04-信息系统等级保护安全设计技术要求及安全建设总体设计-赵勇-import（PDF56页）

等级保护安全设计技术要求及安全建设总体设计赵勇目录页设计技术要求核心思想设计技术要求关键技术解析3设计技术要求主要内容2安全建设总体设计415安全建设案例介绍1.设计技术要求核心思想《计算机信息系统安全保护等级划分准则》（GB17859-1999）是根据国务院147号令要求制定的强制性标准，是等级保护的基础性标准，是其他标准制定的依据。该标准以访问控制为核心构建基本保护环境和相关安全服务。《基本要求》是在GB17859等标准基础上，根据现有技术的发展水平，提出和规定了不同安全等级信息系统的最低保护要求，包括基本技术要求和基本管理要求。《设计技术要求》遵照GB17859以及《基本要求》等标准的技术要求部分，对信息系统等级保护安全从技术上进行了框架性的规范，不包括物理安全、安全管理制度等要求。《设计技术要求》是实现《基本要求》的一种方法。1.设计技术要求核心思想《设计技术要求》重在设计PPDR模型中的防护机制；1.设计技术要求核心思想访问控制主体客体控制规则可信认证度量验证可信认证：保障信息系统主体、客体可信访问控制：保障主体对客体合理操作权限•可信认证为基础、访问控制为核心1.1防护思想“可信”即以可信认证为基础，构建一个可信的业务系统执行环境，即用户、平台、程序都是可信的，确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的信息安全可控。“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。1.1防护思想《设计技术要求》强调基于统一策略的安全管理，以避免出现如下现象：1）有机制，无策略，安全机制形同虚设；2）各产品策略之间缺乏互相配合，也缺乏根据安全事件调整策略的响应流程，使得安全机制难以真正发挥作用；《设计技术要求》强调基于主动防御的控制保护机制，以避免出现如下现象：只重视对已知威胁的检测和漏洞的发现，不具备对新型攻击的防护能力，从而出现攻击防护滞后的现象。1.1防护思想信息系统的安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。第一级系统安全保护环境第一级安全通信网络第一级安全区域边界第一级安全计算环境第二级系统安全保护环境第二级安全管理中心第二级安全通信网络第二级安全区域边界第二级安全计算环境第三级系统安全保护环境第三级安全管理中心第三级安全通信网络第三级安全区域边界第三级安全计算环境第四级系统安全保护环境第四级安全管理中心第四级安全通信网络第四级安全区域边界第四级安全计算环境第五级系统安全保护环境第五级安全管理中心第五级安全通信网络第五级安全区域边界第五级安全计算环境定级系统互联跨定级系统安全管理中心/安全互联部件安全计算环境：对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全区域边界：对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全通信网络：对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全管理中心：对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。定级系统互联：通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。跨定级系统安全管理中心：对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。1.2防护框架安全管理子系统授权管理策略管理安全计算环境安全区域边界策略服务控制部件仲裁器边界控制策略应用层系统层核心层审计请求访问本地/网络资源应用平台计算节点1-WIN计算节点2-LIN计算节点n跨定级系统安全管理中心局域网交换机路由器安全通信网络应用系统通信网络子系统区域边界子系统策略符合性检查级别调整检查审计子系统子系统典型应用支撑用户登录下载策略访问控制策略表跨域互连策略审计管理审计服务级别调整检查策略表执行主体全局客体标记表标记管理系统管理子系统系统管理用户身份管理资源管理应急处理数据传输机密性保护数据传输完整性保护安全管理中心节点子系统内部代理外部代理第三级系统安全保护环境专用接口系统管理服务安全管理执行返回计算环境区域边界通信网络安全管理中心建设“一个中心”管理中下的“三重防护”体系，分别对计算环境、区域边界、通信网络体系进行管理，实施多层隔离和保护，以防止某薄弱环节影响整体安全。重点对操作人员使用的终端、业务服务器等计算节点进行安全防护，控制操作人员行为，使其不能违规操作，从而把住攻击发起的源头关，防止发生攻击行为。分析应用系统的流程，确定用户（主体）和访问的文件（客体）的级别（标记），以此来制定访问控制安全策略，由操作系统、安全网关等机制自动执行，从而支撑应用安全。1.2防护框架互联网核心交换机计算环境管理中心应用区域边界通信网络计算环境管理中心通信网络通信网络计算环境管理中心应用区域边界应用区域边界多级互联平台跨级互联管理中心二级系统三级系统四级系统区域边界不同定级系统之间的信息交互需要经过多级互联平台的仲裁；多级互联平台在信息交互过程中，从更高层次实现了基于安全策略的全局判断；多级互联平台防止定级系统敏感信息外泄、攻击入侵；跨级互联管理中心实现了全系统策略的统一和协调。1.2防护框架1.2防护框架工业控制系统：安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架边界防护系统安全审计安全管理中心现场控制计算环境生产监控计算环境企业管理计算环境边界防护边界隔离互联网安全管理中心安全管理中心安全管理中心1.2防护框架IEC62443工控安全防护框架目录页34512设计技术要求核心思想设计技术要求关键技术解析设计技术要求主要内容安全建设总体设计安全建设案例介绍2.1功能机制安全计算环境安全区域边界安全通信网络安全管理中心一级系统安全保护环境用户身份鉴别、自主访问控制、用户数据完整性保护、恶意代码防范包过滤、恶意代码防范数据传输完整性保护二级系统安全保护环境用户身份鉴别、自主访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、恶意代码防范、客体安全重用包过滤、安全审计、完整性保护、恶意代码防范安全审计、数据传输完整性保护、数据传输保密性保护系统管理、审计管理三级系统安全保护环境用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护系统管理、安全管理、审计管理四级系统安全保护环境用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护访问控制、包过滤、安全审计、完整性保护安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护系统管理、安全管理、审计管理和基本要求的对照关系设计技术要求基本要求使用范围具体要求使用范围具体要求安全计算环境用户身份鉴别主机安全应用安全数据安全主机安全、应用安全身份鉴别自主访问控制主机安全、应用安全访问控制；主机安全、应用安全资源控制标记和强制访问控制系统安全审计主机安全、应用安全审计、应用安全抗抵赖用户数据完整性保护数据完整性；备份和恢复用户数据保密性保护数据保密性客体安全重用主机安全、应用安全剩余信息保护程序可信执行保护主机安全恶意代码防范安全区域边界区域边界访问控制网络安全网络安全访问控制区域边界包过滤网络安全入侵防范区域边界安全审计网络安全审计区域边界完整性保护边界完整性检查安全通信网络通信网络安全审计网络安全数据安全网络安全审计通信网络数据传输完整性保护数据完整性通信网络数据传输保密性保护数据保密性通信网络可信接入保护边界完整性检查安全管理中心系统管理安全管理建立统一的支撑平台进行集中的安全管理安全管理审计管理2.1功能机制总体要求应对系统中的用户进行身份标识和鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性。在每次用户登录系统时，采用两种或两种以上的组合机制进行用户身份鉴别。实现方式1)应采用服务器、计算终端的操作系统加固和数据库加固方式，对登录服务器和计算终端的用户进行基于口令、令牌、基于生物特征、数字证书或其他具有相应安全强度的两种或两种以上的组合身份鉴别；2)应采用身份认证网关或对应用系统进行改造，对应用系统用户进行基于口令、令牌、数字证书等方式的两种或两种以上的组合身份鉴别。用户身份鉴别2.2安全计算环境设计要求总体要求应对系统中主要的主、客体进行安全标记，按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。实现方式1)服务器、计算终端应采用安全操作系统或相应安全强度的操作系统加固产品，实现对操作系统中主客体的安全标记，并基于标记实现强制访问控制；2)应采用安全数据库或相应安全强度的数据库安全加固产品，实现对数据库表和（或）记录或字段的安全标记，最终基于标记实现强制访问控制；3)应对应用系统进行改造，设置对重要信息资源的安全标记，实现应用系统基于标记的强制访问控制；标记与强制访问控制2.2安全计算环境设计要求总体要求应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护；能对特定安全事件进行报警；确保审计记录不被破坏或非授权访问。实现方式1)应通过服务器、计算终端上部署的主机审计类产品或具有类似功能的安全产品，实现对系统及用户操作的审计；2)应通过数据库审计产品或具有类似功能的安全产品，实现对数据库的安全审计。系统安全审计2.2安全计算环境设计要求总体要求应校验重要数据在存储过程中的完整性，以发现其完整性是否被破坏，并在其受到破坏时能对重要数据进行恢复实现方式。实现方式应通过密码算法等完整性校验机制，对服务器、计算终端中存储的重要数据进行完整性校验。数据完整性保护2.2安全计算环境设计要求总体要求应确保用户数据在存储和处理过程中的保密性。实现方式应采用加密机制，对服务器、计算终端中存储的用户数据进行保密性保护；数据保密性保护2.2安全计算环境设计要求总体要求应在客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。实现方式应采用具有客体安全重用功能的系统软件或具有相应功能的信息技术产品，对服务器、计算终端、移动终端中的客体资源重新分配前，对其进行清除。客体安全重用2.2安全计算环境设计要求总体要求应实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击。实现方式应采用可信计算等技术构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复。程序可信执行保护2.2安全计算环境设计要求总体要求应在安全区域边界设置访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。实现方式应采用防火墙或同等功能的产品，实现对该区域网络数据包的出入控制。区域边界访问控制2.3安全区域边界设计要求总体要求应在安全区域边界设置审计机制，对确认的违规行为及时报警，并支持对审计信息的关联分析。实现方式应通过网络行为审计或具有同等安全功能的网络审计设备，实现对出入