信息系统等级保护安全

1 建设方案根据信息安全等级保护工作要求，并考虑信息系统实际情况，从计算环境、区域边界和通信网络出发，按照“分级分域、深层防护”的安全策略，提出信息安全等级保护深度防御方案。建设中，拟采用具有我国自主知识产权的信息安全产品，实现对信息系统的等级化防护，结合技术措施，实现具有等级保护深度防御体系。1.1 建设方法原则以自主知识产权和国产化信息装置为基础，建成“分级分域、深层保护”的信息安全等级保护深度防御体系。在建设过程中，遵循统筹规划、深度防御，统一标准、统一规范，自主产权、国产为主，强化管理、注重技术的原则。统筹规划 深度防御：信息安全等级保护深度防御工程是庞大的系统工程，必须达到国家等级保护对信息系统的各种安全要求。制定落实等级保护政策的安全总体防护方案，做好统筹规划是前提，完成自主研发的应用和数据库防护设备、移动存储安全管理系统进行网络隔离，建设符合需要的三级安全管理中心是防护基础，对信息系统的等级化深度防御是核心。以“分级分域、深层保护”策略为核心的信息安全等级保护深度防御工程总体将达到国内先进水平。统一标准、统一规范：统一标准是建设信息安全等级保护深度防御工程的最基本要求，是各单位横向集成、纵向贯通，信息共享的前提。同时，在全面推广信息安全等级保护深度防御工程时，按照统一信息系统安全管理的规范进行规划和设计，确保信息安全防护水平的一致。自主产权，国产为主：确保信息安全，核心安全防护设备要立足于国产产品，选用满足等级保护要求的安全技术方案和管理措施,以有效抵御互联网风险。1.2 系统安全建设方案1.2.1等级保护三级系统技术要求按照信息系统等级保护安全设计技术要求 ，三级系统的安全建设要在安全管理中心支撑下，按照计算环境安全、区域边界安全、通信网络安全构筑三重防护体系。其具体描述包括：1）计算环境安全设计用户标识和用户鉴别。在每一个用户注册到系统时，应采用用户名和用户标识符的方式进行用户标识，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。强制访问控制。对在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；应确保安全计算环境内所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。自主访问控制。应在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级和/或记录、字段级；自主访问操作应包括对客体的创建、读、写、修改和删除等。防客体重用。对于动态管理和使用的客体资源，应在客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄漏。透明加解密。通过维护主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记，对敏感资源实施透明加解密机制。非授权用户即使得到这些敏感信息也因为无法正确解密而无法利用，由此可以防止敏感信息的泄露。采用密码技术支持的保密性保护机制或其他具有相当安全强度的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。数据完整性检验。采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制，检验安全计算环境中用户数据的完整性，并在其受到破坏时能对重要数据进行恢复。审计。应能记录系统相关安全事件，并能对特定安全事件进行报警；审计记录应包括安全事件的主体、客体、时间、类型和结果等内容；应提供审计记录的分类、统计分析和查询等；应提供审计记录的存储保护，确保审计记录不被破坏或非授权访问；应为安全管理中心提供接口；对不能由系统独立处理的安全事件，应提供可由授权主体调用的接口。2）区域边界安全设计区域边界访问控制。应在安全区域边界设置自主和强制访问控制机制，对进出安全区域边界的数据信息进行控制，阻止非授权访问。区域边界协议过滤。应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界。区域边界安全审计。应在安全区域边界设置必要的审计机制，通过安全管理中心集中管理，并对确认的违规行为及时报警。区域边界完整性保护。应在终端用户系统设置探测软件，探测用户非法外联的行为，并及时报告安全管理中心。3）通信网络安全设计通信网络安全审计。应在安全通信网络设置必要的审计机制，通过安全管理中心集中管理，并对确认的违规行为及时报警。网络数据传输完整性保护。采用由密码技术支持的完整性校验机制或具有相当安全强度的其他安全机制，以实现网络数据传输完整性保护，并在发现完整性破坏时进行恢复。网络数据传输保密性保护。采用由密码技术支持的保密性保护机制或具有相当安全强度的其他安全机制，以实现网络数据传输保密性保护。网络可信接入。宜采用由密码技术支持的可信网络连接机制，通过对连接到网络的设备进行可信检验，确保接入网络的设备真实可信，防止设备的非法接入。4）安全管理中心设计系统管理。应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括：用户身份管理，系统资源配置，系统加载和启动，系统运行的异常处理，以及支持管理本地和/或异地灾难备份与恢复等；应对系统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。安全管理。应通过安全管理员对系统中的主体、客体进行统一标记，进行系统安全监测，并为安全计算环境、安全区域边界、安全通信网络配置统一的安全策略；应对安全管理员进行严格的身份鉴别，并只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。审计管理。应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录进行分析，并根据分析结果进行处理；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或操作界面进行安全审计操作。1.2.2省级中心安全保护深度防御体系省级中心系统安全建设体系结构逻辑组成如图所示。按信息系统业务处理过程划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支持下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。系 统 管 理 审 计 管 理安 全 管 理用区域边界安全保护系统安全通信网络系统计 算 环 境区 域 边 界通 信 网 络交 换 机安 全 管 理 中 心路 由 器其它应用环境应 用 系 统安 全 操 作 系 统计 算 节 点 1计 算 节 点 2计 算 节 点 n图：系统安全保护体系结构计算环境安全确保信息系统内终端、服务器和应用的安全，防止信息系统内各类的非授权泄露和修改；区域边界安全实现各类信息的受控交换和密码保护，抵御来自内部或外部的各类网络攻击，阻止敏感信息的违规交换。通信网络安全保护网络传输信息及网络控制信息的保密性、完整性和可鉴别性，防止传输过程中信息泄露、篡改和破坏。安全管理中心管理实施对计算环境、区域边界和通信网络统一的安全策略，确保系统配置完整可信，确定用户操作权限，实施全程审计追踪。从功能上可细分为系统管理、安全管理和综合审计管理。应用环境安全是信息系统的安全保护的核心和基础。计算环境安全通过终端、服务器和上层应用系统的安全机制服务，保障应用业务处理全过程的安全。系统终端和服务器通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成了严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统得保密性和完整性，从而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障。区域边界通过对进入和流出应用环境的信息流进行安全检查和访问控制，确保不会有违背系统安全策略的信息流经过边界，是信息系统的第二道安全屏障。通信网络设备通过对通信双方进行可信鉴别验证，建立安全通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是信息系统的第三道安全屏障。1.2.3省级监控中心安全建设方案1.2.3.1 物理安全建设方案1.2.3.2 技术设计及建设方案省级监控中心具有承上启下的重要作用，对上与军区中心和国家中心相连，对下与地县级监控中心（监控站）相通，因此国家级、军区级、省级、地级、县级（站级）中心共同组成了本系统的计算环境。对于各级监控中心来说，均可以将应用系统计算环境分为如下几个区域：应用服务区，维护管理区、访问终端区。应用服务区主要由应用服务器和核心数据服务器组成，接收下级中心和相关职能部门上报的区域性综合性事态信息，视频图像信息和其他必要信息，并进行汇集和整合之后上报给上级中心，为指挥员提供指挥控制和边海防情况报知服务；维护管理区是由负责应用服务器和数据服务器的维护终端组成，维护管理区的认证用户通过维护系统对应用服务器的配置以及存储的数据实施维护和处理操作；访问终端区用户对应用服务区的数据信息仅拥有浏览权限。 值得指出的是，本方案所提到的区域边界并非原来意义上的网络边界，而是应用系统运行环境的边界，是应用系统和外界进行信息交互的接口。以省级中心为例，应用服务区、维护管理区和访问终端区均属于同一个计算环境，对外信息交互主要体现在与相关职能部门的信息交互边界，需要实施边界机密性和边界完整性控制。而对于上下级监控中心以及同级监控中心之间的信息交互来说，属于计算环境内部的访问控制问题。省级中心的安全建设体系结构如下图所示：专 网专 网应 用 服 务 区维 护 管 理 区应 用 防 护 网 关安 全 管 理 中 心I D S安 全 管 理 平 台 安 全 策 略 服 务 器审 计 服 务 器访 问 终 端 区相 关 职 能 部 门应 用 服 务 区维 护 管 理 区应 用 防 护网 关I D S访 问 终 端 区相 关 职 能 部 门安 全 隔 离 与 信息 交 换 设 备V P NV P N地 级 监 控 中 心省 级 监 控 中 心安 全 隔 离 与 信 息 交 换设 备相 关 职 能 部 门安 全 管 理 中 心安 全 策 略 服 务 器安 全 管 理 平 台 审 计 服 务 器C A图：省级监控中心安全建设拓扑图对于计算环境各区域的安全建设主要包括以下几项内容：1） 对应用服务区和和数据服务区的服务器设备，除了在服务器上增加安全保护模块之外，还要通过部署应用防护网关对用户的上传、维护、浏览权限实施明确授权和控制，防范内部用户攻击，同时建立重要数据以及应用软件的备份机制，在系统故障发生时能够尽快恢复；2） 对维护管理区终端和访问终端区的终端实施安全保护，以USB-Key 硬件令牌标识用户身份，实现对维护人员的认证、授权和控制，明确限制维护人员的操作行为，防范内部人员的非法操作；3） 对于上下级以及同级监控中心之间的数据通信，利用 VPN设备建立专用通道，保证数据在传输过程中的机密性和完整性，同时采用防火墙、IDS 等网络安全设备防范网络非法攻击；4） 部署安全管理中心对计算环境安全支撑平台实施统一的系统管理、安全管理和审计管理，为适应省级及地县级中心的分布式管理体系，拟在省、地、县级中心建立安全管理分中心，并在县级监控中心和站级监控站范围内部署支持二级管理模式的安全管理中心。对于区域边界的安全建设主要是通过“三实体”架构的安全隔离与信息交换设备实现对信息交换的控制和逻辑隔离。1.2.3.3 管理体系建设方案1.2.4 安全建设功能指标1.2.4.1 安全管理中心根据信息系统等级保护安全设计技术要求中对管理中心的要求，安全管理中心是实现等级保护保护体系的要点，管理中心将从系统管理、安全管理、审计管理三个方面进行配置和建设，建成后将作用于计算环境、区域边界、通信网络等环节的安全保护措施，进行统一的协调和调度，从而实现包含用户身份、授权、访问控制、操作审计等全过程的安全管理措施，并实现集中事件和风险管理，发挥出整体安全防护系统的作用，有效保障信息系统的安全性。1) 系统管理系统管理平台建设应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括： 用户身份管理，对用户信息进行集中管理。实现对所有用户帐号的统一管理，权限派发，角色分配，证书绑定等工作；账户创建、分配、维护等过程均留下电子记录，便于审计。实现人员与帐号的一一对应，避免发生责任无法区分的情况； 系统资源配置管理，系统运行的异常处理，以及支持管理本地和/或异地灾难备份与恢复等； 应急响应：每个重要信息系统的都具备相关的一系列设备，包括服务器、网络设备、安全设备等，系统的安全稳定运行，依赖于相关设备的安全稳定运行，因此，需要对系统关联的所有设备上的安全事件进行统一管理，对安全告警进行展现，并对事件进行关联分析，找出潜在的安全事件或发现事件产生的根本原因，最后，将事件转换成工单分派给相应的人员进行处理，尽快解决事件，恢复信息系统的运行。2) 安全管理安全管理平台应通过安全管理员对系统中的主体、客体进行统一标记，并为安全计算环境配置统一的安全策略。 集中认证管理：利用数字证书实现对访问用户的集中身份认证，对资源访问行为进行判断和决策，对权限分配的结果进行验证，保证系统资源的访问安全性。 集中授权管理：实现对访问用户给予角色的权限管理，利用对角色的定义和细分，对用户可接触的应用系统资源，可进行的应用操作，允许其进行访问的时间和地域进行指派和限制，可对各种资源进行权限指派，权限分配细粒度，可实现对个人、用户组、角色等多角度的授权管理；在人员职位发生变动时，只需要对其角色进行增加、修改、删除等操作，即可实现对其访问资源的权限控制，及时的变更、收回授权，防止私自授权及权限未收回的情况发生，对系统资源进行有效的保护。3) 审计管理 审计管理平台应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，对系统中的安全事件进行收集、处理以及关联分析。具体功能包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录进行分析，并根据分析结果进行处理。1.2.4.2 计算环境安全建设1.2.4.2.1 服务器安全保护服务器包括网页服务器、数据服务器、应用服务器等，是信息系统的关键组成部分。通过对应用服务器进行安全加固，应当提供对应用服务的安全支撑能力，即实现应用资源的安全隔离和对应用系统用户的强制访问控制功能。a) 用户身份鉴别采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护；b) 标记和强制访问控制应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；应确保安全计算环境内所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则；c) 网站资源隔离保护确保只有允许执行的进程能够访问其所属可执行文件、配置文件及数据文件，防止可能的恶意程序对应用系统所属资源的读写访问；d) 用户数据完整性保护采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制，检验安全计算环境中用户数据的完整性，并在其受到破坏时能对重要数据进行恢复；e) 系统可执行程序保护采用基于密码技术的信任链安全机制，构建从操作系统到上层应用的信任链，实现系统运行过程中可执行程序的完整性检验，并在检测到其完整性受到破坏时，采取有效的恢复措施，使其具有防范恶意代码攻击的能力；f) 系统安全审计应能记录系统相关安全事件，并能对特定安全事件进行报警；审计记录应包括安全事件的主体、客体、时间、类型和结果等内容。1.2.4.2.2 办公和维护终端安全保护办公及维护系统的终端安全保护是实施源头安全控制的重点工作，确保操作人员正常使用、合法操作，是实现整个信息系统安全的关键。a) 用户身份鉴别采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合对管理员用户进行身份鉴别，并对鉴别数据进行保密性和完整性保护；b) 强制访问控制在对管理员进行严格的身份鉴别基础上，严格控制其权限，确保其只能执行职责范围内的操作；c) 系统可执行程序保护采用基于密码技术的信任链安全机制，构建从操作系统到上层应用的信任链，实现系统运行过程中可执行程序的完整性检验，并在检测到其完整性受到破坏时，采取有效的恢复措施，使其具有防范恶意代码攻击的能力；d) 移动存储介质控制目前数据交互主要使用移动存储设备，为防止由此带来的病毒、木马以及泄密问题，需要研发基于国产系统定制安全移动存储管理系统，确保计算机内网信息与外部信息交换过程中的信息安全。安全移动存储介质是指通过专用注册工具对普通的移动存储介质（主要为移动硬盘、U 盘）内数据经过高强度算法加密，并根据安全控制策略的需要进行数据区划分，实现从主机层面和移动介质层面对文件的读、写进行访问控制和审计，为网络内部可能出现的数据拷贝泄密、移动存储介质遗失泄密、U 盘病毒等安全问题提供解决方案，使其具有较高安全性能的移动存储介质。e) 可信互联保证系统与其它安全部件可信交互信息的保密性、完整性，以及对其它安全部件安全身份、安全属性的正确确认，并防止非法外联和非法接入。f) 系统安全审计记录系统相关安全事件，并对特定安全事件进行报警；审计记录应包括安全事件的主体、客体、时间、类型和结果等内容。1.2.4.2.3 应用防护网关及其它网络安全设备应用防护网关设备应对正在进行的业务和管理层面的数据交互活动进行审计，对其中违反既定的安全政策的行为实时阻断，同时可以产生报警以及供事后分析和审计的依据。另外，应用防护网关还应具备数据包过滤、防 SQL 注入、双机热备、抗网络攻击能力等功能，以期防止黑客入侵，从而更有效地对应用系统的安全进行保护。增加千兆防火墙，能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；安全管理中心软件平台可对协议、端口、流量峰值等实时监控，对于超大和异常流量管理员有权阻断，也可以设置监控系统控制规则使其自行阻断。增加 IDS 设备覆盖所有网段，当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。1.2.4.3 区域边界安全建设第三级安全区域边界使用安全隔离与信息交换设备，支持以下方面安全功能：1）区域边界访问控制应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问。2）区域边界包过滤应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。3）区域边界安全审计应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。4）区域边界完整性保护应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。1.2.5安全建设效果表 1 列出了信息系统等级保护安全设计技术要求中三级系统的安全要求与本方案所到的功能指标的对照关系。表 1. 等保要求与建设方案指标的对照适用范围 功能要求 本方案功能指标 是否满足要求用户身份鉴别 基于 USB-Key 的双因子增强身份认证 满足自主访问控制访问控制主体包括用户、进程，客体类型包括文