CA安全等级保护解决方案v0.15

1、技术白皮书CA解决方案帮助实现安全等级保护2006年5月CA中国文档说明本文档包含了 CA中国的商业机密信息。本文档所涉及到的文字、图表等，仅限于 CA 中国和被送达方内部使用，未经 CA中国的书面许可，请勿扩散到第三方。1安全风险与等级保护互联网技术获得了广泛的应用，甚至成为了国家经济稳定和基础设施不可分割的一部分。在提高生产效率和促进各种创新业务的同时，互联网技术也为国家、社会、宏观经济、企业、 公众等带来了越来越严重的安全威胁。为此，安全风险越来越多地受到了政府、企业和公众的 关注，针对网络信息安全的投入也迅速增加。但是，我们应该看到，各个组织单位的信息技术（IT）环境千差万别，安全技术

2、和管理水平也参差不齐，投资和实际保护效果很难保证。为此，国家信息化领导小组明确提出“信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重 点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”并要求“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”（参见国家信息化领导小组关于加强信息安全保障工作的意见，中办发200327号，以下简称“27号文件”）。另外，2004年9月发布的关于信息安全等级保护工作的实施意见（公通字200466号，以下简称“ 66号文件”）进一步强调

3、了开展信息安全等级保护工作的重要意 义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。27号文彳和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出 了更高的要求。2安全等级保护大型组织和企业的信息系统规模庞大，结构复杂，系统之间的差异性很大，各种安全属性 和保护需求也各不相同。从信息安全保护投资经济性方面的考虑，需要具体设备、具体系统来 具体考虑。而从安全管理有效性上看，需要相对规范、标准的体系结构。为此，国际、国家、 主要行业都制定了若干的标准规范，来指导

4、约束针对大型信息系统安全保护体系的设计和建设。安全等级保护根据信息系统针对企业的关键性和具体的安全属性，划分等级，建立起等级 化的保护框架和相应的对策体系，可以帮助在经济性和规范性、安全性方面取得平衡，优化安 全投入和资源利用。表格一：安全保护等级的划分保护等级等级名称基本描述安全保护要求第一级自主保护级主要对象为一般的信息系统，其受到破坏后，会 对公民、法人和其他组织的权益有一定影响，但 不危害国家安全、社会秩序和公共利益。参照国家标准自主进行保护。第二级指导保护级主要对象为一般的信息系统，其受到破坏后，会在主管部门的指导下，按照国对社会秩序和公共利益造成轻微损害，但不损害国家安全。家标准自

5、主进行保护第三级监督保护级主要对象为涉及国家安全、社会秩序和公共利益 的重要信息系统，其受到破坏后，会对国家安全、 社会秩序和公共利益造成损害。在主管部门的监督下，按国家 标准严格落实各项保护措施进 行保护。第四级强制保护级主要对象为涉及国家安全、社会秩序和公共利益 的重要信息系统，其受到破坏后，会对国家安全、 社会秩序和公共利益造成严重损害。在主管部门的强制监督和检查 下，按国家标准严格落实各项 措施进行保护。第五级专控保护级主要对象为涉及国家安全、社会秩序和公共利益 的重要信息系统的核心子系统，其受到破坏后， 会对国家安全、社会秩序和公共利益造成特别严 重损害。根据安全需求，由主管部门和

6、运营单位对相应信息系统进行 专门控制和保护。信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能 力等级，而是从安全监管需要， 从信息系统对国家安全、 经济建设、公共利益等方面的重要性， 以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。同时,保证合理性原则才能做到突出重点，适度保护。安全等级保护要求不同等级的信息系统需要具备不同的、相应级别的安全保护措施和能力。具体的实施过程包括下面三个步骤：等级划分：把作为保护对象的信息系统按照资产价值、业务重要性、威胁程度、所需 安全特性等赋予相应的安全等级评估设计等级化的安全保护措施：参照国家实施指

7、南和技术要求，以及业界的最佳实 践，针对每个保护等级的信息资产设计定制相应的保护措施体系化并实施：综合考虑各等级系统的保护措施，有计划、分步骤地实施落地各保护 措施，并根据实际效果进行等级保护调优。3 CA解决方案CA公司是国际领先的安全管理解决方案供应商，不仅将国际上在安全管理方面的最佳实 践带到国内，还积极参与了国家在网络信息安全方面的标准规范建设和实施。CA公司认识到，安全等级保护的重大意义，但是实际实施过程可能会遇到相当的困难，包括在时间、费用、技 术、人员、经验等各个方面。另外，还会有许多机构和组织会试图应付了事，试图在不增加新 技术的风险的情况下满足所有的技术要求和时间期限。实施指

8、南和技术要求包括了在身份和帐号、口令、认证、授权和访问控制、审计、漏洞和 补丁管理、网络访问控制、反病毒、反各类恶意软件、安全域、变更和配置管理等，而其中身 份和访问管理（IAM ）覆盖了相当部分的技术措施要求。CA公司的安全产品系列提供了一个集成的安全服务平台，为不同类型、不同规模的机构、组织、企业提供用户管理、访问管理和资源供应服务。将这些集成产品配置在一起不仅会降低费用，增加安全性，而且可以更加容易 地、更加明显地提高安全等级保护的效力和时效性。通过集成管理模块，CA安全产品线可以提供全面的身份识别及访问管理功能。它可以提 供灵活的、开放的系统结构，该结构适合你的环境所需，无论该环境多么

9、复杂，可以应对正在 出现的、以服务为中心的系统结构所带来的特定挑战。2005年美国FBI的报告中指出，在目前范围内给企业IT信息安全带来破坏性损失的因素中，排在第一位的是计算机病毒，紧接其后的就是IT系统所面临的未经许可的访问。这样一来, 身份识别和访问管理（IAM ）就成为了企业IT安全管理的重要议题。CA公司身份识别和访问管理的产品线包括：Access Control 一 市场上独一无二的系统级访问控制平台，全面管理各种Unix/Linux和Windows平台上关于系统进程、文件、网络连接的基于角色的访问控制，帮助轻松实现第二级（指导保护级）及以上等级对主机系统安全访问控制的要求。Audi

10、t 全面收集系统、网络、应用的各种日志，满足第二级（指导保护级）及以上 等级对安全审计的要求。Identity Manager 灵活的、基于角色的用户管理及访问管理解决方案，用在系统级、基于Web的应用软件等的身份帐号、角色、口令等管理。满足第一级（自主保护级） 以及以上级对于身份帐号、口令、角色等方面的要求。SiteMinder?一在市场上占据主导地位的访问管理解决方案，对基于Web的企业应用软件，创建身份识别及访问管理的安全基础。帮助实现第二级（指导保护级）及以 上等级对应用安全访问控制的要求。TransactionMinder? 业内首选以政策为基础的解决方案，用于保护对 WebServ

11、ices的访问。IdentityMinder? eProvision TM 全面的预设置解决方案，为员工、合同工和合作伙伴 对重要的企业资源的访问流程进行自动化。表格二：CA安全产品线可以极大地帮助实施高效的安全等级保护*口 厂口口用户帐号 管理用户认证 及授权灵活的密 码服务用户访问 权限行为监控 及审计用户自助服务 帐号管理eTrustAccessControl有有eTrust Audit有eTrust IdentityMinder eProvision有有有有有eTrustIdentity Manager有有有有有eTrust SiteMinder有有有eTrustTransaction

12、Minder有有1 .用户帐号管理。CA Identity Manager专门设计用来应对用户管理（请求、建立、发出、 挂起以及关闭用户帐号）带来的挑战。通过授权的用户管理、用户自助服务、集成工作流以及 结构化的管理模型，此类产品提供身份创立及管理服务，支持以角色为基础的访问控制，从而 为管理用户访问受保护资源提供有效机制。Identity Manager可提供集成工作流功能，通过正式的、有效的批准程序对用户访问请求 加以管理。它们还可提供灵活的、以角色为基础的、授权委派的用户管理功能，用于更加有效 地对用户访问权的变更、挂起和终止加以管理。2 .用户认证及授权。eTrust Access C

13、ontrol, eTrust SiteMinder 和 eTrust TransactionMinder提供控制使用何种类型的认证方法来保护资源，以及如何对该认证方法进行部署和管理。通过 集中管理所有认证系统，使用先进的认证策略管理功能，公司可以根据资源价值和业务需要部 署混合的认证方法，从而为指定资源提供适当程度的资源保护。eTrust Access Control, eTrust SiteMinder 和 eTrust TransactionMinder 还可提供充足的策略模 型，以便可以轻松控制用户对于受保护资源和应用软件的访问，同时对其加以监控。创建集中 式控制和流程，对身份的创建和管

14、理以及细粒度的访问加以管理。集中的身份识别管理和访问 控制可以提供更加有效、更大的安全性。eTrust Access Control, eTrust SiteMinder 和 eTrust TransactionMinder 可以覆盖当前大多数的 操作系统平台和 Web应用平台。3 .灵活的密码服务。安全等级保护的一个主要要求就是需要一套灵活的密码政策，可以确保用户密码不仅难以猜中，而且定期更换。CA IdentityManager和eTrust SiteMinder都提供足够的功能，通过灵活的密码政策，可以轻松控制用户密码。确保用户正在遵守这些密码政策的 要求，切实可行。4 .用户访问权限管

15、理。eTrust Access Control, CA Identity Manager 可以设立、部署非常细 化的系统和应用级访问权限，不仅可以实现指导保护级（及以上级）要求的用户级访问控制和 权限分离，还可以实现第三级（监督保护级）要求的强制访问控制的各项内容。从而极大地降 低安全风险，加强对用户访问权的内部控制。5 .活动监控及审计。CA安全产品套件提供深入的审计和报告功能，以支持对访问和用户权利信息的收集和分析。可以提供活动、入侵和审计信息，从而可以对将要发生的和业已发 生的违反安全规定行为加以跟踪。例如， eTrust SiteMinder 跟踪用户会话，以便管理员可以监控被访问的资

16、源，用户试图访 问特定资源的频率，以及有多少用户正在访问特定应用软件。eTrust Audit 可以将系统、网络、应用的各种各样的日志收集、过滤、相关、分析，并帮助 产生灵活高效的报表和展现视图。6 . 用户自助服务帐号管理。 通过 CA IdentityManager 的用户自助服务功能和详细的报告， 用户可以行使其职责，以确保他们可以了解自己访问了哪些系统和数据，以及他们的身份识别 和认证是否已经互相保证。此外，如果出现与受保护资源有关的不正常行为，管理员也可以得 到报警。4 总结CA 身份与访问管理系列产品在IDC 等权威第三方的统计数据中连续五年占据世界第一名的位置，在国内外大型机构、

17、组织、企业中有大量的成功实施案例。CA 身份与访问管理平台为安全等级保护提供了强大的基础，尤其是在第二级以上的主机系统安全、应用安全方面。它帮助满足实现身份帐号、口令管理、访问和权限管理、安全审计等各种关键的保护要求，其中， eTrust SiteMinder 是市场上领先的 Web 应用层的安全访问控制软件， eTrust Access Control 还可以帮助实现第三级和以上级的强制访问控制安全要求。CA: The Management Software Experts!5 参考资料信息安全技术信息系统安全等级保护基本要求计算机信息系统安全等级保护实施指南， GB17859-1999 ，中国国家标准电子政务信息安