信息系统等级保护建设方案

1、边界接入平台终端安全保护系统边界接入平台终端安全保护系统建设方案建设方案2009 年年 6 月月 5 日日2文件修改记录文件修改记录修改日期修改日期版本号版本号修改内容修改内容修改人修改人审核人审核人批准人批准人/日期日期3目目 录录1项目建设的必要性项目建设的必要性.51.1政策必要性政策必要性.51.2整体安全需要整体安全需要.51.3合规性需要合规性需要.62法规、政策和技术依据法规、政策和技术依据.72.1信息安全等级保护有关法规、政策、文件信息安全等级保护有关法规、政策、文件.72.1.1中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 （国务院（国务

2、院 147 号令）号令）.72.1.2国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见 （中办发（中办发200327 号）号）.72.1.3关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 （公通字（公通字200466 号）号）.82.1.4信息安全等级保护管理办法信息安全等级保护管理办法 （公通字（公通字200743 号）号）.92.1.5信息安全等级保护技术标准体系及其关系信息安全等级保护技术标准体系及其关系 .93终端安全防护系统功能介绍终端安全防护系统功能介绍 .143.1终端安全防护系统（前置服务器版）功能介绍终端安

3、全防护系统（前置服务器版）功能介绍.143.1.1强身份认证功能强身份认证功能 .143.1.2多用户强制访问控制多用户强制访问控制 .14图图 3.1.3 用户权限控制示意图用户权限控制示意图.153.1.3应用系统安全封装应用系统安全封装 .173.1.4自主访问控制自主访问控制 .17图图 3.1.4 文件保密柜示意图文件保密柜示意图.173.1.5数据保密性保护数据保密性保护 .173.1.6系统完整性保护系统完整性保护 .183.1.7行为审计监控行为审计监控 .183.1.8边界保护控制边界保护控制 .183.2终端安全防护系统（终端安全防护系统（PCPC 版）功能介绍版）功能介绍

4、.193.2.1强身份认证功能强身份认证功能 .193.2.2强制访问控制强制访问控制 .20图图 3.2.2 用户权限控制示意图用户权限控制示意图.213.2.3自主访问控制自主访问控制 .22图图 3.2.3 文件保密柜示意图文件保密柜示意图.223.2.4数据保密性保护数据保密性保护 .233.2.5系统完整性保护系统完整性保护 .233.2.6行为审计监控行为审计监控 .233.2.7边界保护控制边界保护控制 .2444边界接入平台终端安全保护系统实施计划边界接入平台终端安全保护系统实施计划.254.1统一规划，分步实施统一规划，分步实施.254.2实施产品列表实施产品列表.254.3

5、项目实施拓扑示意图项目实施拓扑示意图.2551项目建设的必要性项目建设的必要性1.1政策必要性政策必要性随着全球信息化进程的不断推进，我国政府及各行各业也在进行大量的信息系统的建设，这些信息系统已经成为国家重要的基础设施，因此，信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度，已引起党和国家领导以及社会各界的关注。随着政府上网、电子商务、电子军事等信息化政府上网、电子商务、电子军事等信息化建设和发展，作为现代信息社会重要基础设施的信息系统，其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源，保护信息化进程健康、有序、可持续发展，直接

6、关乎国家安危，关乎民族兴亡，是国家民族的头等大事。没有信息安全，就没有真正意义上的政治安全，就没有稳固的经济安全和军事安全，没有完整意义上的国家安全。随着国家信息化的不断推进与当前电子政务的大力建设，信息已经成为最能代表综合国力的战略资源，因此，信息资源的保护、信息化进程的健康是关乎国家安危、民族兴旺的大事；信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。对信息系统实行等级保护是我国的法定制度和基本国策法定

7、制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。1.2整体安全需要整体安全需要信息安全遵循“木桶原理” ，任何一个不完善的环节都可能成为危及整个系统安全的“短板” 。在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成部分，终端的安全将直接影响整个信息系统的安全。终端既可能是安全事件的源头，又可能是安全事件的目标。从有关安全权威单位得知，绝大多数的攻击事件都是从终端发起的，也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。因此，必须从终端操作系统平台实施安全防范，将

8、不安全因素从终端源头被控制，只有这样才能保证信息系统的整体安全。61.3合规性需要合规性需要XX 信息通信网边界接入平台将按照等级保护 3 级的要求对信息系统进行安全建设和加固。等级保护 3 级和 4 级标准均对操作系统的身份鉴别、访问控制、安全审计、恶意代码防范、入侵检测等提出了明确要求，而目前边界接入平台数据交换业务前置机和社区警务室计算机终端操作系统同以上要求相比尚有不少差距。为达到等级保护要求，必须对终端进行安全加固。72法规、政策和技术依据法规、政策和技术依据国家高度重视信息安全保护工作，为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准，国家信息化领导小组决定加强信息

9、安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧信息安全等级保护制度的建设。国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。制定了包括计算机信息系统安全保护等级划分准则（GB17859-1999） 、 信息系统安全等级保护定级指南(GB/T 22240-2008)、信息系统安全等级保护基本要求(GB/T22239-2008)、 信息安全技术操作系统安全评估准则 （GB/T20009-2005） 、 信息安全技术信息系统安全管理要求（GB/T20269-2006）等 50 多个国标、行标以及已报批标准，初步形成了信息安全等级保护

10、标准体系。2.1信息安全等级保护有关法规信息安全等级保护有关法规、政策、文件、政策、文件2.1.1中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 （国务院（国务院 147 号令）号令）1994 年国务院颁布了第 147 号令中华人民共和国计算机信息系统安全保护条例 （以下简称条例 ） ，是最早提及信息安全等级保护的法规。条例明确了实行信息安全等级保护制度的有关规定，提出了从整体上、根本上解决国家信息安全问题的办法，进一步确定了信息安全发展主线、中心任务，提出了总要求。 条例指出对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是

11、信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。条例指明“信息系统安全等级的划分标准和安全等级保护的具体办法由 XX 部会同有关部门制定” ；指明了等级保护是计算机信息系统安全保护的一项制度；明确规定由 XX 部会同有关部门制定信息系统等级保护配套的规章和技术标准。2.1.2国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见 （中办发（中办发200327 号）号）8国家信息化领导小组关于加强信息安全保障工作的意见 （中办发200327 号） （以下简称27 号文件 ）明确指出要“实行信息安全等级保护” 。 “要重点保

12、护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时， 27 号文件明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。27 号文件针对等级保护提出了明确的三方面要求：1）要从实际出发，优化信息安全资源的配置，建立信息安全等级保护制度，重点保护信息基础网络和关系国家安全、经济命脉、社会稳定的信息系统，这就是提到的关键技术；2）要重视安全信息覆盖评估工作，对网络

13、与信息系统，对信息安全等级因素进行相应的建设，落脚点还是信息安全方面；3）对涉及国家秘密的信息系统要按照国家要求进行保护。2.1.3关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 （公通字（公通字200466 号）号）2004 年， 关于信息安全等级保护工作的实施意见 （公通字200466 号）（以下简称实施意见 ）发布。 实施意见明确指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。 ”信息安全等级保护工作第一阶段为准

14、备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系” 。实施意见中进一步明确了信息安全等级保护制度的基本内容：1）根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，确定信息和信息系统的安全保护等级，共分五级。92）国家通过制定统一管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强

15、度的监督管理。3） 国家对信息安全产品的使用实行分级管理。4）信息安全事件实行分等级响应、处置的制度。2.1.4信息安全等级保护管理办法信息安全等级保护管理办法 （公通字（公通字200743 号）号）2007 年 6 月 22 日，XX 部与国家保密局、密码管理局、国务院信息办联合会签并印发了信息安全等级保护管理办法 （公通字200743 号） （以下简称管理办法 ） ， 管理办法为 XX、保密、密码部门履行职责，监督、检查、指导定级工作提供了政策依据。管理办法规定，根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的

16、合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级。管理办法中明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。管理办法对信息安全等级保护体系设计、实施、管理、制度、评测等各方面所需遵循的标准文件进行了明确说明。2.1.5 信息安全等级保护技术标准体系及其关系信息安全等级保护技术标准体系及其关系国家针对等级保护制定了一系列的法规和标准，这些法规和标准是建设等级保护系统的依据。目

17、前，我国共制定了和发布了约 50 余个国标、行标以及已报批标准，初步形成了信息安全等级保护标准体系。这些标准分别从基础、设计、实施、管理、制度等各个方面对信息系统等级保护提出了要求和建议，为信息系统的使用者、设计者、建设者提供了管理规范和技术标准。基础标准基础标准1999 年制定的 GB17859-1999 是第一个信息系统等级保护技术类标准，是国家强制性标准。GB17859-1999 是等级保护标准体系中的基础性标准，其后10陆续推出的许多技术类标准都是 GB17859-1999 的延伸和细化。定级标准定级标准信息系统安全等级保护定级指南(GB/T 22240-2008)是信息系统安全保护等

18、级确定标准，属于管理规范，规范了信息系统安全保护等级的定级方法。整改与建设整改与建设基本要求是以 GB17859 为基础的分等级信息系统的安全建设和管理系列标准之一，是现阶段五个级别的信息系统的基本安全保护技术和管理要求，提出了各级信息系统应当具备的基本安全保护能力以及技术与管理措施，该标准需与设计技术要求 、 信息安全技术 网络基础安全技术要求（GB/T20270-2006） 、 信息安全技术 系统安全等级保护通用安全技术要求（GB/T20271-2006） 、 信息安全技术 操作系统安全技术要求 （GB/T20272-2006） 、 信息安全技术 数据库管理系统安全技术要求 （GB/T20

19、273-2006） 、信息安全技术 操作系统安全评估准则 （GB/T20009-2005）等安全等级保护系列标准配合使用，规范、指导信息系统安全等级保护整改建设工作。信息安全技术服务器技术要求 （GA/T671-2006）和信息安全技术 终端计算机系统技术要求 （GA/T672-2006）是信息系统关键设备安全等级保护标准，规范和解决信息系统主机和终端安全等级保护问题。系统实施系统实施信息系统安全等级保护实施指南是信息系统安全等级保护实施的过程控制标准，规范了信息系统安全等级保护的实施各阶段内容和过程控制问题。安全管理安全管理信息安全技术 信息系统安全工程管理要求 （GB/T20282-200

20、6）是信息系统安全等级保护管理标准之一，规范信息系统安全等级保护方案技术集成和工程实施过程控制问题。 信息安全技术 信息系统安全管理要求（GB/T20269-2006）是信息系统安全等级保护管理标准，规范信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。11表表 2.1.5 部分等级保护工作相关依据政策与标准部分等级保护工作相关依据政策与标准相关法规国务院 147 号令中华人民共和国计算机信息系统安全保护条例 中办200327 号文件（关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知）公通字200466 号文件（关于印发信息安全等级保护工作的实施意见的通知）政策文件公通

21、字200743 号文件（关于印发信息安全等级保护管理办法的通知）基础标准计算机信息系统安全保护等级划分准则（GB17859-1999）定级标准信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008）整改与建设信息安全技术 信息系统安全管理要求（GB/T20269-2006）信息安全技术 网络基础安全技术要求（GB/T 20270-2006）信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）信息安全技术 操作系统安全技术要求（GB/T 20272-2006）信息安全技术 数据库管理系统通用安全技术要求（GB/T 20273-2006）信息安全技术 操作系

22、统安全评估准则（GB/T20009-2005）信息安全技术 信息系统安全等级保护基本要求（GB/T22239-2008）信息安全技术 信息系统等级保护安全设计技术要求 （已送批）信息安全技术 信息系统安全等级保护基本模型（GA/T 709-2007）其他相关标准等信息安全技术 服务器技术要求（GA/T671-2006）信息安全技术 终端计算机系统安全等级技术要求（GA/T672-2006）其他相关标准等系统实施信息安全技术 信息系统安全等级保护实施指南其他相关标准等技术标准安全管理信息安全技术 信息系统安全工程管理要求（GB/T20282-2006）其他相关标准等2.1.5.1计算机信息系统安

23、全保护等级划分准则计算机信息系统安全保护等级划分准则 （GB17859-1999）GB17859-1999 在一定程度上体现出了信息系统的概念，是我国制定的一种强制性信息系统安全的国家标准。它按照安全性由低到高的顺序，规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；12第五级：访问验证保护级。GB17859-1999 不仅从操作系统的角度提出评估标准，还从整个信息系统的角度提出了安全功能和安全保障的评估要求。另外，GB17859-1999 在每个级别都提出了一些完整性的要求，但这些完整性要求与保密性要求相

24、比还是相对薄弱。因此，在 GB17859-1999 的基础上，国内先后提出了 GB/T 20270-2006、GB/T 20271-2006、GB/T 20272-2006 等 GB/T 系列标准作为补充。这些标准从技术和管理方面，对安全信息系统以及安全产品的评估提出了具体的指导和评判原则，为不同安全级别的产品提供了一些具体的技术指标，可以作为等级保护产品评估的参考。GB17859-1999 是等级保护相关技术标准的基础。该标准采取了宜粗不宜细是等级保护相关技术标准的基础。该标准采取了宜粗不宜细的制定方法，目的是为安全产品的开发、具体标准的制定、安全系统的建设与的制定方法，目的是为安全产品的开

25、发、具体标准的制定、安全系统的建设与管理、相关法律法规及其执法提供技术指导和基础。管理、相关法律法规及其执法提供技术指导和基础。针对于在我国的等级保护标准体系中，GB17859-1999、GB/T20271-2006、GB/T 20272-2006 等一系列标准均是面向评估者的标准，2008 年，我国又制定了面向等级保护建设者的标准基本要求以及设计技术要求 ，用于指导建设者部署符合等级保护要求的安全防护措施。2.1.5.2信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T22239-2008)基本要求基本要求是针对每个等级的信息系统提出相应安全保护要求，是针对每个等级的信息系统

26、提出相应安全保护要求， “基本基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力。说，这些要求的实现能够保证系统达到相应等级的基本保护能力。基本要求对等级保护工作中的安全控制选择、调整、实施等提出规范性要求，根据使用对象不同，其主要作用分为三种：1）为信息系统建设单位和运营、使用单位提供技术指导2）为测评机构提供评估依据3）为职能监管部门提供监督检查依据基本要求的技术部分吸收和借鉴了 GB17859-1999 标准，采纳其中的身份鉴别、数据完整性、

27、自主访问控制、强制访问控制、审计、客体重用（改为剩余信息保护） 、标记、可信路径等 8 个安全机制的部分或全部内容，并将这些机制扩展到网络层、主机系统层、应用层和数据层，这些概念与设计技术13要求所强调的以控制为核心理念相吻合，即通过对相应主客体的安全标记，实现对所有访问行为进行强制性的访问控制。2.1.5.3信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求设计技术要求设计技术要求是针对是针对 GB 17859-1999 的技术部分进行的进一步细化形的技术部分进行的进一步细化形成的等级保护各级系统的设计实现技术框架，是对成的等级保护各级系统的设计实现技术框架，是对基本要求基本要

28、求的进一步补充的进一步补充和扩充。和扩充。设计技术要求以访问控制为核心，将整个安全环境划分为安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心四部分，并分别对每部分提出了相应的技术标准进行约束和指导。 设计技术要求要求各级安全计算环境、安全区域边界、安全通信网络在安全管理中心的统一管控下运行，各司其职、相互配合，共同构成该级信息系统的安全保护环境，确保信息的存储、处理和传输的安全，并在跨域安全管理中心的全系统统一安全策略控制下，实现不同系统的安全互操作和信息安全交换，从技术上规范了信息系统等级保护安全设计要求。总体来说， 基本要求根据现有技术的发展水平，提出和规定了不同安全等级信息系

29、统的最低保护要求，即基本安全要求，而设计技术要求则是在基本要求的基础上，对等级保护信息系统的技术设计方案和实施方法提供了更为具体的指导。143终端安全防护系统功能介绍终端安全防护系统功能介绍终端安全防护系统（前置服务器版、PC 版）在现有 Windows、Linux 操作系统基础上，强化了其身份鉴别、数据保密性保护、系统完整性保护以及行为审计机制，增加了强制访问控制、边界保护机制，为全面防内提供了基础。3.1终端安全防护系统（前置服务器版）功能介绍终端安全防护系统（前置服务器版）功能介绍3.1.1强身份认证功能强身份认证功能终端安全防护系统（前置服务器版）能够为 Windows、Linux 服

30、务器操作系统版本提供强身份认证功能。终端安全防护系统（前置服务器版）采用硬件令牌作为用户标识，在用户登录服务器时，采用受安全管理中心控制的口令、令牌、数字证书的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。终端安全防护系统（前置服务器版）支持有 USB-key 和无 USB-Key 两种认证模式，支持远程用户身份鉴别、登录功能。现有的 Windows、Linux 操作系统采用口令认证方式对用户身份进行鉴别，容易受到字典攻击。在终端安全防护系统（前置服务器版）中，硬件令牌为用户身份的唯一标识，当用户登录系统时，需要插入 USB-KEY，然后系统对用户进行双因子身份认证，只有用户拥

31、有合法的 USB-KEY，并且输入正确的WINDOWS + USB-KEY 口令，用户才能登录系统。登录成功后，如果用户需要临时离开终端，可以拔除 USB-KEY，这样安全内核会自动保存用户的工作环境，并且锁定终端，除了持有原 USB-KEY 的用户外，任何人都不能进入终端环境。可见，终端安全防护系统通过系统登录与硬件 USB-KEY 紧密捆绑，实现了非法用户“进不来”终端环境。另外，终端在进行相互网络通信时，安全内核首先拦截该请求，并且主动验证对方终端的平台身份及安全状态，从而决定是否允许该通信请求。这样将非法接入内部网络的终端或内部网络上不安全的终端孤立起来，实现了非法终端“进不来”系统环

32、境，从而确保重要信息不会从这些终端泄露出去，这些终端也不会破坏信息系统的安全。3.1.2多用户强制访问控制多用户强制访问控制现有的 Windows、Linux 操作系统采用自主访问控制模式来限制用户权限，15以达到保护系统资源安全的目的。但是在自主访问控制体系中，资源属主可以任意授权，并且权限可以传递，这样不利于信息系统的安全。终端安全防护系统（前置服务器版）提供了强制访问控制功能，由安全管理中心对系统中的主体（用户、进程）及客体（文件、执行程序、外部设备等）进行安全标识，根据客体类型的不同，分别制定了不同的访问控制规则，从而全方位地确保重要信息“拿不走”，保护信息系统的机密性。 由安全管理员

33、通过特定操作界面对主、客体进行安全标记，通过安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同强制的访问控制规则。终端安全防护系统（前置服务器版）支持多用户的强制访问控制功能。用户权限控制用户权限控制终端安全防护系统通过分级访问控制的方式对用户权限进行控制。安全管理员通过安全管理中心规定用户以及各终端上客体（文件、执行程序、外设、移动存储设备）的安全级，强制终端采用如下原则限制用户的权限：低安全级的用户无法访问高安全级的客体，如图 3.1.3。 图图 3.1.3 用户

34、权限控制示意图用户权限控制示意图通过上述访问控制规则，安全管理员不仅可以规定用户的权限，而且可以依据系统中数据的重要性来规定其安全级，从而确保重要信息只掌握在少数人手里，以降低重要信息安全性被破坏的风险。另外随着计算机信息技术的飞速16发展，计算机上的外部接口设备也越来越丰富，这在给信息处理和传播带来方便性的同时，也给信息系统的安全造成了极大威胁，比如恶意用户可以通过红外、蓝牙等设备泄露重要信息，可以通过打印泄露重要信息。于是终端安全防护系统通过上述访问控制规则简化了系统对外部设备的管理，降低了用户因滥用或误用外部设备而带来的风险。最后安全管理员可以通过上述访问控制规则，规定用户可以执行什么样

35、的程序，确保只有经过系统安全性检查并且得到授权的应用程序才能被用户使用，这样就降低了恶意程序感染并破坏信息系统安全的可能性。而且通过上述规则，限制了普通用户安装新的应用程序的能力，从而可以有效防止内部精通业务、懂技术、会编程的专业人士对信息系统安全的威胁。执行程序最小权限控制执行程序最小权限控制现有操作系统中的应用程序继承用户权限，不满足最小权限原则，从而给病毒等恶意程序留下了破坏系统安全的空间。因此终端安全防护系统允许安全管理员规定执行程序权限，使其在满足用户权限访问控制规则的前提下，只拥有正常完成任务的最小权限。以 IEXLPOER.EXE 为例，安全管理员可以配置其只能读那些文件或写那些

36、文件，不允许其访问系统内的重要信息、不允许其修改系统内的关键配置文件，那么即使系统被恶意脚本所攻击，重要信息的安全性也不会受到威胁，系统本身的完整性也不会受到破坏。上述权限主要分为两类：对文件的访问权限以及对网络的使用权限。通过限制程序对文件的访问权限，可以有效防止恶意脚本对系统安全的攻击，减小其破坏范围。通过限制应用程序访问网络的能力，可以有效防止蠕虫等恶意代码对信息系统可用性的破坏，防止病毒、木马程序在用户不知情的情况下，将系统中的重要信息泄漏出去。职责分离管理职责分离管理为了方便权限管理，终端安全防护系统引入以下三个角色：安全管理员、安全审计员、系统操作员。根据最小权限原则，系统只赋予每

37、个角色完成任务所需的最小权限。如安全管理员只有完成安全管理任务的权限，即配置系统安全策略等，无法登录系统终端，并且安全管理员的一切操作行为都被记入审计日志。17安全审计员只负责审计日志的存取控制，不具有安全管理员和系统操作员的权限。系统操作员具有对终端进行日常维护的权限。其操作权限由安全管理员制定，其行为由系统审计策略监控。系统操作员不能修改访问控制和审计策略，也不能访问甚至删除审计日志。终端安全防护系统正是通过上述“三权分立”的机制，使得系统中的不同用户相互监督、相互制约，每个用户各司其职，共同保障信息系统的安全。3.1.3应用系统安全封装应用系统安全封装终端安全防护系统（前置服务器版）提供

38、对应用的安全封装功能。通过对应用的安全封装实现对应用服务的访问控制。应用服务的安全封装主要由可信计算环境、资源隔离和输入输出安全检查来实现。通过可信计算的基础保障机制建立可信应用环境，通过资源隔离限制特定进程对特定文件的访问权限，从而将应用服务隔离在一个受保护的环境中，不受外界的干扰，确保应用服务相关的客体资源不会被非授权用户访问。输入输出安全检查截获并分析用户和应用服务之间的交互请求，防范非法的输入和输出。3.1.4自主访问控制自主访问控制在 WINDOWS 操作系统中，合法用户可以访问系统中的任何文件，用户很难保户自己的隐私。但是安装了终端安全防护系统后，用户可以拥有自己的私有目录，称为文

39、件保密柜，系统禁止本用户以外的其它用户访问保密柜中的文件，从而有效保护用户的私有信息。用户1用户n用户2文件保密柜1文件保密柜n文件保密柜2允许允许允许禁止禁止禁止禁止禁止禁止图图 3.1.4 文件保密柜示意图文件保密柜示意图3.1.5数据保密性保护数据保密性保护数据存储与传输保护是防止信息泄露最有效的手段，终端安全防护系统支持对硬盘数据透明加解密、对移动存储透明加解密以及对网络传输透明加解密，达到了重要信息即使被盗取，信息盗取者也“看不懂”的效果。所谓透明加解密是指该加解密过程对用户是透明的，这一过程在操作系统18层实现，对上层应用透明，用户感觉不到它的存在。这一特性可以保证信息系统中的重要

40、信息在存储和传播过程中都以密文的形式存在，即使意外断电，也不会导致明文信息的外泄。在终端安全防护系统中，安全管理员可以根据客体的不同安全级制定不同的数据保护策略，方便信息系统和外界进行数据交换。3.1.6系统完整性保护系统完整性保护终端安全防护系统提供执行程序只读保护和一致性校验功能。执行程序只读保护可以确保系统中的执行程序免受非授权修改，从而保护其完整性。执行程序一致性校验机制用来保证系统所启动的进程都是可信的。各终端上的执行程序经过安全管理员的安全性检查后，其正常启动所依赖相关模块的摘要值被记录在系统策略文件中，由安全管理中心统一管理与分发。执行程序启动前，终端安全防护系统会度量该程序相关

41、模块的完整性，只有在度量结果和预存值一致的前提下，该程序才被认为是可信的，从而允许启动，否则拒绝其执行（对系统中的重要程序会启动可信的备份程序）。因此即使系统中的某一执行程序被病毒或木马感染，由于其不再可信，终端安全防护系统禁止其执行，从而阻止了恶意代码继续传播和破坏，降低了系统完整性被破坏的风险。正是由于上述安全机制，终端安全防护系统可以做到执行程序病毒自免疫。3.1.7行为审计监控行为审计监控从“三权分立”的角度来看，安全审计员主要起监督作用，监督系统中于安全相关的行为，尤其是安全管理员对安全策略的制定、修改以及授权用户违反安全策略的行为，达到非法行为“赖不掉”的效果。具体包括用户对重要信

42、息的操作甚至降级行为、对外部设备的使用行为、对网络传输的使用行为、不可信应用的启动行为、应用的越权访问行为、安全管理员对策略的制定和修改行为、安全操作员对系统的维护行为等。另外只有安全审计员可以修改或者删除审计日志，于是只要恶意用户试图去破坏系统的安全性，其行为就必然会被审计记录，给日后追查留下证据。3.1.8边界保护控制边界保护控制终端安全防护系统通过边界保护控制机制增强了对应用环境边界的保护，防止非法终端接入内部网络，防止内部用户非法连接外网。非法内联控制非法内联控制19在常见的非法内联控制系统中，使用的是“发现阻断”的控制技术，使用此项技术往往存在漏发现和阻断延迟问题，特别是在入侵终端开

43、启了个人防火墙或采取静默接入方式时，系统往往不能发现非法接入终端。在终端安全防护系统中，安全管理员规定那个终端可以接入系统，终端运行状态满足什么样的条件后才能接入系统。因此在终端尝试接入系统时，需要到边界控制服务器进行认证，边界控制服务器检查该终端的平台身份和安全状态，只有检验通过后，终端方能接入网络与其他终端进行网络通信，否则它无法使用任何网络资源。非法外联控制非法外联控制目前，我国主管部门规定重要信息系统必须和其他公共网络进行物理隔离，但是在实际信息系统中，恶意用户仍可以通过拨号、内外网切换等方式有意避开这一管理规定，连接上公共网络，将重要信息泄露出去，从而对重要信息系统安全造成威胁。终端

44、安全防护系统可以在操作系统层对网络协议栈进行监控和过滤，禁止任何试图连接公共网络的操作，确保用户无法连接到公共网上，从而在技术上实现了真正的物理隔离。3.2终端安全防护系统（终端安全防护系统（PCPC 版）功能介绍版）功能介绍3.2.1强身份认证功能强身份认证功能终端安全防护系统（PC 版）能够为操作系统版本提供强身份认证功能。终端安全防护系统（PC 版）采用 USB-Key 硬件令牌作为用户标识，在用户登录时，采用受安全管理中心控制的口令、令牌、数字证书的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。现有的 Windows、Linux 操作系统采用口令认证方式对用户身份进行鉴

45、别，容易受到字典攻击。在终端安全防护系统（PC 版）中，USB-KEY 为用户身份的唯一标识，当用户登录系统时，需要插入 USB-KEY，然后系统对用户进行双因子身份认证，只有用户拥有合法的 USB-KEY，并且输入正确的 WINDOWS + USB-KEY 口令，用户才能登录系统。登录成功后，如果用户需要临时离开终端，可以拔除 USB-KEY，这样安全内核会自动保存用户的工作环境，并且锁定终端，除了持有原 USB-KEY 的用20户外，任何人都不能进入终端环境。可见，终端安全防护系统通过系统登录与硬件 USB-KEY 紧密捆绑，实现了非法用户“进不来”终端环境。另外，终端在进行相互网络通信时

46、，安全内核首先拦截该请求，并且主动验证对方终端的平台身份及安全状态，从而决定是否允许该通信请求。这样将非法接入内部网络的终端或内部网络上不安全的终端孤立起来，实现了非法终端“进不来”系统环境，从而确保重要信息不会从这些终端泄露出去，这些终端也不会破坏信息系统的安全。3.2.2强制访问控制强制访问控制现有的终端操作系统采用自主访问控制模式来限制用户权限，以达到保护系统资源安全的目的。但是在自主访问控制体系中，资源属主可以任意授权，并且权限可以传递，这样不利于信息系统的安全。终端安全防护系统（PC 版）提供了强制访问控制功能，由安全管理中心对系统中的主体（用户、进程）及客体（文件、执行程序、外部设

47、备等）进行安全标识，根据客体类型的不同，分别制定了不同的访问控制规则，从而全方位地确保重要信息“拿不走”，保护信息系统的机密性。 由安全管理员通过特定操作界面对主、客体进行安全标记，通过安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同强制的访问控制规则。用户权限控制用户权限控制终端安全防护系统通过分级访问控制的方式对用户权限进行控制。安全管理员通过安全管理中心规定用户以及各终端上客体（文件、执行程序、外设、移动存储设备）的安全级，强制终端采用如下原则限制用户的权限：

48、低安全级的用户无法访问高安全级的客体，如图 3.2.2。 21图图 3.2.2 用户权限控制示意图用户权限控制示意图通过上述访问控制规则，安全管理员不仅可以规定用户的权限，而且可以依据系统中数据的重要性来规定其安全级，从而确保重要信息只掌握在少数人手里，以降低重要信息安全性被破坏的风险。另外随着计算机信息技术的飞速发展，计算机上的外部接口设备也越来越丰富，这在给信息处理和传播带来方便性的同时，也给信息系统的安全造成了极大威胁，比如恶意用户可以通过红外、蓝牙等设备泄露重要信息，可以通过打印泄露重要信息。于是终端安全防护系统通过上述访问控制规则简化了系统对外部设备的管理，降低了用户因滥用或误用外部

49、设备而带来的风险。最后安全管理员可以通过上述访问控制规则，规定用户可以执行什么样的程序，确保只有经过系统安全性检查并且得到授权的应用程序才能被用户使用，这样就降低了恶意程序感染并破坏信息系统安全的可能性。而且通过上述规则，限制了普通用户安装新的应用程序的能力，从而可以有效防止内部精通业务、懂技术、会编程的专业人士对信息系统安全的威胁。执行程序最小权限控制执行程序最小权限控制现有操作系统中的应用程序继承用户权限，不满足最小权限原则，从而给病毒等恶意程序留下了破坏系统安全的空间。因此终端安全防护系统允许安全管理员规定执行程序权限，使其在满足用户权限访问控制规则的前提下，只拥有正常完成任务的最小权限

50、。以 IEXLPOER.EXE 为例，安全管理员可以配置其只能读那些文件或写那些文件，不允许其访问系统内的重要信息、不允许其修22改系统内的关键配置文件，那么即使系统被恶意脚本所攻击，重要信息的安全性也不会受到威胁，系统本身的完整性也不会受到破坏。上述权限主要分为两类：对文件的访问权限以及对网络的使用权限。通过限制程序对文件的访问权限，可以有效防止恶意脚本对系统安全的攻击，减小其破坏范围。通过限制应用程序访问网络的能力，可以有效防止蠕虫等恶意代码对信息系统可用性的破坏，防止病毒、木马程序在用户不知情的情况下，将系统中的重要信息泄漏出去。职责分离管理职责分离管理为了方便权限管理，终端安全防护系统

51、引入以下三个角色：安全管理员、安全审计员、系统操作员。根据最小权限原则，系统只赋予每个角色完成任务所需的最小权限。如安全管理员只有完成安全管理任务的权限，即配置系统安全策略等，无法登录系统终端，并且安全管理员的一切操作行为都被记入审计日志。安全审计员只负责审计日志的存取控制，不具有安全管理员和系统操作员的权限。系统操作员具有对终端进行日常维护的权限。其操作权限由安全管理员制定，其行为由系统审计策略监控。系统操作员不能修改访问控制和审计策略，也不能访问甚至删除审计日志。终端安全防护系统正是通过上述“三权分立”的机制，使得系统中的不同用户相互监督、相互制约，每个用户各司其职，共同保障信息系统的安全

52、。3.2.3自主访问控制自主访问控制在 WINDOWS 操作系统中，合法用户可以访问系统中的任何文件，用户很难保户自己的隐私。但是安装了终端安全防护系统后，用户可以拥有自己的私有目录，称为文件保密柜，系统禁止本用户以外的其它用户访问保密柜中的文件，从而有效保护用户的私有信息。用户1用户n用户2文件保密柜1文件保密柜n文件保密柜2允许允许允许禁止禁止禁止禁止禁止禁止23图图 3.2.3 文件保密柜示意图文件保密柜示意图3.2.4数据保密性保护数据保密性保护数据存储与传输保护是防止信息泄露最有效的手段，终端安全防护系统支持对硬盘数据透明加解密、对移动存储透明加解密以及对网络传输透明加解密，达到了重

53、要信息即使被盗取，信息盗取者也“看不懂”的效果。所谓透明加解密是指该加解密过程对用户是透明的，这一过程在操作系统层实现，对上层应用透明，用户感觉不到它的存在。这一特性可以保证信息系统中的重要信息在存储和传播过程中都以密文的形式存在，即使意外断电，也不会导致明文信息的外泄。在终端安全防护系统中，安全管理员可以根据客体的不同安全级制定不同的数据保护策略，方便信息系统和外界进行数据交换。3.2.5系统完整性保护系统完整性保护终端安全防护系统提供执行程序只读保护和一致性校验功能。执行程序只读保护可以确保系统中的执行程序免受非授权修改，从而保护其完整性。执行程序一致性校验机制用来保证系统所启动的进程都是可信的。各终端上的执行程序经过安全管理员的安全性检查后，其正常启动所依赖相关模块的摘要值被记录在系统策略文件中，由安全管理中心统一管理与分发。执行程序启动前，终端安全防护系统会度量该程序相关模块的完整性，只有在度量结果和预存值一致的