關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全等級(jí)保護(hù)核心技術(shù)

關(guān)鍵信息根底設(shè)施網(wǎng)絡(luò)平安等級(jí)保護(hù)核心技術(shù)目錄二一三信息平安等級(jí)保護(hù)2.0—網(wǎng)絡(luò)平安等級(jí)保護(hù)全面建設(shè)、全程防護(hù)主動(dòng)免疫、積極防御是我國(guó)網(wǎng)絡(luò)平安保障的根本制度是網(wǎng)絡(luò)空間平安保障體系的重要支撐是應(yīng)對(duì)強(qiáng)敵APT的有效措施網(wǎng)絡(luò)安全等級(jí)保護(hù)一、信息安全等級(jí)保護(hù)2.0—網(wǎng)絡(luò)安全等級(jí)保護(hù)我國(guó)等級(jí)保護(hù)工作創(chuàng)新開展我國(guó)80年代興起了計(jì)算機(jī)信息系統(tǒng)平安保護(hù)研究，1994年，國(guó)務(wù)院發(fā)布?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?〔國(guó)務(wù)院令第147號(hào)〕，為我國(guó)信息系統(tǒng)實(shí)行等級(jí)保護(hù)提供法律依據(jù)，也是世界上第一個(gè)等級(jí)保護(hù)國(guó)家法規(guī)依據(jù)國(guó)務(wù)院147號(hào)令制定發(fā)布了強(qiáng)制性國(guó)家標(biāo)準(zhǔn)?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?〔GB17859-1999〕，強(qiáng)制性標(biāo)準(zhǔn)，為等級(jí)劃分和保護(hù)奠定了技術(shù)根底?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見?〔中辦發(fā)[2003]27號(hào)〕進(jìn)一步明確要求“抓緊建立信息平安等級(jí)保護(hù)制度〞國(guó)家有關(guān)部委屢次聯(lián)合發(fā)文，明確了等級(jí)保護(hù)的原那么、根本內(nèi)容、工作流程和方法、實(shí)施要求和方案等。目前國(guó)家各部門都按信息系統(tǒng)定級(jí)備案、整改建設(shè)和測(cè)評(píng)進(jìn)行推進(jìn)，國(guó)家重點(diǎn)工程的驗(yàn)收要求必須通過信息平安等級(jí)保護(hù)的測(cè)評(píng)最近公布的?網(wǎng)絡(luò)平安法?第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)平安等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)平安等級(jí)保護(hù)制度的要求，履行以下平安保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改第三十一條規(guī)定，國(guó)家對(duì)關(guān)鍵信息根底設(shè)施，在網(wǎng)絡(luò)平安等級(jí)保護(hù)制度的根底上實(shí)行重點(diǎn)保護(hù)美國(guó)國(guó)防部早在八十年代就推行“平安等級(jí)劃分準(zhǔn)那么〞

〔TCSEC〕〔ITSEC〕〔CC〕2003年，美國(guó)發(fā)布?保護(hù)網(wǎng)絡(luò)空間國(guó)家戰(zhàn)略?，提出按重要程度不同分五級(jí)保護(hù)，并通過了?聯(lián)邦信息平安管理法案?〔FISMA〕，要求NIST制定分類分級(jí)標(biāo)準(zhǔn)超越國(guó)外等級(jí)保護(hù)2021年2月12日，奧巴馬發(fā)布了?增強(qiáng)關(guān)鍵根底設(shè)施網(wǎng)絡(luò)平安?行政令，按此令NIST于2021年2月12日12日提出了?美國(guó)增強(qiáng)關(guān)鍵根底設(shè)施網(wǎng)絡(luò)平安框架?，按風(fēng)險(xiǎn)程度不同分為四個(gè)等級(jí)，實(shí)行識(shí)別、保護(hù)、監(jiān)測(cè)、響應(yīng)、恢復(fù)全過程的風(fēng)險(xiǎn)管理2005年變成強(qiáng)制性標(biāo)準(zhǔn)〔FIPS200〕，要求聯(lián)邦機(jī)構(gòu)無(wú)條件執(zhí)行1、法律支撐：計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)條例提升為“網(wǎng)絡(luò)平安法〞中的網(wǎng)絡(luò)平安等級(jí)保護(hù)制度3、工程應(yīng)用：由傳統(tǒng)的信息系統(tǒng)防護(hù)轉(zhuǎn)向新型計(jì)算環(huán)境下的主動(dòng)防御體系建設(shè)2、科學(xué)技術(shù)：由分層被動(dòng)防護(hù)到科學(xué)平安框架下的主動(dòng)免疫防護(hù)等級(jí)保護(hù)2.0的時(shí)代特征確保關(guān)鍵信息根底設(shè)施平安全過程準(zhǔn)確劃分定級(jí)系統(tǒng)，從保護(hù)業(yè)務(wù)信息和系統(tǒng)效勞兩維資源出發(fā)，根據(jù)在國(guó)家平安、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及系統(tǒng)遭受破壞后的危害程度等因素確定等級(jí)適用于網(wǎng)絡(luò)空間的云計(jì)算等平安需求分析1、分析風(fēng)險(xiǎn)，準(zhǔn)確等級(jí)二、全面建設(shè)、全程防護(hù)業(yè)務(wù)處理流程的完整性軟硬件設(shè)備相對(duì)的獨(dú)立性平安管理責(zé)權(quán)的統(tǒng)一性定級(jí)系統(tǒng)的特征多級(jí)互聯(lián)隔離性等級(jí)合法權(quán)益社會(huì)秩序和公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一級(jí)√二級(jí)√√三級(jí)√√四級(jí)√√五級(jí)√信息系統(tǒng)按重要程度不同分為五級(jí)，三級(jí)以上是國(guó)家重要信息系統(tǒng)〔業(yè)務(wù)信息/系統(tǒng)效勞〕等級(jí)按級(jí)保護(hù)保護(hù)級(jí)（GB17859)可信保障一級(jí)自主保護(hù)自主訪問靜態(tài)可信二級(jí)指導(dǎo)保護(hù)審計(jì)（自主訪問）建可信鏈三級(jí)監(jiān)督檢查標(biāo)記（強(qiáng)制訪問）動(dòng)態(tài)度量四級(jí)強(qiáng)制監(jiān)督檢查結(jié)構(gòu)化保證實(shí)時(shí)感知五級(jí)專門監(jiān)督檢查實(shí)時(shí)監(jiān)控實(shí)時(shí)處置按照?信息平安等級(jí)保護(hù)管理方法?、?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?〔GB17859-1999〕和參照?信息系統(tǒng)等級(jí)保護(hù)平安設(shè)計(jì)技術(shù)要求?〔GB/T25070-2021〕，設(shè)計(jì)制定建設(shè)方案2、標(biāo)準(zhǔn)建設(shè)、嚴(yán)密管控參照?信息平安等級(jí)保護(hù)實(shí)施指南?、?信息系統(tǒng)等級(jí)保護(hù)平安設(shè)計(jì)技術(shù)要求?等技術(shù)標(biāo)準(zhǔn)，從技術(shù)和管理兩個(gè)方面進(jìn)行平安建設(shè)選擇等級(jí)測(cè)評(píng)機(jī)構(gòu)制定測(cè)評(píng)方案開展測(cè)評(píng)工作出具測(cè)評(píng)報(bào)告專家評(píng)審確認(rèn)3、等級(jí)測(cè)評(píng)、整改完善4、監(jiān)督檢查、應(yīng)急恢復(fù)應(yīng)對(duì)事件和災(zāi)難發(fā)生，減少損失，采取必要的應(yīng)急和備份措施，發(fā)生事件，及時(shí)恢復(fù)保證資源平安必須實(shí)行科學(xué)管理，強(qiáng)調(diào)最小權(quán)限管理，高等級(jí)系統(tǒng)實(shí)行三權(quán)別離管理體制，不許設(shè)超級(jí)用戶針對(duì)信息資源〔數(shù)據(jù)及應(yīng)用〕構(gòu)建業(yè)務(wù)流程控制鏈，以訪問控制為核心，實(shí)行主體〔用戶〕按策略規(guī)那么訪問客體〔信息資源〕，確保業(yè)務(wù)信息平安針對(duì)計(jì)算資源〔軟硬件〕構(gòu)建保護(hù)環(huán)境，以可信計(jì)算基〔TCB〕為根底，層層擴(kuò)充，對(duì)計(jì)算資源進(jìn)行保護(hù)，確保系統(tǒng)效勞平安YoucanBelikeGod1)可信2)可控YoucanBelikeGod3)可管從技術(shù)和管理兩個(gè)方面進(jìn)行平安設(shè)計(jì)，做到:1、設(shè)計(jì)原那么三、主動(dòng)免疫、積極防御

平安管理中心支持下的可信免疫的計(jì)算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)三重防護(hù)結(jié)構(gòu)框架2、結(jié)構(gòu)框架

保護(hù)環(huán)境框架圖可信計(jì)算環(huán)境可信區(qū)域邊界可信通信網(wǎng)絡(luò)構(gòu)建三重平安防護(hù)結(jié)構(gòu)框架劃分為節(jié)點(diǎn)、典型應(yīng)用、區(qū)域邊界、通信網(wǎng)絡(luò)、平安管理、審計(jì)管理和系統(tǒng)管理等子系統(tǒng)。平安管理中心21典型應(yīng)用子系統(tǒng)：平安保護(hù)環(huán)境為應(yīng)用系統(tǒng)〔如平安OA系統(tǒng)等〕提供平安支撐效勞。通過實(shí)施三級(jí)平安要求的業(yè)務(wù)應(yīng)用系統(tǒng)，使用平安保護(hù)環(huán)境所提供的平安機(jī)制，為應(yīng)用提供符合要求的平安功能支持和平安效勞節(jié)點(diǎn)子系統(tǒng)：節(jié)點(diǎn)子系統(tǒng)通過在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以了一個(gè)嚴(yán)密牢固的防護(hù)層，通過對(duì)用戶行為的控制，可以有效防止非授權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的保密性和完整性平安，從而為典型應(yīng)用子系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障1〕可信計(jì)算環(huán)境22區(qū)域邊界子系統(tǒng)：區(qū)域邊界子系統(tǒng)通過對(duì)進(jìn)入和流出平安保護(hù)環(huán)境的信息流進(jìn)行平安檢查，確保不會(huì)有違背系統(tǒng)平安策略的信息流經(jīng)過邊界，是信息系統(tǒng)的第二道平安屏障2〕可信區(qū)域邊界23通信網(wǎng)絡(luò)子系統(tǒng)：通信網(wǎng)絡(luò)子系統(tǒng)通過對(duì)通信數(shù)據(jù)包的保密性和完整性進(jìn)行保護(hù)，確保其在傳輸過程中不會(huì)被非授權(quán)竊聽和篡改，使得數(shù)據(jù)在傳輸過程中的平安得到了保障，是信息系統(tǒng)的外層平安屏障3〕可信通信網(wǎng)絡(luò)24系統(tǒng)管理子系統(tǒng)：系統(tǒng)管理子系統(tǒng)負(fù)責(zé)對(duì)平安保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、平安區(qū)域邊界、平安通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理、資源管理、應(yīng)急處理等，為信息系統(tǒng)的平安提供根底保障平安管理子系統(tǒng)：平安管理子系統(tǒng)是信息系統(tǒng)的控制中樞，主要實(shí)施標(biāo)記管理、授權(quán)管理及策略管理等。平安管理子系統(tǒng)通過制定相應(yīng)的系統(tǒng)平安策略，并且強(qiáng)制節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)及節(jié)點(diǎn)子系統(tǒng)執(zhí)行，從而實(shí)現(xiàn)了對(duì)整個(gè)信息系統(tǒng)的集中管理，為信息系統(tǒng)的平安提供了有力保障審計(jì)子系統(tǒng)：審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞，平安審計(jì)員通過制定審計(jì)策略，強(qiáng)制節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)、平安管理子系統(tǒng)、系統(tǒng)管理子系統(tǒng)執(zhí)行，從而實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的行為審計(jì)，確保用戶無(wú)法抵賴違背系統(tǒng)平安策略的行為，同時(shí)為應(yīng)急處理提供依據(jù)4〕管理中心1〕國(guó)家電網(wǎng)電力調(diào)度系統(tǒng)平安防護(hù)建設(shè)發(fā)改委14號(hào)令決定以可信計(jì)算架構(gòu)實(shí)現(xiàn)等級(jí)保護(hù)四級(jí)電力可信計(jì)算密碼平臺(tái)已在34個(gè)省級(jí)以上調(diào)度控制中心和59個(gè)地級(jí)調(diào)度控制中心上線運(yùn)行，覆蓋了上萬(wàn)臺(tái)服務(wù)器，確保了運(yùn)行安全

3、重要核心系統(tǒng)規(guī)模化建設(shè)應(yīng)用應(yīng)用CPU使用率內(nèi)存使用率計(jì)算時(shí)間加載前加載后影響度加載前加載后影響度加載前加載后影響度應(yīng)用12.92%2.95%1.03%11%11%0%69s69.9s1.3%應(yīng)用22.3%2.33%1.3%6.9%7%1.45%24.6s25.1s2.03%應(yīng)用32.8%2.85%1.79%7.8%7.9%1.28%18.9s19.4s2.65%采用PCI可信卡的方式進(jìn)行部署實(shí)施實(shí)現(xiàn)了對(duì)、未知惡意代碼的免疫實(shí)現(xiàn)了可信保障機(jī)制，使得系統(tǒng)運(yùn)行效率有限降低基于D5000平臺(tái)的平安標(biāo)簽，不許改動(dòng)源代碼……通過逐級(jí)認(rèn)證實(shí)現(xiàn)系統(tǒng)的主動(dòng)免疫，到達(dá)等級(jí)保護(hù)四級(jí)技術(shù)要求2〕中央電視臺(tái)可信制播環(huán)境建