环境管理_第三级安全保护环境建设方案模板

第三级安全保护环境 建设方案 瑞达信息安全产业股份有限公司瑞达信息安全产业股份有限公司 （2009） 目 录 1.前言前言.4 1.1.项目名称.4 1.2.单位名称.4 1.3.建设背景.4 1.4.条件与假设.6 1.5.符合的标准规范.6 2.需求分析需求分析.7 2.1.信息系统部署结构现状分析.7 2.2.物理安全分析.7 2.3.网络安全分析.9 2.4.主机安全分析.10 2.5.应用安全分析.12 2.6.数据安全分析.14 3.总总体建体建设设方案方案.15 3.1.总体建设目标.15 3.2.总体建设原则.15 3.3.安全改造后的信息部署结构.16 3.4.安全保护体系建设.16 3.4.1.建立“一个中心”管理下的“三重保障体系”16 3.4.2.建立安全保护环境17 3.4.3.建立系统安全互联18 4.第三第三级级安全保安全保护护体系建体系建设设方案方案.18 4.1.安全计算环境建设.18 4.1.1.部署三级操作系统20 4.1.2.部署系统安全审计系统21 4.1.3.部署客体重用系统21 4.1.4.部署文档加密系统22 4.2.安全通信网络建设.23 4.2.1.部署网络安全审计系统24 4.2.2.建立IPSEC VPN26 4.2.3.部署网络通信安全监控系统26 4.2.4.部署网络通信管理系统27 4.3.安全区域边界建设.27 4.3.1.部署防火墙28 4.3.2.部署可信接入网关30 4.3.3.部署入侵检测系统33 4.3.4.部署应用防护墙33 4.4.安全管理中心建设.33 4.4.1.部署网络管理中心34 4.4.2.部署自主访问控制系统管理中心35 4.4.3.部署安全审计管理中心38 5.系系统统安全互安全互联联.41 5.1.1.安全互联部件设计技术要求41 5.1.2.建立跨定级系统安全管理中心41 6.第三第三级级安全保安全保护环护环境境产产品清品清单单.42 1. 前言前言 1.1. 项项目名称目名称 1.2. 单单位名称位名称 1.3. 建建设设背景背景 中华人民共和国计算机信息系统安全保护条例（国务院令第 147 号）明确规定我国“计算机信息系统实行安全等级保护”。依据国 务院 147 号令要求而制订发布的强制性国家标准计算机信息系统安 全保护等级划分准则（GB17859-1999）为计算机信息系统安全保护 等级的划分奠定了技术基础。 国家信息化领导小组关于加强信息安全 保障工作的意见（中办发200327 号）明确指出实行信息安全等级保 护， “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定 等方面的重要信息系统，抓紧建立信息安全等级保护制度”。 关于信 息安全等级保护工作的实施意见（公通字200466 号）和信息安全 等级保护管理办法（公通字200743 号）确定了实施信息安全等级保 护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信 息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全 等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台， 为信息安全等级保护工作的开展提供了法律、政策、标准保障。2007 年起公安部组织编制了信息安全技术 信息系统等级保护安全设计 技术要求，为已定级信息系统的设计、整改提供标准依据，至 2008 年 11 月已报批为国标。与此同时，2007 年 7 月全国开展重要信息系 统等级保护定级工作，标志着信息安全等级保护工作在我国全面展开。 依据计算机信息系统安全保护等级划分准则，将信息系统安全 保护能力划分为五个等级。分别为： 第一级：用户自主保护级;由用户来决定如何对资源进行保护，以 及采用何种方式进行保护。 第二级：系统审计保护级;本级的安全保护机制支持用户具有更强 的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保 护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、 时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录 下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事 故责任人。 第三级：安全标记保护级;具有第二级系统审计保护级的所有功能， 并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对 象指定不同安全标记，限制访问者的权限。 第四级：结构化保护级;将前三级的安全保护能力扩展到所有访 问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构 化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信 息系统实施一种系统化的安全保护。 第五级：访问验证保护级;具备第四级的所有功能，还具有仲裁访 问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻 击、被篡改的，具有极强的抗渗透能力。 目前，全国范围内的定级工作已经基本完成，2009 年起将依据标 准要求对已定级信息系统进行整改，以达到规范安全管理、提高信息 安全保障能力到应有水平的目标。 1.4. 条件与假条件与假设设 1) 已完成对已定级系统的风险评估工作 2) 此次建设方案仅针对于第三级的以定级系统进行整改 1.5. 符合的符合的标标准准规规范范 1) GB 17859-1999计算机信息系统安全防护等级划分准则 2) 国务院令第 147 号 中华人民共和国计算机信息系统安全防护条 例 3) 中办发200327 号 国家信息化领导小组关于加强信息安全保障 工作的意见 4) 公通字【2007】66 号 关于印发关于信息安全等级保护工作的实 施意见的通知 5) 公通字【2007】43 号 信息安全等级保护管理办法 6) 信息安全技术 信息系统等级保护安全设计技术要求 2. 需求分析需求分析 2.1. 信息系信息系统统部署部署结结构构现现状分析状分析 安全通信 网络设备 远程接入 移动终端 应用服务器 终端 远程接入 移动终端 2.2. 物理安全分析物理安全分析 目前现有的物理安全机制不够完善，在物理安全的设计和施工中， 需要考虑的安全要素包括：机房场地选择安全、机房内部安全防护、 机房防火、机房供、配电、机房空调、降温、机房防水与防潮、机房防 静电、机房接地与防雷击、机房电磁防护。 需要优先考虑机房和办公场地应选择在具有防震、防风和防雨 等能力的建筑内。 需要在机房出入口应安排专人值守，控制、鉴别和记录进入的 人员。 需要将通信线缆铺设在隐蔽处，例如：铺设在地下或管道中。 需要对介质分类标识，存储在介质库或档案室中。 需要在主机房安装必要的防盗报警设施。 机房建筑需要设置避雷装置及设置交流电源地线。 机房需要设置灭火设备和火灾自动报警系统。 在水管安装时，需要考虑不得穿过机房屋顶和活动地板下。 需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 需要采取措施防止机房内水蒸气结露和地下积水的转移与渗 透。 需要在关键设备上采用必要的接地防静电措施。 考虑机房需要设置温、湿度自动调节设施，使机房温、湿度的 变化在设备运行所允许的范围之内。 需要提供短期的备用电力供应，至少满足关键设备在断电情况 下的正常运行要求。 需要考虑电源线和通信线缆应隔离铺设，避免互相干扰。 机房场地避免设在建筑物的高层或地下室，以及用水设备的下 层或隔壁。 需要对机房划分区域进行管理，区域和区域之间设置物理隔离 装置，在重要区域前设置交付或安装等过渡区域； 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 需要利用光、电等技术设置机房防盗报警系统，对机房设置监 控报警系统。 需要设置防雷保安器，防止感应雷。 考虑机房设置火灾自动消防系统，能够自动检测火情、自动报 警，并自动灭火。 考虑机房及相关的工作房间和辅助房应采用具有耐火等级的 建筑材料，机房应采取区域隔离防火措施，将重要设备与其他 设备隔离开。 需要安装对水敏感的检测仪表或元件，对机房进行防水检测和 报警。 考虑机房采用防静电地板。 考虑机房设置温、湿度自动调节设施，使机房温、湿度的变化 在设备运行所允许的范围之内。 需要设置冗余或并行的电力电缆线路为计算机系统供电，应建 立备用供电系统。 需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰，并 对关键设备和磁介质实施电磁屏蔽。 2.3. 网网络络安全分析安全分析 目前现有的通信网络安全机制不够完善，需依据信息安全技 术 信息系统安全等级保护基本要求第三级基本要求加强现有网 络安全机制。 需要对用户数据在网络传输中的数据提供保密性及完整性保 护。 需要对通信网络进行安全审计，其网络系统中的网络设备运行 状况、网络流量、用户行为等进行日志记录，并对确认为违规 的用户操作行为需要提供报警，并对审计信息进行存储备份。 需要考虑网络边界访问控制对会话状态信息为数据流提供明 确的允许/拒绝访问的能力，控制粒度为端口级。 需要对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制。 网络边界对入侵防范措施不够完善，考虑检测到攻击行为时， 记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重 入侵事件时应提供报警。 考虑网络边界对恶意代码防范能力应提供及时检测和清除，维 护病毒库的升级更新。 2.4. 主机安全分析主机安全分析 目前现有的主机安全机制不够完善，需依据信息安全技术 信 息系统安全等级保护基本要求第三级基本要求加强现有主机安 全机制。 1) 用户身份鉴别 需要对用户登录过程采用两种或两种以上组合的鉴别技术对 管理用户进行身份鉴别。 2) 标记和强制访问控制 系统资源访问控制需要对重要信息资源设置敏感标记，需要依 据安全策略严格控制用户对有敏感标记重要信息资源的操作。 3) 系统安全审计 系统安全审计需要覆盖到服务器上的每个操作系统用户和数 据库用户，应保护审计进程，避免受到未预期的中断。 审计记录包括安全事件的主体、客体、时间、类型和结果等内 容； 考虑对各审计记录，应提供审计记录查询、分类和存储保护。 4) 用户数据完整性保护 需要采用各种常规校验机制，对系统安全计算环境中存储和传 输的用户数据的完整性进行检验，能发现完整性被破坏的情况。 5) 用户数据保密性保护 需要采密码技术支持的保密性保护机制，为安全计算环境中存 储和传输的用户数据进行保密性保护。 6) 剩余信息保护 剩余信息保护应保证操作系统和数据库系统用户的鉴别信息 所在的存储空间，被释放或再分配给其他用户前得到完全清除， 无论这些信息是存放在硬盘上还是在内存中。 7) 入侵防范 需要能够检测到对重要服务器进行入侵的行为，能够记录入侵 的源 IP、攻击的类型、攻击的目的、攻击的时间，并在发生严 重入侵事件时提供报警。应能够对重要程序的完整性进行检测， 并在检测到完整性受到破坏后具有恢复的措施。 8) 可信执行程序保护 需要构建从操作系统到上层应用的信任链，其中可采用可信计 算技术，以实现系统运行过程中可执行程序的完整性检验，防 范恶意代码等攻击，并在检测到其完整性受到破坏时，应采取 有效的恢复措施。 2.5. 应应用安全分析用安全分析 目前现有的应用安全机制不够完善，需依据信息安全技术 信 息系统安全等级保护基本要求第三级基本要求的加强现有应用 安全机制。 需要对用户登录过程提供用户身份标识唯一和鉴别信息复 杂度检查功能，考虑保证应用系统中不存在重复用户身份 标识，身份鉴别信息不易被冒用。考虑对同一用户采用两种 或两种以上组合的鉴别技术实现用户身份鉴别。 自主访问控制，需要依据安全策略控制用户对文件、数据库 表等客体的访问，访问控制的覆盖范围应包括与资源访问 相关的主体、客体及它们之间的操作。 考虑应用系统安全审计应提供覆盖到每个用户的安全审计 功能，对应用系统重要安全事件进行审计。 考虑对重要信息资源设置敏感标记的功能，并依据安全策 略严格控制用户对有敏感标记重要信息资源的操作。 考虑提供对审计记录数据进行统计、查询、分析及生成审计 报表的功能。 剩余信息保护：应保证用户鉴别信息所在的存储空间被释放 或再分配给其他用户前得到完全清除，无论这些信息是存 放在硬盘上还是在内存中。 通信完整性：应采用密码技术保证通信过程中数据的完整性。 通信保密性：应对通信过程中的整个报文或会话过程进行加 密。 抗抵赖：应具有在请求的情况下为数据原发者或接收者提供 数据原发证据的功能；应具有在请求的情况下为数据原发者 或接收者提供数据接收证据的功能。 软件容错：应提供自动保护功能，当故障发生时自动保护当 前所有状态，保证系统能够进行恢复。 资源控制：应能够对一个时间段内可能的并发会话连接数进 行限制，应能够对一个访问帐户或一个请求进程占用的资 源分配最大限额和最小限额，应能够对系统服务水平降低 到预先规定的最小值进行检测和报警，应提供服务优先级 设定功能，并在安装后根据安全策略设定访问帐户或请求 进程的优先级，根据优先级分配系统资源。 2.6. 数据安全分析数据安全分析 目前数据安全存在的安全隐患， 业务数据在传输过程中完 整性受到破坏，数据存储没有经过加密处理，导致数据泄露。数据 没有提供备份，导致重要数据丢失几种现象。因此需要在现有数 据安全上增加以下几种保护： 数据完整性：应能够检测到系统管理数据、鉴别信息和重要 业务数据在传输过程中完整性受到破坏，并在检测到完整 性错误时采取必要的恢复措施。能够检测到系统管理数据、 鉴别信息和重要业务数据在存储过程中完整性受到破坏， 并在检测到完整性错误时采取必要的恢复措施。 数据保密性：应采用加密或其他有效措施实现系统管理数据、 鉴别信息和重要业务数据传输保密性；应采用加密或其他保 护措施实现系统管理数据、鉴别信息和重要业务数据存储 保密性。 备份和恢复：应提供本地数据备份与恢复功能，完全数据备 份至少每天一次，备份介质场外存放；应提供异地数据备份 功能，利用通信网络将关键数据定时批量传送至备用场地； 应采用冗余技术设计网络拓扑结构，避免关键节点存在单 点故障；应提供主要网络设备、通信线路和数据处理系统的 硬件冗余，保证系统的高可用性。 3. 总总体建体建设设方案方案 3.1. 总总体建体建设设目目标标 遵循等级保护的相关标准和规范的要求，结合信息系统安全建设 实际状态。针对信息系统中存在的安全隐患进行系统建设，加强信息 系统的信息安全保护能力，使其达到相应等级的等级保护安全要求。 3.2. 总总体建体建设设原原则则 1) 遵循等级保护的相关标准和规范的要求； 2) 按照本技术要求进行设计，保证系统结构完整，安全要素全面覆 盖； 3) 统一规划、分步实施。网络与信息安全体系建设是一个逐步完善 的过程，各单位应依据本技术要求进行统一规划，在建设时可以 根据信息化的发展逐步建设与完善，首先保证重要信息系统的安 全； 4) 在保证关键技术实现的前提下，尽可能采用成熟产品，保证系统 的可用性、工程实施的简便快捷 3.3. 安全改造后的信息部署安全改造后的信息部署结结构构 3.4. 安全保安全保护护体系建体系建设设 3.4.1. 建立建立“一个中心一个中心”管理下的管理下的“三重保障体系三重保障体系” 为已定级信息系统构建安全保护环境，是以较低成本实现其安全 保护能力的合理方式，具有技术上成熟、产品选择面宽、无需对业务 系统进行修改的优点。 安全保护环境的核心在于构建“一个中心”管理下的“三重防御体 系”。 “一个中心”是指安全管理中心，包括系统/安全管理和审计管理。 “三重防御体系”包括提供安全计算环境、提供安全区域边界和提供安 全通信网络。安全计算环境可细分为：节点子系统和典型应用子系统； 安全管理中心分为系统/安全管理子系统和审计子系统。 安全管理子系统 授权管理策略管理 安全计算环境安全区域边界 策略服务 控 制 部 件 仲 裁 器 边 界 控 制 策 略 应 用 层 系 统 层 核 心 层 审 计 请求访问 本地/网络 资源 应用平台 计算节点1-WIN 计算节点2-LIN 计算节点n 跨系统安全管理 局域网交换机 路 由 器 安全通信网络 应用系统 通 信 网 络 子 系 统 区 域 边 界 子 系 统 策略符合 性检查 级别 调整检查 审计子系 统 典型 应用 子系 统 用户登录 下载策略 访问控制 策略表 跨 域 互 连 策 略 审计管理 审计服务 级别调整检 查策略表 执行 主体 全局客体 标记表 标记管理 系统管理子系统 系统管理 用户身份 管理 资源管理应急处理 数据传 输机密 性保护 数据传 输完整 性保护 安全管理中心 节 点 子 系 统 内 部 代 理 外 部 代 理 三级系统安全保护环境 专用接口 系统管理服务 安全管理 执行返回 图第三级系统安全保护体系结构 3.4.2. 建立安全保护环境建立安全保护环境 落实 GB 17859-1999 的 4.3 相关要求，在第二级系统安全保护环 境的基础上，构造非形式化的安全策略模型，对主、客体进行安全标 记，并以此为基础，按照强制访问控制规则实现对所有主体及其客体 的访问控制。此外，第三级系统安全保护环境还需相应增强系统的审 计能力、数据保密性和完整性保护能力。 3.4.3. 建立系统安全互联建立系统安全互联 对相同或不同等级的定级系统之间的互联、互通、互操作进行安 全保护，确保用户身份的真实性、操作的安全性以及抗抵赖性，并按 安全策略对信息流向进行严格控制，确保进出安全计算环境、安全区 域边界以及安全通信网络的数据（含信息）安全。 4. 第三第三级级安全保安全保护护体系建体系建设设方案方案 4.1. 安全安全计计算算环环境建境建设设 进行第三级安全计算环境建设重点在于进行系统加固、实现自 主访问控制、实现强制访问控制、实现系统安全审计、实现客体重用 并且提供恶意代码防范的功能。 1) 用户身份鉴别 应支持用户标识和用户鉴别。在对每一个用户注册到系统时， 采用用户名和用户标识符的方式进行用户标识，并确保在系统 整个生存周期用户标识的唯一性； 在每次用户登录系统时，采用强化管理的口令、基于生物特征、 数字证书以及其他具有相应安全强度的两种或两种以上的组 合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性 保护。 2) 自主访问控制 应在安全策略控制范围内，使用户对自己创建的客体具有各种 访问操作权限，并能将这些权限的部分或全部授予其他用户。 访问控制主体的粒度为用户级，客体的粒度为文件或数据库表 级和（或）记录、字段级。访问操作包括对客体的创建、读、写、 修改和删除等。 3) 标记和强制访问控制 在对安全管理员进行严格的身份鉴别和权限控制基础上，由安 全管理员通过特定操作界面对主、客体进行安全标记； 应按安全标记和强制访问控制规则，对确定主体访问客体的操 作进行控制；强制访问控制主体的粒度应为用户级，客体的粒 度应为文件或数据库表级； 应确保系统安全计算环境内的所有主、客体具有一致的标记信 息，并实施相同的强制访问控制规则。 4) 系统安全审计 应记录系统的相关安全事件。审计记录包括安全事件的主体、 客体、时间、类型和结果等内容。 应提供审计记录查询、分类、分析和存储保护；能对特定安全 事件进行报警；确保审计记录不被破坏或非授权访问。 应为安全管理中心提供接口；对不能由系统独立处理的安全事 件，提供由授权主体调用的接口。 5) 用户数据完整性保护 采用密码机制支持的完整性校验机制或其他具有相当安全强 度的完整性校验机制，检验在系统安全计算环境中存储和传输 的用户数据的完整性，并在其受到破坏时能够对重要数据进行 恢复。 6) 用户数据保密性保护 采用密码技术支持的保密性保护机制或其他具有相当安全强 度的保密性保护机制，对在安全计算环境中存储和传输的用户 数据进行保密性保护。 7) 客体安全重用 对于动态管理和使用的客体资源，应在该客体资源重新分配前， 对其原使用者的信息进行清除，以确保信息不被泄漏。 8) 程序可信执行保护 可构建从操作系统到上层应用的信任链，其中可采用可信计算 技术，以实现系统运行过程中可执行程序的完整性检验，防范 恶意代码等攻击，并在检测到其完整性受到破坏时采取有效的 恢复措施。 参照上述第三级系统安全保护环境的安全计算环境的安全技术要 素，实现安全计算环境安全功能。需安装如下软件系统： 4.1.1. 部署三级操作系统部署三级操作系统 进行操作系统加固不仅需要对服务器的操作系统进行加固，并 且需要对用户操作终端计算机进行系统加固。在本方案中，通在本方案中，通过过部署部署 由我公司提供的安全操作系由我公司提供的安全操作系统实现强统实现强化管理的口令以及基于生物特化管理的口令以及基于生物特 征或数字征或数字证书证书的双因子身份的双因子身份认证认证，自主，自主访问访问控制以及控制以及标记标记和和强强制制访问访问 控制、程序可信控制、程序可信执执行保行保护护等安全保等安全保护护要求要求. 4.1.2. 部署系统安全审计系统部署系统安全审计系统 安全计算环境的系统安全审计主要是对服务器、安全终端的系 统安全事件进行审计。在本方案中通过在各服务器以及安全终端部署 系统安全审计探头，对重要的安全相关事件，包括重要用户行为、系 统资源的异常使用和重要系统命令的使用等记录的日期和时间、用户、 事件类型、事件是否成功等进行记录，并可以将这些记录转换为标准 格式，通过审计代理将审计记录提交给审计管理中心。并且可以依据并且可以依据 审计审计控制策略，控制策略，对对特定安全事件特定安全事件进进行行报报警。警。 4.1.3. 部署客体重用系统部署客体重用系统 对使用的客体资源进行监控、管理，在该客体资源重新分配前， 对其原使用者的信息进行清除，以确保信息不被泄漏。 1) 内存重用内存重用 挂载内存释放系统调用，截获系统响应系统调用的所有参数， 包括所需虚拟内存的起始地址和大小，从而钩子可以通过这 些信息来清零相应内存中的信息。 钩子在清零内存时，要对原来的地址进行映射，并保证通过 此映射能对相应的内存写入全零。 2) 文件重用文件重用 挂载文件删除系统调用，截获相应系统调用的所有参数，包 括所需的文件的全路径、文件名、文件分配的空间大小，从而 钩子可以通过这些信息来清零相应文件中的剩余信息。 调用内核写文件的函数，向相应文件写入全零，并向低层文 件驱动发送请求包,将所有内存缓冲区中的数据（全零数据） 同步的覆盖到上述文件中去后，再调用原删除文件的函数将 文件删除。 4.1.4. 部署文档加密系统部署文档加密系统 通过确保电脑硬盘上的每一份涉密资料均为密文状态，从源头 上解决一切通过其它方式泄密的可能。同时为企业中各用户搭建一个 互相之间可以自由流通，无缝集成的数据交流平台。在这个前提下， 不需要用户作任何额外的操作，就能实现对重要数据进行保护而且不 对他们原本的日常操作习惯有任何影响。具体地可以细化为以下几条： 特定的文件（并非所有的文件）在生成（或保存）之时，就应该 被加密，且加密要由计算机自动地进行，不能依靠人工执行; 文件的加密和解密，不能依赖人工设定的密码或口令; 被加密的文件在涉密计算机打开之时，就应该被解密，且解 密要由计算机自动地进行，无需人工干预，文件的使用者也 无需知道“加密文档安全管理系统码”; 在未授权情况下，被加密的文件无法被非涉密计算机打开， 就算电脑主机或硬盘被偷出公司，得到者也无法打开电脑主 机或者硬盘上的资料; 如果企业需要外发图纸，必须要有特定的审批流程，经过审 批允许外发后，有专人解密，将密文状态的图纸转换成明文 状态的图纸后带出，并有详细的日志方便日后追查; 4.2. 安全通信网安全通信网络络建建设设 在第三级系统安全保护环境中的安全网络建设主要在于实现网络 安全审计，并依据客户实际应用的要求为用户的网络数据传输提供完 整性、保密性保护以及提供可信接入控制。 1) 通信网络安全审计 应在安全通信网络设置必要的审计机制，由安全管理中心集 中管理，并对确认的违规行为及时报警。 2) 网络数据传输完整性保护 采用由密码技术支持的完整性校验机制或具有相当安全强度 的其他安全机制，以实现网络数据传输完整性保护，并在发 现完整性破坏时进行恢复。 3) 网络数据传输保密性保护 采用由密码技术支持的保密性保护机制或具有相当安全强度 的其他安全机制，以实现网络数据传输保密性保护。 4) 网络可信接入 可采用由密码技术支持的可信网络连接机制，通过对连接到 网络的设备进行可信检验，确保接入网络的设备真实可信， 防止设备的非法接入。 参照上述第三级系统安全保护环境的安全通信网络的安全技术要 素，实现安全通信网络安全功能。需安装如下软件系统： 4.2.1. 部署网络安全审计系统部署网络安全审计系统 在本方案中通过部署网络行为审计系统，对用户行为进行探测探 测、收集、还原，并且可以对其他网络设备日志、其它审计产品日志进 行获取，实现对安全通信网络中所有的网络安全事件的集中存储、管 理、分析。 在本方案中提供的网络安全审计系统，可以支持以下网络事件的 采集： 网络及安全设备:支持天融信、绿盟、东软、联想网御、 Cisco、Checkpoint、Juniper、Fortinet、等国内外主流网络及安全 设备厂商的各种网络设备及安全设备； 主流数据库访问行为：支持对 ORACLE、MS- SQL、SYBASE、Informix、DB2 等主流数据库网络访问协议的 解析。 常见网络协议访问行为：支持对 HTTP、FTP、SMTP、POP3、Telnet、MSN、BT 等常见内网及互 联网应用层访问协议的解析。 本方案中的网络行为审计系统的安全事件采集由基于网络监听 的硬件探测器设备、基于网络协议采集的硬件探测器设备和软件形式 的软件探针等三类探测器完成，对不同类型的事件类型采用不同的采 集手段。 1) 网络监听方式 部署在网络中的硬件探测器设备通过监听及协议还原方式获 取，采取旁路方式部署在网络中，通过交换机镜像对网络流量进 行采集分析。主要完成以下网络操作行为的收集工作： 对用户通过数据库客户端对各种数据库系统的各种操作 行为,包括登录、查询、修改、删除、数据定义和权限管理 等； 上网行为日志(Web 访问、Email、BT、Msn 等)、Telnet 访 问、FTP 访问行为等。 2) 协议访问方式 部署在网络中的硬件探测器设备通过通用协议接收或获取 各种日志，可分为两类： 专用日志协议，以 Syslog 日志为代表的网络及系统日志 协议是目前所有的网络设备、安全设备、Unix 主机中比较 通用的日志协议，其它类似协议还有 SNMP Trap、OPSEC-LEA 等，网络行为审计系统依据特定协议 接受或主动询问获得相关系统日志。 文件访问协议，系统管理员通过 FTP、SMB、HTTP 等协 议将操作系统、应用系统产生的文件型日志开放给网络行 为审计系统探测器设备，由探测器设备主动下载日志文件、 从而分析并采集日志。 3) 软件探针方式 对于主机上的各种非文件形式的日志、无法通过 SNMP 等 协议获取的操作系统运行状态等信息，网络行为审计系统支持采 用在对象主机上安装软件探针（Agent）方式进行日志采集。如通 过在 Windows 主机上安装 Agent 完成收集 Event Log、性能监控、 网络连接状态、进程运行状态等信息的收集；通过在 Unix 主机上 安装 Agent 完成对用户通过加密协议或 Console 进行的 Shell 操 作的记录采集等。 4.2.2. 建立建立 IPSEC VPN 网络数据传输完整性、保密性保护主要体现在与两个安全计算环 境之间的网络数据传输的完整性、保密性保护。在本方案中通过在两 个安全计算环境间建立 IPSEC VPN，通过 IPSEC VPN 提供的数据校 验机制以及加密机制，为网络数据传输提供完整性、保密性保护。 4.2.3. 部署网络通信安全监控系统部署网络通信安全监控系统 通过在网络通信节点配置 IDS 探测器，监视从外部对网络通信的 攻击；通过在信息系统安全管理中心设置 IDS 控制中心，集中管理和 分析由 IDS 探测器汇集的数据信息；IDS 的监测的重点是各种网络通 信攻击，使系统安全管理员对网络通信运行的安全风险程度有一个基 本的了解。 并且可以通过在网络通信节点配置网络通信漏洞扫描系统，发现 网络通信系统和主机存在的漏洞，并提供网络通信安全状况信息，以 便安全管理人员根据扫描器报告，通过系统参数调整和打补丁、软件 升级提高网络通信安全性。 4.2.4. 部署网络通信管理系统部署网络通信管理系统 通过配置网络通信管理系统，对服务器和网络通信设备运行状况 进行集中监控和管理；通过对网络通信和系统运行数据进行收集、分 析、统计和处理，为网络通信管理人员实时监控服务器、网络通信传 输节点、端口线路等各方面的运行状况提供支持，以便及时发现潜在 的网络通信故障隐患，及时发现并定位线路故障，解决网络通信故障 问题。 4.3. 安全区域安全区域边边界建界建设设 在第三级系统安全保护环境中的安全区域边界建设主要在于实现 区域边界访问控制、区域边界协议过滤、区域边界安全审计、区域边 界恶意代码防范、区域边界完整性保护等安全功能。 1) 区域边界访问控制 应在安全区域边界设置自主和强制访问控制策略，对进出安 全区域边界的数据信息进行控制，阻止非授权访问。 2) 区域边界协议过滤 应根据区域边界安全控制策略，通过检查数据包的源地址、 目的地址、传输层协议、请求的服务等，确定是否允许该数据 包进出该区域边界。 3) 区域边界安全审计 应在安全区域边界设置必要的审计机制，由安全管理中心集 中管理，并对确认的违规行为及时报警。 4) 区域边界完整性保护 应在区域边界设置探测软件，探测非法外联和入侵行为，并 及时报告安全管理中心。 参照上述第二级系统安全保护环境的安全区域边界的安全技术要 素，实现安全区域边界安全功能。需安装如下软件系统： 4.3.1. 部署防火墙部署防火墙 在本方案中通过部署安智防火墙，实现： 1) 状态检测和访问控制 采用基于状态检测的包过滤技术，快速实现基于源/目的 IP 地 址、源 MAC 地址、服务/端口、用户、时间、组（网络，服务，用 户，时间）的精细粒度的访问控制。 2) 内容过滤 http 关键字、命令过滤 文件名过滤 URL 过滤 邮件关键字过滤 邮件文件名过滤 发件人邮箱过滤 收件人邮箱过滤 http 命令过滤（get、put、post） Java scripts/Active-X 过滤封堵 Java 小程序控制 Cookie 过滤 http、smtp、pop3、ftp、telnet 等协议的内容过滤 3) 透明应用代理 提供丰富全面的应用代理，覆盖大多数用户常用应用程序，包 括 HTTP、SMTP、POP3、FTP、TELNET 代理等。同时，多线程 的代理提供较高性能的连接速度。提供多种内核级别代理机制， 例如 FTP、TFTP 和 ICMP 代理可大大增强特殊网络应用安全 性。 4) 网络地址转换 支持多种方式的网络地址转换，包括：静态地址映射、静态地 址转换（1:1）、动态地址转换（N:1，N:N）、反向 NAT DMZ 区的特殊地址转换，即端口转换能力，加强 DMZ 区的安 全保护、 负载均衡 5) 日志、审计和告警 防火墙提供五种日志内容：连接日志、攻击日志、代理日志、认证 日志和配置日志。并且可以对任意的日志内容、任意级别指定不同的 日志报警方式，系统提供的告警方式包括： 声音报警 邮件通知 windows 消息 用户终端 系统缓冲区 支持日志的本地存储、远端存储、备份等存储方式。 4.3.2. 部署可信接入网关部署可信接入网关 对接入网络的计算机终端实施强制平台身份认证，检查计算机终 端安全状态，阻断非受控终端以及不符合安全策略的终端接入网络。 并且提供终端接入审计，访问控制，系统日志等，主要功能如下： 1) 安全传输设置 安全传输表示两个网关之间的通信协议是经过安全处理的，它 保障了网关之间数据传输的安全和可靠. 2)网关访问控制 访问控制的设置制定了一个总体的访问策略，它标明了网关分 别连接的内网和外网所有终端的通讯状况，可以设置为: 内网外网 内网外网 内网外网 内网X外网 3) IP 端口控制 当外网终端接入内网时，通过该设置可以对接入终端的端口和 协议进行过滤，起到防火墙的作用，实现终端接入的受限和受 控，从而保障内网的安全。 4) 策略配置 策略配置主要是对内外网终端访问加以控制，所实施的安全策 略。主要策略包括： 接入:接入表示该终端已经安装了网关客户端，并接受了 网关的平台审核，但是此时它还不能接出到外网，与外网 终端不能访问。 接出:接出表示该内网终端可以接出到外网，并与外网终 端互相访问。 单向接入:单向接入表示外网终端可以接入到内网，外网 终端单向访问该内网终端，该内网终端不能访问所有外 网终端。 单向接出:单向接出表示该内网终端可以接出到外网，并 且单向访问所有外网终端，所有外网终端不能访问该内 网终端。 卸载:卸载表示是否允许卸载网关客户端，不允许用户则 无法卸载 协议暂停:协议暂停是内网终端安装了客户端代理软件后， 便不再使用普通的 IP 协议，而是使用了安全协议，它与 普通协议是无法互通的。打开此权限表示该终端可以使 用普通协议进行通信。 补丁安装:补丁安装是检查终端的 WINDOWS 系统补丁 文件是否完整和最新，勾选后表示如果终端的 WINDOWS 系统补丁文件不完整或不是最新的，存在安 全漏洞，网关会指引该终端到补丁服务器上进行升级更 新。 开启杀毒软件信息:开启杀毒软件信息是检查终端是否安 装了杀毒软件，勾选后表示只有安装了杀毒软件的终端 才能通过网关的安全审核，才能在内网访问相应的资源。 杀毒软件已过期:杀毒软件已过期是检查终端的杀毒软件 病毒库是否是最新的，勾选后表示只有病毒库最新的终 端才能通过网关的安全审核，才能在内网访问相应的资 源。 开启 windows 防火墙:开启 windows 防火墙是检查终端 的 windows 防火墙是否开启，勾选后表示只有 windows 防火墙开启的终端才能通过网关的安全审核，才能在内 网访问相应的资源。 4.3.3. 部署入侵检测系统部署入侵检测系统 在安全区域边界中，部署入侵检测系统,检测并记录 attack- responses、backdoor、chat、ddos、dns、dos、exploit、finger、ftp、icmp、m isc、multimedia、netbios、oracle、p2p、policy、pop3、rpc、rservices、scan 、shellcode、smtp、snmp、sql、telnet、tftp、virus、web-attacks、web- cgi、web-client、web-coldfusion、web-frontpage、web-iis、web- misc、web-php 等攻击行为。 4.3.4. 部署应用防护墙部署应用防护墙 根据数据发送方和接收方的安全属性值，按照确定的访问规则， 提供明确的允许访问和拒绝访问受保护网络环境的方法和机制；通过 安全机制不可旁路、遗留信息清除、安全审计等增强安全性，并确定 更高的安全机制配置管理要求。 对经过区域边界的所有数据信息进行检查，对明确指定的特定信 息，能阻止其进/出受保护的网络环境；通过安全管理中心对信息过滤 进行统一管理。 4.4. 安全管理中心建安全管理中心建设设 安全管理中心安全功能基本结构图，如下图所示： 建立安全管理中心目标在于，实现对在进行安全保护环境建设过 程中所部属的各系统进行集中管理。在第二级安全管理中心主要需要 部署自主访问控制管理中心，系统安全审计管理中心，病毒防护管理 中心，网络资源管理中心。 4.4.1. 部署网络管理中心部署网络管理中心 安全管理中心通过网络管理系统工具对网络进行管理，收集网络 监控记录；对网络安全配置；对网络系统进行漏洞扫描，对发现的网络 系统安全漏洞进行及时的修补；能够对非授权设备私自联到内部网络 的行为进行检查，准确定出位置，并对其进行有效阻断；应能够对内 部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对 其进行有效阻断。 安全管理中心通过安全设备在网络边界处监视端口扫描、强力攻 击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和 网络蠕虫攻击等攻击行为；当检测到攻击行为时，记录攻击源 IP、攻 击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 4.4.2. 部署自主访问控制系统管理中心部署自主访问控制系统管理中心 1. 管理控制台 管理员通过控制台对整个系统的安全策略进行配置与控制。从该 控制台登陆并管理系统的有下面三类管理员： 1) 系统管理 系统管理子系统用于对节点子系统、区域边界子系统、通信网络 子系统的软硬件进行管理和维护，发行用户硬件令牌，对系统异常行 为做应急处理。 系统管理子系统功能如下： 身份管理：将与用户相关的身份信息、证书、密钥等安全属性 发行到与用户绑定的硬件令牌中，以硬件令牌代表用户身份 和权限；将平台的身份信息发送到管理中心进行注册，确保只 有经过注册的平台才能接入维护系统。 配置管理：采集节点、区域边界和通信网络子系统相关的软硬 件信息到安全管理中心，包括软件安装、硬件资源、网络状态 等信息。 应急处理。在系统审计的基础上，及时发现节点、区域边界和 通信网络子系统内发生的安全事件，并采取相应措施，做应 急处理工作。 2) 安全管理 安全管理子系统策略配置包括：主/客体标记案例管理、用户授权 管理、策略管理等。 标记管理功能如下： 提供主体标记管理功能，为系统中的所有用户配置安全级别 和安全范畴。 提供客体标记管理功能，为系统与安全业务相关的客体设定 安全标记。安全标识包括与文件名直接相关的安全标识、目 录安全标识、通配符格式的安全标识等类型。同时提供安全 标识中安全级别的修改接口，供人工参与安全级别的制定和 更改。 授权管理功能如下： 提供授权管理界面，安全管理子系统提供授权模板维护强制 访问控制表和自主访问控制表，将对特定客体的读、写执行 等权限赋予相应的用户。对应用流程的特定位置进行授权， 制定级别调整策略、网络访问控制策略等。 提供策略批准功能，接收并查看来自系统管理员以及各节点 上报的策略申请信息，依据安全管理规则和主客体的安全标 识信息，对合法的申请内容予以批准； 策略模板导入，将第三方提供的或利用策略制定工具生成的 授权策略模板导入策略库。 策略管理功能如下： 生成访问策略库。访问策略库是将用户与用户能够访问的客 体资源结合起来所形成的一个访问控制策略表，安全管理子 系统根据应用的安全策略配置，生成访问策略设置，并将访 问策略设置与策略配置功能所生成的用户身份配置、文件标 识配置以及可信接入策略和可信进程名单等组装发送到各安 全部件中。 策略请求处理和下发。策略请求和处理是将设定客体安全级 别的特权和该特权所授予的用户身份结合起来所形成的一个 权限列表，该列表项目来源于各用户提出的主客体安全级别 修改请求和自主访问控制策略申请，反应客体资源属性和主 体的权限范围，并将该列表发送给相应主体所在的平台。 策略的维护。策略的维护功能为安全管理员的策略查找、策 略更新等操作提供支持，并能够实现策略文件的导入和导出 操作，支持离线状态下的策略管理，提高安全管理员的策略 管理操作的方便性和易用性。 3) 审计管理 审计子系统用于存储和处理整个系统中的所有审计信息。节点子 系统、区域边界子系统、通信网络子系统和安全管理子系统、系统管 理子系统等获得审计信息后形成文件，上传到审计服务器进行存储和 处理，安全审计员可以在安全管理中心上查看审计信息。 审计子系统功能如下： 生成审计策略并发放。使用安全管理中心提供的审计策略设 置界面，使审计管理员可以选择四级安全应用支撑平台不同 范畴中主客体访问的审计级别，并与访问策略、等级检查策 略相配合，生成具体的审计策略，并将该策略发放给对应的 安全部件。 接收、存储审计信息。接收从安全部件传来的审计信息，并进 行存储和处理。 查询审计信息。使用安全管理中心提供审计界面，通过审计 界面将审计信息直观地提供给安全审计员，并提供审计信息 分类查询功能。 4.4.3. 部署安全审计管理中心部署安全审计管理中心 实现对计算环境内各节点上主机安全审计信息、自主访问控制审 计信息、客体重用审计信息以及对边界安全设备的审计信息的统一集 中管理。 1. 审计探头 获取监控范围内的审计信息。 2. 安全审计代理 协调调用审计探头管理模块、策略管理模块、审计信息格式转换 模块、安全传输模块，实施审计信息收集、转换、传输和策略模板下发 功能。 安全审计代理模块调用审计探头管理注册、删除审计探头；调用 策略管理模板对下载的策略形成策略模板，下发给特定匹配的审计探 头；从审计探头获取审计信息后，调用审计信息格式转化模块进行标 准格式转换；调用安全传输模块将标准格式日志信息加密，传输至审 计服务器进行审计分析。 3. 日志存储数据库 分为本地日志存储数据库和服务器端日志存储数据库。本地日志 存储数据库是在节点备份审计探头采集的本地审计日志，以防止网络 不通的情况下，审计信息的丢失；服务器端日志存储数据库是存储真 个信息系统获取的供审计分析的日志信息。 4. 审计引擎 开启和关闭审计引擎，通讯审计代理进行审计信息加密/解密传输， 交由安全审计分析模块对信息进行审计分析。 5. 策略管理服务 开启策略管理下载服务，形成三重结构，防止直接读取策略库， 而对策略库构成安全威胁，保证策略数据的安全性。提交策略下载请 求给策略/日志处理模块，获取策略库中策略。策略管理服务在获取策 略/日志处理模块准备发送策略的就绪状态时，提示安全审计代理调 用策略管理模块处理策略，形成策略模板。 6. 安全审计分析 对信息系统审计日志记录进行安全性分析，对用户行为进行监控， 防止用户越权使用，检测系统资源使用状况，保证系统的安全性。这 种分析可用入侵检测来支持，或对即将来临的安全侵害作出自动响应。 7. 策略/日志处理 本模块提供一种策略下载/存储请求与策略库/日志存储库之间的 安全通道，防止直接对策略库和日志存储库的读取，从而保证了策略 库和