信息安全技术体系：第7章 信息安全技术体系

1、目录第1章 信息安全概论第2章 信息安全整体原理第3章 信息安全技术要素第4章 安全主机子系统第5章 安全网络子系统第6章 安全检测子系统第7章 信息安全技术体系第7章 信息安全技术体系概述7.1 信息安全的分层技术保护 7.2 信息安全的分域技术保护7.3 信息安全的分级技术保护7.4 信息安全的分时技术保护7.5 典型信息安全技术保障框架概述本部分论述的是由这些信息安全产品和安全子系统构成的大型信息系统的整体安全问题，重点讨论由这些信息安全技术子系统如何构成一个整体的信息安全系统，形成信息系统的整体安全技术体系框架。第四章和第五章分别介绍了安全数据库管理系统和安全网络系统，体现了分层和分域

2、（对等）保护的基本思想。本章以系统论的观点，从不同维度详细论述和分析信息系统整体安全的分层保护、分域保护、分级保护和动态防御的信息安全理论、方法的相关内容，形成完整的信息安全技术体系结构。 7.1 信息安全的分层技术保护7.1.1 概述7.1.2 层次诠释7.1.1 概述本书中信息安全是指信息系统中信息的安全，这里的信息是由信息系统直接访问的，信息系统必须提供相关的安全保障措施。同时，信息系统自身也必须是安全的，信息系统中软件是依赖于其存在的相关硬件的，整个信息系统是依赖其所处的物理环境和相关的硬件基础设施的，需要硬件为信息系统自身提供安全的环境。另外，信息系统的使用，硬件和物理环境的安全是由

3、人维护和管理，需要通过管理保障信息、信息系统的软、硬件安全。显然，信息系统的安全保障是一个与上述问题相关的层次化保障体系。 物理层面安全支撑系统层面安全网络层面安全应用层面安全管理层面安全7.1.2 层次诠释一、物理层面二、支撑系统层面三、网络层面四、应用层面五、管理层面一、物理层面物理安全是信息赖以存在的前提，是信息安全的基础。物理安全遭受破坏将直接影响信息的可用性和完整性，物理设备的不安全将导致敏感信息的磁泄漏、客体被重用等安全隐患。因此，物理安全是信息安全的硬件保障，必须提供相关的措施加强其安全性。包括计算机硬件、网络硬件、各类设备与介质和运行环境的安全。二、支撑系统层面支撑系统层面的安

4、全包括操作系统和数据库系统等计算机系统软件的信息安全保护。其中，操作系统安全是核心和关键。主体对客体的任何访问都需要通过操作系统，操作系统的安全是整个信息安全的基石，而访问控制是操作系统的安全核心。操作系统和数据库是保障分布式信息系统中“点”上的安全。三、网络层面网络层面安全包括网络系统的协议与专用网络设备的信息安全保护。它在分布式信息系统中是保障“线”上的安全。网络安全与“点”上支撑系统安全一起构成了信息安全技术体系的主体内容。四、应用层面应用层面安全包括工具软件和应用软件等的信息安全保护。应用软件系统是直接面对用户提供各种业务处理的应用服务，一般用户是通过应用软件系统与信息系统进行交互、完

5、成各种业务信息的处理。信息安全的目标也是最终保障应用数据的安全。因此，应用安全是信息安全的目标，需要其它层面提供安全支持，其它层面的安全都是为应用安全提供安全保障、服务和支撑。五、管理层面管理层面安全主要是指对人员的管理实现安全控制。信息系统是人机系统，人是信息系统的重要组成部分，信息系统中的信息、软硬件等都是由人使用的，需要加强对人员的安全管理，才能充分保障安全技术的有效发挥。以上每个层面都需要相关的安全管理，包括工程管理、运行管理等的安全程序和规章制度。 7.2 信息安全的分域技术保护7.2.1 概述7.2.2 局域计算环境安全7.2.3 信息交换与边界安全7.2.4 网络传输安全7.2.

6、5 支撑基础设施安全7.2.1 概述信息系统通过网络实现连接、互通、互操作，实现信息的交流与共享，使信息化真正走向社会活动和家庭生活，形成了现在的信息化社会。由网络连接的计算机系统，由子网络构成更大的网络系统。然而，分布在大型的网络环境下的大大小小的信息系统，其安全保护目标和安全级别可以是不同的。在互连、互通的网络环境下，对这些信息系统的安全保护可以通过空间的区域划分，采用适当的安全隔离措施，实施分域保护。 由美国国家安全局提出的为保护美国政府和工业界的信息与信息基础设施提供的技术指南信息保障技术框架（IATF，Information Assurance Technical Framework

7、）3.0版NSA02，提出了目前信息基础设施的整套安全技术保障框架，定义了对一个系统进行信息保障的过程，以及软硬件部件的安全要求。该框架原名为NFS（Network Security Framework），于1998年公布。1999年更名为IATF，2002年发布IAFT3.1版。IATF将信息系统划分为局域计算环境、区域边界、网络和基础设施、支撑性基础设施等四个方面。它们之间的关系如图5-2所示。 7.2.2 局域计算环境安全局域计算环境主要包括：服务器；安全操作系统；安全数据库管理系统；基于主机的监控组件（病毒检测、入侵检测）；客户端及其上的应用（如打印服务、目录服务等）。由它们构成具有相

8、同安全目标的计算安全环境。7.2.3 信息交换与边界安全一、边界安全二、数据安全交换一、边界安全局域计算环境必须有明确的边界，通过边界的安全防护将该局域计算环境与外部计算环境安全隔离。一般来说，应该设置固定的信息交换出入口，对所有出入边界的信息实施统一管理，并对经过出入口的信息进行安全控制。 二、数据安全交换边界的安全隔离不是目的，而是为了安全地交换信息。边界安全的典型解决方案有：对物理隔离边界，可以采用人工的方式；通过防火墙安全交换数据；通过物理隔离设备安全交换数据。 7.2.4 网络传输安全网络传输是实施计算机互联、互通，实现网络化信息共享与交换的基础设施。网络基础设施一般由电信部门建设，

9、供各局域计算环境共享。 7.2.5 支撑基础设施安全支撑基础设施为网络环境下的信息系统提供公共的安全服务和机制。其中最重要的支撑基础设施包括PKI/PMI、容灾备份和应急相应等安全服务和机制。PKIPMI 安全机构 PKIPKI/PMI提供公钥证书及传统对称密钥的产生、分发及管理的统一管理过程，为网络环境下信息化社会的“信任体系”提供技术支撑。PKI与用户的身份绑定可以实现网络空间的虚拟身份认证。PMIPMI（Privillege Management Infrastructure）可以按照虚拟身份证的唯一性和全局性，实现统一的访问控制策略，实施访问控制的集中管理，提高信息系统的全局安全性。应

10、用系统主体策略实施策略决策策略库客体属性库属性权威权限管理/授权服务平台安全机构信息安全既涉及到国家安全，也涉及到信息化社会的正常运行。需要设置一些常规的安全服务机构，对网络空间的安全问题进行管理。安全服务机构；应急响应中心；国家的安全检测机构、评估机构等。7.3 信息安全的分级技术保护7.3.1 信息安全等级保护的技术划分7.3.2 信息安全等级保护的技术体系7.3.1 信息安全等级保护的技术划分我国制订计算机信息系统安全保护等级划分准则GB17859-1999标准。该标准涉及10个安全要求，分别是：身份鉴别、自主访问控制、审计、客体重用、标记、强制访问控制、数据完整性、密码支持、隐蔽信道分

11、析和可信恢复。该标准将信息安全的等级划分为：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五个级别。每个级别包含的安全技术要求是不同的，级别高的包含的安全技术要素多、要求高；即使不同安全级别包含的相同安全技术要素，在不同级别中其含义也不尽相同，级别越高则安全技术要素的强度也越高。因此，这五个级别形成一种递进的包含关系。 第一级：用户自主保护级实施的是用户自主访问控制。即通过可信计算基（一个安全的信息系统）将用户与数据隔离，允许用户以自己的身份或用户组的身份访问数据，并可指定对客体（用户的数据和数据载体等）的共享。这就意味着系统提供必要的资源访问控制措施，由资源所有

12、者自行决定对客体的访问权限。 第二级：在用户自主保护级的基础上，系统审计保护级。提供了下面三方面的扩充:第一,在自主访问控制方面，可信计算基实施更细粒度（单个用户）的自主访问控制，并控制访问权限的扩散，即没有访问权的用户只允许由授权用户指定其对客体的访问权。第二，可信计算基对用户身份进行鉴别，并与安全相关的事件进行关联，提供审计记录，使用户对自己的行为负责。第三，在客体安全重用方面，增加安全保护能力，使得必须被重复利用的各种客体资源在被重新分配时，该客体前一次使用的所有信息必须撤销，不能被本次主体利用。 第三级：在系统审计保护级的基础上，安全标记保护级的可信计算基实施强制访问控制。所谓强制访问

13、控制，即可信计算基通过对主体和客体分配特定的敏感标记指定其安全等级，并按主、客体的标记类型和标记级别实施访问控制。通过访问控制机制，满足一定条件的主体才能读/写一个客体，即仅当主体的等级标记高于或等于客体相应标记的级别，并且主体的非等级标记包含客体非等级标记时，主体才能读一个客体（向下读原则）；仅当主体的等级标记低于或等于客体相应标记的级别，且主体的非等级标记包含于客体的非等级标记时，主体才能写一个客体（向上写原则）。 第四级：在安全标记保护级的基础上，结构化保护级建立一个明确定义的形式化安全策略模型。将可信计算基上的访问控制（自主的和/或强制的）扩展到所有主体和客体；针对隐蔽信道提供必要的控

14、制机制。本保护级别增强了对系统安全核心部分的保护，进一步将系统保护元素分为关键保护元素和非关键保护元素，对这个系统实施结构化保护。 第五级：在结构化保护级的基础上，访问验证保护级实现了访问监控器的概念，通过该安全访问验证机制(Reference Validation Mechanism)，以确认任何用户(进程)对数据和程序的每一次访问。访问监控器(reference monitor)是一种负责实施安全策略、软硬件组成的仲裁机制。访问监控器的关键是控制从主体到客体的每一次存取，并扩充审计机制，对违反策略的安全事件发出警告信号。同时，系统提供可信恢复机制和很高的抗渗透能力。 7.3.2 信息安全等

15、级保护的技术体系应该有一整套完善的信息安全等级技术标准，包括产品、系统、工程、管理等一览之要求类和评估类的标准体系，用标准规范信息安全产业健康、稳定、持续地发展。信息安全技术的研究和产品的开发应该遵循等级化的要求类相关标准，为建立信息安全的等级化系统提供丰富的、范围广泛的、不同等级的技术和产品。采用等级化的技术和产品，按照等级化信息系统保护的目标，构建满足不同部门、不同业务对不同信息安全等级需求的信息系统。需要建立一支技术过硬的信息安全等级评估机构和队伍，严把信息安全技术和产品的等级质量关，规范信息安全技术和产品的市场。最重要的是，对最终的信息安全系统等级的质量控制，使得运行各部门、各业务的信

16、息系统达到预期的安全保护等级，确保国家、企事业等的信息系统的安全运行。 在信息安全技术体系中，最重要的是：操作系统的安全等级保护GA02b；数据库系统的安全等级保护GA02c；计算机网络的安全等级保护GA02a；信息系统工程安全等级保护GA02d等。7.4 信息安全的分时技术保护7.4.1 宏观过程保护7.4.2 生命周期过程保护7.4.3 动态过程保护7.4.1 宏观过程保护要制订国家的信息安全保护法律、法规和相关的技术标准，使信息安全有法可依，有标准可循。我国通过制定的中华人民共和国计算机信息系统安全保护条例，在法律上明确了我国重要信息系统安全等级保护的地位，通过制订计算机信息系统安全保护

17、等级划分准则GB17859-1999以及相配套的标准体系，明确了信息安全等级保护的原则、技术要求、评估标准和方法等。政府主管部门指定或委托的权威机构按照相关的标准，对安全产品和系统实现结果的安全保护等级评估，把好信息安全产品准入、信息安全系统准运行关。政府主管部门和信息安全系统主管单位日常的监督、监查，确保信息系统，特别是国家重要领域信息系统安全。 法律法规标准化过程控制结果控制政府监管7.4.2 生命周期过程保护信息安全工程的评价在信息安全工程中，另一个关键的问题是如何保证信息安全工程过程本身的安全？通过大量的工程实践，借鉴卡内基-梅隆大学软件工程研究所（SEI，Software Engin

18、eering Institute）研制的能力成熟度模型（CMM，Capablility Maturity Model）的成果，形成了安全系统工程能力成熟度模型（SSE-CMM，Security System Engineering-Capablility Maturity Model），我国也制定了相关的标准。 基本实施PA01 管理安全控制；PA02 评估影响；PA03 评估安全风险；PA04 评估威胁；PA05 评估脆弱性；PA06 建立安全论据；PA07 协调安全；PA08 监视安全态势；PA09 提供安全输入；PA10 确定安全需求；PA11 验证与确认安全。 保障实施PA12 确保质

19、量；PA13 管理配置；PA14 管理项目风险；PA15 监视和控制技术；PA16 规划；PA17 定义机构的系统工程过程；PA18 改进机构的系统工程过程；PA19 管理产品线；PA20 管理系统工程支撑环境；PA21 提供不断发展的技能和知识；PA22 与提供商协商。 能力级别能力级别1非正规实施级1.1 执行基本实施能力级别2规划和跟踪级2.1 规划执行、2.2 规范化执行、2.3 验证执行、2.4 跟踪执行能力级别3充分定义级3.1 定义标准过程、3.2 执行既定的过程、3.3 协调过程能力级别4量化控制级4.1 建立可测量的质量目标、4.2 客观地管理执行能力级别5持续改进级5.1

20、改进机构的能力、5.2 改进过程的有效性 7.4.3 动态过程保护P2DR2策略（Policy）：为信息安全的活动提供最终应该达到的目标，是信息安全所有活动的指南和风向标，是保护、检测和响应的依据。保护（Protection）：是实施信息安全的第一个步骤，它是根据既定的安全策略，采取相关的安全技术和管理，保护信息安全客体不受侵犯，保护信息所有者的合法权益。采取的具体安全保护技术，包括本书第二部分 技术篇和第三部分 产品篇所论述的相关内容，同时也要采取相关的安全管理措施。P2DR2（续）检测（Detection）：正如上面所述，信息安全的保护能力是有限的。采取了安全措施并不意味着100%的安全，

21、软件的漏洞需要及时补救，新的黑客攻击等需要采取新的对应安全措施，信息安全系统的管理措施可能不到位、有漏洞等。因此，按照信息安全策略建立的信息安全系统建成后，需要动态地检测信息安全系统的安全运行情况，及时发现安全系统中的异常活动等各种不安全因素。安全检测的具体方法和技术详见第十一章的描述。响应（React）：对信息安全运行过程中的不安全因素，及时响应，以便将安全的损失降低到最低。同时，对新问题（攻击威胁、系统脆弱性等），研究和制定新的安全保护技术和管理，形成新一轮的循环。WP2DR2C预警（Warning）：是一种宏观控制功能，通过国家层面的相关安全机构，对当前和未来可能发生的重大安全问题，作出

22、预警，使信息安全系统使用单位有针对性地提前作好准备，防患于未然，减少安全损失。主动出击（Counterattack）：对虚拟社会中一些与社会为敌的人员和组织，对他们主动出击、进行打击，在他们还没有造成实质性危害之前，先发制人，消灭他们。另外，在信息对抗领域，敌对双方也是采取主动攻击的方式，先发制人，防止对方的攻击和破坏，保护己方的信息系统安全。 7.5 典型信息安全技术保障框架7.5.1 电子政务技术保障框架7.5.2 公安专网技术保障框架7.5.1 电子政务技术保障框架一、总体结构二、分域保障结构三、分级保障结构一、总体结构二、分域保障结构纵向VPN结构横向VPN结构三、分级保障结构在电子政务信息安全保护框架中，从信息安全产品的等级，以及由此构建的本地计算环境、边界、网络等安全域都需要等级化。产品和信息系统的等级需要按照国家的相关标准进行选择和建设。不同等级之间的连接和共享应该满足相关的安全策略。通过边界控制等安全措施，只允许低等级安全域中的信息流向高等级的安全域，禁止高等级