公安部建设技术方案设计要求.docx
《公安部建设技术方案设计要求.docx》由会员分享,可在线阅读,更多相关《公安部建设技术方案设计要求.docx(47页珍藏版)》请在冰豆网上搜索。
公安部建设技术方案设计要求
ICS35.040
L80
中华人民共和国国家标准
GB/TXXXXX—200X
GB/TXXXXX—2008
信息安全技术
信息系统等级保护
安全建设技术方案设计要求
Informationsecuritytechnology--
Designrequirementofsecurityconstructiontechniquesscheme
forinformationsystemclassifiedprotection
(征求意见稿)
200X-××-××发布200X-××-××实施
发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会
目次
前言
本标准的附录A是规范性附录,附录B是资料性附录。
本标准由公安部公共信息网络安全监察局提出。
本标准由全国信息安全标准化技术委员会归口。
本标准主要起草单位:
公安部第一研究所。
本标准主要起草人:
厉剑、范红、胡志昂、吉增瑞、赵勇、张红旗、胡俊、杜学绘、连一峰、金丽娜、苏智睿、韩勇桥、韩煜、王超、赵会敏、刘鑫。
本标准由公安部公共信息网络安全监察局负责解释。
引言
《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。
依据国务院147号令的要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护。
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。
信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。
2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。
在开展信息安全等级保护定级和备案工作基础上,各单位、各部门应按照信息安全等级保护有关政策规定和技术标准规范,开展信息系统安全建设整改等工作,建立健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
为了配合信息系统安全建设整改阶段工作,特制订本标准。
本标准规范了信息系统等级保护安全建设技术方案,对第一级至第五级信息系统安全保护环境从计算环境、区域边界、通信网络等方面确定安全需求,以及对系统互联安全保护环境和安全管理中心提出设计要求。
在第五章至第九章,每一安全保护等级的系统安全保护环境设计比较低一级安全等级的系统安全保护环境设计所增加和增强的部分,用“宋体加粗”表示。
信息安全技术
信息系统等级保护安全建设技术方案设计要求
11 范围
本标准按照国家信息安全等级保护的要求,规定了信息系统等级保护安全建设技术方案的设计要求。
本标准适用于指导信息系统运营使用单位按照国家信息安全等级保护的要求,进行信息系统等级保护安全建设技术方案的设计。
12 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB17859-1999计算机信息系统安全保护等级划分准则
13 术语和定义
GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1
定级系统安全保护环境secureprotectiveenvironmentofclassifiedsystem
定级系统的安全保护是指,在安全管理中心统一安全策略控制下,对已经确定安全保护等级的系统,从安全计算环境、安全区域边界和安全通信网络三个方面进行保护。
定级系统安全保护环境包括一级系统安全保护环境、二级系统安全保护环境、三级系统安全保护环境、四级系统安全保护环境和五级系统安全保护环境和系统互联安全保护环境。
各级安全计算环境、安全区域边界、安全通信网络和安全管理中心构成了相应等级的定级系统的安全保护环境。
3.2
安全计算环境securecomputingenvironment
安全计算环境由定级系统中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成,也可以是独立的或移动的计算机系统。
安全计算环境按照保护能力可划分为一级安全计算环境、二级安全计算环境、三级安全计算环境、四级安全计算环境和五级安全计算环境。
3.3
安全区域边界secureareaboundary
安全区域边界是定级系统中安全计算环境的边界以及安全计算环境与安全通信网络之间实现联接功能的部分,对安全计算环境及进出安全计算环境的信息进行保护。
安全区域边界按照保护能力可划分为一级安全区域边界、二级安全区域边界、三级安全区域边界、四级安全区域边界和五级安全区域边界。
3.4
安全通信网络securecommunicationnetwork
安全通信网络是定级系统中实现安全计算环境之间信息传输功能的部分。
安全通信网络按照保护能力可划分一级安全通信网络、二级安全通信网络、三级安全通信网络、四级安全通信网络和五级安全通信网络。
3.5
安全管理中心securitymanagementcenter
安全管理中心是对部署在安全计算环境、安全区域边界和安全通信网络上的安全策略与机制实施统一管理的设施。
二级以上的系统都需要设置安全管理中心,分别称为二级安全管理中心、三级安全管理中心、四级安全管理中心和五级安全管理中心。
3.6
系统安全互联securesysteminterconnection
系统互联安全是信息系统中为相同或不同安全等级系统安全保护环境之间的互连、互通、互操作安全提供支持的安全机制总称。
14 信息系统等级保护安全建设技术方案设计概述
信息系统等级保护安全建设技术方案设计,是各级系统安全保护环境及其安全互联的安全保护环境设计。
信息系统等级保护安全建设技术方案的总体框架如图1所示。
按图1所示,信息系统等级保护安全建设技术方案由一级系统安全保护环境、二级系统安全保护环境、三级系统安全保护环境、四级系统安全保护环境和五级系统安全保护环境以及系统互联安全保护环境组成。
于是,信息系统等级保护安全建设技术方案设计由一级系统安全保护环境设计、二级系统安全保护环境设计、三级系统安全保护环境设计、四级系统安全保护环境设计和五级系统安全保护环境设计以及系统互联安全保护环境设计组成。
各级安全计算环境、安全区域边界、安全通信网络在安全管理中心的统一管控下运行,各司其职、相互配合,共同构成该级系统的安全保护环境,确保信息的存储、处理和传输安全。
系统安全保护环境则在跨系统安全管理中心的全系统统一安全策略控制下,通过设置系统安全互联机制,实现跨系统的安全互操作和信息安全交换。
本标准的以下章节对图1的各个部分进行了详细描述,附录A是信息系统等级保护访问控制模型的规范性要求,附录B是三级系统安全保护环境设计的资料性说明。
15 一级系统安全保护环境设计
15.1 设计目标
一级系统安全保护环境的设计目标是:
落实GB17859-1999对一级系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。
15.2 设计策略
一级安全保护环境的设计策略,应遵循GB17859-1999的4.1中“通过隔离用户与数据,使用户具备自主安全保护的能力”的相关要求,以身份鉴别为基础,提供用户/用户组对文件及数据库表的自主访问控制,提供基本的数据完整性保护和系统安全运行控制,实现数据保护和系统服务安全。
一级安全保护环境设计包括一级的安全计算环境设计、安全区域边界设计和安全通信网络设计。
15.3 计算环境安全设计
一级安全计算环境从以下方面进行设计:
a)用户身份鉴别
包括用户标识和用户鉴别。
在每一个用户注册到系统时,应采用用户名和用户标识符的方式进行用户标识;在每次用户登录系统时,应采用一般性的口令鉴别机制进行用户鉴别,并对口令数据进行保护。
b)自主访问控制
应在安全策略控制范围内,使用户/用户组对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组;访问控制主体的粒度应为用户/用户组,客体的粒度应为文件和数据库表;访问操作应包括对客体的创建、读、写、修改和删除等。
c)用户数据完整性保护
宜采用各种常规校验机制,检验安全计算环境存储的用户数据的完整性,并能发现完整性被破坏的情况。
d)恶意代码防范
应安装防恶意代码软件,并定期进行升级和更新,以及时防范和清除恶意代码。
15.4 区域边界安全设计
一级安全区域边界从以下方面进行设计:
a)区域边界包过滤
宜根据区域边界安全控制策略,由数据包的源地址、目的地址、传输层协议、请求的服务确定是否允许该数据包通过受保护的安全区域边界。
b)恶意代码防范
应通过在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。
15.5 通信网络安全设计
宜采用各种常规校验机制,检验网络传输数据的完整性,并能发现其完整性被破坏的情况。
15.6 系统安全集成
15.6.1 集成要求
应按照上述设计目标和设计策略,落实一级计算环境安全、区域边界安全和通信网络安全的设计要求,选择符合相应要求的安全产品,进行一级系统安全保护环境的集成。
15.6.2 产品类型及功能
表1是一级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型。
表1一级系统安全保护环境主要产品类型及功能
使用范围
安全功能
产品类型
安全计算环境
用户身份鉴别
操作系统、数据库管理系统等
自主访问控制
用户数据完整性保护
恶意代码防范
主机防病毒软件等*
安全区域边界
区域边界包过滤
防火墙、网关等
区域边界恶意代码防范
防病毒网关等*
安全通信网络
网络数据传输完整性保护
安全路由器等
注:
其中带“*”的项表示其设备的功能可在信息系统安全建设设计中统一考虑。
16 二级系统安全保护环境设计
16.1 设计目标
二级系统安全保护环境的设计目标是:
落实GB17859-1999对二级系统的安全保护要求,以系统安全审计为核心,通过增强的身份鉴别、更细粒度的自主访问控制以及客体重用等安全机制,使系统具有核查安全事件等基本安全保护能力。
16.2 设计策略
二级安全保护环境的设计策略,应遵循GB17859-1999的4.2中“通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责”的相关要求,以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制,以及系统安全审计、客体安全重用、用户数据保密性和完整性保护等安全机制。
二级安全保护环境设计包括二级的安全计算环境设计、安全区域边界设计、安全通信网络设计和安全管理中心设计。
16.3 计算环境安全设计
二级安全计算环境从以下方面进行设计:
a)用户身份鉴别
包括用户标识和用户鉴别。
在对每一个用户注册到系统时,应采用用户名和用户标识符的方式进行用户标识,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用强化管理的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
b)自主访问控制
应在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;自主访问操作应包括对客体的创建、读、写、修改和删除等。
c)系统安全审计
应能记录系统相关安全事件;审计记录应包括安全事件的主体、客体、时间、类型和结果等内容;应提供审计记录的分类、查询和存储保护;应为安全管理中心提供接口;对不能由系统独立处理的安全事件,应提供可由授权主体调用的接口。
d)用户数据完整性保护
应采用各种常规校验机制,对在安全计算环境中存储和传输的用户数据进行完整性检验,以发现完整性是否被破坏。
e)用户数据保密性保护
可采用密码技术支持的保密性保护机制,确保安全计算环境中存储和传输的用户数据的保密性。
f)客体安全重用
对于动态管理和使用的客体资源,应在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。
g)恶意代码防范
应安装防恶意代码软件,并及时进行升级和更新,以防范和清除恶意代码。
16.4 区域边界安全设计
二级安全区域边界从以下方面进行设计:
a)区域边界协议过滤
应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界。
b)区域边界安全审计
应在安全区域边界设置必要的审计机制,并通过安全管理中心集中管理。
c)区域边界恶意代码防范
应在安全区域边界设置防恶意代码网关,并通过安全管理中心集中管理。
d)区域边界完整性保护
应在终端用户系统设置探测软件,探测用户非法外联的行为,并及时报告安全管理中心。
16.5 通信网络安全设计
二级安全通信网络从以下方面进行设计:
a)通信网络安全审计
应在安全通信网络设置必要的审计机制,并通过安全管理中心集中管理。
b)网络数据传输完整性保护
采用由密码技术支持的完整性校验机制或具有相当安全性的其他安全机制,以实现网络数据传输完整性保护。
c)网络数据传输保密性保护
采用由密码技术支持的保密性保护机制或具有相当安全性的其他安全机制,以实现网络数据传输保密性保护。
16.6 安全管理中心设计
16.6.1 系统管理
应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括:
用户身份管理,系统资源配置,系统加载和启动,系统运行的异常处理,数据和设备的备份与恢复以及恶意代码防范等;应对系统管理员进行严格的身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
16.6.2 审计管理
应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:
根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或界面进行安全审计操作。
16.7 系统安全集成
16.7.1 集成要求
应按照上述设计目标和设计策略,落实二级计算环境安全、区域边界安全、通信网络安全以及安全管理中心的设计要求,选择符合相应要求的安全产品,进行二级定级系统安全保护环境的集成。
此外,系统安全集成还可包括:
通过设置数据和设备的备份与恢复机制,支持用户和系统管理员对被破坏或丢失的数据进行恢复,以及在设备和系统出现故障时进行恢复。
16.7.2 产品类型及功能
表2是二级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型。
表2二级系统安全保护环境主要产品类型及功能
使用范围
安全功能
产品类型
安全计算环境
用户身份鉴别
操作系统、数据库管理系统、安全审计系统*等
自主访问控制
系统安全审计
用户数据完整性保护
用户数据保密性保护
客体安全重用
恶意代码防范
主机防病毒软件等*
安全区域边界
区域边界协议过滤
防火墙、网关等
区域边界安全审计
区域边界恶意代码防范
防病毒网关等*
区域边界完整性保护
防非法外联系统
安全通信网络
网络安全审计
VPN、加密机*、安全路由器等
网络数据传输完整性保护
网络数据传输保密性保护
安全管理中心
系统管理
安全管理平台
审计管理
注:
其中带“*”的项表示其设备的功能可在信息系统安全建设技术方案设计中统一考虑。
17 三级系统安全保护环境设计
17.1 设计目标
三级系统安全保护环境的设计目标是:
落实GB17859-1999对三级系统的安全保护要求,在二级安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使得系统具有在统一安全策略管控下,保护敏感资源的能力。
17.2 设计策略
三级安全保护环境的设计策略,应遵循GB17859-1999的4.3中“提供有关安全策略模型、数据标记以及主体对客体强制访问控制”的相关要求,构造非形式化的安全策略模型,对主、客体进行安全标记,并以此为基础,按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制。
此外,三级安全保护环境还需相应增强系统的审计能力、数据保密性和完整性保护能力。
三级安全保护环境设计包括三级的安全计算环境设计、安全区域边界设计、安全通信网络设计和安全管理中心设计。
17.3 计算环境安全设计
三级安全计算环境从以下方面进行设计:
a)用户身份鉴别
包括用户标识和用户鉴别。
在每一个用户注册到系统时,应采用用户名和用户标识符的方式进行用户标识,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用强化管理的口令、基于生物特征、基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
b)自主访问控制
应在安全策略控制范围内,使用户对自己创建的客体具有各种访问操作权限,并能将这些权限的部分或全部授予其他用户;自主访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级和/或记录、字段级;自主访问操作应包括对客体的创建、读、写、修改和删除等。
c)标记和强制访问控制
在对安全管理员进行严格的身份鉴别和权限控制基础上,由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级,客体的粒度应为文件或数据库表级;应确保安全计算环境内所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。
d)系统安全审计
应能记录系统相关安全事件,并能对特定安全事件进行报警;审计记录应包括安全事件的主体、客体、时间、类型和结果等内容;应提供审计记录的分类、统计分析和查询等;应提供审计记录的存储保护,确保审计记录不被破坏或非授权访问;应为安全管理中心提供接口;对不能由系统独立处理的安全事件,应提供可由授权主体调用的接口。
e)用户数据完整性保护
采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制,检验安全计算环境中用户数据的完整性,并在其受到破坏时能对重要数据进行恢复。
f)用户数据保密性保护
采用密码技术支持的保密性保护机制或其他具有相当安全强度的保密性保护机制,对在安全计算环境中的用户数据进行保密性保护。
g)客体安全重用
对于动态管理和使用的客体资源,应在客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄漏。
h)系统可执行程序保护
宜采用基于密码技术的信任链安全机制,构建从操作系统到上层应用的信任链,实现系统运行过程中可执行程序的完整性检验,并在检测到其完整性受到破坏时,采取有效的恢复措施,使其具有防范恶意代码攻击的能力。
17.4 区域边界安全设计
三级安全区域边界从以下方面进行设计:
a)区域边界访问控制
应在安全区域边界设置自主和强制访问控制机制,对进出安全区域边界的数据信息进行控制,阻止非授权访问。
b)区域边界协议过滤
应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界。
c)区域边界安全审计
应在安全区域边界设置必要的审计机制,通过安全管理中心集中管理,并对确认的违规行为及时报警。
d)区域边界完整性保护
应在终端用户系统设置探测软件,探测用户非法外联的行为,并及时报告安全管理中心。
17.5 通信网络安全设计
三级安全通信网络从以下方面进行设计:
a)通信网络安全审计
应在安全通信网络设置必要的审计机制,通过安全管理中心集中管理,并对确认的违规行为及时报警。
b)网络数据传输完整性保护
采用由密码技术支持的完整性校验机制或具有相当安全强度的其他安全机制,以实现网络数据传输完整性保护,并在发现完整性破坏时进行恢复。
c)网络数据传输保密性保护
采用由密码技术支持的保密性保护机制或具有相当安全强度的其他安全机制,以实现网络数据传输保密性保护。
d)网络可信接入
宜采用由密码技术支持的可信网络连接机制,通过对连接到网络的设备进行可信检验,确保接入网络的设备真实可信,防止设备的非法接入。
17.6 安全管理中心设计
17.6.1 系统管理
应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括:
用户身份管理,系统资源配置,系统加载和启动,系统运行的异常处理,以及支持管理本地和/或异地灾难备份与恢复等;应对系统管理员进行严格的身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
17.6.2 安全管理
应通过安全管理员对系统中的主体、客体进行统一标记,进行系统安全监测,并为安全计算环境、安全区域边界、安全通信网络配置统一的安全策略;应对安全管理员进行严格的身份鉴别,并只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
17.6.3 审计管理
应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括:
根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录进行分析,并根据分析结果进行处理;对安全审计员进行严格的身份鉴别,并只允许其通过特定的命令或操作界面进行安全审计操作。
17.7 系统安全集成
17.7.1 集成要求
应按照上述设计目标和设计策略,落实三级计算环境安全、区域边界安全、通信网络安全以及安全管理中心的设计要求,选择符合相应要求的安全产品,进行三级系统安全保护环境的集成。
此外,系统安全集成还应包括:
通过设置数据和设备的备份与恢复机制,支持用户和系统管理员对被破坏或丢失的数据进行恢复,以及在设备和系统出现故障时进行恢复;根据应用对业务连续性的要求,设置系统级灾难备份与恢复机制,并支持应急处理。
17.7.2 产品类型及功能
表3是三级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型。
表3三级系统安全保护环境主要产品类型及功能
使用范围
安全功能
产品类型
安全计算环境
用户身份鉴别
安全操作系统(或安全增强)、安全数据库管理系统(或安全增强)、安全审计系统*等
自主访问控制
标记与强制访问控制
系统安全审计
用户数据完整性保护
用户数据保密性保护
客体安全重用
系统可执行程序保护
安全操作系统(或安全增强)等
安全区域边界
区域边界访问控制
安全隔离与信息交换系统等
区域边界协议过滤
区域边界安全审计
区
升级会员 