信息安全保障体系.ppt

1、主讲教师：董庆宽 研究方向：密码学与信息安全 Email ： 个人主页：,网教院培训课程：信息系统安全,第三章 信息安全保障体系,2/83,内容提要,3.1 信息保障体系的基本概念 3.2 信息保障体系的构成 3.2.1 国家信息保障体系的构成 3.2.2 信息保障体系模型 3.2.3 信息安全保障体系框架 3.2.4 信息保障体系设计和建设的基本原则 3.3信息系统安全等级保护 3.3.1 等级保护建设的相关国际标准 3.3.2 信息及信息系统的分级 3.3.3 等级保护技术分级 3.3.4 等级保护要素与实施过程,3/83,当前的信息安全已经发展到信息保障时代 (IA, Informati

2、on assurance) 信息保障的概念源自于美国， 1996年美国国防部(DoD)在国防部令S600.1中对信息保障做了如下定义： 保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性和不可否认性等特性。,3.1 信息保障体系的基本概念,第三章 信息安全保障体系,3.1 信息保障体系的基本概念,4/83,3.1 信息保障体系的基本概念,信息保障在内涵上包括在信息系统中融入保护(Protect)、检测(Detect)、反应(React)和提供对信息系统的恢复功能(Restore)，它们构成以安全策略为中心的PDRR动态信息保障模型P-PDRR,第三章 信息安全保障体系,3.1 信

3、息保障体系的基本概念,5/83,美国国家安全局(NSA),1998年制定信息保障技术框架(IATF),提出了 主动防护 即在安全事件发生前对系统面临的威胁和风险、系统中存在的漏洞进行主动的分析和检测，并针对问题进行及时的防护；同时在事件发生时能够采取有效的应急手段将安全风险和损失降到最小；事件发生后及时恢复 深度防御策略 即从物理,网络,应用,系统,管理等各个层面综合防护 2002年9月，颁布信息保障技术框架3.1版本 信息保障已经成为国家战略 主动防护、纵深防御、P-PDRR是信息保障的重要标志,3.1 信息保障体系的基本概念,第三章 信息安全保障体系,3.1 信息保障体系的基本概念,6/8

4、3,在深度防御策略中，将信息系统安全划分为五个层面进行综合防护，即 物理层安全、系统层安全、网络层安全、管理层安全、应用层安全 五个层面的递次关系为 首先是物理安全，保障基本设施层面的安全 然后在物理设备上运行的操作系统要安全可信 进一步保障系统内部和系统之间的网络传输的安全 在上述构建的基础信息网络环境下构建的应用的安全 最后要保障管理方面的安全,3.1 信息保障体系的基本概念,第三章 信息安全保障体系,3.1 信息保障体系的基本概念,7/83,3.2.1国家信息保障体系的构成,国家信息安全保障体系因国家而异，但如下的基础设施和体系是不可或缺的 法律监管体系 提供法律保障，执法机关对信息安全

5、的监管，如数字签名法 国务院147号令：信息安全保障方面的法规 中华人民共和国计算机信息系统安全保护条例 1997年修改的刑法中对计算机犯罪进行规定 基础网络设施安全保障体系 信任体系的建设 网络中的信任危机、信任抵赖如何解决 建立以密码技术为支撑的网上信任体系极为重要，如PKI等,第三章 信息安全保障体系,3.2 信息保障体系的构成,8/83,应急响应体系建设 一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发生时及发生后所采取的紧急措施 监督控制体系的建设 互联网有害信息内容的监督和控制 信息安全保障技术标准体系 涉及技术、产品、管理、服务方面的标准 军事战术环境的信息保

6、障,3.2.1国家信息保障体系的构成,第三章 信息安全保障体系,3.2 信息保障体系的构成,9/83,人才教育培养体系 信息安全人才培养极为重要，有多种渠道 学历教育信息安全专业 专业培训各种认证CISSP 职业培训对相关人员的安全意识和常识的培训 招安：黑客 技术支撑队伍体系 各种从事信息安全的组织，需要多种类型 基础理论研究 新技术研究 产品研发 安全服务、外包,3.2.1国家信息保障体系的构成,第三章 信息安全保障体系,3.2 信息保障体系的构成,10/83,组织内部信息安全保障体系 一个国家中的社会由不同规模、职能、性质的组织构成，不同的组织具有个性化特点， 构成不同层次的信息系统，一

7、套安全解决方案不适合所有的组织 整体解决组织(单位)内部安全问题需要全面分析安全需求，综合设计，组织内部的安全问题，应该从构建信息安全保障体系思想解决,3.2.1国家信息保障体系的构成,第三章 信息安全保障体系,3.2 信息保障体系的构成,11/83,信息保障在信息系统安全知识体系中的地位 TCB提供了信息系统安全的结构和范畴 安全控制是信息系统安全原理的核心 安全模型是策略描述与实现的依据 安全技术是安全控制的具体措施和功能 信息保障模型是安全实现的内在联系机制，是CC的原理,3.2.1国家信息保障体系的构成,第三章 信息安全保障体系,3.2 信息保障体系的构成,12/83,3.2.2 信息

8、保障体系模型,组织内部的信息安全保障体系目前没有统一标准 有一些典型的信息安全保障体系模型，受到普遍关注的有如下两个 P-PDRR模型 基于策略的PDRR模型是一个简单有效的动态模型 APPDRR全网动态安全模型 对PDRR模型的一个修补 提出了一些信息保障体系框架 信息保障的要素及其之间的关系,第三章 信息安全保障体系,3.2 信息保障体系的构成,13/83,APPDRR全网动态安全模型 如图所示，该模型认为： 信息系统安全风险分析制定策略系统防护实时监测 实时响应灾难恢复 以上六个方面组成一个闭环结构 第二章所述的安全模型仅解决了对已有安全策略采用何种安全机制防护的问题，即系统防护这个环节

9、,特点 全面性、动态性 可实施性 各部分之间的动态关系与依赖性,3.2.2 信息保障体系模型,第三章 信息安全保障体系,3.2 信息保障体系的构成,14/83,APPDRR模型通过对网络风险进行分析、量化，建立安全模型，提供全方位的、整体安全解决方案 APPDRR动态安全体系模型本身是一个循环的模型，强调的是全网安全和动态安全。 全网安全是指在网络系统中，综合考虑技术、管理、规范、行业法规等各个环节，在网络运行各个阶段，分析网络的参考点和安全的各个层次，采取安全技术和安全管理手段，从整个网络安全需求出发，构建网络的安全架构 安全不是一成不变的、静态的，而是“动态”的安全。动态安全体系必须能包容

10、新的情况，及时作出联动反应,3.2.2 信息保障体系模型,第三章 信息安全保障体系,3.2 信息保障体系的构成,15/83,APPDRR模型为网络系统建立了4道防线，即继承了P-PDRR的特性 (1)安全防护，阻止对网络的入侵和危害 加密、访问控制、认证、 (2)安全监测，及时发现入侵和破坏 审计、IDS、扫描 (3)实时响应，当攻击发生时维持网络打不垮 IPS、应急响应、网络可生存性 (4)恢复，使网络在遭受攻击后能以最快的速度“起死回生”，最大程度上降低安全事件带来的损失。,3.2.2 信息保障体系模型,第三章 信息安全保障体系,3.2 信息保障体系的构成,16/83,3.2.3 信息保障

11、体系框架,信息保障体系框架描述了信息系统安全保障的要素及其之间的关系，而信息保障模型是基于该框架进行信息系统安全防护和保障体系建设的重要依据 框架说明了保障的要素，模型说明了如何做 目前典型的信息保障体系框架有 美国信息保障体系框架 2002年修改后的信息保障体系框架3.1版本 该框架本课程不做详细讨论 启明星辰的保障体系框架 三维信息系统安全保障体系模型,第三章 信息安全保障体系,3.2 信息保障体系的构成,17/83,启明星辰的信息保障体系框架 启明星辰理解信息安全保障的六大模型和思路 1. ITA信息体系架构：明确保护的对象(信息、威胁、资产)，理解需要保护的信息资产及其结构的典型方法就

12、是安全域(TCB所有安全功能的操作控制及其所涉及的主体和客体) 2. CIA信息安全属性。从信息安全保护目标(机密性、完整性和可用性)入手考虑信息安全保障体系建设 3. 管理和执行模型：管理主要指建立ISMS(信息安全管理体系)，在BS7799框架基础上提出12ISMC框架。在执行模型方面，提出包含决策层、运营层和运行层三个执行层次的VITA模型 安全防护措施由管理和技术两个方面组成，二者并重,3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,18/83,4. 以PDR(防护、检测、响应)为代表的动态信息安全模型，从信息安全方面阐述，也有自己的APPDRR模型

13、，如赵战生的WPDRRC(预警warning、保护、检测、反应、恢复和反击counterattack) 5. 风险管理方法：提供一种评价和决策的方法，其它类似的方法还有业务连续性管理和投资汇报管理 启明星辰认为：信息安全的本质是风险管理，与风险管理密切相关的是企业的资产、资产面临的威胁及采取的安全防护措施 6. 基于生命周期的过程方法、工程方法： PDCA(策划、实施、检查、改进)方法PlanDoCheckAction 2080原则：用20%的资源解决80%的问题,3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,19/83,启明星辰信息安全保障体系总体框架,

14、3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,20/83,三维信息系统安全保障体系模型,对于一个组织应按下图建立自己的信息安全保障体系,3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,21/83,过程维 是与时间有关的过程，既反应了信息系统的生命周期，也反应了在这个周期中的工程过程 措施维 包括：安全技术保障、安全管理保障和安全工程保障，从三个方面构成了一个完整的信息系统安全保障体系。当然不同安全等级其保障的强度是不一样的 三个保障体系是有机的整体 如风险评估即是安全运行维护的基本方法，也是工程保障的基本方法，同时又是风

15、险管理的基础,3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,22/83,技术保障体系是由两个大的体系构成的 信息的保护体系 实际上也是一个三维问题，不同安全等级的信息系统各个层面的安全需求不一样，如三维体系图。 系统的安全运行维护体系 安全运行维护是一个技术与管理相互严重交织的体系,3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,23/83,运行维护技术体系,3.2.3 信息保障体系框架,第三章 信息安全保障体系,3.2 信息保障体系的构成,24/83,3.2.4 信息保障体系设计和建设原则,信息保障体系设计要根据设计需

16、求、需要达到的安全目标、对应安全机制所需的安全服务等因素来综合考虑。 基本原则一：个性化原则和实用性原则 一个组织的信息系统总有独特的地方，这些独特的地方决定了其安全需求的独特要求 实用性是指可实施性、可管理性、可扩展性,25/83,基本原则二、主动防御，综合防范 主动防御 坚持动态发展原则，要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求，评估，修补漏洞，等等。 综合防范 将安全事件的各个阶段纳入到安全防范体系的全局去考虑 安全事件的处理从多个层面给出了多种技术，需要各种技术的集成与协作，实现整体联动,3.2.4 信息保障体系设计和建设原则,26/83,基本原则三

17、、网络信息安全的木桶原则 木桶原则是指对信息进行均衡、全面的保护。 “木桶的最大容积取决于最短的一块木板”。 安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点”的安全性能 基本原则四：动态性原则 安全是一个过程，应从以下几个方面理解信息系统安全的动态性 1)信息安全本身的动态性 2)安全事件是动态的过程 3)基于过程的动态管理,3.2.4 信息保障体系设计和建设原则,27/83,基本原则五、技术与管理相结合原则 安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育

18、与技术培训、安全规章制度建设等相结合。 基本原则六、适度风险或等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括： 对信息保密程度、用户操作权限、网络安全程度、系统实现结构分级 零风险是不存在的，也没必要追求 解决信息安全问题的“三不” 不存在一成不变的模式、不存在普遍适用的解决方案、不存在一劳永逸的技术和产品,3.2.4 信息保障体系设计和建设原则,28/83,3.3.1 等级保护建设的相关国际标准 3.3.2 信息及信息系统的分级 3.3.3 等级保护技术分级 3.3.4 等级保护要素与实施过程,3.3 信息系统安全等级保护,第三章 信息安全保障体系

19、,3.3 信息系统安全等级保护,29/83,3.3.1等级保护建设的相关国际标准,等级保护是一种普遍的技术策略 其核心思想是将安全策略、安全责任和安全保证等计算机信息系统安全需求划分为不同等级 国家、企业和个人依据不同等级的要求有针对性地保护信息系统安全 具体而言，信息安全等级保护是指 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理， 对信息系统中发生的信息安全事件分等级响应、处置。 最早给信息系统进行安全定级的是美国的TCSEC，对计算机操作系统提出了等级划分的依据，是计算机系统安

20、全评价的第一个正式标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,30/83,TCSEC提出了计算机操作系统的6项基本TCB(可信计算基)需求，4项属于访问控制，2项涉及安全保障 (1)安全策略：必须有一个显式和良好定义的安全策略由该系统实现 (2)标记：存取控制标签必须对应于对象 （对客体标记） (3)标识：每一个主体都必须标识 (4)审计：必须将安全的相关事件给予记录 (5)保证：必须有软件和硬件保证上述4项功能实现 (6)连续保护：必须对信任机制的连续性进行保护,3.3.1等级保护建设的相关国际标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,31/83,TCS

21、EC将操作系统按照TCB措施的多少和水平，将操作系统划分为四类7个等级 D类，最低级，仅一个级别，所有不满足高级别要求的系统均划入该级别；只为文件和用户提供安全保护 C类，为自主保护类，能够提供审慎的保护，并为用户的行动和责任提供审计能力，分为C1级和C2级； C1级系统：可信计算基TCB通过用户和数据分开来达到安全目的，使所有的用户都以同样的灵敏度处理数据 可认为所有文档有相同机密性 C2级系统：在C1基础上，通过登录、安全事件和资源隔离增强可调的审慎控制。在连接到网上时，用户分别对自己的行为负责。 适合商用系统，目前Windows和Linux系统都是C2级,3.3.1等级保护建设的相关国际

22、标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,32/83,B类，为强制保护类，分为B1级、B2级和B3级三个级别； 强制性意味着在没有与安全等级相连的情况下，系统就不会让用户存取对象 B1级系统: (实施强制访问控制) 对每个对象都进行敏感度标记，导入非标记对象前要先标记它们； 用敏感度标记作为强制访问控制的基础； 敏感度标记必须准确地表示其所联系的对象的安全级别； 系统必须使用用户口令或身份认证来决定用户的安全访问级别； 系统必须通过审计来记录未授权访问的企图,3.3.1等级保护建设的相关国际标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,33/83,B2级系统

23、： 必须符合B1级系统的所有要求； 系统管理员必须使用一个明确的、文档化的安全策略模式作为系统可信任运算基础体制；可信任运算基础体制能够支持独立的操作者和管理员； 只有用户能够在可信任通信路径中进行初始化通信； 进行隐蔽信道分析； 所有与用户相关的网络连接的改变必须通知所有的用户,3.3.1等级保护建设的相关国际标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,34/83,B3级系统： （更加强调安全管理） 具有很强的监视委托管理访问能力和抗干扰能力。要求： 必须符合B2系统所有安全需求； 必须设有安全管理员； 除控制个别对象的访问外，必须产生一个可读的安全列表；每个被命名的对象提

24、供对该对象没有访问的用户列表说明； 系统验证每一个用户身份，并会发送一个取消访问的审计跟踪消息； 设计者必须正确区分可信任路径和其他路径； 可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪； 可信任的运算基础体制支持独立的安全管理,3.3.1等级保护建设的相关国际标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,35/83,A类为验证保护类(只含1级)最高安全级别 A1级与B3级相似，对系统的结构和策略不作特别要求，而系统的设计者必须按照一个正式的设计规范进行系统分析；分析后必须用核对技术确保系统符合设计规范。A1系统必须满足： 系统管理员必须接收到开发者提供的安全策略正式

25、模型； 所有的安装操作都必须由系统管理员进行； 系统管理员进行的每一步安装操作必须有正式的文档。,3.3.1等级保护建设的相关国际标准,第三章 信息安全保障体系,3.3 信息系统安全等级保护,36/83,37/83,ITSEC： ITSEC于1990年推出第一版草稿，并最终于1995年由欧盟会议批准。 ITSEC比TCSEC更灵活。二者的主要区别在于，ITSEC不单针对了保密性，同时也把完整性和可用性作为评估的标准之一。 ITSEC的制定认识到IT系统安全的实现通常是要将技术和非技术手段结合起来，技术手段用来抵御威胁，而组织和管理手段则用来指导实现。,3.3.1等级保护建设的相关国际标准,第三

26、章 信息安全保障体系,3.3 信息系统安全等级保护,38/83,ITSEC的安全等级划分与TCSEC不同，他分为功能性等级（F）和保证性等级（E），这两个等级的具体内容如下：,E3级别被认为是最常用的安全产品评估标准，安全操作系统或数据库系统通常会使用F2+E3这个结合来进行评估。,39/83,ITSEC相比于TCSEC增强了完整性和可用性要求(如右图) CC、TCSEC、ITSEC、中国标准之间的对应关系(如下图),40/83,2003年2月14日美国政府发布了保护网络空间的国家战略，为了确保国家关键基础设施(基础信息网络和重要信息系统)的安全，对于网络空间，从国家关心的角度，美国将其分为五

27、个级别。(信息系统的级别) 第一级，家庭用户和小型商业机构 第二级，大型机构(公司、政府机构和大学等) 第三级，国家信息基础设施部门。(包括联邦政府、私营部门(银行与金融、能量、运输、电信、信息技术、通用制造业、化学制造业)、洲和地方政府、高等教育机构。) 第四级，国家机构和政策部门 第五级，全球,3.3.2 信息及信息系统的分级,第三章 信息安全保障体系,3.3 信息系统安全等级保护,41/83,我国信息系统按监管力度也分五级 自主、指导、监督、强制、专控五个保护级 国家对信息安全产品的使用实行分等级管理 按照信息安全产品的可控性、可靠性、安全性和可监督性的要求确定相应等级进行管理。 可控性

28、是指国家或用户对产品的技术可控，自主知识产权，掌握产品源代码等 可靠性是指生产信息安全产品的单位和人员稳定可靠。 安全性是指不会因使用该信息安全产品而给信息系统引入安全隐患。 可监督性指产品的研发生产和检测过程可监督。,3.3.2 信息及信息系统的分级,第三章 信息安全保障体系,3.3 信息系统安全等级保护,42/83,3.3.3 等级保护技术分级,1999年公安部提出的计算机信息系统安全等级的划分准则GB17859-1999将信息系统按照安全保护能力划分为五个等级。 第一级：用户自主保护级； C1级(TCSEC的分级) 自主访问控制、身份鉴别、数据完整性 第二级：系统审计保护级； C2级 自

29、主访问控制、增强的身份鉴别、数据完整性、客体重用、审计 第三级：安全标记保护级； B1级 自主访问控制、强制访问控制、增强的身份鉴别、数据完整性、客体重用、审计，敏感标记 第四级：结构化保护级； B2级 可信计算基基于一个明确定义的形式化安全保护策略。将第三级实施的（自主或强制）访问控制扩展到所有主体和客体。审计、数据完整性、隐蔽信道分析、可信路径 第五级：访问验证保护级。 A级,第三章 信息安全保障体系,3.3 信息系统安全等级保护,43/83,3.3.4 等级保护要素和实施过程,1. 信息系统等级保护包含以下七个基本要素： 1)信息系统： 系统是信息安全等级保护的对象，包括系统中的信息、系

30、统所提供的服务，以及执行信息处理、存储、传输的软硬件设备等 2)目标： 是指信息系统的业务目标和安全目标，等级保护要保障业务目标和安全目标的实现 3)信息系统的安全等级： 信息安全等级划分为五级，分别体现在信息系统的等级和安全保护的等级两个方面 4)安全保护要求： 不同的信息系统具有不同的类型和不同的强度的安全保护要求,第三章 信息安全保障体系,3.3 信息系统安全等级保护,44/83,5)安全风险： 是指信息系统由于本身存在安全弱点，通过人为或自然的威胁可能导致安全事件的发生。安全风险由安全事件的发生的可能性及其造成的影响这两种指标来综合衡量。 6)安全保护措施： 是用来对抗安全风险、满足安

31、全保护要求、保护信息系统和保障系统目标实现的措施，包括安全管理措施和安全技术措施。 7)安全保护措施的成本： 不同类型和强度的安全保护措施的实现需要不同的成本，安全保护措施的成本应包括设备购买成本、实施成本、维护成本和人员成本等。,3.3.4 等级保护要素和实施过程,第三章 信息安全保障体系,3.3 信息系统安全等级保护,45/83,2.信息系统等级保护各要素之间的关系 (1)信息系统的安全等级由系统的使命、目标和系统的重要程度决定（1，2，3三个要素） (2)安全措施需要满足系统安全保护要求，对抗系统所面临的风险（4，5，6三个要素） 不同信息系统的使命和业务目标的差异性，业务和系统本身的特

32、性(所属信息资产特性、实际运行情况和所处环境等)的差异性，决定了系统安全保护要求的特性(安全保护要求的类型和强度)的差异性 (3)信息系统安全措施的确定需要综合平衡系统安全保护要求的满足程度、系统面临风险的控制和降低程度、系统残余风险的接受程度以及实施安全措施的成本，进行安全措施的调整和定制，形成与系统安全等级相适应的安全保障体系。在适度成本下实现适度安全。(整体要素关系),3.3.4 等级保护要素和实施过程,第三章 信息安全保障体系,3.3 信息系统安全等级保护,46/83,3.3.4 等级保护要素和实施过程,3. 等级保护的实施过程 信息系统安全等级保护实现的一般方法如图 将信息系统按照定

33、级的规则划分为相应的安全等级，图2.1中给出了五个等级， 在考虑风险与成本的前提下，按照不同等级标准的要求，制定相应的保护措施， 将这个保护措施在原信息系统上实施,第三章 信息安全保障体系,3.3 信息系统安全等级保护,47/83,信息安全等级保护的实施过程包括三个阶段，分别为： (1)定级。(2)规划与设计。(3)实施、等级评估与改进,信息系统安全等级保护的基本流程,48/83,1)第一阶段：定级 定级阶段主要包括两个步骤。 (1)系统识别与描述 清晰地了解组织所拥有的信息系统，根据需要将复杂信息系统分解为信息子系统，描述系统和子系统地组成及边界 (2)等级确定 完成信息系统总体定级和子系统

34、的定级,3.3.4 等级保护要素和实施过程,第三章 信息安全保障体系,3.3 信息系统安全等级保护,49/83,2)第二阶段：规划与设计 (1)系统分域保护框架建立 通过对信息系统进行安全域划分、保护对象分类，建立信息系统的分域保护框架 (2)选择和调整安全措施 根据信息系统和子系统的安全等级，选择对应等级的基本安全要求，并根据风险评估的结果，综合平衡安全风险和成本，以及各系统特定安全要求，选择和调整安全措施，确定出信息系统、子系统和各类保护对象的安全措施 (3)安全规划和方案设计 根据所确定的安全措施，制定安全措施的实施规划，并制定安全技术解决方案和安全管理解决方案,3.3.4 等级保护要素

35、和实施过程,第三章 信息安全保障体系,3.3 信息系统安全等级保护,50/83,第三阶段:实施、等级评估与改进 (1)安全措施的实施 依据安全解决方案建设和实施等级保护的安全技术措施。 (2)评估与验收 按照等级保护的要求，选择相应的方式来评估系统是否满足相应的等级保护要求，并对等级保护建设的最终结果进行验收 (3)运行监控与改进 运行监控是在实施等级保护的各种安全措施后的运行期间，监控系统的变化和系统安全风险的变化，评估系统的安全状况。如果经过评估发现系统及其风险环境已发生重大变化，新的安全保护要求与原有的安全等级已不相适应，则应进行系统重新定级。如果系统只发生部分变化，例如发现新的系统漏洞

36、，这些改变不涉及系统的信息资产和威胁状况的根本改变，则只需要调整和改进相应的安全措施。 对于大型复杂系统等级保护可以根据实际情况进一步加强和细化，以满足其复杂性的要求,3.3.4 等级保护要素和实施过程,第三章 信息安全保障体系,3.3 信息系统安全等级保护,主讲教师：董庆宽 研究方向：密码学与信息安全 Email ： 手 机研究生学位课：信息系统安全,第四章 物理安全,52/83,本章内容,4.1 计算机硬件安全缺陷及环境威胁 4.2 计算机硬件安全技术 4.2.1 硬件访问控制技术 4.2.2 防拷贝技术 4.2.3 硬件防辐射技术(电磁泄露) 4.3 环境安全技

37、术 4.3.1 机房安全等级 4.3.2 机房环境基本要求 4.3.3 机房场地环境 4.4 基于物理方法的安全策略 物理隔离、远程灾备和双机热备份,53/83,4.1 计算机硬件安全缺陷及环境威胁,物理安全中常见威胁 由于自然灾害、设备自然损坏和环境干扰等自然因素以及人为的窃取与破坏等原因，计算机设备和其中信息的安全受到很大的威胁 未经授权的设备接入系统 不符合标准的设备，如配置错误的系统 内部用户未经授权的操作，(员工故意或疏忽而导致) 外部用户。携带病毒，蠕虫，拒绝服务和黑客渗透(社会工程) 物理盗窃 欺诈，伪造付款凭证及假的信用信息 专有信息，破坏或复制公司数据,54/83,4.1 计

38、算机硬件安全缺陷及环境威胁,大多数PC机无硬件级保护，他人很容易操纵控制机器,即使有保护机制也很简单，或者很容易被绕过 例如： CMOS中的口令机制可以通过把CMOS的供电电池短路，使CMOS电路失去记忆功能，而绕过口令的控制。 PC机的硬件易安装也易拆卸，硬盘是很容易被偷盗的，存储在硬盘上的文件几乎没有任何保护措施 在硬盘或软盘的磁介质表面的残留磁信息也是重要的信息泄漏渠道 计算机硬件的尺寸越来越小，容易搬移，尤其是便携机更是如此,55/83,计算机的外部设备是不受操作系统安全控制的，任何人都可以利用系统提供的输出命令打印文件内容，输出设备是最容易造成信息泄漏或被窃取的地方 计算机硬件故障会

39、造成历史信息的永久丢失；磁盘存储器磁介质的磨损或机械故障使磁盘文件遭到损坏。这些情况都会破坏信息的完整性 计算机中的显示器、中央处理器（CPU）和总线等部件在运行过程中能够向外部辐射电磁波。经实际仪器测试，在几百米以外的距离可以接受与复现显示器上显示的信息， 计算机电磁泄漏是一种很严重的信息泄漏途径。 CPU可能存在用于调试的陷门,4.1 计算机硬件安全缺陷及环境威胁,56/83,环境对计算机的安全威胁 1温度 2湿度 3灰尘 4电磁干扰,4.1 计算机硬件安全缺陷及环境威胁,57/83,4.2 计算机硬件安全技术,计算机硬件安全技术是指用硬件的手段保障计算机系统或网络系统中的信息安全的各种技

40、术 也包括为保障计算机安全可靠运行对机房环境的要求 下面介绍 4.2.1 用硬件技术实现的访问控制技术 4.2.2 防拷贝技术 4.2.3 防辐射技术,58/83,4.2.1 硬件访问控制技术,访问控制的对象主要是计算机系统的软件与数据资源 常见的硬件访问控制方法 令牌或智能卡 生物特征认证方法 结合软件技术的硬件访问控制系统,59/83,1、令牌或智能卡 令牌是一种能标识其持有人身份的特殊标志 如用户的图章或居民身份证可以认证身份，可看成令牌 各种磁卡，如邮政储蓄卡、电话磁卡等是用网络通信令牌的一种形式 通常磁卡读出器读出磁卡信息后，还要求用户输入通行字以便确认持卡人的身份。因此，如果磁卡丢

41、失，拾到者也无法通过磁卡进入系统。 为起到认证作用，令牌必须与持有人之间是一一对应的，要求令牌是唯一的和不能伪造的。 比如：身份证应该是不能伪造的，否则身份证就无意义。,4.2.1 硬件访问控制技术,60/83,更为复杂的信用卡形式智能卡或芯片卡 智能卡不仅可以保存用于辨别持有者的身份信息，还可以保存诸如存款余额的信息。卡中嵌入了一个微处理器。 这种卡不仅有存储能力，而且还有计算能力。 如可以计算询问应答系统的回答函数或者实现链路级的加密处理 2、生物特征认证方法 指纹、虹膜、脸型、声音图象、笔迹、打字手法或视网膜图象等特征 生物统计学设备通常用于极重要的安全场合，用以严格而仔细地识别人员身份

42、。,4.2.1 硬件访问控制技术,61/83,4.2.1 硬件访问控制技术,3、结合软件技术的硬件访问控制系统 一些公司已经开发出各种硬件与软件结合的访问控制系统，可称为固件 通常，硬件部分处理加密、验证等核心计算功能，软件部分处理其它的辅助功能。 具备的主要功能有： 用户身份认证功能 文件存取权限管理功能 审计功能 系统自动对文件进行加密 时间检查、自动暂停、机器识别,62/83,4.2.2 防拷贝技术,到目前为止已经研究出许多PC机文件的保护技术，这些保护技术可以分为软件保护技术和硬件保护技术。 对PC机文件的保护通常有以下四种形式： 计算机资源的访问控制功能 由个人用户对文件进行加密 防

43、止对文件的非法拷贝 对整体环境进行保护 下面举几例,63/83,4.2.2 防拷贝技术,（1）软件狗 软件狗是一个存储在磁盘介质上的认证和监控软件，被保护软件运行时将在某些时刻与软件狗通信认证，如果通过则继续运行，否则终止运行 不足之处： 当一台计算机上运行多个需要保护的软件时，就需要多个“软件狗”，运行时需更换不同的“软件狗”，这给用户增加了不方便 这种保护方法也容易被破解，方法是跟踪程序的执行，找出和“软件狗”通讯的模块，然后设法将其跳过，使程序的执行不需要和“软件狗”通讯 为了提高不可破解性，最好对存放程序的软盘增加反跟踪措施，例如一旦发现被跟踪，就停机或使系统瘫痪,64/83,4.2.

44、2 防拷贝技术,（2）与机器硬件配套保护法 在计算机内部芯片（如ROM）里存放该机器唯一的标志信息，软件和具体的机器是配套的，如果软件检测到不是在特定机器上运行便拒绝执行。 为了防止跟踪破解，还可以在计算机中安装一个专门的加密、解密处理芯片，密钥也封装于芯片中。 软件以加密形式分发，加密的密钥要和用户机器独有的密钥相同，这样可以保证一个机器上的软件在另一台机器上不能运行。 这种方法的缺点是软件每次运行前都要解密，会降低机器运行速度。 防止逆向工程的技术,65/83,4.2.3 硬件防辐射技术(电磁泄露),计算机是一种非常复杂的机电一体化设备，工作状态下不但产生电磁辐射泄漏保密信息，而且还可以引

45、入电磁干扰影响系统正常工作。 尤其是在微电子技术和卫星通信技术飞速发展的今天，计算机电磁辐射泄密的危险越来越大。 比如：对DES密码算法的破解的一种能量分析技术，就是通过DES芯片辐射的信号来破解DES密钥 国际上把防信息辐射泄漏技术简称为TEMPEST技术 瞬时电磁脉冲发射标准技术 美国国家安全局（NSA）和国防部（DoD）制定 这种技术主要研究与解决计算机和外部设备工作时因电磁辐射和传导产生的信息外漏问题。,66/83,TEMPEST研究的范围包括理论、工程和管理等方面，涉及电子、电磁、测量、信号处理、材料和化学等多学科的理论与技术。 TEMPEST技术减少计算机信息向外泄漏的技术可以分为

46、电子隐藏技术和物理抑制技术两大类。 其中电子隐藏技术是利用干扰方法扰乱计算机辐射出来的信息、利用跳频技术变化计算机的辐射频率； 物理抑制技术是采用包括结构、工艺、材料和屏蔽等物理措施防止计算机有用信息的泄漏。,4.2.3 硬件防辐射技术(电磁泄露),67/83,4.2.3 硬件防辐射技术(电磁泄露),计算机设备的一些防泄漏措施 对计算机与外部设备究竟要采取哪些防泄漏措施，要根据计算机中的信息的重要程度而定。 对于企业而言，需要考虑这些信息的经济效益 对于军队则需要考虑这些信息的保密级别。 防护的基本方法一般有如下几种 整体屏蔽 距离防护 使用干扰器 利用铁氧体磁环,68/83,4.2.3 硬件

47、防辐射技术(电磁泄露),(1)整体屏蔽 对于需要高度保密的信息，如军、政首脑机关的信息中心和驻外使馆等地方，应该将信息中心的机房整个屏蔽起来。 屏蔽的方法是采用金属网把整个房间屏蔽起来，为了保证良好的屏蔽效果，金属网接地要良好，要经过严格的测试验收。 整个房间屏蔽的费用比较高，可以采用设备屏蔽的方法,69/83,4.2.3 硬件防辐射技术(电磁泄露),(2)距离防护 让计算机房远离可能被侦测的地点，这是因为计算机辐射的距离有一定限制。 对于一个单位而言，计算机房尽量建在单位辖区的中央地区。若一个单位辖区的半径少于300米，距离防护的效果就有限,70/83,4.2.3 硬件防辐射技术(电磁泄露)

48、,(3)使用干扰器 在计算机旁边放置一个辐射干扰器，不断的向外辐射干扰电磁波，该电磁波可以扰乱计算机发出的信息电磁波，使远处侦测设备无法还原计算机信号。 挑选干扰器时要注意干扰器的带宽是否与计算机的辐射带宽相近，否则起不到干扰作用，这需要通过测试验证。,71/83,4.2.3 硬件防辐射技术(电磁泄露),(4)利用铁氧体磁环 在屏蔽的电缆线的两端套上铁氧体磁环可以进一步减少电缆的辐射强度。 计算机的键盘、磁盘、显示器等输入输出设备的辐射泄漏问题比计算机主机的泄漏更严重，需要采用多种防护技术,72/83,4.3 环境安全技术,4.3.1 机房安全等级 4.3.2 机房环境基本要求 4.3.3 机

49、房场地环境,73/83,4.3.1 机房安全等级,为了确保计算机硬件和计算机中信息的安全，机房安全是重要的因素。根据安全需求划分机房等级 GB50174-92电子计算机机房设计规范将计算机机房的安全等级可以分为三级， A级(容错型)要求具有最高安全性和可靠性的机房； C级(基本型)则是为确保系统作一般运行而要求的最低限度的安全性、可靠性的机房； 介于A级和C级之间的则是B级(冗余型)。,74/83,安全项目,指标,机房安全级别,表3-2 机房的安全等级,75/83,4.3.2 机房环境基本要求,1993年2月17日国家技术监督局、中华人民共和国建设部联合发布了中华人民共和国国家标准电子计算机机房设计规范（GB50174-93），该标准于1993年9月1日实施。 计算机系统设备的可靠性和安全性与环境条件有着密功的关系。 如果环境条件不能满足设备对环境的使用要求，就会降低计算机的可靠性和安全性 轻则造成数据或程序出错、破坏 重则加速元器件老化，缩短机器寿命，或发生故障使系统不能正常运行 严重时还会危害设备和人员的安全。,76/83,4.3.3 机房场地环境,1. 机房外部环境要求 机房场地的选择应以能否保证计算机长期稳定、可靠、安全地工作为主要目标。 在