02等级保护

2014秋信息安全xx管理第二章信息安全等级保护信息安全等级保护1.等级保护和分级保护2.从操作系统到等级保护3.信息安全等级保护综述4.等级保护安全设计技术要求5.定级系统安全保护技术要求措施2信息安全等级保护1.等级保护和分级保护2.从操作系统到等级保护3.信息安全等级保护综述4.等级保护安全设计技术要求5.定级系统安全保护技术要求措施3等级保护与分级保护的关系•国家信息安全等级保护与涉密信息系统分级保护是两个既有联系又有区别的概念。涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密领域的具体体现。4等级保护与分级保护的关系•国家信息安全等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统，而不论它是否涉密。如：–国家事务处理信息系统（党政机关办公系统）；–金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；–国防工业企业、科研等单位的信息系统；–公用通信、广播电视传输等基础信息网络中的计算机信息系统；–互联网网络管理中心、关键节点、重要网站以及重要应用系统；–其他领域的重要信息系统。5等级保护与分级保护的关系•涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统，重点是：–党政机关–军队和军工单位，•由各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全，确保国家秘密不被泄漏6等级保护与分级保护的关系•国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法,对信息系统实行等级保护是国家法定制度和基本国策，是信息安全保护工作的发展方向。•涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。7等级保护与分级保护的关系•国家秘密信息与公开信息在内容和特性上有着明显的区别，所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全，以至于影响信息的合理利用，阻碍信息化的发展；也不能用维护公众信息安全的办法来维护国家的秘密信息安全，以至于窃密、泄密事件的发生，危害国家的安全和利益，同样影响信息化的健康发展。8信息安全等级保护1.等级保护和分级保护2.从操作系统到等级保护3.信息安全等级保护综述4.等级保护标准体系5.等级保护安全设计技术要求6.定级系统安全保护技术要求措施9操作系统安全的重要意义•操作系统安全的重要性–在信息系统安全涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心。–作为系统软件中最基础部分的操作系统，其安全问题的解决是关键中之关键。•数据库建立在操作系统之上•网络的安全依赖于各主机系统的安全，主机系统的安全依赖于操作系统的安全10操作系统安全的重要意义•操作系统安全的重要性–在操作系统层面实施保护措施•应用层实施保护措施易被旁路11应用层实施保护措施如何？应用程序操作系统硬件物理机器界面虚拟机器界面操作系统安全的重要意义•操作系统安全和安全操作系统–操作系统安全：从不同角度分析操作系统的安全性。•对主流操作系统进行安全性增强•按照特定目标设计专门或通用的操作系统–安全操作系统：通常与相应的安全等级相对应。根据TCSEC，B1级以上的为安全操作系统。•对操作流程和使用方式的约束较大，主要针对生产型信息系统（流程固定、需求明确、软件来源清晰）•较后验型安全产品具有明显优势12基本概念•安全策略、安全机制和安全模型–安全策略是对允许什么、禁止什么的规定。•简单的说，是用户对安全需求的描述。–安全机制是实施安全策略的方法、工具或规定的执行过程。•可以是非技术性措施13基本概念•安全策略、安全机制和安全模型–安全模型是用形式化的方法对如何实现系统的保密性、完整性和可用性等安全需求的描述。•安全策略可以是非形式化的。•为安全策略和安全机制的关联提供了一种框架。14基本概念•主体与客体–主体：主动的实体，引起信息在客体间流动。•最基本的主体-用户：几乎所有的事件都由用户激发。–进入系统的用户必须是唯一标识的，并鉴别为真的。•最活跃的主体-进程：用户的所有事件请求都要通过进程的运行来处理。–用户进程：运行应用程序，实现用户所要求的运算。其权限与所代表用户相同。–系统进程：操作系统完成对用户所请求的事件进行处理的必须操作。其权限随服务对象不同而不同。15基本概念•主体与客体–客体：被动的主体行为承担者。•数据信息：一定的格式存储在一定记录介质上。–例：文件系统•进程：一般具有双重身份–服务链：最原始的主体是用户，最终的客体是数据信息。用户进程1进程2…进程n数据信息操作系统中每一个实体组件或是主体或是客体，或者既是主体又是客体。16基本概念•访问控制机制（accesscontrol）–安全策略中的规范性说明为操作系统的访问行为提供了一系列准则。根据这些准则，可以判断一个主体对客体的访问是否符合安全策略。•符合——允许该访问•不符合——禁止该访问–两种类型•自主访问控制-普遍实现的安全功能•强制访问控制-高安全等级操作系统需要实现17基本概念•访问控制机制–自主访问控制（DiscretionaryAccessControl）•如果作为客体的拥有者的个人用户可以设置访问控制属性来许可或拒绝对客体的访问，那么这样的机制就称为自主访问控制。•例：一个小孩有本笔记。她允许妈妈读，但其他人不可以读。•访问控制取决于拥有者的判断力。18基本概念•访问控制机制–强制访问控制（MandatoryAccessControl）•如果只有系统才能控制对客体的访问，而个人用户不能改变这种控制，那么这样的机制就称为强制访问控制。•例：法律允许司法机关在未经拥有者允许的情况下查看其存款信息。该信息的拥有者不能控制司法机关对信息的访问。•访问控制取决于访问控制的规则。19基本概念•引用监视器（referencemonitor）–1972年，Anderson提出引用监视器模型。该模型成为访问控制机制的基本模型。–定义：监督所有主体对客体访问权限的部件。20安全策略库引用监视器主体客体审计系统验证策略访问行为和结果基本概念•引用监视器–引用监视器实现的原则•必须具有自我保护能力：保证其完整性•必须时刻处于活跃状态，且不可被旁路：保证所有引用都得到仲裁•必须设计得足够小，可验证：保证其正确性–引用监视器是一个理想化的模型。在安全操作系统的相关标准中，只有较高的系统要求有一个最小化的引用监控器的实现21基本概念•安全内核–在引用监视器的基础上，Anderson定义了安全内核的概念。–定义：安全内核是所有实现引用监控器的软件和硬件的结合。•安全内核是实现引用监视器概念的一种机制。设计原则与引用监视器相同。22基本概念•安全内核–安全内核法是一种常见的建立安全操作系统的方法。•在一个大型操作系统中，只有一小部分用于安全目的，可用其中安全相关软件来构成操作系统的一个可信内核。•理论上，安全内核可以很好的实现操作系统的所有功能。但和最小化原则相比，性能、使用方便等属于从属地位。23基本概念•可信计算基（trustedcomputingbase）–可信计算基是由计算机系统中所有安全保护机制构成的，包括硬件、固件和软件，这些保护机制用于保证安全策略的执行。——TCSEC–计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。——GB1785924明确指出包括负责安全管理的人员基本概念•可信计算基（trustedcomputingbase）–组成1.操作系统的安全内核2.具有特权的程序和命令–特权：违反安全策略的能力3.处理敏感信息的程序，如系统管理命令等4.与TCB实施安全策略有关的文件5.其他有关的固件、硬件和设备6.负责系统管理的人员（误操作、恶意操作）7.保障固件和硬件正确的程序和诊断软件25基本概念•可信计算基（trustedcomputingbase）TCB安全域TCB安全功能（TSF）TCB安全策略（TSP）TCB安全功能（TSF）TCB安全策略（TSP）TCB安全功能（TSF）TCB安全策略（TSP）26基本概念•可信计算基（trustedcomputingbase）–高安全级别操作系统中TCB的设计原则•TCB独立于系统的其他部分•TCB不含有和安全无关的内容•具有引用监视器的特性–目的是简化TCB的复杂度，使TCB的安全性可以被比较严格的分析和测试。27信息安全等级保护1.等级保护和分级保护2.从操作系统到等级保护3.信息安全等级保护综述4.等级保护安全设计技术要求5.定级系统安全保护技术要求措施282.信息安全等级保护综述•《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）–我国信息安全保障工作的纲领性文件29信息安全等级保护是我国一项重要的信息安全保障工作2.信息安全等级保护综述•基本原理–不同的信息系统有不同的重要性，在决定信息安全保护措施时，必须综合平衡安全成本和风险。因此，从加强信息系统安全监管的角度，国家需要对不同等级的系统提出不同的要求。302.信息安全等级保护综述•定义–信息系统安全等级保护是指，国家对涉及国家安全和社会稳定与安全，公民、法人和其他组织的合法权益的信息系统，按其重要程度和实际安全需求，分级、分类、纵深采取保护措施，保障信息系统安全正常运行和信息安全。312.信息安全等级保护综述•重点对象–基础信息网络、重要信息系统•战略高度–通过提高国家信息安全综合防护能力–保障国家安全，维护和稳定信息社会秩序，促进经济发展，提高综合国力•核心–对信息安全分等级、按标准进行建设、管理和监督322.信息安全等级保护综述•信息安全等级保护制度遵循以下基本原则1.明确责任，共同保护•共同保护：国家、法人和组织、公民共同参与•明确责任：各方主体明确责任2.依照标准，自行保护3.同步建设，动态调整•同步建设：信息安全设施与信息系统同步建设•动态调整：–安全等级随信息系统变化而调整–等级保护的管理规范和技术标准按照开展情况适时修改。332.信息安全等级保护综述•信息安全等级保护制度遵循以下基本原则4.指导监督，重点保护•指导监督：信息安全监管职能部门，备案、指导、检查、督促整改等方式•重点保护：涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统–国家事务处理信息系统：党政机关办公系统–关系到国计民生的信息系统：财政、金融、税务、海关工商、社会保障、能源、交通国防工业等–其他领域的基础信息网络和重要信息系统342.信息安全等级保护综述•现有系统与等级保护–等级保护与现有系统的建设并没有本质的冲突。–以等级保护的方法对现有系统进行加固改造。•保障安全的互联互通和信息共享•保障现有系统安全–不是弃之不用或推倒重来。352.信息安全等级保护综述•建设过程中，把握以下原则：–坚持一手抓发展，一手抓安全–坚持以改革开放求安全–坚持管理与技术并重–坚持统筹兼顾，突出重点362.信息安全等级保护综述•等级划分–根据信息系统在国家安全、经济建设、社会生活中的重要程度，其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，其安全保护等级由低到高划分为五级。37——《信息安全等级保护管理办法》公安部等，2007年2.信息安全等级保护综述•等级划分38等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损害严重损害特别严重损害一级√二级√√三级√√四级√√五级√第四级和第五级的信息系统是国家的核心信息系统，是国家政治安全、疆土安全和经济安全之所系。对客体的损坏程度2.信息安全等级保护综述•等级划分–不同安全等级的信息系统要求具有不同的安全保护能力–信息系统的安全等级越高，安全要求也就越高。392.信息安全等级保护综述•保护能力–第一级安全保护能力：•应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击，一般的自然灾害，以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭