解讀國標(biāo)《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》.doc

解讀國標(biāo)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求家標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求是根據(jù)中國信息安全等級保護(hù)的實(shí)際需要，按照信息安全等級保護(hù)對信息系統(tǒng)安全整改的要求制訂的。對信息系統(tǒng)等級保護(hù)安全整改階段技術(shù)方案的設(shè)計(jì)具有指導(dǎo)和參考作用。本文主要對第二級至第四級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)及系統(tǒng)安全互聯(lián)設(shè)計(jì)技術(shù)要求進(jìn)行解讀。并給出設(shè)計(jì)示例，以幫助讀者學(xué)習(xí)和理解該標(biāo)準(zhǔn)，并推進(jìn)貫徹與實(shí)施。信息安全等級保護(hù)是我國信息安全的基本制度、基本政策、基本方法。已出臺(tái)的系列信鼠安全等級保護(hù)相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)，為雇皂安全等級保護(hù)工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。2007年7月重要信息系統(tǒng)等級保護(hù)定級工作會(huì)議，標(biāo)志著信息安全等級保護(hù)工作在我國全面展開。目前全國重要信息系統(tǒng)定級工作已基本完成，為了配合信息系統(tǒng)安全建設(shè)和加固工作，特制訂該標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營使用單位、信息安全企業(yè)、信息安全服務(wù)機(jī)構(gòu)開展信息系統(tǒng)等級保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施，可作為信息安全職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。同時(shí)也適用于信息系統(tǒng)安全建設(shè)的相關(guān)人員，以及從事信息系統(tǒng)安全測試、管理和服務(wù)的相關(guān)人員。1、第二級信息系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)第二級信息系統(tǒng)安全保護(hù)環(huán)境的安全設(shè)計(jì)是對GB17859-1999系統(tǒng)審計(jì)保護(hù)級安全保護(hù)要求的具體實(shí)現(xiàn)。是在第一級系統(tǒng)安全保護(hù)環(huán)境所設(shè)置的安全機(jī)制的基礎(chǔ)上，通過增強(qiáng)自主訪問控制、增加安全審計(jì)和客體安全重用等安全機(jī)制，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和傳輸?shù)耐暾院捅Ｃ苄员Ｗo(hù)，從系統(tǒng)角度對用戶所屬客體進(jìn)行安全保護(hù)，使系統(tǒng)具有更強(qiáng)的自主安全保護(hù)能力。第二級信息系統(tǒng)安全保護(hù)環(huán)境的安全設(shè)計(jì)應(yīng)特別注重對系統(tǒng)安全審計(jì)的設(shè)。安全審計(jì)機(jī)制貫穿于整個(gè)安全系統(tǒng)的設(shè)計(jì)之中，使之成為一個(gè)整體。安全審計(jì)雖然不是一種對攻擊和破壞直接進(jìn)行對抗的安全技術(shù)，但是完備的系統(tǒng)安全審計(jì)和完整的具有良好可用性的審計(jì)日志，能夠有效的提供安全事件的可查性。安全審計(jì)與嚴(yán)格的身份鑒別相結(jié)合，可將安全事件落實(shí)到具體的用戶，從而具有很強(qiáng)的威懾作用。此外，應(yīng)注意在安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)中，將安全審計(jì)和惡意代碼防范等安全機(jī)制的設(shè)置統(tǒng)一進(jìn)行考慮，使之成為一個(gè)實(shí)現(xiàn)全系統(tǒng)安全保護(hù)的整體。第二級信息系統(tǒng)的安全計(jì)算環(huán)境，要求對計(jì)算環(huán)境進(jìn)行一定程度的安全保護(hù)，主要是通過在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)中采用增強(qiáng)的用戶身份鑒別(包括在整個(gè)系統(tǒng)生存周期用戶標(biāo)識的唯一性和對鑒別信息的增強(qiáng)要求)，中粒度的自主訪問控制和較強(qiáng)安全性的用戶數(shù)據(jù)的完整性保護(hù)，以及包括客體安全重用在內(nèi)的用戶數(shù)據(jù)保密性保護(hù)，并通過較完整的惡意代碼的防范措施確保系統(tǒng)正常運(yùn)行。安全區(qū)域邊界要求對來自外部的對安全計(jì)算環(huán)境的攻擊進(jìn)行一般性的安全防護(hù)。安全通信網(wǎng)絡(luò)是通過選擇和配置具有符合第二級安全要求的通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性和保密性保護(hù)的安全機(jī)制和/或產(chǎn)品，實(shí)現(xiàn)通信網(wǎng)絡(luò)的安全保護(hù)。安全管理中心的沒訊是在信息系統(tǒng)原有的系統(tǒng)管理的基礎(chǔ)上，通過對分布在安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)等各組成部分中的安全審計(jì)的集中管理，增強(qiáng)信息系統(tǒng)各安全機(jī)制的整體安全保護(hù)能力。2、第三級信息系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)第三級信息系統(tǒng)安全保護(hù)環(huán)境的安全設(shè)計(jì)是對GB17859-1999安全標(biāo)記保護(hù)級安全保護(hù)要求的具體實(shí)現(xiàn)。是在第二級信息系統(tǒng)安全保護(hù)環(huán)境所提供的安全機(jī)制的基礎(chǔ)上，通過構(gòu)建非形式化的安全策略模型，增加標(biāo)記和強(qiáng)制訪問控制等安全機(jī)制，使系統(tǒng)在安全管理中心統(tǒng)一的安全策略管控下提供對重要信息系統(tǒng)的安全運(yùn)行和數(shù)據(jù)進(jìn)行安全保護(hù)的能力，使整個(gè)信息系統(tǒng)的安全保護(hù)能力能夠抵御各種常見攻擊的水平。第三級信息系統(tǒng)的安全計(jì)算環(huán)境，要求對安全保護(hù)環(huán)境進(jìn)行較高程度的安全保護(hù)，在第二級安全設(shè)計(jì)的基礎(chǔ)上，主要是通過在安全計(jì)算環(huán)境和安全區(qū)域邊界實(shí)施強(qiáng)制訪問控制，使安全計(jì)算環(huán)境的抗攻擊能力達(dá)到較大提高，同時(shí)要求在用戶身份鑒別和用戶數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)等方面，均應(yīng)達(dá)到與強(qiáng)制訪問控制項(xiàng)匹配的水平。比如，采用較完整的密碼體系，實(shí)現(xiàn)用戶身份鑒別、簽名、驗(yàn)證、抗抵賴，實(shí)現(xiàn)用戶數(shù)據(jù)的保密性、完整性保護(hù)，以及程序可信執(zhí)行保護(hù)等，并通過較完整的安全管理中心實(shí)現(xiàn)對整個(gè)信息系統(tǒng)安全保護(hù)環(huán)境安全策略的統(tǒng)一管理。第三級信息系統(tǒng)的安全區(qū)域邊界，對來自外部的對安全計(jì)算環(huán)境的攻擊進(jìn)行較高程度的安全防護(hù)。具體是，在第二級安全區(qū)域邊界安全設(shè)計(jì)的基礎(chǔ)上，通過選擇和配置具有符合第三級安全要求的區(qū)域邊界協(xié)議過濾、區(qū)域邊界完整性保護(hù)和區(qū)域邊界安全審計(jì)等安全機(jī)制和/或產(chǎn)品，特別是增加區(qū)域邊界訪問控制，來進(jìn)行區(qū)域邊界安全防護(hù)，以對抗來自外部的攻擊。第三級信息系統(tǒng)的安全通信網(wǎng)絡(luò)，對通信網(wǎng)絡(luò)的安全運(yùn)行和通信網(wǎng)絡(luò)所傳輸?shù)臄?shù)據(jù)進(jìn)行較高程度的安全保護(hù)。具體是，在第二級安全通信網(wǎng)絡(luò)安全設(shè)計(jì)的基礎(chǔ)上，通過選擇和配置具有符合第三級安全要求的通信網(wǎng)絡(luò)安全審計(jì)、通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性、保密性保護(hù)以及網(wǎng)絡(luò)可信接入的安全機(jī)制和/或產(chǎn)品，實(shí)現(xiàn)通信附絡(luò)的安全保護(hù)。第三級信息系統(tǒng)的安全管理中心的設(shè)計(jì)，是在第二級信息系統(tǒng)安全管理中心設(shè)計(jì)的基礎(chǔ)上，通過增強(qiáng)對安全審計(jì)的管理和增加安全管理的相關(guān)內(nèi)容，實(shí)現(xiàn)信息系統(tǒng)各安全機(jī)制的統(tǒng)一管理。第三級信息系統(tǒng)各安全機(jī)制的統(tǒng)一管理主要包括：對系統(tǒng)中由安全策略控制的主體、客體進(jìn)行統(tǒng)標(biāo)記，對主體進(jìn)行統(tǒng)一授權(quán)管理，并為全系統(tǒng)配置統(tǒng)一的安全策略；對分布在系統(tǒng)中的各種需要集中控制和管理的安全機(jī)制進(jìn)行管理和控制；實(shí)現(xiàn)系統(tǒng)管理員、安全員和審計(jì)員的三權(quán)分離，并形成相互制約關(guān)系；為安全員和審計(jì)員各自提供專用的操作界面，并對安全員和審計(jì)員按照第三級安全的要求進(jìn)行嚴(yán)格的身份鑒別，對其操作行為進(jìn)行審計(jì)。3、第四級信息系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)第四級信息系統(tǒng)安全保護(hù)環(huán)境的安全設(shè)計(jì)是對GB17859-1999結(jié)構(gòu)化保護(hù)級安全保護(hù)要求的具體實(shí)現(xiàn)。是在第三級信息系統(tǒng)安全保護(hù)環(huán)境的安全環(huán)境安全設(shè)計(jì)的基礎(chǔ)上，通過安全管理中心，明確定義和維護(hù)形式化的安全策略模型，對系統(tǒng)內(nèi)的所有主、客體進(jìn)行標(biāo)記和強(qiáng)制訪問控制，并從結(jié)構(gòu)化設(shè)計(jì)的角度增強(qiáng)信息系統(tǒng)安全保護(hù)的強(qiáng)度，使整個(gè)信息系統(tǒng)的安全保護(hù)能力得達(dá)到能夠抵御各種內(nèi)、外部攻擊的水平。第四級信息系統(tǒng)的安全計(jì)算環(huán)境，主要是通過將實(shí)施標(biāo)記和強(qiáng)制訪問控制的范圍，擴(kuò)展到系統(tǒng)中的所有主、客體，使系統(tǒng)具有整體的抗攻擊能力，同時(shí)要求在用戶身份鑒別和用戶數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)等方面也有相應(yīng)的提升。第四級信息系統(tǒng)的安全區(qū)域邊界，對來自外部的對安全計(jì)算環(huán)境的攻擊進(jìn)行更高程度的安全防護(hù)。具體是在第三級安全區(qū)域邊界安全設(shè)計(jì)的基礎(chǔ)上，通過選擇和配置具有符合第四級安全要求的區(qū)域邊界訪問控制、區(qū)域邊界協(xié)議過濾、區(qū)域邊界完整性保護(hù)和區(qū)域邊界安全審計(jì)等安全機(jī)制和產(chǎn)品，來進(jìn)行區(qū)域邊界安全防護(hù)，以對抗來自外部的攻擊。第四級信息系統(tǒng)的安全通信網(wǎng)絡(luò)，對通信網(wǎng)絡(luò)的安全運(yùn)行和通信網(wǎng)絡(luò)所傳輸?shù)臄?shù)據(jù)進(jìn)行更高程度的安全保護(hù)。具體是在第三級安全通信網(wǎng)絡(luò)安全設(shè)計(jì)的基礎(chǔ)上，通過選擇和配置具有符合第四級安全要求的通信網(wǎng)絡(luò)安全審訊通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性、保密性保護(hù)以及網(wǎng)絡(luò)可信接入的安全機(jī)制和/或產(chǎn)品，實(shí)現(xiàn)通信網(wǎng)絡(luò)的安全保護(hù)。第四級信息系統(tǒng)的安全管理中心的設(shè)訛是在第三級信息系統(tǒng)安全管理中心設(shè)計(jì)的基礎(chǔ)上，通過增強(qiáng)對安全審計(jì)和安全管理的相關(guān)內(nèi)容，實(shí)現(xiàn)信息系統(tǒng)各安全機(jī)制的統(tǒng)一管理。第四級信息系統(tǒng)各安全機(jī)制的統(tǒng)一管理主要包括：對系統(tǒng)中的所有主體、客體進(jìn)行統(tǒng)一標(biāo)記，對主體進(jìn)行統(tǒng)一授權(quán)管理，并為全系統(tǒng)配置統(tǒng)一的安全策略：對分布在系統(tǒng)中的各種需要集中控制和管理的安全機(jī)制進(jìn)行管理和控制；實(shí)現(xiàn)系統(tǒng)管理員、安全員和審計(jì)員的三權(quán)分離，并形成相互制約關(guān)系；為安全員和審計(jì)員各自提供專用的操作界面，并對安全員和審計(jì)員按照第四級安全的要求進(jìn)行嚴(yán)格的身份鑒別，對其操作行為進(jìn)行審計(jì)。安全機(jī)制是操作系統(tǒng)安全的基礎(chǔ)，也是信息系統(tǒng)安全的核心。然而，即使信息系統(tǒng)中存在非常完善的安全機(jī)制，但是如果信息系統(tǒng)的各組成模塊間的接口關(guān)系不清晰，邏輯和調(diào)用關(guān)系混亂，那么系統(tǒng)中就極可能存在隱蔽通道，致使攻擊者可以繞過系統(tǒng)的安全機(jī)制訪問客體資源，使得系統(tǒng)中的重要信息缺乏基礎(chǔ)安全保障。相反，如果信息系統(tǒng)在設(shè)計(jì)時(shí)明確定義了各組成模塊的功能，并且依據(jù)一個(gè)嚴(yán)謹(jǐn)?shù)陌踩w系結(jié)構(gòu)確定了模塊間的接口關(guān)系，同時(shí)利用相應(yīng)的方法驗(yàn)證了每一模塊的工程實(shí)現(xiàn)都是正確的，沒有引入新的接口，這樣就可以保證系統(tǒng)中的所有信息流都是預(yù)先設(shè)計(jì)好的，避免出現(xiàn)隱蔽通道，也就避免了系統(tǒng)安全機(jī)制被旁路的風(fēng)險(xiǎn)。因此，對于高等級信息系統(tǒng)開發(fā)而言，最大的難點(diǎn)不在于安全功能的實(shí)現(xiàn)，而在于安全保證機(jī)制的實(shí)現(xiàn)，即確保系統(tǒng)的TCB始終有效、不被旁路?；谏鲜鲈颍珿B l7859-1999對四級以上信息系統(tǒng)提出了結(jié)構(gòu)化保證的要求。高等級信息系統(tǒng)結(jié)構(gòu)化保證可從安全程序結(jié)構(gòu)化、重要數(shù)據(jù)結(jié)構(gòu)化、連接交互結(jié)構(gòu)化三個(gè)方向入手，實(shí)現(xiàn)對重要信息系統(tǒng)的結(jié)構(gòu)化保汪。其中安全程序結(jié)構(gòu)化主要針對安全部件，實(shí)現(xiàn)系統(tǒng)層次清晰化、系統(tǒng)功能模塊化、函數(shù)調(diào)用單向化；重要數(shù)據(jù)結(jié)構(gòu)化主要實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)的結(jié)構(gòu)化保護(hù)，包括策略模型的形式化、系統(tǒng)關(guān)鍵數(shù)據(jù)結(jié)構(gòu)的局部化、程序?qū)﹃P(guān)鍵數(shù)據(jù)結(jié)構(gòu)訪問的范圍控制、以及數(shù)據(jù)在不同層次之間傳輸：連接交互結(jié)構(gòu)化用于保證安全部件TCB的無縫連接，完成從安全部件TCB出發(fā)，通過基于隔離保護(hù)機(jī)制的TCB擴(kuò)展，將TCB擴(kuò)展到整個(gè)系統(tǒng)的過程。4、信息系統(tǒng)互聯(lián)安全保護(hù)環(huán)境設(shè)計(jì)多級安全互聯(lián)是指，通過不同安全等級的安全應(yīng)用平臺(tái)之間的安全連接，為不同安全平臺(tái)之間的互操作提供安全支持，既要確保進(jìn)行操作的用戶身份的真實(shí)性和操作的合法性，又要確保數(shù)據(jù)出/入安全計(jì)算環(huán)境的合法性和數(shù)據(jù)在傳輸過程中的安全性。多級安全互聯(lián)是以各級安全應(yīng)用平臺(tái)自身安全保護(hù)為基礎(chǔ)，輔以相關(guān)的互聯(lián)網(wǎng)絡(luò)的安全機(jī)制，實(shí)現(xiàn)多級安全應(yīng)用平臺(tái)之間的操作和數(shù)據(jù)傳輸與交換的安全保護(hù)。這些安全機(jī)制主要包括：身份鑒別，訪問控制，區(qū)域邊界防護(hù)，數(shù)據(jù)傳輸安全保護(hù)，抗抵賴性，系統(tǒng)可用性，以及可信連接等。信息系統(tǒng)互聯(lián)安全保護(hù)環(huán)境的安全互聯(lián)部件的設(shè)計(jì)，主要是對“通信網(wǎng)絡(luò)交換網(wǎng)關(guān)”的設(shè)計(jì)，該網(wǎng)關(guān)通過實(shí)施由跨定級系統(tǒng)安全管理中心統(tǒng)一控制和管理的安全策略，實(shí)現(xiàn)多級安全互聯(lián)的安全要求。5、第三級系統(tǒng)安全保護(hù)環(huán)境設(shè)計(jì)示例根據(jù)“一個(gè)中心”管理下的“三重保護(hù)”體系框架，構(gòu)建安全機(jī)制和策略，形成定級系統(tǒng)的安全保護(hù)環(huán)境。該環(huán)境分為如下四部分：安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心。每個(gè)部分由1個(gè)或若干個(gè)子系統(tǒng)(安全保護(hù)部件)組成，子系統(tǒng)具有安全保護(hù)功能獨(dú)立完整、調(diào)用接口簡潔、與安全產(chǎn)品相對應(yīng)和易于管理等特征。安全計(jì)算環(huán)境可細(xì)分為節(jié)點(diǎn)子系統(tǒng)和典型應(yīng)用支撐子系統(tǒng)：安全管理中心可細(xì)分為系統(tǒng)管理子系統(tǒng)、安全管理子系統(tǒng)和審計(jì)子系統(tǒng)。以上各子系統(tǒng)之間的邏輯關(guān)系如圖1所示。第三級系統(tǒng)安全保護(hù)環(huán)境各子系統(tǒng)的主要功能如下：1)節(jié)點(diǎn)子系統(tǒng)，節(jié)點(diǎn)子系統(tǒng)對現(xiàn)有操作系統(tǒng)進(jìn)行安全增強(qiáng)，增加標(biāo)記、強(qiáng)制訪問控制、客體重用、可信路徑等安全功能，增強(qiáng)身份鑒別級別機(jī)制的安全性，明確系統(tǒng)核心層、系統(tǒng)層以及應(yīng)用層的邊界，對各層之問的信息流進(jìn)行安全檢查，確保系統(tǒng)安全機(jī)制始終有效、不會(huì)被惡意篡改，使其基本滿足GBl7859的三級要求，為上層應(yīng)用系統(tǒng)的安全提供足夠支撐。2)典型應(yīng)用支撐子系統(tǒng)，安全保護(hù)環(huán)境通過典型應(yīng)用支撐子系統(tǒng)為應(yīng)用系統(tǒng)提供安全支撐服務(wù)。通過實(shí)施三級安全要求的應(yīng)用，使用安全保護(hù)環(huán)境所提供的安全機(jī)制，為應(yīng)用提供符合三級要求的安全功能支持和安全服務(wù)。3)區(qū)域邊界子系統(tǒng)，區(qū)域邊界子系統(tǒng)通過對進(jìn)入和流出安全保護(hù)環(huán)境的信息流進(jìn)行安全檢查，增強(qiáng)其強(qiáng)制訪問控制功能，確保安全保護(hù)環(huán)境的安全性不會(huì)受到破壞。4)通信網(wǎng)絡(luò)子系統(tǒng)，通信網(wǎng)絡(luò)子系統(tǒng)對安全保護(hù)環(huán)境間的信息流進(jìn)行封裝，確保信息在傳輸過程中不會(huì)被非授權(quán)竊聽和篡改。5)系統(tǒng)管理子系統(tǒng)，系統(tǒng)管理子系統(tǒng)對安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理、資源管理、應(yīng)急處理等，為三級信息系統(tǒng)的安全提供基礎(chǔ)保障。6)安全管理子系統(tǒng)，安全管理子系統(tǒng)對安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、系統(tǒng)管理的安全機(jī)制實(shí)施集中管理，包括標(biāo)記管理、授權(quán)管理、策略管理等，為三級信息系統(tǒng)的安全提供基礎(chǔ)保障。7)審計(jì)子系統(tǒng)，審計(jì)子系統(tǒng)對安全保護(hù)環(huán)境中的計(jì)算