信息系統(tǒng)安全等級化保護(hù)原理與實(shí)踐-等級保護(hù)的保護(hù)對象體系設(shè)計(jì)

1、第4章等級保護(hù)的保護(hù)對象體系設(shè)計(jì)作為保障體系中的重要組成部分，保護(hù)對象框架在等級保護(hù)體系中如何來進(jìn) 行設(shè)計(jì)和構(gòu)建，特別是由于政府/大型企業(yè)組織的信息系統(tǒng)規(guī)模龐大，各分支機(jī)構(gòu) 的信息系統(tǒng)之間存在差異，因此如何對信息系統(tǒng)進(jìn)行抽象1,按照科學(xué)的方法設(shè)計(jì)、建立一個(gè)好的合理的保護(hù)對象體系，從而形成統(tǒng)一的保護(hù)對象框架，確保保 護(hù)對象全面覆蓋，對于實(shí)施等級保護(hù)工作來說具有十分重要的意義，也是一項(xiàng)重 要的基礎(chǔ)性工作。安全保護(hù)對象框架對于大型的信息系統(tǒng)之內(nèi)和不同部門的信息系統(tǒng)之間，都存在較大差異，因 此必須對信息系統(tǒng)進(jìn)行抽象，形成統(tǒng)一的保護(hù)對象框架，安全保護(hù)對象框架即信息系統(tǒng)的抽象模型。安全保護(hù)對象框架模型的設(shè)

2、計(jì)，應(yīng)準(zhǔn)確地進(jìn)行大系統(tǒng)的分 解和描述，以反映實(shí)際特性和差異性安全要求。大型企業(yè)信息系統(tǒng)保護(hù)對象框架是通過對總部、區(qū)域、分公司的評估調(diào)查和 普查，參照信息保障體系的建模方法，按照威脅分析，將信息資產(chǎn)劃分為若干保 護(hù)對象。主要原因是信息系統(tǒng)規(guī)模大，各部門的信息系統(tǒng)之間存在差異，因此必 須對信息系統(tǒng)進(jìn)行抽象，形成統(tǒng)一的保護(hù)對象框架。其中，信息系統(tǒng)保護(hù)對象框 架是根據(jù)對總部、區(qū)域、分公司的評估調(diào)查和普查，參照信息保障體系的建模方 法3,按照威脅分析，將信息資產(chǎn)劃分為若干保護(hù)對象。根據(jù)信息系統(tǒng)的功能特性、安全價(jià)值以及面臨威脅的相似性，將其劃分成計(jì)算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、區(qū)域邊界和安全基礎(chǔ)設(shè)施四大類保護(hù)對象

3、4。對不同的55信息系統(tǒng)安全等級化保護(hù)保護(hù)對象區(qū)域，結(jié)合區(qū)域特點(diǎn)設(shè)計(jì)區(qū)域保護(hù)對象框架。計(jì)算區(qū)域是指由功能集合在一起，安全價(jià)值相近，且面臨威脅相似的一組信息系統(tǒng)組成，通常包括主機(jī)系統(tǒng)、平臺系統(tǒng)、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)、物理機(jī)房等 。網(wǎng)絡(luò)基礎(chǔ)設(shè)施是由相同功能集合在一起的一組網(wǎng)絡(luò)系統(tǒng)組成，包括路由器、 交換機(jī)等構(gòu)成的局域網(wǎng)和廣域網(wǎng)。區(qū)域邊界是指兩個(gè)區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是一組功能集合，包括訪問控制、身份認(rèn)證、入侵檢測和審計(jì)等。安全基礎(chǔ)設(shè)施包括 PKI/PMI、安全監(jiān)控系統(tǒng)、預(yù)警系統(tǒng)和應(yīng)急系統(tǒng)、安全管 理平臺等提供安全功能的安全基礎(chǔ)設(shè)施。最后根據(jù)每個(gè)保護(hù)對象的價(jià)值來確定其安全等級。信息網(wǎng)絡(luò)保

4、護(hù)對象框架及其等級劃分，共分為 5級。信息網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用保護(hù)對象框架如圖4-1所示。計(jì)算區(qū)M網(wǎng)咕超勖暇宛計(jì)算區(qū)域什綽區(qū)城時(shí)結(jié)瑞tt實(shí)施第一層網(wǎng)絡(luò)菸腦設(shè)施4-1保護(hù)對象框架建立保護(hù)對象框架建立包括：信息系統(tǒng)模型化處理、保護(hù)對象分類、安全域劃分等。信息系統(tǒng)進(jìn)行模型化處理56第4章等級保護(hù)的保護(hù)對象體系設(shè)計(jì)在設(shè)計(jì)信息安全保障體系時(shí)，首先對信息系統(tǒng)進(jìn)行模型抽象，即把信息系統(tǒng)各個(gè)內(nèi)容屬性中與安全相關(guān)的屬性抽取出來，參照IATF (美國信息安全保障技術(shù)框架)，通過建立信息安全保護(hù)對象框架的方法來建立安全模型，從而相對準(zhǔn)確地描述信息系統(tǒng)的安全屬性，包括以下幾個(gè)方面。局域網(wǎng)內(nèi)部抽象處理；局域網(wǎng)內(nèi)部安全域之間互聯(lián)

5、的抽象處理；局域網(wǎng)之間安全域互聯(lián)的抽象處理；局域網(wǎng)安全域與外部單位互聯(lián)的抽象處理；安全域內(nèi)部抽象處理；形成信息系統(tǒng)抽象模型。通過對信息系統(tǒng)的分析和抽象處理，最終應(yīng)形成被分析的信息系統(tǒng)的抽象模 型。信息系統(tǒng)抽象模型的表達(dá)應(yīng)包括以下內(nèi)容6。單位的不同局域網(wǎng)絡(luò)如何通過骨干網(wǎng)、城域網(wǎng)互聯(lián)；每個(gè)局域網(wǎng)內(nèi)最多包含幾個(gè)不同級別的安全域；局域網(wǎng)內(nèi)部不同級別的安全域之間如何連接；不同局域網(wǎng)之間的安全域之間如何連接；局域網(wǎng)內(nèi)部安全域是否與外部機(jī)構(gòu)/單位有互聯(lián)。1)制定總體安全策略最重要的是制定安全域互連策略，通過限制多點(diǎn)外聯(lián)，統(tǒng)一出口既可以達(dá)到保護(hù)重點(diǎn)、優(yōu)化配置的目的，也體現(xiàn)了縱深防御的策略思想。安全域邊界安全保

6、護(hù)策略和安全技術(shù)措施提出時(shí)應(yīng)考慮邊界設(shè)備共享的情況，如果不同級別的安全域通過同一設(shè)備進(jìn)行邊界保護(hù)，這個(gè)邊界設(shè)備的安全保護(hù)策略和安全技術(shù)措施應(yīng)滿足最高級別安全域的等級保護(hù)基本要求7。2)關(guān)于各安全域內(nèi)部的安全控制要求提出針對信息系統(tǒng)等級化抽象模型，根據(jù)機(jī)構(gòu)總體安全策略、等級保護(hù)基本要求和系統(tǒng)的特殊安全需求8,提出不同級別安全域內(nèi)部網(wǎng)絡(luò)平臺、系統(tǒng)平臺和 業(yè)務(wù)應(yīng)用的安全保護(hù)策略和安全技術(shù)措施。3)關(guān)于等級安全域的管理策略從全局角度出發(fā)提出單位的總體安全管理框架和總體安全管理策略，對每個(gè)等 級安全域提出各自的安全管理策略，安全域管理策略繼承單位的總體安全策略。安全域劃分安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性

7、質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)9,每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，57信息系統(tǒng)安全等級化保護(hù)具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同 的網(wǎng)絡(luò)安全域共享同樣的安全策略10。安全域的劃分不能單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主，輔以安全角度11,并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性12。對總體信息系統(tǒng)安全域（保護(hù)對象）的劃分 應(yīng)主要考慮如下方面因素：業(yè)務(wù)和功能特性；安全特性的要求；參照現(xiàn)有狀況。對一個(gè)獨(dú)立的業(yè)務(wù)信息系統(tǒng)的內(nèi)部安全域的劃分主要步驟如下。查看網(wǎng)絡(luò)上承載的

8、業(yè)務(wù)系統(tǒng)的訪問終端與業(yè)務(wù)主機(jī)的訪問關(guān)系以及業(yè)務(wù) 主機(jī)之間的訪問關(guān)系，若業(yè)務(wù)主機(jī)之間沒有任何訪問關(guān)系，則單獨(dú)考慮各業(yè)務(wù)系 統(tǒng)安全域的劃分，若業(yè)務(wù)主機(jī)之間有訪問關(guān)系，則幾個(gè)業(yè)務(wù)系統(tǒng)一起考慮安全域 的劃分13。劃分安全計(jì)算域：根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)功能實(shí)現(xiàn)機(jī)制、保護(hù)等級程度進(jìn)行安全計(jì)算域的劃分，一般分為核心處理域和訪問域9,其中數(shù)據(jù)庫服務(wù)器等后臺處理設(shè)備歸入核心處理域，前臺直接面對用戶的應(yīng)用服務(wù)器歸入訪問域；參考局域網(wǎng)訪問域可以有多種類型，包括開發(fā)區(qū)、測試區(qū)、數(shù)據(jù)共享區(qū)、數(shù)據(jù)交換區(qū)、 第三方維護(hù)管理區(qū)、 VPN接入?yún)^(qū)等；局域網(wǎng)的內(nèi)部核心處理域包括數(shù)據(jù)庫、安全 控制管理、后臺維護(hù)區(qū)（網(wǎng)管工作區(qū)）等，核心處

9、理域應(yīng)具有隔離設(shè)備對該區(qū)域 進(jìn)行安全隔離，如防火墻、路由器（使用 ACL）、交換機(jī)（使用 VLAN ）等。劃分安全用戶域：根據(jù)業(yè)務(wù)系統(tǒng)的訪問用戶分類進(jìn)行安全用戶域的劃分， 訪問同類數(shù)據(jù)的用戶終端、需要進(jìn)行相同級別保護(hù)劃為一類安全用戶域，一般分 為管理用戶域、內(nèi)部用戶域、外部用戶域。劃分安全網(wǎng)絡(luò)域：安全網(wǎng)絡(luò)域是由連接具有相同安全等級的計(jì)算域和（或）用戶域組成的網(wǎng)絡(luò)域。網(wǎng)絡(luò)域的安全等級的確定與網(wǎng)絡(luò)所連接的安全用戶域和 （或）安全計(jì)算域的安全等級有關(guān)14。一般同一網(wǎng)絡(luò)內(nèi)化分 3種安全域：外部域、接入域、內(nèi)部域15。保護(hù)對象分類保護(hù)對象是信息系統(tǒng)內(nèi)具有相似安全保護(hù)需求的一組信息資產(chǎn)的組合，是從安全角度

10、對信息系統(tǒng)的描述。 依據(jù)信息系統(tǒng)的功能特性、 安全價(jià)值以及面臨威脅的相 似性，信息網(wǎng)絡(luò)保護(hù)對象一般可分為計(jì)算區(qū)域、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施3類16。（1）計(jì)算區(qū)域計(jì)算區(qū)域是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅的一 組信息系統(tǒng)組成。計(jì)算區(qū)域的信息資產(chǎn)包括主機(jī)資產(chǎn)、平臺資產(chǎn)、應(yīng)用軟件資產(chǎn) 和政務(wù)數(shù)據(jù)資產(chǎn)等，涉及區(qū)域內(nèi)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用軟件層、數(shù)據(jù)58第4章等級保護(hù)的保護(hù)對象體系設(shè)計(jì)層和業(yè)務(wù)流程層面。包含的安全屬性包括所屬信息資產(chǎn)的物理安全、網(wǎng)絡(luò)安全、 邊界安全、系統(tǒng)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全和業(yè)務(wù)流程安全等。計(jì)算區(qū)域可 以從安全域劃分的結(jié)果得到。(2)區(qū)域邊界區(qū)域邊界是

11、指兩個(gè)區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是虛擬對象，不 與具體資產(chǎn)對應(yīng)，邊界是一組功能集合，包括邊界訪問控制，邊界入侵檢測和審 計(jì)等。設(shè)計(jì)系統(tǒng)分域保護(hù)框架時(shí)區(qū)域邊界可以作為計(jì)算區(qū)域的一個(gè)屬性進(jìn)行處理。通過對各安全區(qū)域之間的連接狀況分析，可以得到某個(gè)安全區(qū)域與其他區(qū)域 之間的邊界。(3)網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)基礎(chǔ)設(shè)施是指由相同功能集合在一起，安全價(jià)值相近，且面臨相似威脅 來源的一組網(wǎng)絡(luò)系統(tǒng)組成，包括由路由器、交換機(jī)和防火墻等構(gòu)成的局域網(wǎng)或廣 域網(wǎng)，一般指區(qū)域邊界之間的連接網(wǎng)絡(luò)。某一個(gè)安全區(qū)域或多個(gè)安全區(qū)域網(wǎng)絡(luò)支 撐平臺構(gòu)成了該區(qū)域的網(wǎng)絡(luò)基礎(chǔ)實(shí)施。保護(hù)對象劃分方法我們對信息網(wǎng)絡(luò)的信息系統(tǒng)及設(shè)施進(jìn)行分類

12、，所采用的方法和流程如圖4-2所示。區(qū)域邊界支技性及他設(shè)施網(wǎng)堵與基射I的為網(wǎng)絡(luò)與庭的設(shè)施俄據(jù)：璘產(chǎn)功能相似性*產(chǎn)價(jià)值朝但性,蝌產(chǎn)同隘和似性KLML升以K域OLEMApplicMioiiV1*-年博性乩健設(shè)施59信息系統(tǒng)安全等級化保護(hù)圖4-2安全保護(hù)對象劃分劃分保護(hù)對象有助于信息資產(chǎn)識別全面性、便于識別系統(tǒng)；有助于降低風(fēng)險(xiǎn) 分析的難度、確保風(fēng)險(xiǎn)分析的有效性。系統(tǒng)分域保護(hù)框架系統(tǒng)分域保護(hù)框架是從安全角度出發(fā)，通過對各保護(hù)對象進(jìn)行組合來對信息 系統(tǒng)進(jìn)行結(jié)構(gòu)化處理的方法。結(jié)構(gòu)化是指通過特定的結(jié)構(gòu)將問題拆分成子問題的 迭代過程，其目標(biāo)是更好地體現(xiàn)信息系統(tǒng)的安全特性和安全要求。進(jìn)行結(jié)構(gòu)化處 理要遵循以下基

13、本原則：充分覆蓋、互不重疊、不需再細(xì)分。保護(hù)對象等級化劃分在對大型信息系統(tǒng)的安全保護(hù)等級進(jìn)行劃分時(shí)，通常需要對構(gòu)成大型信息系統(tǒng)的子系統(tǒng)的安全性進(jìn)行考慮，在確定各子系統(tǒng)對應(yīng)的安全等級保護(hù)技術(shù)要求的前提 下，依據(jù)木桶原理綜合分析，確定對該計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級的劃分17。安全定級知識庫通過細(xì)化的定級要素和科學(xué)的定級算法，保證不同應(yīng)用、不 同類型信息系統(tǒng)定級的合理準(zhǔn)確。保護(hù)對象劃分后形成不同的區(qū)域，根據(jù)計(jì)算區(qū)域的系統(tǒng)的重要性、安全要求、可用性、機(jī)密性及完整性等參數(shù)不同，進(jìn)行相應(yīng)的計(jì)算處理得到對應(yīng)值并排隊(duì)結(jié) 果，得到相應(yīng)的等級。具體流程如圖4-3所示。60系統(tǒng)1ft蹙性安全要求何用件機(jī)克卜t必用叫

14、1/2/31/231/201/2/31/2/5計(jì)算瓶第4章等級保護(hù)的保護(hù)對象體系設(shè)計(jì)區(qū)域區(qū)域口區(qū)域等燉上擦性三期蜂網(wǎng)絡(luò)號電礎(chǔ)注幡圖4-3等級化劃分流程計(jì)區(qū)域01 b-DH_ 1口 Im i_MIMLlJL5L本章小結(jié)本章介紹了怎么對保護(hù)對象進(jìn)行等級保護(hù)對象框架設(shè)計(jì)以及建設(shè)的主要內(nèi) 容，包括信息系統(tǒng)進(jìn)行模型化處理、安全域劃分、保護(hù)對象分類劃分方法及如何 對保護(hù)對象進(jìn)行分類，系統(tǒng)分域保護(hù)框架及保護(hù)對象的等級化劃分等。參考文獻(xiàn)丁宇征,陸驛.基于信息安全等級保護(hù)的信息安全體系設(shè)計(jì)C/第十二屆全國核電子學(xué)與核探測技術(shù)學(xué)術(shù)年會論文集，2004.2田野.信息安全等級保護(hù)體系的設(shè)計(jì)J.信息安全與通信保密,20

15、04, (4):19-21.3田野.等級化安全保護(hù)J.中國經(jīng)濟(jì)和信息化，2004, (11).4梁鋼，茅秋吟.云計(jì)算IaaS平臺的信息安全和運(yùn)維服務(wù)設(shè)計(jì) J.電子技術(shù)應(yīng) 用，2013, (7): 63-64.5田野.行業(yè)信息系統(tǒng)等級化安全保護(hù)的設(shè)計(jì)J.信息網(wǎng)絡(luò)安全，2004, (7):61信息系統(tǒng)安全等級化保護(hù)14-14.6康仲生,高斌，王登坡，等.信息系統(tǒng)安全等級保護(hù)基本要求在信息系統(tǒng) 規(guī)劃、建設(shè)、整改中的實(shí)施 J.電子政務(wù),2008, (3): 93-96.7吳吉朋，王滂，李昊，等.應(yīng)用安全域解決方案實(shí)踐“信息安全等級保護(hù)”J.電子政務(wù),2010, (1): 96-103.8陳文寧，孫浩文.運(yùn)營商業(yè)務(wù)系統(tǒng)安全維護(hù)方案探討J.電信技術(shù)，2014, (6):124-126.9李禹.論檢察信息化的信息安全等級保護(hù)實(shí)施J.信息網(wǎng)絡(luò)安全，2007, (8):22-24.10李京飛，陳然.基于安全域的企業(yè)網(wǎng)管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)J.計(jì)算機(jī)與信息技術(shù)，2009, (10).11于慧龍.淺談大型信息系統(tǒng)的安全域劃分與等級保護(hù)建設(shè)J.數(shù)字石油和化工，2006, (5): 20-21.12梁紹柱.高校信息安全體系建設(shè)研究J.軟件導(dǎo)刊，2012,(9):154-155.13于慧龍.如何進(jìn)行大型