等级三级系统安全防护应用

概述 信息安全等级保护制度作为国家信息安全保护的基本国策，目 前已在全国各行业得到广泛推广和落实。根据国家的相关要求，已 经定级备案的信息系统应在三年之内完成整改建设工作，并通过等 级保护相关测评。随着等保建设逐步提上日程，各单位在如何利用 现有安全保密产品的条件下，结合本单位实际满足等保要求方面面 临诸多困惑。笔者结合本单位在等保建设中的实践，抛砖引玉，就 三级系统下如何满足等保要求进行有效的探索。第三级系统安全保 护环境的设计目标是：按照 GB17859-1999 对第三级系统的安全保护 要求，在第二级系统安全保护环境的基础上，通过实现基于安全策 略模型和标记的强制访问控制以及增强系统的审计机制，使系统具 有在统一安全策略管控下，保护敏感资源的能力。 本系统根据“一个中心”管理下的“三重保护”体系框架进行设计， 构建安全机制和策略，形成定级系统的安全保护环境。该环境共包 括四部分：安全计算环境、安全区域边界、安全通信网络和安全管 理中心。 1、等级保护三级系统的防护要求与设计要求分析 按照等级保护三级的要求，笔者主要针对以下四个方面进行设计： 2.1安全计算环境设计安全计算环境设计 (1)用户身份鉴别 应支持用户标识和用户鉴别。 (2)自主访问控制 在安全策略控制范围内，使用户对其创建的对象具有访问操作权限，这个权限可以根 据用户进行授权。可以具体到针对被访问对象的具体操作。 (3)标记和强制访问控制 可以对访问者和被访问者在身份鉴别的基础上进行安全标记，实现对主体访问客体的 操作进行控制。 (4)系统安全审计 对访问行为进行完整的审计，审计的内容包括访问对象、被访问对象，访问的行为、 时间等内容。 (5)用户数据完整性保护 采用备份、HASH 方法对数据的完整性进行保护，防止被篡改。 (6)用户数据保密性保护 采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据 进行保密性保护。 (7)客体安全重用 客体安全重用即指被访问对象不应保留访问对象的特征，避免由于不同访问对象的访 问而造成访问对象之间信息的泄露。 (8)程序可信执行保护 采用可信计算技术，保证程序执行过程是可信的。可信是个复杂的环节，但是我们可 以在重点服务器计算环境内实现可信。 对于(1), (2), (3), (4)的要求可以通过高强度的身份认证产品实现。(5), (6), (7)可以通过比 较流行的敏感信息数据保护技术实现;(8)是一个复杂的要求，如何做到可信的环境也是一个 复杂的命题，毕竟在多数情况下，我们的计算环境还是建立在一个开放的平台上进行建设。 而且，从硬件开始至操作系统，基本都是国外的产品构成.可信执行保护只能在操作系统平 台上实现，很难做到完全的可信。 2.2安全区域边界设计安全区域边界设计 (1)区域边界访问控制 要求在区域边界进行控制，防止非授权访问。 (2)区域边界包过滤 要求在区域边界进行包过滤检测措施。 (3)区域边界安全审计 要求在区域边界进行安全审计措施，保证内外数据的审计。 (4)区城边界完整性保护 应在区域边界设置探测器，例如外接探测软件，探渊非法外联和人侵行为，并及时报 告安全管理中心。 2.3安全通信网络设计安全通信网络设计 (1)通信网络安全审计 在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行 报警。 (2)通信网络数据传输完轶性保护 对网络传输数据进行完整性检验和保护。保证网络传输数据的安全性。 (3)通信网络数据传输保密性保护 对网络数据进行传输保密。 (4)通信网络可信接人保护 对通信网络采用可信接人保护。 安全通信网络设计主要是针对通信网络的保密要求，采用网络加密技术可以实现等级 保护三级中的所有要求，这里我们采用 VPN 技术实现对通信网络和数据的保护。 2.4安全管理中心设计安全管理中心设计 (1)系统管理 等保三级要求系统可以对系统管理员的行为进行身份鉴别和授权，仅允许系统管理员 访问特定的界面和特定的系统。在多数情况下，系统管理员可以分为网络管理员、主机管 理员和存储管理员。网络管理员主要对网络设备进行策略配置。主机管理员主要对服务器 操作系统进行管理和配置。多数情况下，主机管理员又分为 PC 服务器管理员和小型机管理 员;存储管理员主要对存储设备进行维护和管理。 (2)安全管理 等保三级要求对安全管理员进行身份鉴别和授权。总所周知，安全管理员仅是对安全 设备的管理，安全设备又涉及到了整个计算系统的各个方面，对安全管理员的管理也变得 尤为重要，多数安全设备都具有 LOG 记录功能，同时提供了方便的接口可以进行授权管理。 (3)审计管理 等保共级要求对安全审计员进行身份鉴别和管理，安全审计员要和多种设备打交道， 如何保证安全审计员的行为进行控制同样是一个复杂的要求。 2、网络的现状分析 3、具体设计实施 3、针对本单位的具体实践、针对本单位的具体实践 3.1安全计算环境建设安全计算环境建设 安全计算环境设计选用的一个重要的产品是高强度的多因子身份认证系统，采用该身 份认证系统，可以实现等保三级中要求的用户身份鉴别、自主访问控制、标记和强制访问 控制、系统安全审计等要求，笔者采用基于代理技术的身份认证技术。除了以上功能外， 还可以实现对访问过程的控制，保证请求的有效、请求过程的正确、数据格式的正确等等。 敏感数据保护系统是一个近年来刚刚兴起的技术，普遍基于文件驱动管理技术，优点 在干稳定性较好，缺点在于其工作在操作系统平台之上，在操作系统内部是没有办法对数 据进行保护的。当前市面上有些企业采用国外的技术实现了在操作系统内部的数据保护， 但是其稳定性还待进一步观察。该系统可以实现等保三级要求的用户数据完整性保护、用 户数据保密性保护和客体安全重用的要求。 可信计算平台是一个复杂的间题，到日前为止，笔者无法选用合适的技术和产品完全 满足这个要求，在目前的情况下可以采用主机加固和增强类产品实现。 3.2安全区域边界建设安全区域边界建设 外部网络和内部网络保护系统由防火墙、防 DDoS 攻击设备、人侵检测设备、防病毒 网关组成。防火墙只开放必需的服务端日，若配有 IDS,需考虑两者之间的联动，提供对攻 击的检测和报警。防 DDoS 设施起到对外部网络层分布式拒绝服务攻击的基本控制作用。 完整的抵御分布式拒绝服务攻击还包括整体应用策略和应用层机制。 防病毒网关对流入数据进行防毒检溯，作为防毒的第一道防线，在边界起到章要的作 用。但是仅仅具有防病毒网关是不够的，还必须在终端安装网络防病毒软件，做到全网统 一策略，从而可以保证对流入的病毒进行实时查杀。这里需要说明的是，国外品牌的防毒 软件大部分在遇到无法杀毒的染毒文件时，采用保守策略，仅仅是警告或者移动文件至保 护区。国内的软件大部分采用侧除文件的操作。在某些极端环境下，两种方法都有可能给 用户带来问题，笔者选用了杀毒软件和终端管理软件相结合的方式，保证染毒文件可以通 过网络移动到指定的病毒服务器的相应目录下，便于安全管理员进行下一步的处理。 3.3安全通信网络建设安全通信网络建设 安全通信网络的要求基本上可以采用一台 VPN 设备解决:外部终端需访问内部网络资源 时，可以采用 IPSecVPN 或者 SSL VPN;若具有分支机构的情况，采用带有加速功能的 VPN 设 备可以提高网络传输效率。IPSecVPN 的技术较为成熟，配置相对比较麻烦，在实际使用过 程中不如 SSL VPN 方便。 针对等保三级的要求，VPN 系统的审计、数据校验等功能都必须打开。 3.4安全管理中心建设安全管理中心建设 目前很多厂商提供安全管理中心的设计和解决方案，然而笔者研究了多个产品的解决 方案，无论是 SOC 产品还是安全管理平台产品，多数冠以按照 ITIL 规范设计和部署，但是 基本上没有一家产品可以真正实现 ITIL 规范中所要求的各个实现，所涉及的安全产品仅限 于少量的合作伙伴的产品，很难做到大范围内产品的统一管理，这主要是由于目前安全产 品没有遵循统一的规范造成的。 为了既满足等保要求又能真正解决实际需求，笔者考虑选用多个产品来实现安全管理 中心的功能:各个被管理系统的管理工具+数据铭合的方式实现。选用多个产品也有利于将 不同的权限从系统级别进行划分，划归不同人员进行管理，从而为管理制度_L 的相互约束 提供技术支撑。当各个对象的管理工具将信息获取到以后，采用数据整合管理工具实现对 这些数据的最后整合。数据整合的产品比较多，尤其在 ERP 系统中使用比较广泛，用以提 供最高管理者进行决策，价格也能够为一般企业所接受，只是在以前的方案设计中，很少 考虑到将该产品用于安全管理中心。在安全管理中心建设中利用数据整合工具可实现多个 管理工具之间的信息互通。 笔者在本单位安全管理中心的设计中，采用运维管理、内网管理、网络管理、LOG 日 志管理相结合的方式，同时在安全设备和网络设备的选择中，着重考虑系统之间的兼容性 和开放性，避免由于某个设备无法进行安全管理而造成枯个网络的无序。 3.5安全管理规范制定安全管理规范制定 目前在业界内大多数用户也已经达成共识，单纯依靠技术不能解决所有的安全问题， 必须配套相应的管理手段。安全管理规范是必要而且非常重要的辅助手段，笔者所在单位 根据实际的情况，采用系统管理员、安全管理员、安全审计员三权分立、互不兼任的原则， 约束各个管理员的行为，同时配合门禁、USB Key