信息系统等级保护建设方案设计.docx
《信息系统等级保护建设方案设计.docx》由会员分享,可在线阅读,更多相关《信息系统等级保护建设方案设计.docx(18页珍藏版)》请在冰豆网上搜索。
信息系统等级保护建设方案设计
边界接入平台终端安全保护系统
建设方案
2009年6月5日
文件修改记录
修改日期
版本号
修改内容
修改人
审核人
批准人/日期
1项目建设的必要性
1.1政策必要性
随着全球信息化进程的不断推进,我国政府与各行各业也在进展大量的信息系统的建设,这些信息系统已经成为国家重要的根底设施,因此,信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度,已引起党和国家领导以与社会各界的关注。
随着政府上网、电子商务、电子军事等信息化建设和开展,作为现代信息社会重要根底设施的信息系统,其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。
能否有效的保护信息资源,保护信息化进程健康、有序、可持续开展,直接关乎国家安危,关乎民族兴亡,是国家民族的头等大事。
没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,没有完整意义上的国家安全。
随着国家信息化的不断推进与当前电子政务的大力建设,信息已经成为最能代表综合国力的战略资源,因此,信息资源的保护、信息化进程的健康是关乎国家安危、民族兴旺的大事;信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。
经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护根底信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。
对信息系统实行等级保护是我国的法定制度和根本国策,是开展信息安全保护工作的有效方法,是信息安全保护工作的开展方向。
实行信息安全等级保护的决定具有重大的现实和战略意义。
1.2整体安全需要
信息安全遵循“木桶原理〞,任何一个不完善的环节都可能成为危与整个系统安全的“短板〞。
在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成局部,终端的安全将直接影响整个信息系统的安全。
终端既可能是安全事件的源头,又可能是安全事件的目标。
从有关安全权威单位得知,绝大多数的攻击事件都是从终端发起的,也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。
因此,必须从终端操作系统平台实施安全防X,将不安全因素从终端源头被控制,只有这样才能保证信息系统的整体安全。
1.3合规性需要
XX信息通信网边界接入平台将按照等级保护3级的要求对信息系统进展安全建设和加固。
等级保护3级和4级标准均对操作系统的身份鉴别、访问控制、安全审计、恶意代码防X、入侵检测等提出了明确要求,而目前边界接入平台数据交换业务前置机和社区警务室计算机终端操作系统同以上要求相比尚有不少差距。
为达到等级保护要求,必须对终端进展安全加固。
2法规、政策和技术依据
国家高度重视信息安全保护工作,为了进一步提高信息安全的保障能力和防护水平。
经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护根底信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。
国家针对等级保护制定了一系列的法规和标准,这些法规和标准是建设等级保护系统的依据。
制定了包括《计算机信息系统安全保护等级划分准如此》〔GB17859-1999〕、《信息系统安全等级保护定级指南》(GB/T22240-2008)、《信息系统安全等级保护根本要求》(GB/T22239-2008)、《信息安全技术操作系统安全评估准如此》〔GB/T20009-2005〕、《信息安全技术信息系统安全管理要求》〔GB/T20269-2006〕等50多个国标、行标以与已报批标准,初步形成了信息安全等级保护标准体系。
2.1信息安全等级保护有关法规、政策、文件
2.1.1《中华人民某某国计算机信息系统安全保护条例》〔国务院147号令〕
1994年国务院颁布了第147号令《中华人民某某国计算机信息系统安全保护条例》〔以下简称《条例》〕,是最早提与信息安全等级保护的法规。
《条例》明确了实行信息安全等级保护制度的有关规定,提出了从整体上、根本上解决国家信息安全问题的方法,进一步确定了信息安全开展主线、中心任务,提出了总要求。
《条例》指出对信息系统实行等级保护是国家法定制度和根本国策,是开展信息安全保护工作的有效方法,是信息安全保护工作的开展方向。
实行信息安全等级保护的决定具有重大的现实和战略意义。
《条例》指明“信息系统安全等级的划分标准和安全等级保护的具体方法由XX部会同有关部门制定〞;指明了等级保护是计算机信息系统安全保护的一项制度;明确规定由XX部会同有关部门制定信息系统等级保护配套的规章和技术标准。
2.1.2《国家信息化领导小组关于加强信息安全保障工作的意见》〔中办发[2003]27号〕
《国家信息化领导小组关于加强信息安全保障工作的意见》〔中办发[2003]27号〕〔以下简称《27号文件》〕明确指出要“实行信息安全等级保护〞。
“要重点保护根底信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理方法和技术指南〞。
标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项根本制度。
同时,《27号文件》明确了各级党委和政府在信息安全保障工作中的领导地位,以与“谁主管谁负责,谁运营谁负责〞的信息安全保障责任制。
《27号文件》针对等级保护提出了明确的三方面要求:
1〕要从实际出发,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护信息根底网络和关系国家安全、经济命脉、社会稳定的信息系统,这就是提到的关键技术;
2〕要重视安全信息覆盖评估工作,对网络与信息系统,对信息安全等级因素进展相应的建设,落脚点还是信息安全方面;
3〕对涉与国家秘密的信息系统要按照国家要求进展保护。
2.1.3《关于信息安全等级保护工作的实施意见》〔公通字[2004]66号〕
2004年,《关于信息安全等级保护工作的实施意见》〔公通字[2004]66号〕〔以下简称《实施意见》〕发布。
《实施意见》明确指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国X围内分三个阶段实施。
〞信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规X和技术标准体系〞。
《实施意见》中进一步明确了信息安全等级保护制度的根本内容:
1〕根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以与公民、法人和其他组织的合法权益的危害程度;针对信息的某某性、完整性和可用性要求与信息系统必须要达到的根本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。
2〕国家通过制定统一管理规X和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。
国家对不同安全保护级别的信息和信息系统实行不同强度的监视管理。
3)国家对信息安全产品的使用实行分级管理。
4〕信息安全事件实行分等级响应、处置的制度。
2.1.4《信息安全等级保护管理方法》〔公通字[2007]43号〕
2007年6月22日,XX部与国家某某局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理方法》〔公通字[2007]43号〕〔以下简称《管理方法》〕,《管理方法》为XX、某某、密码部门履行职责,监视、检查、指导定级工作提供了政策依据。
《管理方法》规定,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以与公民、法人和其他组织的合法权益的危害程度;针对信息的某某性、完整性和可用性要求与信息系统必须要达到的根本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级。
《管理方法》中明确了信息安全等级保护制度的根本内容、流程与工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规X保障。
《管理方法》对信息安全等级保护体系设计、实施、管理、制度、评测等各方面所需遵循的标准文件进展了明确说明。
2.1.5信息安全等级保护技术标准体系与其关系
国家针对等级保护制定了一系列的法规和标准,这些法规和标准是建设等级保护系统的依据。
目前,我国共制定了和发布了约50余个国标、行标以与已报批标准,初步形成了信息安全等级保护标准体系。
这些标准分别从根底、设计、实施、管理、制度等各个方面对信息系统等级保护提出了要求和建议,为信息系统的使用者、设计者、建设者提供了管理规X和技术标准。
Ø根底标准
1999年制定的GB17859-1999是第一个信息系统等级保护技术类标准,是国家强制性标准。
GB17859-1999是等级保护标准体系中的根底性标准,其后陆续推出的许多技术类标准都是GB17859-1999的延伸和细化。
Ø定级标准
《信息系统安全等级保护定级指南》(GB/T22240-2008)是信息系统安全保护等级确定标准,属于管理规X,规X了信息系统安全保护等级的定级方法。
Ø整改与建设
《根本要求》是以GB17859为根底的分等级信息系统的安全建设和管理系列标准之一,是现阶段五个级别的信息系统的根本安全保护技术和管理要求,提出了各级信息系统应当具备的根本安全保护能力以与技术与管理措施,该标准需与《设计技术要求》、《信息安全技术网络根底安全技术要求》〔GB/T20270-2006〕、《信息安全技术系统安全等级保护通用安全技术要求》〔GB/T20271-2006〕、《信息安全技术操作系统安全技术要求》〔GB/T20272-2006〕、《信息安全技术数据库管理系统安全技术要求》〔GB/T20273-2006〕、《信息安全技术操作系统安全评估准如此》〔GB/T20009-2005〕等安全等级保护系列标准配合使用,规X、指导信息系统安全等级保护整改建设工作。
《信息安全技术服务器技术要求》〔GA/T671-2006〕和《信息安全技术终端计算机系统技术要求》〔GA/T672-2006〕是信息系统关键设备安全等级保护标准,规X和解决信息系统主机和终端安全等级保护问题。
Ø系统实施
《信息系统安全等级保护实施指南》是信息系统安全等级保护实施的过程控制标准,规X了信息系统安全等级保护的实施各阶段内容和过程控制问题。
Ø安全管理
《信息安全技术信息系统安全工程管理要求》〔GB/T20282-2006〕是信息系统安全等级保护管理标准之一,规X信息系统安全等级保护方案技术集成和工程实施过程控制问题。
《信息安全技术信息系统安全管理要求》〔GB/T20269-2006〕是信息系统安全等级保护管理标准,规X信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。
表2.1.5局部等级保护工作相关依据政策与标准
相关法规
国务院147号令《中华人民某某国计算机信息系统安全保护条例》
政策文件
中办[2003]27号文件〔关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知〕
公通字[2004]66号文件〔关于印发《信息安全等级保护工作的实施意见》的通知〕
公通字[2007]43号文件〔关于印发《信息安全等级保护管理方法》的通知〕
技术标准
根底标准
计算机信息系统安全保护等级划分准如此〔GB17859-1999〕
定级标准
信息安全技术信息系统安全等级保护定级指南〔GB/T22240-2008〕
整改与
建设
信息安全技术信息系统安全管理要求〔GB/T20269-2006〕
信息安全技术网络根底安全技术要求〔GB/T20270-2006〕
信息安全技术信息系统通用安全技术要求〔GB/T20271-2006〕
信息安全技术操作系统安全技术要求〔GB/T20272-2006〕
信息安全技术数据库管理系统通用安全技术要求〔GB/T20273-2006〕
信息安全技术操作系统安全评估准如此〔GB/T20009-2005〕
信息安全技术信息系统安全等级保护根本要求〔GB/T22239-2008〕
信息安全技术信息系统等级保护安全设计技术要求〔已送批〕
信息安全技术信息系统安全等级保护根本模型〔GA/T709-2007〕
其他相关标准等……
信息安全技术服务器技术要求〔GA/T671-2006〕
信息安全技术终端计算机系统安全等级技术要求〔GA/T672-2006〕
其他相关标准等……
系统实施
信息安全技术信息系统安全等级保护实施指南
其他相关标准等……
安全管理
信息安全技术信息系统安全工程管理要求〔GB/T20282-2006〕
其他相关标准等……
2.1.5.1《计算机信息系统安全保护等级划分准如此》〔GB17859-1999〕
GB17859-1999在一定程度上表现出了信息系统的概念,是我国制定的一种强制性信息系统安全的国家标准。
它按照安全性由低到高的顺序,规定了计算机系统安全保护能力的五个等级,即:
第一级:
用户自主保护级;
第二级:
系统审计保护级;
第三级:
安全标记保护级;
第四级:
结构化保护级;
第五级:
访问验证保护级。
GB17859-1999不仅从操作系统的角度提出评估标准,还从整个信息系统的角度提出了安全功能和安全保障的评估要求。
另外,GB17859-1999在每个级别都提出了一些完整性的要求,但这些完整性要求与某某性要求相比还是相对薄弱。
因此,在GB17859-1999的根底上,国内先后提出了GB/T20270-2006、GB/T20271-2006、GB/T20272-2006等GB/T系列标准作为补充。
这些标准从技术和管理方面,对安全信息系统以与安全产品的评估提出了具体的指导和评判原如此,为不同安全级别的产品提供了一些具体的技术指标,可以作为等级保护产品评估的参考。
GB17859-1999是等级保护相关技术标准的根底。
该标准采取了宜粗不宜细的制定方法,目的是为安全产品的开发、具体标准的制定、安全系统的建设与管理、相关法律法规与其执法提供技术指导和根底。
针对于在我国的等级保护标准体系中,GB17859-1999、GB/T20271-2006、GB/T20272-2006等一系列标准均是面向评估者的标准,2008年,我国又制定了面向等级保护建设者的标准《根本要求》以与《设计技术要求》,用于指导建设者部署符合等级保护要求的安全防护措施。
2.1.5.2《信息系统安全等级保护根本要求》(GB/T22239-2008)
《根本要求》是针对每个等级的信息系统提出相应安全保护要求,“根本〞意味着这些要求是针对该等级的信息系统达到根本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的根本保护能力。
《根本要求》对等级保护工作中的安全控制选择、调整、实施等提出规X性要求,根据使用对象不同,其主要作用分为三种:
1〕为信息系统建设单位和运营、使用单位提供技术指导
2〕为测评机构提供评估依据
3〕为职能监管部门提供监视检查依据
《根本要求》的技术局部吸收和借鉴了GB17859-1999标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用〔改为剩余信息保护〕、标记、可信路径等8个安全机制的局部或全部内容,并将这些机制扩展到网络层、主机系统层、应用层和数据层,这些概念与《设计技术要求》所强调的以控制为核心理念相吻合,即通过对相应主客体的安全标记,实现对所有访问行为进展强制性的访问控制。
2.1.5.3《信息系统等级保护安全设计技术要求》
《设计技术要求》是针对GB17859-1999的技术局部进展的进一步细化形成的等级保护各级系统的设计实现技术框架,是对《根本要求》的进一步补充和扩大。
《设计技术要求》以访问控制为核心,将整个安全环境划分为安全计算环境、安全区域边界、安全通信网络和〔或〕安全管理中心四局部,并分别对每局部提出了相应的技术标准进展约束和指导。
《设计技术要求》要求各级安全计算环境、安全区域边界、安全通信网络在安全管理中心的统一管控下运行,各司其职、相互配合,共同构成该级信息系统的安全保护环境,确保信息的存储、处理和传输的安全,并在跨域安全管理中心的全系统统一安全策略控制下,实现不同系统的安全互操作和信息安全交换,从技术上规X了信息系统等级保护安全设计要求。
总体来说,《根本要求》根据现有技术的开展水平,提出和规定了不同安全等级信息系统的最低保护要求,即根本安全要求,而《设计技术要求》如此是在《根本要求》的根底上,对等级保护信息系统的技术设计方案和实施方法提供了更为具体的指导。
3终端安全防护系统功能介绍
终端安全防护系统〔前置服务器版、PC版〕在现有Windows、Linux操作系统根底上,强化了其身份鉴别、数据某某性保护、系统完整性保护以与行为审计机制,增加了强制访问控制、边界保护机制,为全面防内提供了根底。
3.1终端安全防护系统〔前置服务器版〕功能介绍
3.1.1强身份认证功能
终端安全防护系统〔前置服务器版〕能够为Windows、Linux服务器操作系统版本提供强身份认证功能。
终端安全防护系统〔前置服务器版〕采用硬件令牌作为用户标识,在用户登录服务器时,采用受安全管理中心控制的口令、令牌、数字证书的组合机制进展用户身份鉴别,并对鉴别数据进展某某性和完整性保护。
终端安全防护系统〔前置服务器版〕支持有USB-key和无USB-Key两种认证模式,支持远程用户身份鉴别、登录功能。
现有的Windows、Linux操作系统采用口令认证方式对用户身份进展鉴别,容易受到字典攻击。
在终端安全防护系统〔前置服务器版〕中,硬件令牌为用户身份的唯一标识,当用户登录系统时,需要插入USB-KEY,然后系统对用户进展双因子身份认证,只有用户拥有合法的USB-KEY,并且输入正确的WINDOWS+USB-KEY口令,用户才能登录系统。
登录成功后,如果用户需要临时离开终端,可以拔除USB-KEY,这样安全内核会自动保存用户的工作环境,并且锁定终端,除了持有原USB-KEY的用户外,任何人都不能进入终端环境。
可见,终端安全防护系统通过系统登录与硬件USB-KEY严密捆绑,实现了非法用户“进不来〞终端环境。
另外,终端在进展相互网络通信时,安全内核首先拦截该请求,并且主动验证对方终端的平台身份与安全状态,从而决定是否允许该通信请求。
这样将非法接入内部网络的终端或内部网络上不安全的终端孤立起来,实现了非法终端“进不来〞系统环境,从而确保重要信息不会从这些终端泄露出去,这些终端也不会破坏信息系统的安全。
3.1.2多用户强制访问控制
现有的Windows、Linux操作系统采用自主访问控制模式来限制用户权限,以达到保护系统资源安全的目的。
但是在自主访问控制体系中,资源属主可以任意授权,并且权限可以传递,这样不利于信息系统的安全。
终端安全防护系统〔前置服务器版〕提供了强制访问控制功能,由安全管理中心对系统中的主体〔用户、进程〕与客体〔文件、执行程序、外部设备等〕进展安全标识,根据客体类型的不同,分别制定了不同的访问控制规如此,从而全方位地确保重要信息“拿不走〞,保护信息系统的某某性。
由安全管理员通过特定操作界面对主、客体进展安全标记,通过安全标记和强制访问控制规如此,对确定主体访问客体的操作进展控制。
强制访问控制主体的粒度为用户级,客体的粒度为文件级。
应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施一样强制的访问控制规如此。
终端安全防护系统〔前置服务器版〕支持多用户的强制访问控制功能。
Ø用户权限控制
终端安全防护系统通过分级访问控制的方式对用户权限进展控制。
安全管理员通过安全管理中心规定用户以与各终端上客体〔文件、执行程序、外设、移动存储设备〕的安全级,强制终端采用如下原如此限制用户的权限:
低安全级的用户无法访问高安全级的客体,如图。
图用户权限控制示意图
通过上述访问控制规如此,安全管理员不仅可以规定用户的权限,而且可以依据系统中数据的重要性来规定其安全级,从而确保重要信息只掌握在少数人手里,以降低重要信息安全性被破坏的风险。
另外随着计算机信息技术的飞速开展,计算机上的外部接口设备也越来越丰富,这在给信息处理和传播带来方便性的同时,也给信息系统的安全造成了极大威胁,比如恶意用户可以通过红外、蓝牙等设备泄露重要信息,可以通过打印泄露重要信息。
于是终端安全防护系统通过上述访问控制规如此简化了系统对外部设备的管理,降低了用户因滥用或误用外部设备而带来的风险。
最后安全管理员可以通过上述访问控制规如此,规定用户可以执行什么样的程序,确保只有经过系统安全性检查并且得到授权的应用程序才能被用户使用,这样就降低了恶意程序感染并破坏信息系统安全的可能性。
而且通过上述规如此,限制了普通用户安装新的应用程序的能力,从而可以有效防止内部精通业务、懂技术、会编程的专业人士对信息系统安全的威胁。
Ø执行程序最小权限控制
现有操作系统中的应用程序继承用户权限,不满足最小权限原如此,从而给病毒等恶意程序留下了破坏系统安全的空间。
因此终端安全防护系统允许安全管理员规定执行程序权限,使其在满足用户权限访问控制规如此的前提下,只拥有正常完成任务的最小权限。
以IEXLPOER.EXE为例,安全管理员可以配置其只能读那些文件或写那些文件,不允许其访问系统内的重要信息、不允许其修改系统内的关键配置文件,那么即使系统被恶意脚本所攻击,重要信息的安全性也不会受到威胁,系统本身的完整性也不会受到破坏。
上述权限主要分为两类:
对文件的访问权限以与对网络的使用权限。
通过限制程序对文件的访问权限,可以有效防止恶意脚本对系统安全的攻击,减小其破坏X围。
通过限制应用程序访问网络的能力,可以有效防止蠕虫等恶意代码对信息系统可用性的破坏,防止病毒、木马程序在用户不知情的情况下,将系统中的重要信息泄漏出去。
Ø职责别离管理
为了方便权限管理,终端安全防护系统引入以下三个角色:
安全管理员、安全审计员、系统操作员。
根据最小权限原如此,系统只赋予每个角色完成任务所需的最小权限。
如安全管理员只有完成安全管理任务的权限,即配置系统安全策略等,无法登录系统终端,并且安全管理员的一切操作行为都被记入审计日志。
安全审计员只负责审计日志的存取控制,不具有安全管理员和系统操作员的权限。
系统操作员具有对终端进展日常维护的权限。
其操作权限由安全管理员制定,其行为由系统审计谋略监控。
系统操作员不能修改访问控制和审计谋略,也不能访问甚至删除审计日志。
终端安全防护系统正是通过上述“三权分立〞的机制,使得系统中的不同用户相互监视、相互制约,每个用户各司其职,共同保障信息系统的安全。
3.1.3应用系统安全封装
终端安全防护系统〔前置服务器版〕提供对应用的安全封装功能。
通过对应用的安全封装实现对应用服务的访问控制。
应用服务的安全封装主要由可信计算环境、资源隔离和输入输出安全检查来实现。
通过可信计算的根底保障机制建立可信应用环境,通过资源隔离限制特定进程对特定文件的访问权限,从而将应用服务隔离在一个受保护的环境中,不受外界的干扰,确保应用服务相关的客体资
升级会员 