涉密信息系统工程课程报告heu.docx

1、涉密信息系统工程课程报告heu哈尔滨工程大学国家保密学院涉密信息系统工程课程报告2014年6月涉密信息系统工程实施方案前 言（一）背景 21世纪是信息化的世纪，计算机网络是信息世纪的基础，已经进入了社会的各个角落。在计算机网络大力推广的今天，信息安全已经获得了极大的重视，尤其是对于涉密信息，如果不能妥善处理，对国家和人民的损失是巨大的，后果是严重的。越来越严峻的信息安全形势挑战着信息安全研究和从业人员，为了更好地处理涉密信息，涉密信息系统建设的需求愈发强烈。随着我国近年来信息安全技术的发展和相关规章制度的完善，已经可以达到建立一个较为完善的涉密信息系统的条件。在处理涉密信息的单位中，高校是离我

2、们最近的一个，且高校实验室的研究项目当中有许多是涉密的项目，所以在高校当中建立涉密信息系统是很有必要的。针对这一需求，本文结合我校保密学院实验室的涉密信息系统建设给出了一个涉密信息系统建设的实例。（二）需求分析高校涉密信息系统的需求来自几个方面。首先是国家信息安全政策的要求，必须要符合国家相关规定，同时要接受国家职能部门的保密审查。第二，科研生产的需要，在实验室研究当中会产生大量的数据和文档资料，怎样确保资料的有效存储、传输，同时确保安全性、保密性，建立一个安全、稳定、高效的系统更是在科研过程当中十分需要的。 根据我校涉密信息系统现状，结合国家相关规定，具体安全需求体现在如下几个方面：1.物理

3、安全（1）门禁系统：建立中心机房门禁系统（2）防雷电装置：采取防雷保护措施（3）良好的供电：部署UPS（4）防静电、防盗措施：设立中心机房，加强防盗措施（5）防止电磁泄露装置：有良好的接地屏蔽布线系统（6）介质安全：加强介质管理，计算机接口管理，部署安全审计系统（7）严禁打开计算机机箱，未经许可不可更改涉密计算机软、硬件设置。（8）涉密计算机信息系统是与互联网实行物理隔离2.运行安全（1）存储备份：使用刻录光盘或移动硬盘备份方式实现定期数据备份（2）应急响应：制定应急响应计划并培训和演练，并确定组织机构（3）运行管理：设立信息中心机构承担，并辅助合适的管理模式（4）病毒与恶意代码防护：需要安装

4、网络版杀毒软件并定期更新3.信息保密安全（1）访问控制：加强访问控制措施（2）安全审计：部署专业安全审计系统（3）信息加密与电磁泄露：在新的信息系统建设中，有必要时可以采用ftp线缆，在系统的关键部位部署电磁防泄漏设备（4）端口接入管理：采用端口接入认证技术实现对接入设备的有效管理（5）系统及网络安全检测：采用专业安全检测工具对网络和主机的安全进行检测。（6） 禁止涉密计算机上网一系统建设（一）建设目标建设实验室的涉密信息系统安全，保证涉密信息系统的安全、稳定、可用。实现物理隔离、介质安全、身份鉴别、访问控制等多方面的安全。（二）建设原则（1）规范定密，准确定级建立科学的信息定密机制和操作程序

5、，规范信息定密，明确涉密信息系统处理信息的最高密级，按照取高原则确定保护等级。由于信息泄露滥用非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统网络任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的度,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。（2）依据标准，同步建设符合国家保密管理规范，符合保密技术要求，从技术和管理两个方面对涉密信息系统进行整体防护。 （3）突出重点，确保核心根据系统中秘密信息的密级种类与含量，系统所面临的风险与威胁等因素，优化

6、资源配置。 （4）明确责任，加强监督建立安全保密责任制度，明确岗位职责，职责到人，对涉密信息系统运行和用户操作行为进行监督检查。涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足而放弃管理则再好的技术也不安全。（5）同步建设，动态调整涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程 各个环节进行保密审查、审批、把关。要防止并纠正先建设,后防护,重使用,轻安全倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。二系统总体设计（一）系统设计原则坚持分级保护制度，实现对不同等级

7、的涉密信息系统进行分级保护。信息安全等级保护是指对信息系统的信息安全实行等级化保护和等级化管理，也称信息系统安全等级保护。根据信息系统应用业务重要程度以及实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分类指导，分级，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，推动信息安全和基础科学技术与产业化发展，进而促进经济发展，提高综合国力。（二）设计的依据根据国家政策

8、：中华人民共和国保守国家秘密法 1988.9.5国家信息化领导小组关于加强信息安全保障工作的意见中办发2003年27号关于加强信息安全保障工作中保密管理的若干意见中保委发2004年7号涉及国家秘密的信息系统分级保护管理办法国保发2005年16号信息安全等级保护管理办法公通字2006年16号根据国家标准BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求BMB17-2006涉及国家秘密的信息系统分级保护技术要求BMB20-2009涉及国家秘密的西你想系统分级保护管理规范（三）系统工作流程介绍建立如下的安全体系，由上到下分别分为决策层、分析层和管理层、基础操作层，做到贯彻保密规章制度，服从保

9、密法规法条，人员分工明确、制度井然，信息安全保护分级保护，等级明确。安全体系结构如图1。涉密信息系统位于建筑物的一层，用于处理与公司业务相关的涉密信息。其中涉密网络是整个涉密信息系统的核心部分，与其它公共网络(如：互联网)物理隔离，设计客户端约 100台，通过服务器实现信息和服务的共享。服务器和核心网络设备设施（如：交换机、配线架等）存放于中心机房，整个涉密网络的拓扑结构如图2所示。 图1图2三技术路线的分析与确定(一)主机系统建设在涉密信息系统系统的建设中，作为该系统的中心处理主机的选择，我们首先应从其系统性能人手，通过客观的分析比较，确定一款或一系列具有令人满意的主频处理速度、I/O吞吐速

10、率的小型机完成系统的处理任务。从大学实验室的核心工作的情况来看，为达到能同时满足对各类信息的管理、统计和实时处理，则唯有选择一类具有高处理速度和I/O吞吐速率的主机才能最终适应于系统负载量。对于大数据存储量，要求我们所确定的主机系统，其海量存储技术的实现应能保证多级存储、可靠读取、方便查询等要求，使系统运行起来无满载之忧。在主机系统设计中，我们强调本系统不能仅仅着眼于本阶段业务处理的需求，而且要考虑到今后实验室的发展，另外一定要保证符合相关保密规定。作为集中放置的数据载体的主机系统，一旦出现数据丢失或差错，不仅对系统的个体利益造成难以挽回的经济损失，也将造成极坏的社会影响，从而有可能对整个学校

11、的工作产生负面效果，这是无法估量的损失。此外，作为整个业务的数据中心和处理中心，因为主机系统故障停机而导致整个系统的瘫痪，同样是无法忍受的情况。因此我们在主机系统选型和系统配置时，应该充分考虑到系统可靠性在今后系统运行时的重要地位。作为一名系统规划工作人员，在考虑主机系统建设时：一方面应选择系统运行可靠性高、技术成熟的机型；另一方面，在系统设计和配置中应发挥系统的容错特性，诸如磁带备份，磁盘镜像，以及不可缺少的双机热备份系统。随着实验室的各方面工作不断发展，信息化所担负的工作将越来越多。在未来这样的发展情况下，要求我们在确定主机产品时，也要充分保证基于系统本身的扩展性和今后多种行之有效的开发途

12、径。之所以有这样的要求，首先是系统本身发展的需要。其次，学校在进行如此大规模的系统投资时，最关心的是系统建成后的投入产出比。因此在系统建设之初，应首先立足当前应用进行系统配置，以系统扩展性能保证未来发展。只有采用具有高可扩展性主机系统，才能保证大学的系统投资不至于因日益增长的业务需求而在几年内便不得不面临更新和淘汰的局面。因此我们要求系统的几个关键组成能够满足机密性、先进性、可靠性、扩充灵活性、开放性及性能价格比和投资保护等方面。(二)数据库涉密信息系统安全中十分重要的一点就是要保真数据库的安全，保证机密性、完整性、可用性。为了保证数据库的安全，以下几个数据库安全机制是涉密信息系统所必要的。（

13、1）标识与认证标识是指用户告诉系统自己的身份证明,向系统输入己的ID和密码是其中最常用的方法。而认证则是指用户让系统验证自己的身份。将用户ID与进程或程序相联系是标识的过程,而将用户ID与真正的合法用户相关联是认证过程的任务。用户在访问DBMS的第一步就是标识与认证。最近几年来以生物认证,智能卡验证以及口令验证为代表的认证技术发展速度非常快。（2）访问控制访问控制的过程就是指当主体发出对客体的访问请求时,系统通过判断主休的组和用户的标识符、特权和安全级与客体的安全级、访问权限和存取访问规则。访问控制有三种类型:强制访问控制(MAC)、自主访问控制(DAC)、基于角色的访问控制(RBAC)。（3

14、）数据加密数据加密的原理是按照一定的加密算法把原始可读的数据(明文)变换成不能直接识别的数据(密文),这样用户要得到数据信息必须拥有该算法的密码体制和密钥,否则将无法得到该数据信息。用户在访问数据时,很多数据库产品都具有加密功能,其过程是:首先要知道系统密码,再由系统对其进行译码。用户可以根据自己的信息的密度来决定是否对数据进行加密存储。（4）审计功能在审计日志中记录了与数据库安全性有关的一切操作记录。系统安全员通过检测审计记录就可以掌握数据库的访问和操作状况。通过审计数据就能够发现检测内部和外部攻击者非法访问活动,重新找出造成系统出现状况的事件,来分析发现系统存在的安全漏洞,找出相关的非法入

15、侵者。（5）数据备份数据备份是有效避免数据丢失的一种手段,一旦系统受到不可恢复的攻击或瘫痪时,采用了数据备份技术后就可以利用已备份的数据来恢复被破坏的信息,可以从最大程度上减少系统的风险。考虑到敏感数据分布于涉密信息系统的各个服务器，作者指定了专门用于管理数据备份和恢复的服务器，通过备份和恢复系统软件的使用，实现数据的在线二级备份：完全备份结合增量备份；定期将敏感数据的完全备份拷贝到离线存储介质，如：磁带或移动硬盘。这些离线存储介质保存到安全的远程仓库。定期测试数据备份的恢复情况，确保备份可以满足公司的恢复需求。（三）操作系统本涉密信息系统的操作系统完全基于微软的Windows平台，服务器使用

16、WindowsServer 2003 企业版，客户端使用Windows XP Pro SP3。所有服务器和客户端都位于同一个Windows域中，结合组策略的设置，可以很方便的实现操作系统的安全控制方案。进行Windows域中组策略的配置。对于涉密信息系统的安全策略，有如下的规定：（1）BIOS设置：应按照国家保密局发布的涉及国家秘密的计算机信息系统保密技术要求规定设置BIOS、系统开机密码以且在BIOS里面设置计算机第一引导必须是本地硬盘，切启用BIOS密码，密码长度不得少于6位。（2）操作系统安全设置：秘密级涉密计算机系统密码不少于8位，一个月更改一次；设置屏保密码，屏保时间建议设置10分钟

17、左右；开机密码输入错误5次即锁定计算机，8小时候自动解锁。（3）定期做好涉密计算机的系统补丁、中高级风险补丁确保3个月内升级一次。杀毒软件病毒库升级应在15天以内升级一次，每次升级之后进行一次全盘查杀。涉密计算机安装瑞星杀毒软件，涉密中间机和非涉密中间机安装金山毒霸杀毒软件。（4）涉密计算机以及信息系统不经过管理部门的书面许可，不得随意改变其软硬件环境：不经过保密办公室的允许，不得删除涉密计算机的使用记录、不得重新安装计算机的操作系统，不得更改计算机的硬件配置。（5）红黑隔离：凡是和涉密计算机及信息系统连接的都为红导体，其余的导体和偶然导体都为黑导体，要保持红黑隔离且红黑导体之间的最短距离为1

18、米。涉密计算机及系统电源要经过红黑隔离（滤波）电源插座。(6)一台计算机只能有一个超级管理员用户（具有administrator权限），其他的用户只能为一般用户，并且把一般用户的文件访问权限设置为私有。超级管理员用户名和密码由部门安全保密管理员掌握，其他人员只能是一般用户。(四)网络平台在网络平台上，其安全主要取决于经典ISO模型中的数据链路层和网络层，本节对这两个层次下的安全问题进行讨论。1、数据链路层的风险分析在以太网环境中，数据链路层使用 MAC 地址定位、CSMA/CD 协议传输数据，工作在数据链路层的网络设备有二层交换机、HUB 等。其所面临的威胁包括：MAC 地址欺骗、设备口令暴力

19、破解、交换机系统自身漏洞等。为此，需要采取诸如 MAC 地址与交换机端口绑定、身份识别与验证、漏洞扫描与修复等安全控制措施，降低上述可能得风险。2、网络层的风险分析网络层使用 IP 地址定位、TCP/IP 协议传输数据，工作在该层上的网络设备有三层交换机、路由器等。其所面临的威胁有：IP 地址欺骗、IP 嗅探、协议分析等。为降低上述风险，需要采用 IP 地址绑定、ACL、加密等安全控制措施。3、网络平台上预防控制措施实验室环境内既有涉密网，也有外部网（如：互联网），为降低涉密网被外部渗透的风险，满足国家对涉密网的建设要求，涉密网与外部网络进行物理隔离，以保障涉密信息系统的的安全；所有涉密信息都

20、在加密后在涉密网上传输，防止窃听或截获；通过关闭闲置交换机端口、正在使用的交换机端口实行 MAC 地址、IP 地址绑定，防止涉密网端口被非法访问；通过 VLAN 和 ACL 的使用，按职能和业务将涉密网进一步细分，保障涉密信息的传播范围。网络的数据是动态，对网络层的活动检测是网络安全的重点控制措施，而网络的数据量又是巨大的，通过人工的方式来检测是不可想象的，于是就产生了许多网络安全的检测工具和技术。当前主流的检测工具和技术包括：防火墙、入侵检测等。防火墙是网络安全最基本的安全措施。防火墙作为网络安全屏障，多安装在不同网络或者安全域之间，隔离并控制不同网络或者安全域之间的访问。防火墙可以对所有的

21、访问行为进行检查、过滤，防范不安全的访问行为进入内部受保护网络或者主机。通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出网络的服务和访问的审计和控制。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称 IDS）。根据处理对象的不同，入侵检测系统分为两类：网络入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。前者更适用于较大型的网络。它通过安装在特定的网络节点，监听流过此

22、节点的信息进行异常行为的识别和报警。目前主流的 IDS 基本都可以采用通用入侵检测框架（CIDF）进行描述，CIDF 是为了解决不同 IDS 的互操作性和共存问题而提出的入侵检测框架。作为通用的入侵检测系统模型，CIDF 主要由四个部分组成（如图3所示）： 图3IDS 通常与防火墙一起部署，实现网络层的深度安全，根据 IDS 与防火墙安装位置的不同，可以实现不同区域的保护。在本案例中，通过把 IDS 安装在网络中枢来最大程度监控网络数据，从而最大程度保护信息安全。(五)涉密细信息系统开发工具涉密信息系统开发中，由于是windows平台下的系统，故会用到VB、VC等编程工具。在开发系统地同时和系

23、统投入应用后，为了增强机密性，使系统代码、涉密信息等重要信息不外泄，以及保证涉密信息系统的有效运行，需要应用一些工具，这些工具主要来有一些用于防护的子系统和物理设备。（1）终端防护类工具：安全身份认证子系统、主机审计子系统、指纹库管理子系统、光盘刻录子系统等（2）文件输出集中管控与涉密文件密级标识管理工具：安全光盘刻录与安全光盘加载子系统、CD生命周期管理子系统等、文件拷贝集中管理子系统等。（3）数据存储安全工具：数据加密子系统、访问控制子系统等。（4）数字证书管理工具：CA中心、RA审计中心、证书签发子系统等。（5）互联网监控工具：流量控制子系统、网络域名访问控制子系统等。（6）取证工具：涉

24、密计算机检查子系统、非密计算机检查子系统、计算机安全性能检查子系统等。（7）防病毒软件（8）电磁屏蔽机柜（9）微机视频信息保护机（10）电磁泄漏防护插座(六)系统灾难备份、安全性分析根据信息系统灾难恢复规范，灾难被定义为由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾备中心运行。灾难备份指的是，为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份。灾备系统可以分为数据级容灾、应用级容灾和业务级容灾。我校的涉密信息系统要求的是数据级容灾，这也是最主流

25、的容灾系统。本系统采用了多种容灾技术：（1）数据存储技术：灾难备份的一项主要技术是数据存储技术。数据存储备份就是把数据从生产系统备份到存储备份系统中的存储介质的过程。因此，存储优化是提高灾难备份系统性能的重要指标之一。我校实验室应用的技术有NAS(NetworkAttachedStorage，网络附加存储)和SAN(StorageAreaNetwork，存储区域网络)。（2）数据复制技术：包括基于存储（磁盘）系统的数据复制技术、基于主机（操作）系统的数据复制技术、基于数据交换层的数据复制技术、基于数据库的数据复制技术另外对系统的安全性分析也很有必要。对于安全性分析，采用如下的策略：（1）采用安

26、全性能检测工具，定期对系统进行安全性检测。（2）制定文档化的系统安全性能检测策略，确保系统安全性能检测正确实施规章制度。（3）国家保密主管部门批准的检测工具，版本及时更新。（4）对监测数据进行详细地记录，对记录进行分析、及时弥补漏洞或脆弱点。四应用软件介绍和功能（一）应用软件开发的原则 符合涉密信息系统规范要求，同时又要达到软件开发普遍适用原则：不重复原则、尽量简洁原则、适可而止原则。（二）系统要求操作系统的安全保护十分重要，我们通过安全产品的使用以及对操作系统进行加固来实现操作系统的安全。 对于涉密信息系统，尽量使用稳定的操作系统如winxp，密级较高的可以使用国内研发的操作系统，如红旗。（

27、三）系统应用软件功能介绍1、漏洞扫描系统（1）天镜脆弱性扫描和管理系统介绍天镜脆弱性扫描与管理系统是启明星辰自主研发的基于网络的脆弱性分析、评估和综合管理系统，启明星辰通过总结多年的市场经验和客户需求，提出了“发现扫描定性修复审核” 弱点全面评估法则，能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。同时，天镜脆弱性扫描与管理系统支持扩展无线安全模块，可实时发现所覆盖区域内的无线设备、终端和信号分布情况，协助管理员识别非法无线设备、终端，帮助涉密单位发现无线信号，并可以进

28、一步发现对无线设备不安全配置所存在的无线安全隐患，为您提供有线、无线网络脆弱性分析整体解决方案。（2）天镜脆弱性扫描和管理系统的功能和特点1）全面丰富的漏洞知识资源。天镜以启明星辰积极防御实验室（ADLABTM）为依托，以国内最权威、最全面的中文漏洞知识库（CNCVE）为支撑，蕴含着丰富的研究经验和深厚的知识积累，能够为客户提持续的、高品质的产品应用价值。覆盖面最广的漏洞库。天镜可扫描的漏洞数量超过2500种，分为32个大类，覆盖了当前网络环境中重要的，流行的系统和数据库漏洞，并且能够根据网络环境的变化及时调整更新，确保漏洞识别的全面性和时效性。全方位的网络对象支持。不仅支持多种操作系统、网络

29、设备作为扫描对象，还具备对各种数据库的扫描能力，涵盖范围最全。2）准确对象信息的准确识别。天镜采用渐进式扫描分析模式，采用操作系统指纹识别、智能化端口服务识别技术准确呈现扫描对象的各种信息。漏洞信息的准确判断。除了使用常规方法扫描外，天镜还可以对于同一漏洞采用多种不同类型的扫描方法进行关联校验，以达到准确判断效果。域管理模式下的准确扫描。独有的Windows域扫描技术，确保域管理模式下的扫描结果准确性。3）快速强有力的扫描效率保证。综合运用多种技术快速完成发现和扫描过程，在多项同类产品评比中扫描综合效率居领先地位。漏洞库的快速持续更新。保持每两周的定期漏洞库更新，在发现重大漏洞时可随时更新。启

30、明星辰是微软MAPP计划的成员，可提前获得微软每月安全公告(security bulletins) 的信息，使得天镜对微软新漏洞可以做到快速及时跟进。2009年11月初，根据微软的安全公告，天镜做了及时更新，可以扫描windows 7操作系统漏洞，天镜也成为了国内最早可以检测windows 7安全漏洞的漏洞扫描产品。（3）天镜脆弱性扫描和管理系统的部署天镜脆弱性扫描与管理系统的部署非常简单，它适用于各种规模的实验室。可以用一个独立部署的扫描引擎来实现对网络内各个区域的扫描，这种部署方式也适用于很多测评机构，因为它可以简单的装在一个笔记本电脑上，实现一个移动式的检测如图4。对于某些大型实验室可以

31、采用分布式多级部署，通过启明星辰天镜管理控制中心对全网络进行统一的扫描和检查。如图5。图4图5（4）天镜脆弱性扫描和管理系统的管理 升级过程管理每月从启明星辰官方网站下载天镜脆弱性扫描和管理系统的更新程序，运行“升级管理中心”，完成天镜脆弱性扫描和管理系统的升级过程。脆弱性扫描策略制定运行“策略管理器”，新建策略命名为“脆弱性扫描策略”，结合操作系统和相关应用系统信息，制定涉密信息系统的脆弱性扫描范围。每次升级天镜脆弱性扫描和管理系统后，都按照此过程重新修改此策略。2、防病毒软件（1）防病毒软件介绍根据之前的保密规定，我们需要选择一个符合要求的杀毒软件。实验室中选择了金山毒霸网络版，这是一套专为企业级网络所设计的全网病毒防护解决方案。金山毒霸网络版采用了业界主流的B/S开发模式，由管理中心、控制台、系统中心、升级服务器、客户端、服务器端、特殊防毒节点七个模块组成了一个防病毒体系。（2）防病毒软件的功能和特点1） 全网病毒实时防护，管理员可集中进行全网病毒查杀，病毒在网络内无处藏身；2） 真正实现跨地域的集中管理，管理员可在总部对全国的分支机构实施统一的病毒 防护策略；3）无限分层的多级管理，将行政架构、计算机网络系统及防毒体系三者完全融合；4）全网漏洞扫描，方便快捷的补丁分发解决方案，将管理员从烦重的“打补丁”工