信息系統(tǒng)安全等級化保護原理與實踐-等級保護的保護對象體系設(shè)計

1、第4章等級保護的保護對象體系設(shè)計作為保障體系中的重要組成部分，保護對象框架在等級保護體系中如何來進 行設(shè)計和構(gòu)建，特別是由于政府/大型企業(yè)組織的信息系統(tǒng)規(guī)模龐大，各分支機構(gòu) 的信息系統(tǒng)之間存在差異，因此如何對信息系統(tǒng)進行抽象1,按照科學的方法設(shè)計、建立一個好的合理的保護對象體系，從而形成統(tǒng)一的保護對象框架，確保保 護對象全面覆蓋，對于實施等級保護工作來說具有十分重要的意義，也是一項重 要的基礎(chǔ)性工作。安全保護對象框架對于大型的信息系統(tǒng)之內(nèi)和不同部門的信息系統(tǒng)之間，都存在較大差異，因 此必須對信息系統(tǒng)進行抽象，形成統(tǒng)一的保護對象框架，安全保護對象框架即信息系統(tǒng)的抽象模型。安全保護對象框架模型的設(shè)

2、計，應準確地進行大系統(tǒng)的分 解和描述，以反映實際特性和差異性安全要求。大型企業(yè)信息系統(tǒng)保護對象框架是通過對總部、區(qū)域、分公司的評估調(diào)查和 普查，參照信息保障體系的建模方法，按照威脅分析，將信息資產(chǎn)劃分為若干保 護對象。主要原因是信息系統(tǒng)規(guī)模大，各部門的信息系統(tǒng)之間存在差異，因此必 須對信息系統(tǒng)進行抽象，形成統(tǒng)一的保護對象框架。其中，信息系統(tǒng)保護對象框 架是根據(jù)對總部、區(qū)域、分公司的評估調(diào)查和普查，參照信息保障體系的建模方 法3,按照威脅分析，將信息資產(chǎn)劃分為若干保護對象。根據(jù)信息系統(tǒng)的功能特性、安全價值以及面臨威脅的相似性，將其劃分成計算區(qū)域、網(wǎng)絡基礎(chǔ)設(shè)施、區(qū)域邊界和安全基礎(chǔ)設(shè)施四大類保護對象

3、4。對不同的55信息系統(tǒng)安全等級化保護保護對象區(qū)域，結(jié)合區(qū)域特點設(shè)計區(qū)域保護對象框架。計算區(qū)域是指由功能集合在一起，安全價值相近，且面臨威脅相似的一組信息系統(tǒng)組成，通常包括主機系統(tǒng)、平臺系統(tǒng)、應用軟件和業(yè)務數(shù)據(jù)、物理機房等 。網(wǎng)絡基礎(chǔ)設(shè)施是由相同功能集合在一起的一組網(wǎng)絡系統(tǒng)組成，包括路由器、 交換機等構(gòu)成的局域網(wǎng)和廣域網(wǎng)。區(qū)域邊界是指兩個區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是一組功能集合，包括訪問控制、身份認證、入侵檢測和審計等。安全基礎(chǔ)設(shè)施包括 PKI/PMI、安全監(jiān)控系統(tǒng)、預警系統(tǒng)和應急系統(tǒng)、安全管 理平臺等提供安全功能的安全基礎(chǔ)設(shè)施。最后根據(jù)每個保護對象的價值來確定其安全等級。信息網(wǎng)絡保

4、護對象框架及其等級劃分，共分為 5級。信息網(wǎng)絡業(yè)務應用保護對象框架如圖4-1所示。計算區(qū)M網(wǎng)咕超勖暇宛計算區(qū)域什綽區(qū)城時結(jié)瑞tt實施第一層網(wǎng)絡菸腦設(shè)施4-1保護對象框架建立保護對象框架建立包括：信息系統(tǒng)模型化處理、保護對象分類、安全域劃分等。信息系統(tǒng)進行模型化處理56第4章等級保護的保護對象體系設(shè)計在設(shè)計信息安全保障體系時，首先對信息系統(tǒng)進行模型抽象，即把信息系統(tǒng)各個內(nèi)容屬性中與安全相關(guān)的屬性抽取出來，參照IATF (美國信息安全保障技術(shù)框架)，通過建立信息安全保護對象框架的方法來建立安全模型，從而相對準確地描述信息系統(tǒng)的安全屬性，包括以下幾個方面。局域網(wǎng)內(nèi)部抽象處理；局域網(wǎng)內(nèi)部安全域之間互聯(lián)

5、的抽象處理；局域網(wǎng)之間安全域互聯(lián)的抽象處理；局域網(wǎng)安全域與外部單位互聯(lián)的抽象處理；安全域內(nèi)部抽象處理；形成信息系統(tǒng)抽象模型。通過對信息系統(tǒng)的分析和抽象處理，最終應形成被分析的信息系統(tǒng)的抽象模 型。信息系統(tǒng)抽象模型的表達應包括以下內(nèi)容6。單位的不同局域網(wǎng)絡如何通過骨干網(wǎng)、城域網(wǎng)互聯(lián)；每個局域網(wǎng)內(nèi)最多包含幾個不同級別的安全域；局域網(wǎng)內(nèi)部不同級別的安全域之間如何連接；不同局域網(wǎng)之間的安全域之間如何連接；局域網(wǎng)內(nèi)部安全域是否與外部機構(gòu)/單位有互聯(lián)。1)制定總體安全策略最重要的是制定安全域互連策略，通過限制多點外聯(lián)，統(tǒng)一出口既可以達到保護重點、優(yōu)化配置的目的，也體現(xiàn)了縱深防御的策略思想。安全域邊界安全保

6、護策略和安全技術(shù)措施提出時應考慮邊界設(shè)備共享的情況，如果不同級別的安全域通過同一設(shè)備進行邊界保護，這個邊界設(shè)備的安全保護策略和安全技術(shù)措施應滿足最高級別安全域的等級保護基本要求7。2)關(guān)于各安全域內(nèi)部的安全控制要求提出針對信息系統(tǒng)等級化抽象模型，根據(jù)機構(gòu)總體安全策略、等級保護基本要求和系統(tǒng)的特殊安全需求8,提出不同級別安全域內(nèi)部網(wǎng)絡平臺、系統(tǒng)平臺和 業(yè)務應用的安全保護策略和安全技術(shù)措施。3)關(guān)于等級安全域的管理策略從全局角度出發(fā)提出單位的總體安全管理框架和總體安全管理策略，對每個等 級安全域提出各自的安全管理策略，安全域管理策略繼承單位的總體安全策略。安全域劃分安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性

7、質(zhì)、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡9,每一個邏輯區(qū)域有相同的安全保護需求，57信息系統(tǒng)安全等級化保護具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同 的網(wǎng)絡安全域共享同樣的安全策略10。安全域的劃分不能單純從安全角度考慮，而是應該以業(yè)務角度為主，輔以安全角度11,并充分參照現(xiàn)有網(wǎng)絡結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價完成安全域劃分和網(wǎng)絡梳理，而又能保障其安全性12。對總體信息系統(tǒng)安全域（保護對象）的劃分 應主要考慮如下方面因素：業(yè)務和功能特性；安全特性的要求；參照現(xiàn)有狀況。對一個獨立的業(yè)務信息系統(tǒng)的內(nèi)部安全域的劃分主要步驟如下。查看網(wǎng)絡上承載的

8、業(yè)務系統(tǒng)的訪問終端與業(yè)務主機的訪問關(guān)系以及業(yè)務 主機之間的訪問關(guān)系，若業(yè)務主機之間沒有任何訪問關(guān)系，則單獨考慮各業(yè)務系 統(tǒng)安全域的劃分，若業(yè)務主機之間有訪問關(guān)系，則幾個業(yè)務系統(tǒng)一起考慮安全域 的劃分13。劃分安全計算域：根據(jù)業(yè)務系統(tǒng)的業(yè)務功能實現(xiàn)機制、保護等級程度進行安全計算域的劃分，一般分為核心處理域和訪問域9,其中數(shù)據(jù)庫服務器等后臺處理設(shè)備歸入核心處理域，前臺直接面對用戶的應用服務器歸入訪問域；參考局域網(wǎng)訪問域可以有多種類型，包括開發(fā)區(qū)、測試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換區(qū)、 第三方維護管理區(qū)、 VPN接入?yún)^(qū)等；局域網(wǎng)的內(nèi)部核心處理域包括數(shù)據(jù)庫、安全 控制管理、后臺維護區(qū)（網(wǎng)管工作區(qū)）等，核心處

9、理域應具有隔離設(shè)備對該區(qū)域 進行安全隔離，如防火墻、路由器（使用 ACL）、交換機（使用 VLAN ）等。劃分安全用戶域：根據(jù)業(yè)務系統(tǒng)的訪問用戶分類進行安全用戶域的劃分， 訪問同類數(shù)據(jù)的用戶終端、需要進行相同級別保護劃為一類安全用戶域，一般分 為管理用戶域、內(nèi)部用戶域、外部用戶域。劃分安全網(wǎng)絡域：安全網(wǎng)絡域是由連接具有相同安全等級的計算域和（或）用戶域組成的網(wǎng)絡域。網(wǎng)絡域的安全等級的確定與網(wǎng)絡所連接的安全用戶域和 （或）安全計算域的安全等級有關(guān)14。一般同一網(wǎng)絡內(nèi)化分 3種安全域：外部域、接入域、內(nèi)部域15。保護對象分類保護對象是信息系統(tǒng)內(nèi)具有相似安全保護需求的一組信息資產(chǎn)的組合，是從安全角度

10、對信息系統(tǒng)的描述。 依據(jù)信息系統(tǒng)的功能特性、 安全價值以及面臨威脅的相 似性，信息網(wǎng)絡保護對象一般可分為計算區(qū)域、區(qū)域邊界、網(wǎng)絡基礎(chǔ)設(shè)施3類16。（1）計算區(qū)域計算區(qū)域是指由相同功能集合在一起，安全價值相近，且面臨相似威脅的一 組信息系統(tǒng)組成。計算區(qū)域的信息資產(chǎn)包括主機資產(chǎn)、平臺資產(chǎn)、應用軟件資產(chǎn) 和政務數(shù)據(jù)資產(chǎn)等，涉及區(qū)域內(nèi)的物理層、網(wǎng)絡層、系統(tǒng)層、應用軟件層、數(shù)據(jù)58第4章等級保護的保護對象體系設(shè)計層和業(yè)務流程層面。包含的安全屬性包括所屬信息資產(chǎn)的物理安全、網(wǎng)絡安全、 邊界安全、系統(tǒng)安全、應用系統(tǒng)安全、數(shù)據(jù)安全和業(yè)務流程安全等。計算區(qū)域可 以從安全域劃分的結(jié)果得到。(2)區(qū)域邊界區(qū)域邊界是

11、指兩個區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是虛擬對象，不 與具體資產(chǎn)對應，邊界是一組功能集合，包括邊界訪問控制，邊界入侵檢測和審 計等。設(shè)計系統(tǒng)分域保護框架時區(qū)域邊界可以作為計算區(qū)域的一個屬性進行處理。通過對各安全區(qū)域之間的連接狀況分析，可以得到某個安全區(qū)域與其他區(qū)域 之間的邊界。(3)網(wǎng)絡基礎(chǔ)設(shè)施網(wǎng)絡基礎(chǔ)設(shè)施是指由相同功能集合在一起，安全價值相近，且面臨相似威脅 來源的一組網(wǎng)絡系統(tǒng)組成，包括由路由器、交換機和防火墻等構(gòu)成的局域網(wǎng)或廣 域網(wǎng)，一般指區(qū)域邊界之間的連接網(wǎng)絡。某一個安全區(qū)域或多個安全區(qū)域網(wǎng)絡支 撐平臺構(gòu)成了該區(qū)域的網(wǎng)絡基礎(chǔ)實施。保護對象劃分方法我們對信息網(wǎng)絡的信息系統(tǒng)及設(shè)施進行分類

12、，所采用的方法和流程如圖4-2所示。區(qū)域邊界支技性及他設(shè)施網(wǎng)堵與基射I的為網(wǎng)絡與庭的設(shè)施俄據(jù)：璘產(chǎn)功能相似性*產(chǎn)價值朝但性,蝌產(chǎn)同隘和似性KLML升以K域OLEMApplicMioiiV1*-年博性乩健設(shè)施59信息系統(tǒng)安全等級化保護圖4-2安全保護對象劃分劃分保護對象有助于信息資產(chǎn)識別全面性、便于識別系統(tǒng)；有助于降低風險 分析的難度、確保風險分析的有效性。系統(tǒng)分域保護框架系統(tǒng)分域保護框架是從安全角度出發(fā)，通過對各保護對象進行組合來對信息 系統(tǒng)進行結(jié)構(gòu)化處理的方法。結(jié)構(gòu)化是指通過特定的結(jié)構(gòu)將問題拆分成子問題的 迭代過程，其目標是更好地體現(xiàn)信息系統(tǒng)的安全特性和安全要求。進行結(jié)構(gòu)化處 理要遵循以下基

13、本原則：充分覆蓋、互不重疊、不需再細分。保護對象等級化劃分在對大型信息系統(tǒng)的安全保護等級進行劃分時，通常需要對構(gòu)成大型信息系統(tǒng)的子系統(tǒng)的安全性進行考慮，在確定各子系統(tǒng)對應的安全等級保護技術(shù)要求的前提 下，依據(jù)木桶原理綜合分析，確定對該計算機信息系統(tǒng)安全保護等級的劃分17。安全定級知識庫通過細化的定級要素和科學的定級算法，保證不同應用、不 同類型信息系統(tǒng)定級的合理準確。保護對象劃分后形成不同的區(qū)域，根據(jù)計算區(qū)域的系統(tǒng)的重要性、安全要求、可用性、機密性及完整性等參數(shù)不同，進行相應的計算處理得到對應值并排隊結(jié) 果，得到相應的等級。具體流程如圖4-3所示。60系統(tǒng)1ft蹙性安全要求何用件機克卜t必用叫

14、1/2/31/231/201/2/31/2/5計算瓶第4章等級保護的保護對象體系設(shè)計區(qū)域區(qū)域口區(qū)域等燉上擦性三期蜂網(wǎng)絡號電礎(chǔ)注幡圖4-3等級化劃分流程計區(qū)域01 b-DH_ 1口 Im i_MIMLlJL5L本章小結(jié)本章介紹了怎么對保護對象進行等級保護對象框架設(shè)計以及建設(shè)的主要內(nèi) 容，包括信息系統(tǒng)進行模型化處理、安全域劃分、保護對象分類劃分方法及如何 對保護對象進行分類，系統(tǒng)分域保護框架及保護對象的等級化劃分等。參考文獻丁宇征,陸驛.基于信息安全等級保護的信息安全體系設(shè)計C/第十二屆全國核電子學與核探測技術(shù)學術(shù)年會論文集，2004.2田野.信息安全等級保護體系的設(shè)計J.信息安全與通信保密,20

15、04, (4):19-21.3田野.等級化安全保護J.中國經(jīng)濟和信息化，2004, (11).4梁鋼，茅秋吟.云計算IaaS平臺的信息安全和運維服務設(shè)計 J.電子技術(shù)應 用，2013, (7): 63-64.5田野.行業(yè)信息系統(tǒng)等級化安全保護的設(shè)計J.信息網(wǎng)絡安全，2004, (7):61信息系統(tǒng)安全等級化保護14-14.6康仲生,高斌，王登坡，等.信息系統(tǒng)安全等級保護基本要求在信息系統(tǒng) 規(guī)劃、建設(shè)、整改中的實施 J.電子政務,2008, (3): 93-96.7吳吉朋，王滂，李昊，等.應用安全域解決方案實踐“信息安全等級保護”J.電子政務,2010, (1): 96-103.8陳文寧，孫浩文.運營商業(yè)務系統(tǒng)安全維護方案探討J.電信技術(shù)，2014, (6):124-126.9李禹.論檢察信息化的信息安全等級保護實施J.信息網(wǎng)絡安全，2007, (8):22-24.10李京飛，陳然.基于安全域的企業(yè)網(wǎng)管理系統(tǒng)設(shè)計與實現(xiàn)J.計算機與信息技術(shù)，2009, (10).11于慧龍.淺談大型信息系統(tǒng)的安全域劃分與等級保護建設(shè)J.數(shù)字石油和化工，2006, (5): 20-21.12梁紹柱.高校信息安全體系建設(shè)研究J.軟件導刊，2012,(9):154-155.13于慧龍.如何進行大型