等級三級系統(tǒng)安全防護(hù)應(yīng)用

1、等級三級系統(tǒng)安全防護(hù)應(yīng)用概述信息安全等級保護(hù)制度作為國家信息安全保護(hù)的基本國策，目 前已在全國各行業(yè)得到廣泛推廣和落實。 根據(jù)國家的相關(guān)要求， 已經(jīng) 定級備案的信息系統(tǒng)應(yīng)在三年之內(nèi)完成整改建設(shè)工作， 并通過等級保 護(hù)相關(guān)測評。 隨著等保建設(shè)逐步提上日程， 各單位在如何利用現(xiàn)有安 全保密產(chǎn)品的條件下， 結(jié)合本單位實際滿足等保要求方面面臨諸多困 惑。筆者結(jié)合本單位在等保建設(shè)中的實踐， 拋磚引玉， 就三級系統(tǒng)下 如何滿足等保要求進(jìn)行有效的探索。 第三級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計 目標(biāo)是：按照 GB17859-1999對第三級系統(tǒng)的安全保護(hù)要求，在第二 級系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上， 通過實現(xiàn)基于安全策略模

2、型和標(biāo)記的 強(qiáng)制訪問控制以及增強(qiáng)系統(tǒng)的審計機(jī)制， 使系統(tǒng)具有在統(tǒng)一安全策略 管控下，保護(hù)敏感資源的能力。本系統(tǒng)根據(jù) “ 一個中心 ”管理下的 “三重保護(hù) ”體系框架進(jìn)行 設(shè)計，構(gòu)建安全機(jī)制和策略， 形成定級系統(tǒng)的安全保護(hù)環(huán)境。 該環(huán)境 共包括四部分： 安全計算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)和安全 管理中心。1、等級保護(hù)三級系統(tǒng)的防護(hù)要求與設(shè)計要求分析按照等級保護(hù)三級的要求， 筆者主要針對以下 四個方面進(jìn)行設(shè)計：2.1 安全計算環(huán)境設(shè)計(1) 用戶身份鑒別 應(yīng)支持用戶標(biāo)識和用戶鑒別。(2) 自主訪問控制在安全策略控制范圍內(nèi)， 使用戶對其創(chuàng)建的 對象具有訪問操作權(quán)限， 這個權(quán)限可以根據(jù)用戶

3、進(jìn)行授權(quán)。可以具體到針對被訪問對象的具體操 作。(3) 標(biāo)記和強(qiáng)制訪問控制 可以對訪問者和被訪問者在身份鑒別的基 礎(chǔ)上進(jìn)行安全標(biāo)記， 實現(xiàn)對主體訪問客體的操作 進(jìn)行控制。(4) 系統(tǒng)安全審計對訪問行為進(jìn)行完整的審計， 審計的內(nèi)容包 括訪問對象、被訪問對象，訪問的行為、時間等 內(nèi)容。(5) 用戶數(shù)據(jù)完整性保護(hù)采用備份、 HASH方法對數(shù)據(jù)的完整性進(jìn)行 保護(hù)，防止被篡改。(6) 用戶數(shù)據(jù)保密性保護(hù)采用密碼等技術(shù)支持的保密性保護(hù)機(jī)制， 對 在安全計算環(huán)境中存儲和處理的用戶數(shù)據(jù)進(jìn)行 保密性保護(hù)。(7) 客體安全重用 客體安全重用即指被訪問對象不應(yīng)保留訪 問對象的特征，避免由于不同訪問對象的訪問而 造成

4、訪問對象之間信息的泄露。(8) 程序可信執(zhí)行保護(hù)采用可信計算技術(shù)， 保證程序執(zhí)行過程是可 信的。可信是個復(fù)雜的環(huán)節(jié)， 但是我們可以在重 點服務(wù)器計算環(huán)境內(nèi)實現(xiàn)可信。對于(1), (2), (3), (4) 的要求可以通過高 強(qiáng)度的身份認(rèn)證產(chǎn)品實現(xiàn)。 (5), (6), (7) 可以 通過比較流行的敏感信息數(shù)據(jù)保護(hù)技術(shù)實 現(xiàn) ;(8) 是一個復(fù)雜的要求， 如何做到可信的環(huán)境 也是一個復(fù)雜的命題， 畢竟在多數(shù)情況下， 我們 的計算環(huán)境還是建立在一個開放的平臺上進(jìn)行 建設(shè)。而且，從硬件開始至操作系統(tǒng)，基本都是 國外的產(chǎn)品構(gòu)成 . 可信執(zhí)行保護(hù)只能在操作系統(tǒng) 平臺上實現(xiàn)，很難做到完全的可信。2.2安全

5、區(qū)域邊界設(shè)計(1) 區(qū)域邊界訪問控制 要求在區(qū)域邊界進(jìn)行控制，防止非授權(quán)訪問。(2) 區(qū)域邊界包過濾要求在區(qū)域邊界進(jìn)行包過濾檢測措施。(3) 區(qū)域邊界安全審計要求在區(qū)域邊界進(jìn)行安全審計措施，保證內(nèi)外數(shù)據(jù)的審計。(4) 區(qū)城邊界完整性保護(hù)應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探淵非法外聯(lián)和人侵行為，并及時報告安全 管理中心。2. 3安全通信網(wǎng)絡(luò)設(shè)計(1) 通信網(wǎng)絡(luò)安全審計在安全通信網(wǎng)絡(luò)設(shè)置審計機(jī)制，由安全管理 中心集中管理，并對確認(rèn)的違規(guī)行為進(jìn)行報警。(2) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完軼性保護(hù)對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行完整性檢驗和保護(hù)。保 證網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。(3) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)對網(wǎng)絡(luò)數(shù)據(jù)

6、進(jìn)行傳輸保密。(4) 通信網(wǎng)絡(luò)可信接人保護(hù) 對通信網(wǎng)絡(luò)釆用可信接人保護(hù)。安全通信網(wǎng)絡(luò)設(shè)計主要是針對通信網(wǎng)絡(luò)的 保密要求，釆用網(wǎng)絡(luò)加密技術(shù)可以實現(xiàn)等級保護(hù) 三級中的所有要求，這里我們采用VPN技術(shù)實現(xiàn) 對通信網(wǎng)絡(luò)和數(shù)據(jù)的保護(hù)。2. 4安全管理中心設(shè)計(1) 系統(tǒng)管理等保三級要求系統(tǒng)可以對系統(tǒng)管理員的行 為進(jìn)行身份鑒別和授權(quán)，僅允許系統(tǒng)管理員訪問 特定的界面和特定的系統(tǒng)。在多數(shù)情況下，系統(tǒng) 管理員可以分為網(wǎng)絡(luò)管理員、主機(jī)管理員和存儲 管理員。網(wǎng)絡(luò)管理員主要對網(wǎng)絡(luò)設(shè)備進(jìn)行策略配 置。主機(jī)管理員主要對服務(wù)器操作系統(tǒng)進(jìn)行管理 和配置。多數(shù)情況下，主機(jī)管理員又分為PC服 務(wù)器管理員和小型機(jī)管理員；存儲管理

7、員主要對 存儲設(shè)備進(jìn)行維護(hù)和管理。(2) 安全管理等保三級要求對安全管理員進(jìn)行身份鑒別 和授權(quán)?？偹苤踩芾韱T僅是對安全設(shè)備 的管理，安全設(shè)備又涉及到了整個計算系統(tǒng)的各 個方面，對安全管理員的管理也變得尤為重要， 多數(shù)安全設(shè)備都具有LOG記錄功能，同時提供了 方便的接口可以進(jìn)行授權(quán)管理。(3) 審計管理等保共級要求對安全審計員進(jìn)行身份鑒別 和管理， 安全審計員要和多種設(shè)備打交道， 如何 保證安全審計員的行為進(jìn)行控制同樣是一個復(fù) 雜的要求。2、網(wǎng)絡(luò)的現(xiàn)狀分析 3、具體設(shè)計實施 3、針對本單位的具體實踐3.1 安全計算環(huán)境建設(shè) 安全計算環(huán)境設(shè)計選用的一個重要的產(chǎn)品 是高強(qiáng)度的多因子身份認(rèn)證系

8、統(tǒng)， 采用該身份認(rèn) 證系統(tǒng)，可以實現(xiàn)等保三級中要求的用戶身份鑒 別、自主訪問控制、標(biāo)記和強(qiáng)制訪問控制、系統(tǒng) 安全審計等要求， 筆者采用基于代理技術(shù)的身份 認(rèn)證技術(shù)。 除了以上功能外， 還可以實現(xiàn)對訪問 過程的控制，保證請求的有效、請求過程的正確、 數(shù)據(jù)格式的正確等等。敏感數(shù)據(jù)保護(hù)系統(tǒng)是一個近年來剛剛興起 的技術(shù)， 普遍基于文件驅(qū)動管理技術(shù)， 優(yōu)點在干 穩(wěn)定性較好，缺點在于其工作在操作系統(tǒng)平臺之 上，在操作系統(tǒng)內(nèi)部是沒有辦法對數(shù)據(jù)進(jìn)行保護(hù) 的。當(dāng)前市面上有些企業(yè)采用國外的技術(shù)實現(xiàn)了 在操作系統(tǒng)內(nèi)部的數(shù)據(jù)保護(hù)， 但是其穩(wěn)定性還待 進(jìn)一步觀察。該系統(tǒng)可以實現(xiàn)等保三級要求的用 戶數(shù)據(jù)完整性保護(hù)、 用戶

9、數(shù)據(jù)保密性保護(hù)和客體 安全重用的要求?？尚庞嬎闫脚_是一個復(fù)雜的間題， 到日前為 止，筆者無法選用合適的技術(shù)和產(chǎn)品完全滿足這 個要求，在目前的情況下可以采用主機(jī)加固和增 強(qiáng)類產(chǎn)品實現(xiàn)。3.2 安全區(qū)域邊界建設(shè) 外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)保護(hù)系統(tǒng)由防火墻、 防 DDoS攻擊設(shè)備、人侵檢測設(shè)備、防病毒網(wǎng)關(guān)組 成。防火墻只開放必需的服務(wù)端日， 若配有 IDS, 需考慮兩者之間的聯(lián)動， 提供對攻擊的檢測和報 警。防 DDoS設(shè)施起到對外部網(wǎng)絡(luò)層分布式拒絕 服務(wù)攻擊的基本控制作用。 完整的抵御分布式拒 絕服務(wù)攻擊還包括整體應(yīng)用策略和應(yīng)用層機(jī)制。防病毒網(wǎng)關(guān)對流入數(shù)據(jù)進(jìn)行防毒檢溯， 作為 防毒的第一道防線， 在邊界起

10、到章要的作用。 但 是僅僅具有防病毒網(wǎng)關(guān)是不夠的， 還必須在終端 安裝網(wǎng)絡(luò)防病毒軟件， 做到全網(wǎng)統(tǒng)一策略， 從而 可以保證對流入的病毒進(jìn)行實時查殺。 這里需要 說明的是，國外品牌的防毒軟件大部分在遇到無 法殺毒的染毒文件時， 采用保守策略， 僅僅是警 告或者移動文件至保護(hù)區(qū)。 國內(nèi)的軟件大部分采 用側(cè)除文件的操作。 在某些極端環(huán)境下， 兩種方 法都有可能給用戶帶來問題， 筆者選用了殺毒軟 件和終端管理軟件相結(jié)合的方式， 保證染毒文件 可以通過網(wǎng)絡(luò)移動到指定的病毒服務(wù)器的相應(yīng) 目錄下，便于安全管理員進(jìn)行下一步的處理。3.3安全通信網(wǎng)絡(luò)建設(shè) 安全通信網(wǎng)絡(luò)的要求基本上可以采用一臺 VPN設(shè)備解決 :

11、 外部終端需訪問內(nèi)部網(wǎng)絡(luò)資源時， 可以采用 IPSecVPN或者 SSL VPN;若具有分支機(jī) 構(gòu)的情況，采用帶有加速功能的 VPN設(shè)備可以提 高網(wǎng)絡(luò)傳輸效率。 IPSecVPN 的技術(shù)較為成熟， 配置相對比較麻煩，在實際使用過程中不如 SSL VPN方便。針對等保三級的要求， VPN系統(tǒng)的審計、數(shù) 據(jù)校驗等功能都必須打開。3.4 安全管理中心建設(shè) 目前很多廠商提供安全管理中心的設(shè)計和 解決方案，然而筆者研究了多個產(chǎn)品的解決方 案，無論是 SOC產(chǎn)品還是安全管理平臺產(chǎn)品， 多 數(shù)冠以按照 ITIL 規(guī)范設(shè)計和部署，但是基本上 沒有一家產(chǎn)品可以真正實現(xiàn) ITIL 規(guī)范中所要求 的各個實現(xiàn)，所涉及

12、的安全產(chǎn)品僅限于少量的合 作伙伴的產(chǎn)品， 很難做到大范圍內(nèi)產(chǎn)品的統(tǒng)一管 理，這主要是由于目前安全產(chǎn)品沒有遵循統(tǒng)一的 規(guī)范造成的。為了既滿足等保要求又能真正解決實際需 求，筆者考慮選用多個產(chǎn)品來實現(xiàn)安全管理中心 的功能 : 各個被管理系統(tǒng)的管理工具 +數(shù)據(jù)銘合 的方式實現(xiàn)。選用多個產(chǎn)品也有利于將不同的權(quán) 限從系統(tǒng)級別進(jìn)行劃分，劃歸不同人員進(jìn)行管 理，從而為管理制度 _L 的相互約束提供技術(shù)支 撐。當(dāng)各個對象的管理工具將信息獲取到以后， 采用數(shù)據(jù)整合管理工具實現(xiàn)對這些數(shù)據(jù)的最后 整合。數(shù)據(jù)整合的產(chǎn)品比較多， 尤其在 ERP系統(tǒng) 中使用比較廣泛，用以提供最高管理者進(jìn)行決 策，價格也能夠為一般企業(yè)所接

13、受， 只是在以前 的方案設(shè)計中， 很少考慮到將該產(chǎn)品用于安全管 理中心。在安全管理中心建設(shè)中利用數(shù)據(jù)整合工 具可實現(xiàn)多個管理工具之間的信息互通。筆者在本單位安全管理中心的設(shè)計中， 采用 運(yùn)維管理、內(nèi)網(wǎng)管理、網(wǎng)絡(luò)管理、 LOG日志管理 相結(jié)合的方式，同時在安全設(shè)備和網(wǎng)絡(luò)設(shè)備的選 擇中，著重考慮系統(tǒng)之間的兼容性和開放性， 避 免由于某個設(shè)備無法進(jìn)行安全管理而造成枯個 網(wǎng)絡(luò)的無序。3.5 安全管理規(guī)范制定 目前在業(yè)界內(nèi)大多數(shù)用戶也已經(jīng)達(dá)成共識， 單純依靠技術(shù)不能解決所有的安全問題， 必須配 套相應(yīng)的管理手段。 安全管理規(guī)范是必要而且非 常重要的輔助手段， 筆者所在單位根據(jù)實際的情 況，采用系統(tǒng)管理員、安全管理員、安全審計員 三權(quán)分立、 互不兼任的原則， 約束各個管理員的 行為，同時配合門禁、 USB Key 等手段，