信息系统等级保护建设方案Word下载.docx
《信息系统等级保护建设方案Word下载.docx》由会员分享,可在线阅读,更多相关《信息系统等级保护建设方案Word下载.docx(24页珍藏版)》请在冰点文库上搜索。
经党中央和国务院批准,信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。
对信息系统实行等级保护是我国的法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。
实行信息安全等级保护的决定具有重大的现实和战略意义。
1.2整体安全需要
信息安全遵循“木桶原理”,任何一个不完善的环节都可能成为危及整个系统安全的“短板”。
在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成部分,终端的安全将直接影响整个信息系统的安全。
终端既可能是安全事件的源头,又可能是安全事件的目标。
从有关安全权威单位得知,绝大多数的攻击事件都是从终端发起的,也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。
因此,必须从终端操作系统平台实施安全防,将不安全因素从终端源头被控制,只有这样才能保证信息系统的整体安全。
1.3合规性需要
XX信息通信网边界接入平台将按照等级保护3级的要求对信息系统进行安全建设和加固。
等级保护3级和4级标准均对操作系统的身份鉴别、访问控制、安全审计、恶意代码防、入侵检测等提出了明确要求,而目前边界接入平台数据交换业务前置机和社区警务室计算机终端操作系统同以上要求相比尚有不少差距。
为达到等级保护要求,必须对终端进行安全加固。
2法规、政策和技术依据
高度重视信息安全保护工作,为了进一步提高信息安全的保障能力和防护水平。
针对等级保护制定了一系列的法规和标准,这些法规和标准是建设等级保护系统的依据。
制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》(GB/T22240-2008)、《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术操作系统安全评估准则》(GB/T20009-2005)、《信息安全技术信息系统安全管理要求》(GB/T20269-2006)等50多个国标、行标以及已报批标准,初步形成了信息安全等级保护标准体系。
2.1信息安全等级保护有关法规、政策、文件
2.1.1《中华人民国计算机信息系统安全保护条例》(国务院147号令)
1994年国务院颁布了第147号令《中华人民国计算机信息系统安全保护条例》(以下简称《条例》),是最早提及信息安全等级保护的法规。
《条例》明确了实行信息安全等级保护制度的有关规定,提出了从整体上、根本上解决信息安全问题的办法,进一步确定了信息安全发展主线、中心任务,提出了总要求。
《条例》指出对信息系统实行等级保护是法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。
《条例》指明“信息系统安全等级的划分标准和安全等级保护的具体办法由XX部会同有关部门制定”;
指明了等级保护是计算机信息系统安全保护的一项制度;
明确规定由XX部会同有关部门制定信息系统等级保护配套的规章和技术标准。
2.1.2《信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称《27号文件》)明确指出要“实行信息安全等级保护”。
“要重点保护基础信息网络和关系安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
标志着等级保护从计算机信息系统安全保护的一项制度提升到信息安全保障一项基本制度。
同时,《27号文件》明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
《27号文件》针对等级保护提出了明确的三方面要求:
1)要从实际出发,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护信息基础网络和关系安全、经济命脉、社会稳定的信息系统,这就是提到的关键技术;
2)要重视安全信息覆盖评估工作,对网络与信息系统,对信息安全等级因素进行相应的建设,落脚点还是信息安全方面;
3)对涉及秘密的信息系统要按照要求进行保护。
2.1.3《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
2004年,《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)(以下简称《实施意见》)发布。
《实施意见》明确指出“信息安全等级保护工作是个庞大的系统工程,关系到信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国围分三个阶段实施。
”信息安全等级保护工作第一阶段为准备阶段,准备阶段中重要工作之一是“加快制定、完善管理规和技术标准体系”。
《实施意见》中进一步明确了信息安全等级保护制度的基本容:
1)根据信息和信息系统在安全、社会秩序、公共利益、社会生活中的重要程度;
遭到破坏后对安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;
针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保护等级,共分五级。
2)通过制定统一管理规和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。
对不同安全保护级别的信息和信息系统实行不同强度的监督管理。
3)对信息安全产品的使用实行分级管理。
4)信息安全事件实行分等级响应、处置的制度。
2.1.4《信息安全等级保护管理办法》(公通字[2007]43号)
2007年6月22日,XX部与保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称《管理办法》),《管理办法》为XX、保密、密码部门履行职责,监督、检查、指导定级工作提供了政策依据。
《管理办法》规定,根据信息和信息系统在安全、经济建设、社会生活中的重要程度;
针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级。
《管理办法》中明确了信息安全等级保护制度的基本容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规保障。
《管理办法》对信息安全等级保护体系设计、实施、管理、制度、评测等各方面所需遵循的标准文件进行了明确说明。
2.1.5信息安全等级保护技术标准体系及其关系
目前,我国共制定了和发布了约50余个国标、行标以及已报批标准,初步形成了信息安全等级保护标准体系。
这些标准分别从基础、设计、实施、管理、制度等各个方面对信息系统等级保护提出了要求和建议,为信息系统的使用者、设计者、建设者提供了管理规和技术标准。
Ø
基础标准
1999年制定的GB17859-1999是第一个信息系统等级保护技术类标准,是强制性标准。
GB17859-1999是等级保护标准体系中的基础性标准,其后陆续推出的许多技术类标准都是GB17859-1999的延伸和细化。
定级标准
《信息系统安全等级保护定级指南》(GB/T22240-2008)是信息系统安全保护等级确定标准,属于管理规,规了信息系统安全保护等级的定级方法。
整改与建设
《基本要求》是以GB17859为基础的分等级信息系统的安全建设和管理系列标准之一,是现阶段五个级别的信息系统的基本安全保护技术和管理要求,提出了各级信息系统应当具备的基本安全保护能力以及技术与管理措施,该标准需与《设计技术要求》、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术系统安全等级保护通用安全技术要求》(GB/T20271-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术操作系统安全评估准则》(GB/T20009-2005)等安全等级保护系列标准配合使用,规、指导信息系统安全等级保护整改建设工作。
《信息安全技术服务器技术要求》(GA/T671-2006)和《信息安全技术终端计算机系统技术要求》(GA/T672-2006)是信息系统关键设备安全等级保护标准,规和解决信息系统主机和终端安全等级保护问题。
系统实施
《信息系统安全等级保护实施指南》是信息系统安全等级保护实施的过程控制标准,规了信息系统安全等级保护的实施各阶段容和过程控制问题。
安全管理
《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)是信息系统安全等级保护管理标准之一,规信息系统安全等级保护方案技术集成和工程实施过程控制问题。
《信息安全技术信息系统安全管理要求》(GB/T20269-2006)是信息系统安全等级保护管理标准,规信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。
表2.1.5部分等级保护工作相关依据政策与标准
相关法规
国务院147号令《中华人民国计算机信息系统安全保护条例》
政策文件
中办[2003]27号文件(关于转发《信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字[2004]66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字[2007]43号文件(关于印发《信息安全等级保护管理办法》的通知)
技术标准
基础标准
计算机信息系统安全保护等级划分准则(GB17859-1999)
定级标准
信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008)
整改与
建设
信息安全技术信息系统安全管理要求(GB/T20269-2006)
信息安全技术网络基础安全技术要求(GB/T20270-2006)
信息安全技术信息系统通用安全技术要求(GB/T20271-2006)
信息安全技术操作系统安全技术要求(GB/T20272-2006)
信息安全技术数据库管理系统通用安全技术要求(GB/T20273-2006)
信息安全技术操作系统安全评估准则(GB/T20009-2005)
信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008)
信息安全技术信息系统等级保护安全设计技术要求(已送批)
信息安全技术信息系统安全等级保护基本模型(GA/T709-2007)
其他相关标准等……
信息安全技术服务器技术要求(GA/T671-2006)
信息安全技术终端计算机系统安全等级技术要求(GA/T672-2006)
系统实施
信息安全技术信息系统安全等级保护实施指南
安全管理
信息安全技术信息系统安全工程管理要求(GB/T20282-2006)
2.1.5.1《计算机信息系统安全保护等级划分准则》(GB17859-1999)
GB17859-1999在一定程度上体现出了信息系统的概念,是我国制定的一种强制性信息系统安全的标准。
它按照安全性由低到高的顺序,规定了计算机系统安全保护能力的五个等级,即:
第一级:
用户自主保护级;
第二级:
系统审计保护级;
第三级:
安全标记保护级;
第四级:
结构化保护级;
第五级:
访问验证保护级。
GB17859-1999不仅从操作系统的角度提出评估标准,还从整个信息系统的角度提出了安全功能和安全保障的评估要求。
另外,GB17859-1999在每个级别都提出了一些完整性的要求,但这些完整性要求与保密性要求相比还是相对薄弱。
因此,在GB17859-1999的基础上,国先后提出了GB/T20270-2006、GB/T20271-2006、GB/T20272-2006等GB/T系列标准作为补充。
这些标准从技术和管理方面,对安全信息系统以及安全产品的评估提出了具体的指导和评判原则,为不同安全级别的产品提供了一些具体的技术指标,可以作为等级保护产品评估的参考。
GB17859-1999是等级保护相关技术标准的基础。
该标准采取了宜粗不宜细的制定方法,目的是为安全产品的开发、具体标准的制定、安全系统的建设与管理、相关法律法规及其执法提供技术指导和基础。
针对于在我国的等级保护标准体系中,GB17859-1999、GB/T20271-2006、GB/T20272-2006等一系列标准均是面向评估者的标准,2008年,我国又制定了面向等级保护建设者的标准《基本要求》以及《设计技术要求》,用于指导建设者部署符合等级保护要求的安全防护措施。
2.1.5.2《信息系统安全等级保护基本要求》(GB/T22239-2008)
《基本要求》是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力。
《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规性要求,根据使用对象不同,其主要作用分为三种:
1)为信息系统建设单位和运营、使用单位提供技术指导
2)为测评机构提供评估依据
3)为职能监管部门提供监督检查依据
《基本要求》的技术部分吸收和借鉴了GB17859-1999标准,采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用(改为剩余信息保护)、标记、可信路径等8个安全机制的部分或全部容,并将这些机制扩展到网络层、主机系统层、应用层和数据层,这些概念与《设计技术要求》所强调的以控制为核心理念相吻合,即通过对相应主客体的安全标记,实现对所有访问行为进行强制性的访问控制。
2.1.5.3《信息系统等级保护安全设计技术要求》
《设计技术要求》是针对GB17859-1999的技术部分进行的进一步细化形成的等级保护各级系统的设计实现技术框架,是对《基本要求》的进一步补充和扩充。
《设计技术要求》以访问控制为核心,将整个安全环境划分为安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心四部分,并分别对每部分提出了相应的技术标准进行约束和指导。
《设计技术要求》要求各级安全计算环境、安全区域边界、安全通信网络在安全管理中心的统一管控下运行,各司其职、相互配合,共同构成该级信息系统的安全保护环境,确保信息的存储、处理和传输的安全,并在跨域安全管理中心的全系统统一安全策略控制下,实现不同系统的安全互操作和信息安全交换,从技术上规了信息系统等级保护安全设计要求。
总体来说,《基本要求》根据现有技术的发展水平,提出和规定了不同安全等级信息系统的最低保护要求,即基本安全要求,而《设计技术要求》则是在《基本要求》的基础上,对等级保护信息系统的技术设计方案和实施方法提供了更为具体的指导。
3终端安全防护系统功能介绍
终端安全防护系统(前置服务器版、PC版)在现有Windows、Linux操作系统基础上,强化了其身份鉴别、数据保密性保护、系统完整性保护以及行为审计机制,增加了强制访问控制、边界保护机制,为全面防提供了基础。
3.1终端安全防护系统(前置服务器版)功能介绍
3.1.1强身份认证功能
终端安全防护系统(前置服务器版)能够为Windows、Linux服务器操作系统版本提供强身份认证功能。
终端安全防护系统(前置服务器版)采用硬件令牌作为用户标识,在用户登录服务器时,采用受安全管理中心控制的口令、令牌、数字证书的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
终端安全防护系统(前置服务器版)支持有USB-key和无USB-Key两种认证模式,支持远程用户身份鉴别、登录功能。
现有的Windows、Linux操作系统采用口令认证方式对用户身份进行鉴别,容易受到字典攻击。
在终端安全防护系统(前置服务器版)中,硬件令牌为用户身份的唯一标识,当用户登录系统时,需要插入USB-KEY,然后系统对用户进行双因子身份认证,只有用户拥有合法的USB-KEY,并且输入正确的WINDOWS+USB-KEY口令,用户才能登录系统。
登录成功后,如果用户需要临时离开终端,可以拔除USB-KEY,这样安全核会自动保存用户的工作环境,并且锁定终端,除了持有原USB-KEY的用户外,任何人都不能进入终端环境。
可见,终端安全防护系统通过系统登录与硬件USB-KEY紧密捆绑,实现了非法用户“进不来”终端环境。
另外,终端在进行相互网络通信时,安全核首先拦截该请求,并且主动验证对方终端的平台身份及安全状态,从而决定是否允许该通信请求。
这样将非法接入部网络的终端或部网络上不安全的终端孤立起来,实现了非法终端“进不来”系统环境,从而确保重要信息不会从这些终端泄露出去,这些终端也不会破坏信息系统的安全。
3.1.2多用户强制访问控制
现有的Windows、Linux操作系统采用自主访问控制模式来限制用户权限,以达到保护系统资源安全的目的。
但是在自主访问控制体系中,资源属主可以任意授权,并且权限可以传递,这样不利于信息系统的安全。
终端安全防护系统(前置服务器版)提供了强制访问控制功能,由安全管理中心对系统中的主体(用户、进程)及客体(文件、执行程序、外部设备等)进行安全标识,根据客体类型的不同,分别制定了不同的访问控制规则,从而全方位地确保重要信息“拿不走”,保护信息系统的机密性。
由安全管理员通过特定操作界面对主、客体进行安全标记,通过安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。
强制访问控制主体的粒度为用户级,客体的粒度为文件级。
应确保安全计算环境的所有主、客体具有一致的标记信息,并实施相同强制的访问控制规则。
终端安全防护系统(前置服务器版)支持多用户的强制访问控制功能。
用户权限控制
终端安全防护系统通过分级访问控制的方式对用户权限进行控制。
安全管理员通过安全管理中心规定用户以及各终端上客体(文件、执行程序、外设、移动存储设备)的安全级,强制终端采用如下原则限制用户的权限:
低安全级的用户无法访问高安全级的客体,如图3.1.3。
图3.1.3用户权限控制示意图
通过上述访问控制规则,安全管理员不仅可以规定用户的权限,而且可以依据系统中数据的重要性来规定其安全级,从而确保重要信息只掌握在少数人手里,以降低重要信息安全性被破坏的风险。
另外随着计算机信息技术的飞速发展,计算机上的外部接口设备也越来越丰富,这在给信息处理和传播带来方便性的同时,也给信息系统的安全造成了极大威胁,比如恶意用户可以通过红外、蓝牙等设备泄露重要信息,可以通过打印泄露重要信息。
于是终端安全防护系统通过上述访问控制规则简化了系统对外部设备的管理,降低了用户因滥用或误用外部设备而带来的风险。
最后安全管理员可以通过上述访问控制规则,规定用户可以执行什么样的程序,确保只有经过系统安全性检查并且得到授权的应用程序才能被用户使用,这样就降低了恶意程序感染并破坏信息系统安全的可能性。
而且通过上述规则,限制了普通用户安装新的应用程序的能力,从而可以有效防止部精通业务、懂技术、会编程的专业人士对信息系统安全的威胁。
执行程序最小权限控制
现有操作系统中的应用程序继承用户权限,不满足最小权限原则,从而给病毒等恶意程序留下了破坏系统安全的空间。
因此终端安全防护系统允许安全管理员规定执行程序权限,使其在满足用户权限访问控制规则的前提下,只拥有正常完成任务的最小权限。
以IEXLPOER.EXE为例,安全管理员可以配置其只能读那些文件或写那些文件,不允许其访问系统的重要信息、不允许其修改系统的关键配置文件,那么即使系统被恶意脚本所攻击,重要信息的安全性也不会受到威胁,系统本身的完整性也不会受到破坏。
上述权限主要分为两类:
对文件的访问权限以及对网络的使用权限。
通过限制程序对文件的访问权限,可以有效防止恶意脚本对系统安全的攻击,减小其破坏围。
通过限制应用程序访问网络的能力,可以有效防止蠕虫等恶意代码对信息系统可用性的破坏,防止病毒、木马程序在用户不知情的情况下,将系统中的重要信息泄漏出去。
职责分离管理
为了方便权限管理,终端安全防护系统引入以下三个角色:
安全管理员、安全审计员、系统操作员。
根据最小权限原则,系统只赋予每个角色完成任务所需的最小权限。
如安全管理员只有完成安全管理任务的权限,即配置系统安全策略等,无法登录系统终端,并且安全管理员的一切操作行为都被记入审计日志。
安全审计员只负责审计日志的存取控制,不具有安全管理员和系统操作员的权限。
系统操作员具有对终端进行日常维护的权限。
其操作权限由安全管理员制定,其行为由系统审计策略监控。
系统操作员不能修改访问控制和审计策略,也不能访问甚至删除审计日志。
终端安全防护系统正是通过上述“三权分立”的机制,使得系统中的不同用户相互监督、相互制约,每个用户各司其职,共同保障信息系统的安全。
3.1.3应用系统安全封装
终端安全防护系统(前置服务器版)提供对应用的安全封装功能。
通过对应用的安全封装实现对应用服务的访问控制。
应用服务的安全封装主要由可信计算环境、资源隔离和输入输出安全检查来实现。
通过可信计算的基础保障机制建立可信应用环境,通过资源隔离限制特定进程对特定文件的访问权限,从而将应用服务隔离在一个受保护的环境中,不受外界的干扰,确保应用服务相关的客体资源不会被非授权用户访问。
输入输出安全检查截获并分析用户和应用服务之间的交互请求,防非法的输入和输出。
3.1.4自主访问控制
在WINDOWS操作系统中,合法用户可
升级会员 