一个复杂的间题，到日前为止，笔者无法选用合适的技术和产品完全满足这个要求，在目前的情况下可以采用主机加固和增强类产品实现。3.2安全区域边界建设外部网络和内部网络保护系统由防火墙、防DDoS攻击设备、人侵检测设备、防病毒网关组成。防火墙只开放必需的服务端日，若配有IDS,需考虑两者之间的联动，提供对攻击的检测和报警。防DDoS设施起到对外部网络层分布式拒绝服务攻击的基本控制作用。完整的抵御分布式拒绝服务攻击还包括整体应用策略和应用层机制。防病毒网关对流入数据进行防毒检溯，作为防毒的第一道防线，在边界起到章要的作用。但是仅仅具有防病毒网关是不够的，还必须在终端安装网络防病毒软件，做到全网统一策略，从而可以保证对流入的病毒进行实时查杀。这里需要说明的是，国外品牌的防毒软件大部分在遇到无法杀毒的染毒文件时，采用保守策略，仅仅是警告或者移动文件至保护区。国内的软件大部分采用侧除文件的操作。在某些极端环境下，两种方法都有可能给用户带来问题，笔者选用了杀毒软件和终端管理软件相结合的方式，保证染毒文件可以通过网络移动到指定的病毒服务器的相应目录下，便于安全管理员进行下一步的处理。3.3安全通信网络建设安全通信网络的要求基本上可以采用一台VPN设备解决:外部终端需访问内部网络资源时，可以采用IPSecVPN或者SSLVPN;若具有分支机构的情况，采用带有加速功能的VPN设备可以提高网络传输效率。IPSecVPN的技术较为成熟，配置相对比较麻烦，在实际使用过程中不如SSLVPN方便。针对等保三级的要求，VPN系统的审计、数据校验等功能都必须打开。3.4安全管理中心建设目前很多厂商提供安全管理中心的设计和解决方案，然而笔者研究了多个产品的解决方案，无论是SOC产品还是安全管理平台产品，多数冠以按照ITIL规范设计和部署，但是基本上没有一家产品可以真正实现ITIL规范中所要求的各个实现，所涉及的安全产品仅限于少量的合作伙伴的产品，很难做到大范围内产品的统一管理，这主要是由于目前安全产品没有遵循统一的规范造成的。为了既满足等保要求又能真正解决实际需求，笔者考虑选用多个产品来实现安全管理中心的功能:各个被管理系统的管理工具+数据铭合的方式实现。选用多个产品也有利于将不同的权限从系统级别进行划分，划归不同人员进行管理，从而为管理制度_L的相互约束提供技术支撑。当各个对象的管理工具将信息获取到以后，采用数据整合管理工具实现对这些数据的最后整合。数据整合的产品比较多，尤其在ERP系统中使用比较广泛，用以提供最高管理者进行决策，价格也能够为一般企业所接受，只是在以前的方案设计中，很少考虑到将该产品用于安全管理中心。在安全管理中心建设中利用数据整合工具可实现多个管理工具之间的信息互通。笔者在本单位安全管理中心的设计中，采用运维管理、内网管理、网络管理、LOG日志管理相结合的方式，同时在安全设备和网络设备的选择中，着重考虑系统之间的兼容性和开放性，避免由于某个设备无法进行安全管理而造成枯个网络的无序。3.5安全管理规范制定目前在业界内大多数用户也已经达成共识，单纯依靠技术不能解决所有的安全问题，必须配套相应的管理手段。安全管理规范是必要而且非常重要的辅助手段，笔者所在单位根据实际的情况，采用系统管理员、安全管理员、安全审计员三权分立、互不兼任的原则，约束各个管理员的行为，同时配合门禁、USBKey等手段，实现各个管理员之间的互相监督和约束。3.6系统整休分析在本系统等保建设中，采用身份认证技术、敏感信息保护技术等实现计算环境的要求;采用防火墙、IDS等技术实现边界安全.采用VPN实现通}n网的安全;采用若干管理工具和数据整合工具实现安全管理中心的安全;并且在系统建设中，配套建设相应的管理制度和规范，并对管理人员权限进行划分，构建一个安全体系完整适用的保护体系。4、结束语