06信息安全等级保护安全建设技术体系设计翟

1、引言引言依据如下相关文件，制定信息系统安全等级保护相关标准：-中-关于-民计算机信息系统安全保护条例147信息化小组关于加强保障工作的意见200327号等级保护工作的实施意见公通字200466号等级保护管理办法公通字200743号本标准是-关于开展等级保护相关系列标准之一；相关的系列标准包括：技术 信息系统安全等级保护定级指南； （GB/T22240-2008）技术 信息系统安全等级保护基本要求； （GB/T22239-2008） 技术 信息系统安全等级保护测评准则； （GB/T28448）技术 信息系统安全等级保护实施指南； （GB/T 25058-2010）技术 信息系统等级保护安全设计技

2、术要求；（GB/T 25070-2010）等级保护安全建设工作的指导意见（2009-10-27）1429号文在对信息系统实施等级保护的过程中，在不同的阶段，还应参照其他有关信息安全等级保护的标准、要求开展工作，本课程将对信息系统安全等级保护基本要求和建设整改的相关事项的重点进行讲述。2等级保护安全建设技术体系设计主要内容第一部分：信息系统等级保护安全建设需求分析1、等级保护的安全需求2、系统特殊安全需求第二部分：信息系统等级保护安全保护环境第三部分：新建系统等级保护安全建设技术方案设计第四部分：已有系统等级保护安全方案设计总结3第一部分信息系统等级保护安全建设需求分析1、等级保护定义了三类安全

3、需求Ø S类业务保护类关注的是保护数据在、传输、处理过程中不被泄漏、破坏和免受的修改。未Ø A类系统服务安全保护类关注的是保护系统连续正常的运行，避免因对系统的未坏而导致系统不可用。修改、破Ø G类通用安全保护类既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。4第一部分信息系统等级保护安全建设需求分析5安全保护等级信息系统基本保护要求的组合第一级S1A1G1第S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A

4、2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5第一部分信息系统等级保护安全建设需求分析选择等级保护要求的步骤：Ø 第一步根据其等级从基本要求中选择相应等级的通用安全要求（G）；Ø 第二步根据定级过程中确定业务保护等级（S）和系统服务安全保护等级（A），确定该信息系统的安全需求类；Ø 第三步根据系统所的威胁特点调整安全要求。6等级保护安全建设技术体系设计主要内容第一部分：信息系统等级保护安全建设需求分析1、等级保护的安全需求2、系统特殊安全需求第二部分：信息系统等

5、级保护安全保护环境第三部分：新建系统等级保护安全建设技术方案设计第四部分：已有系统等级保护安全方案设计总结7第一部分信息系统等级保护安全建设需求分析Ø 2、明确系统特殊安全需求Ø的基本属性（CIA）-保护对象的特有属性性、完整性、可用性可控性、不可否认性、可性Ø风险评估（GB/T 20984-2007）-值得应对的事情有哪些，排个优先级资产价值、脆弱性、威胁Ø 木桶理论和过度安全-量力而行聚焦价值安全之安全8第一部分信息系统等级保护安全建设需求分析常遇见两种情况：Ø 第一种情况：不够。 等级保护相应等级的基本要求中某些方面的安全措施所达到的安全

6、保护不能满足本护需求，需要更强的保护。信息系统的保Ø 第二种情况：没有。 由于信息系统的业务需求、应用模式具有特殊性，系统的威胁具有特殊性，基本要求没有提供所需要的保护措施，例关云计算、无线网络的接入和防护基本要求中没有提出专门的要求，需要作为特殊需求。9第一部分信息系统等级保护安全建设需求分析第一种-不够：选择基本要求中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力第二种-没有：参照管理办法第十二条和第十三条列出的等级保护的其它标准进行保护。最后，调整后的信息系统等级保护基本安全要求与识别出的特殊安全需求共同确定了该系统的安全需求。10第一部分信息系统等级保护安全建设需

7、求分析业务的特殊安全需求：1.2.3.4.媒资系统-体积大：媒资来源广，音资料容量大，查杀是件大事，归档前多重查杀系统-政治性：内容严格监管，安全等级要提高，对、归档完整性要求强、互动等需求系统-时间快：通道，时延小；注意现场，如插播、网络云-标准不覆盖：网络的开通，采用云计算技术，支持热点等级保护安全建设技术体系设计主要内容第一部分：信息系统等级保护安全建设需求分析第二部分：信息系统等级保护安全保护环境1、安全保护环境相关定义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应总结第三部分：新建系统等级保护安全建设技术方案设计第四部分：已有系

8、统等级保护安全方案设计总结12第二部分：信息系统等级保护安全保护环境 1、安全保护环境定义信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。13第二部分：信息系统等级保护安全保护环境1、安全计算环境-计算域网络：服务器与数据中心对定级系统的信息进行、处理及实施安全策略的相关部件。2、安全区域边界-计算域边界安全措施对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。3、

9、安全通信网计算域网络的出口对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。4、安全管理中心支撑对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。5、跨定级系统安全管理中心跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。6、定级系统互联通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。14等级保护安全建设技术体系设计主要内容第一部分：信息系统等级保护安全建设需求分析第二部分：信息系统等级保护安全保护环境1、安全保护环境相关定

10、义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应总结第三部分：新建系统等级保护安全建设技术方案设计第四部分：已有系统等级保护安全方案设计总结15第二部分：信息系统等级保护安全保护环境安全环境模型设计思路来源计算环境域边界接入域安全计算环境网络基础设施域安全通信网络(终端接入)安全区域边界安全管理中心支撑性设施域IATF(信息保障技术框架)：“3+1”安全域架构保护环境17第二部分：信息系统等级保护安全保护环境支持分布式服务安全技术鉴别行为审计安全标记内容安全检测(AV+IPS+APT)网络信息传输安全ACL强制性实现第二部分：信息系统等级

11、保护安全保护环境安全运维内容系统运维与应急管理安全审计工作分离第二部分：信息系统等级保护安全保护环境两种安全域划分方法20第二部分：信息系统等级保护安全保护环境不同等级系统边界清晰，推荐使用21第二部分：信息系统等级保护安全保护环境业安全域设计示例不第二部分：信息系统等级保护安全保护环境第二部分：信息系统等级保护安全保护环境安全保护环境保护2930等级保护安全建设技术体系设计主要内容第一部分：信息系统等级保护安全建设需求分析第二部分：信息系统等级保护安全保护环境1、安全保护环境相关定义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应总结第三

12、部分：新建系统等级保护安全建设技术方案设计第四部分：已有系统等级保护安全方案设计总结31第二部分：信息系统等级保护安全保护环境第三部分：设计技术要求第一级系统安全保护环境设计n 设计目标n 设计策略n 设计技术要求32第二部分：信息系统等级保护安全保护环境设计目标n 第一级系统安全保护环境的设计目标是：按照GB17859-1999对第一级系统的安全保护要求，实现定级系统的，使系统用户对其所属客体具有自我保护的能力。33第二部分：信息系统等级保护安全保护环境设计策略n 第一级系统安全保护环境的设计策略是：遵循GB17859-1999的4.1中相关要求，以鉴别为基础，提供用户/用户组对文件及数据库

13、表的使用户具备，以实现用户与数据的安全保护的能力；以，滤手代码段提供区域边界保护；以数据校验和防范等提供数据和系统的完整性保护。34第二部分：信息系统等级保护安全保护环境设计技术要求n 安全计算环境设计技术要求n 安全区域边界设计技术要求n 安全通信网络设计技术要求35第二部分：信息系统等级保护安全保护环境安全计算环境设计技术要求第一级安全计算环境从以下方面进行安全设计：p用户鉴别应支持用户标识和用户鉴别。在每一个用户到系统时，采用用户名和用户标识符标识用户；在每次用户登录系统时，采用口令鉴别机制进行用户身份鉴别，并对口令数据进行保护。p应在安全策略范围内，使用户/用户组对其创建的客体具有相应

14、的操作权限，并能将这些权限的部分或全部授予其他用户/用户组。主体的粒度为用户/用户组级，客体的粒度为文件或数据库表级。创建、读、写、修改和删除等。用户数据完整性保护操作包括对客体的p可采用常规校验机制，检验破坏。代码防范的用户数据的完整性，以发现其完整性是否被p应安装防代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除代码。36主机防软件操作系统、数据库管理系统等第二部分：信息系统等级保护安全保护环境安全区域边界设计技术要求第一级安全区域边界从以下方面进行安全设计：p区域边界滤可根据区域边界安全策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否

15、该数据包通过该区域边界。p区域边界代码防范可在安全区域边界设置防代码软件，并定期进行升级和更新，以防止代码。37OS的安全策略第二部分：信息系统等级保护安全保护环境安全通信网络设计技术要求第一级安全通信网络从以下方面进行安全设计：p通信网络数据传输完整性保护可采用常规校验机制，检验通信网络数据传输的完整性，并能发现其完整性被破坏。38传输协议的完整性校验机制第二部分：信息系统等级保护安全保护环境第系统安全保护环境设计n 设计目标n 设计策略n 设计技术要求39第二部分：信息系统等级保护安全保护环境设计目标p第照GB系统安全保护环境的设计目标是：按17859-1999对第系统的安全保护要求，在第

16、一级系统安全保护环境的基础上，增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的，使系统具有更强的安全保护能力。40第二部分：信息系统等级保护安全保护环境设计策略p 第系统安全保护环境的设计策略是：遵循GB17859-1999的4.2中相关要求，以鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表等的以数据校验和；以滤提供区域边界保护；，同时通过增加系代码防范等统安全审计、客体安全重用等功能，使用户对的行为负责，提供用户数据强系统的安全保护能力。性和完整性保护，以增41第二部分：信息系统等级保护安全保护环境设计技术要求n 安全计算环境设计技术要求n 安全区域边界设计技术要求

17、n 安全通信网络设计技术要求n 安全管理中心设计技术要求42第二部分：信息系统等级保护安全保护环境n安全计算环境设计技术要求第p安全计算环境从以下方面进行安全设计：用户鉴别应支持用户标识和用户鉴别。在对每一个用户到系统时，采用用户名和用户标识符标识用户，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户鉴别，并对鉴别数据进行性和完整性保护。p应在安全策略范围内，使用户对其创建的客体具有相应的操作权限，并能将这些权限的部分或全部授予其他用户。主体的粒度为用户级，客体的粒度为文件或数据库表级。和删除等。系统安全审计操作包括对客体的创建

18、、读、写、修改p应提供安全审计机制，系统的相关安全。审计包括安全的主体、客体、时间、类型和结果等内容。该机制应提供审计储保护，并可由安全管理中心管理。、分类和存43日志管理系统第二部分：信息系统等级保护安全保护环境p用户数据完整性保护可采用常规校验机制，检验破坏。的用户数据的完整性，以发现其完整性是否被p用户数据可采用性保护-敏感信息加密(如)技术支持的性保护机制，对在安全计算环境中和处理的用户数据进行性保护。p客体安全重用-内存、介质应采用具有安全客体复用功能的系统软件或具有相应功能的，对用户使用的客体，在这些客体重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。p代码防范应安装防

19、代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除代码。44第二部分：信息系统等级保护安全保护环境安全区域边界设计技术要求第安全区域边界从以下方面进行安全设计：区域边界滤应根据区域边界安全策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否该数据包通过该区域边界。区域边界安全审计应在安全区域边界设置审计机制，并由安全管理中心统一管理。区域边界代码防范应在安全区域边界设置防代码网关，由安全管理中心管理。区域边界完整性保护应在区域边界设置探测器，探测外联等行为，并及告安全管理中心。45上网行为管理等网络审计等FW、WAF等第二部分：信息系统等级保护安

20、全保护环境n安全通信网络设计技术要求第安全通信网络从以下方面进行安全设计：通信审计应在安全通信网络设置审计机制，由安全管理中心管理。通信网络数据传输完整性保护可采用由技术支持的完整性校验机制或具有相应强度的其他安全机制，以实现网络数据传输完整性保护。通信网络数据传输性保护可采用由技术支持的性保护机制或具有相应强度的其他安全机制，以实现网络数据传输性保护。46网络行为审计第二部分：信息系统等级保护安全保护环境n安全管理中心设计技术要求系统管理可通过系统管理员对系统的和运行进行配置、和管理，包括用户和管理、系统配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及应对系统管理员进行代

21、码防范等。鉴别，只其通过特定令或操作界面进行系统管理操作，并对这些操作进行审计。审计管理可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计型的安全审计机制；对各类审计进行分类；提供按时间段开启和关闭相应类进行、管理和等。令或操作界面进行安应对安全审计员进行全审计操作。鉴别，并只其通过特定47日志审计系统、安全管理平台第二部分：信息系统等级保护安全保护环境第三级系统安全保护环境设计n 设计目标n 设计策略n 设计技术要求48第二部分：信息系统等级保护安全保护环境设计目标n 第三级系统安全保护环境的设计目标是：按照GB17859-1999对第三级系统的安

22、全保护要求，在第系统安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问以及增强系统的审计机制，使系统具有在统一安全策略管控下，保护敏感能力。的49第二部分：信息系统等级保护安全保护环境设计策略n第三级系统安全保护环境的设计策略是：在第系统安全保护环境的基础上，遵循GB 17859-1999的4.3 中相关要求，构造非形式化的安全策略模型，对主、客体进行安全标记，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照强制规则实现对主体及其客体的。50性模型强制性模型第二部分：信息系统等级保护安全保护环境设计技术要求n 安全计算环境设计技术要求n 安全区域边界设计技术要求n 安全通

23、信网络设计技术要求n 安全管理中心设计技术要求52第二部分：信息系统等级保护安全保护环境n安全计算环境设计技术要求第三级安全计算环境从以下方面进行安全设计：用户鉴别应支持用户标识和用户鉴别。在对每一个用户到系统时，采用用户名和用户标识符标识用户，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心的口令、令牌、基于生物特征、数字以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行性和完整性保护。标识不能重用，可新建，可注销应在安全策略范围内，使用户对其创建的客体具有相应的操作权限，并能将这些权限的部分或全部授予其他用户。级，客体的粒

24、度为文件或数据库表级和（或） 括对客体的创建、读、写、修改和删除等。主体的粒度为用户或字段级。操作包53集中管理系统：CA、动态口令、等第二部分：信息系统等级保护安全保护环境标记和强制在对安全管理员进行鉴别和权限的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制规则，对确定主体客体的操作进行。强制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制规则。系统安全审计应系统的相关安全。审计包括安全的主体、客体、时间、类型和结果等内容。应提供审计、分类、分析和保护；能对特定安全进行；确保审计不被破坏

25、或非。应为安全管理中心提主体调用的接口。供接口；对不能由系立处理的安全，提供由用户数据完整性保护应采用机制支持的完整性校验机制或其他具有相应安全强度的完整性校验机制，检验和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。54数据库审计、业务日志审计统一管理、SSO等第二部分：信息系统等级保护安全保护环境用户数据性保护采用技术支持的性保护机制或其他具有相应安全强度的性保护机制，对在安全计算环境中和处理的用户数据进行性保护。客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的，对用户使用的客体，在这些客体重新分配前，对其原使用者的信息进行清除，以

26、确保信息不被泄露。程序执行保护可构建从操作系统到上层应用的信任链，其中可采用计算等技术，以实现系统运行过程中可执行程序的完整性检验，防范其完整性受到破坏时采取有效的恢复措施。代码等，并在检测到55系统与应用程序信任链机制第二部分：信息系统等级保护安全保护环境n安全区域边界设计技术要求第三级安全区域边界从以下方面进行安全设计：区域边界应在安全区域边界设置和强制机制，实施相应的策略，对进出安全区域边界的数据信息进行，非。区域边界滤应根据区域边界安全策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否区域边界安全审计该数据包进出该区域边界。应在安全区域边界设置审计机制，由安全管

27、理中心集中管理，并对确认的行为及警。区域边界完整性保护应在区域边界设置探测器，例如外接探测软件，探测外联和行为，并及告安全管理中心。56检测系统IDS终端安全管理(网络准入、外联、介质管理)网络行为审计第二部分：信息系统等级保护安全保护环境n安全通信网络设计技术要求第三级安全通信网络从以下方面进行安全设计：通信审计应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的行为进行。通信网络数据传输完整性保护应采用由技术支持的完整性校验机制或具有相应安全强度的其他安全机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。通信网络数据传输性保护采用由技术支持的性保护机制或具

28、有相应安全强度的其他安全机制，性保护。以实现网络数据传输通信网络可采用由接入保护技术支持的网络连接机制，通过对连接到通信网络的设备进行检验，确保接入通信网络的设备真实，防止设备的接入。57加密机、用户信息签名第二部分：信息系统等级保护安全保护环境n安全管理中心设计技术要求系统管理应通过系统管理员对系统的和运行进行配置、和管理，包括用户管理、系统地配置、系统加载和启动、系统运行的异常处理以及支持管理本地和（或）异备份与恢复等。应对系统管理员进行鉴别，只其通过特定令或操作界面进行系统管理操作，并对这些操作进行审计。安全管理应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行的安全策略。，配

29、置一致应对安全管理员进行作，并进行审计。审计管理鉴别，只其通过特定令或操作界面进行安全管理操应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计析结果进行处理。应对安全审计员进行作。进行、管理和等。对审计应进行分析，并根据分鉴别，只其通过特定令或操作界面进行安全审计操58第二部分：信息系统等级保护安全保护环境第四级系统安全保护环境设计n 设计目标n 设计策略n 设计技术要求59第二部分：信息系统等级保护安全保护环境设计目标Ø 第四级系统安全保护环境的设计目标是：按照GB1785

30、9-1999对第四级系统的安全保护要求，建立一个明确定义的形式化安全策略模型，将和强制扩展到所有主体与客体，相应增强其他安全功能强度；将系统安全保护环境结构化为关键保护元素和非关键保护元素，以使系统具有抗渗透的能力。60第二部分：信息系统等级保护安全保护环境设计策略n第四级系统安全保护环境的设计策略是：在第三级系统安全保护 环境设计的基础上，遵循GB 17859-1999的4.4中相关要求，通过安全管理中心明确定义和维护形式化的安全策略模型。依据该模型，采用对系统内的所有主、客体进行标记的，实现所有主鉴别、审计、安体与客体的强制。同时，相应增强全管理等功能，定义安全部件之间接口的途径，实现系统

31、安全保护环境关键保护部件和非关键保护部件的区分，并进核，保障安全功能的有效性。试和审61第二部分：信息系统等级保护安全保护环境设计技术要求n 安全计算环境设计技术要求n 安全区域边界设计技术要求n 安全通信网络设计技术要求n 安全管理中心设计技术要求n 系统安全保护环境结构化设计技术要求62第二部分：信息系统等级保护安全保护环境n安全计算环境设计技术要求第四级安全计算环境从以下方面进行安全设计：用户鉴别应支持用户标识和用户鉴别。在每一个用户到系统时，采用用户名和用户标识符标识用户，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录和重新连接系统时，采用受安全管理中心的口令、基于生物特征的

32、数据、数字以及其他具有相应安全强度的两种或两种以上的组合机制进行用户鉴别，且其中一种鉴别技术产生的鉴别数据是不可替代的，并对鉴别数据进行性和完整性保护。应在安全策略范围内，使用户对其创建的客体具有相应的操作权限，并能将这些权限部分或全部授予其他用户。，客体的粒度为文件或数据库表级和（或） 对客体的创建、读、写、修改和删除等。主体的粒度为用户级或字段级。操作包括63第二部分：信息系统等级保护安全保护环境标记和强制在对安全管理员进行鉴别和权限的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记，将和强制扩展到所有主体与客体的操作进行控客体；应按安全标记和强制规则，对确定主体制。强制主体的

33、粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制规则。系统安全审计应系统相关安全。审计包括安全的主体、客体、时间、类型和结果等内容。应提供审计、分类、分析和保护；能对特定安全进行止审计，终止违例进程等；确保审计不被破坏或非以及防立处理的安丢失等。应为安全管理中心提供接口；对不能由系全，提供由主体调用的接口。64第二部分：信息系统等级保护安全保护环境用户数据完整性保护应采用机制支持的完整性校验机制或其他具有相应安全强度的完整性校验机制，检验和处理的用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。用

34、户数据性保护采用技术支持的性保护机制或其他具有相应安全强度的性保护机制，对在安全计算环境中的用户数据进行客体安全重用性保护。应采用具有安全客体复用功能的系统软件或具有相应功能的，对用户使用的客体，在这些客体重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。程序执行保护应构建从操作系统到上层应用的信任链，其中可采用计算技术，以实现系统运行过程中可执行程序的完整性检验，防范完整性受到破坏时采取有效的恢复措施。代码等，并在检测到其65第二部分：信息系统等级保护安全保护环境n安全区域边界设计技术要求第四级安全区域边界从以下方面进行安全设计：区域边界应在安全区域边界设置和强制机制，实施相应的策

35、略，对进出安全区域边界的数据信息进行，非。区域边界滤应根据区域边界安全策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否区域边界安全审计该数据包进出受保护的区域边界。应在安全区域边界设置审计机制，通过安全管理中心集中管理，对确认的行为及警并做出相应处置。区域边界完整性保护应在区域边界设置探测器，例如外接探测软件，探测外联和行为，并及告安全管理中心。66第二部分：信息系统等级保护安全保护环境n安全通信网络设计技术要求第四级安全通信网络从以下方面进行安全设计：通信审计应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的行为进行，且做出相应处置。通信网络数据传输完

36、整性保护应采用由技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。通信网络数据传输性保护性保护机制或具有相应安全强度的其他安全机制，性保护。采用由技术支持的以实现网络数据传输通信网络应采用由接入保护技术支持的网络连接机制，通过对连接到网络的设备进行可信检验，确保接入网络的设备真实，防止设备的接入。67第二部分：信息系统等级保护安全保护环境n安全管理中心设计技术要求系统管理应通过系统管理员对系统的和运行进行配置、和管理，包括用户管理、系统配置、系统加载和启动、系统运行的异常处理以及支持管理本地和异地备份与恢复等。应对系统管理员进行鉴别，只其通过特定令或操

37、作界面进行系统管理操作，并对这些操作进行审计。安全管理应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行，配置一致的安全策略，并确保标记、和安全策略的数据完整性。应对安全管理员进行作，并进行审计。审计管理鉴别，只其通过特定令或操作界面进行安全管理操应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计进行、管理和等。对审计应进行分析，并根据分析结果进行及时处理。应对安全审计员进行作。鉴别，只其通过特定令或操作界面进行安全审计操68第二部分：信息系统等级保护安全保护环境n系统安全保

38、护环境结构化设计技术要求安全保护部件结构化设计技术要求第四级系统安全保护环境各安全保护部件的设计应基于形式化的安全策略模型。安全保护部件应划分为关键安全保护部件和非关键安全保护部件，防止敏感信息危害安全策略从关键安全保护部件流向非关键安全保护部件。关键安全保护部件应划分功能层次，明确定义功能层次间的调用接口，确保接口之间的交换。安全保护部件互联结构化设计技术要求第四级系统各安全保护部件之间互联的接口功能及其调用关系应明确定义；各安全保护部件之间互联时，需要通过验证机制相互验证对方的性，确保安全保护部件间的连接。重要参数结构化设计技术要求应对第四级系统安全保护环境设计实现的与安全策略相关的重要参

39、数的数据结构给出明确定义，包括参数的类型、使用描述以及功能说明等，并用验证机制确保数据不被篡改。69等级保护安全建设技术体系设计主要内容第一部分：信息系统等级保护安全建设需求分析第二部分：信息系统等级保护安全保护环境1、安全保护环境相关定义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应总结第三部分：新建系统等级保护安全建设技术方案设计第四部分：已有系统等级保护安全方案设计总结70第二部分：信息系统等级保护安全保护环境n 第一级系统安全保护环境基本要求与对应71使用范围基本要求类型举例安全计算环境防范（系统升级）正版软件（补丁管理系统）代码

40、防范单机版主机防软件（网络版）安全区域边界（滤）路由器（）安全通信网络通信网络数据传输完整性保护（）路由器（）第二部分：信息系统等级保护安全保护环境n 第系统安全保护环境基本要求与对应72使用范围基本要求类型举例安全计算环境网络结构（VLAN划分）三层交换机（）（权限分离）主机安全服务加固防范（补丁升级）补丁管理备份恢复（关键设备）设备冗余数据完整性、性数据库安全服务加固剩余信息管理主机安全服务加固代码防范（统一管理）网络版主机防软件安全区域边界区域边界（状态检测（并发连接）（带宽管理、流量、负载均衡区域边界检测IDS区域边界完整性保护防外统安全通信网络通信审计上网行为审计数据传输完整性、性保

41、护设备安全管理中心系统管理内控安全管理系统审计管理（网络、主机、应用审计系统第二部分：信息系统等级保护安全保护环境n 第三级系统安全保护环境基本要求与对应73使用范围基本要求类型举例安全计算环境网络结构（VLAN划分）三层交换机（）MPLS（权限分离）主机加固系统防范（检测告警）主机检测（HIDS）备份恢复（数据备份）设备冗余、异地备份（本地介质场外数据完整性、性加密机、数据库加密系统剩余信息管理主机加固系统认证（双因素）、令牌、密保卡代码防范（统一管理）网络版主机防软件第二部分：信息系统等级保护安全保护环境n 第三级系统安全保护环境基本要求与对应74安全区域边界区域边界（协议检测）（N/FW

42、、IPS）（优先级）带宽管理、流量、负载均衡区域边界检测IDS区域边界代码防范品牌异构防网关(AV)区域边界完整性保护终端综合管理系统安全通信网络通信审计上网行为管理数据传输完整性、性保护设备安全管理中心系统管理内控安全管理系统审计管理（不可篡改、统计分析安全审计系统（统计分析与报表）第二部分：信息系统等级保护安全保护环境n 第四级系统安全保护环境基本要求与对应75使用范围基本要求类型举例安全计算环境网络结构（VLAN划分）三层交换机（ACL）、MPLS（权限分离）主机加固系统防范（检测告警）主机检测（HIDS）备份恢复（异地实时）设备冗余、异地实时灾备中心数据完整性、性（硬件）内容加密、加密

43、机剩余信息管理主机加固系统认证（不可）生物识别代码防范（统一管理）网络版主机防软件第二部分：信息系统等级保护安全保护环境n 第四级系统安全保护环境基本要求与对应76安全区域边界区域边界（非通用协议）网闸、（N/FW、IPS）（优先级）带宽管理、流量、负载均衡区域边界检测（采取动作）防护系统区域边界代码防范（异构）品牌异构防网关(AV)区域边界完整性保护终端综合管理系统安全通信网络通信审计上网行为管理数据传输完整性、性保护（硬件）加密机安全管理中心系统管理（响应）内控安全管理系统、IT运维管理审计管理（统一策略、时钟）统一安全审计管理平台第二部分：信息系统等级保护安全保护环境安全保障体系设计思路

44、-“花瓶模型”可见(对内)可见(对外)防护任的人(用户与维护者)任的人(安全管理者)安全保障体系设计思路-“花瓶模型”“三线一平台”纵深立体防御体系安全类型安全说明边界防护体系FW/UTM/N安全域边界、安全域内部IPS/AV重要业务服务，提供应用层检测WAF可选。或Web服务器前防护可选。出差、分支接入网闸可选。生产网与办公网终端安全管理三级选用(虚拟桌面技术可用)。至少补丁管理、网络准入、终端审计、外联等模块服务器安全加固重要服务器(安全加固、强制性)普通服务器选择加固服务敏感信息保护DLP可选。敏感信息全生命周期内的保护区可选。安全等级差异较大网络间与体系IDS的网络分别部署漏洞扫描网络

45、共用，或选择安全服务防系统主机防、网络防APT检测可选。沙箱、异常流量、大数据分析等安全类型安全说明信任体系认证系统CA三级选用。主要是双因子认证需要系统可选择动态口令系统网络行为与数据库审计的网络分别部署运维审计(堡垒机审计)三级选用。运维区域出口互联网行为审计可选。互联网出口日志审计(系统、业务、设备)选用，三级用SOC替代安全管理安全管理平台SOC的网络分别部署在网络补丁管理系统补丁服务器安全服务风险评估与方案咨询服务安全加固服务安全渗透服务安全应急服务可选。安全值守服务可选。源代码审计服务可选。面对高级网络威胁，“花瓶模型”升级版新安全措施与服务安全类型安全说明边界防护无线IPSWiF

46、i无线网安全防护虚拟边界vPC、xVlan、SDN等流量控协议制端到端加密统一密钥传递中心，实现应用级端到端加密应用安全容器在非安全环境终端中运维高安全应用动态基于流量的网络异常分析行为关联、文件地址命令识别高级威胁检测文件沙箱检测信任体系统一系统支持用户漫游，支持单点登录SSO基于大数据的用户行为分析利用各种日志场景关联分析安全管理安全态势感知安全态势展示威胁情报外部威胁系统接入，内部情报关联安全服务众测组织子公开漏洞挖掘安全咨询服务架构设计、开发安全指导、应用安全流程设计第二部分：信息系统等级保护安全保护环境n 等保三级不同安全域模型安全部署第二部分：信息系统等级保护安全保护环境安全管理Internet安全运维区域漏洞扫描存管网络安全审计防御所网络区域内网区域网上区专线网络安全网关营业部网络营业部网络营业部网络灾备中心网络办公网络检测第二部分：信息系统等级保护安全保护环境第二部分：信息系统等级保护安全保护环境信息系统等级保护安全保护环境第二部分：信息系统等级保护安全保护环境补丁管理系统补丁管理系统终端安全管理系统网络防系统网络防系统终端准入系统主机/应用日志审计数据库安全审计内容加密系统补丁管理系统网络审计系统安全加固系统网络防系统检测系统三级数据安全需求主机/应用日志审计漏洞扫描系统三级物理安全需求物理安全网闸第二部分：信息系统等级保护安全保护环境第二部分：信