信息系统等级保护安全设计技术要求及安全建设总体设计方案（57页 PPT）

微信扫码，打开到小程序

等级保护安全设计技术要求及安全建设总体设计 2 3 4 5 安全建设案例 介绍 安全建设总体 设计 设计技术要求 关键技术解析 设计技术要求 核心思想 设计技术要求 主要内容 目 录 页 1 n 《设计技术要求》遵照 GB17859 以及《基本要求》等标准的技术要求部分 ，对信息 系统等级保护安全从技术上进行了框架性的规范 ，不包括物理安全、 安全管理制度等要 求。 n 《基本要求》是在 GB17859 等标准基础上 ，根据现有技术的发展水平 ，提出和规定 了不同安全等级信息系统的最低保护要求 ，包括基本技术要求和基本管理要求。 n 《计算机信息系统安全保护等级划分准则》（ GB17859-1999 ） 是根据国务院 147 号 令要求制定的强制性标准 ，是等级保护的基础性标准 ，是其他标准制定的依据。 n 该标准以访问控制为核心构建基本保护环境和相关安全服务。 1. 设计技术要求核心思 想 01 要 。 信息系统安全影响国家安 全 重 02 安全漏洞和安全威胁永远存在。 03 攻防失衡，攻击占有巨大优势。 04 主动防御、守住底线。 1. 设计技术要求核心思 想 1. 设计技术要求核心思想 u 《设计技术要求》重在设计 PPDR 模型中的防护机制； 控制规则 ↓ t 访问控制 度量 验证 可信认证 1.1 防护思想 • 可信认证为基础 、 访问控制为核心 可信认证：保障信息系统主体、客体可信 访问控制：保障主体对客体合理操作权限 主体 客体 通过构建集中管控、最小权限管理与三权分立的管理平台，为管 理员创建了一个工作平台，使其可以借助于本平台对系统进行更 好的管理，从而弥补了我国现在重机制、轻管理的不足，保证信 息系统安全可管。 以访问控制技术为核心，实现主体对客体的受控访问，保证所 有的访问行为均在可控范围之内进行，在防范内部攻击的同 时 有效防止了从外部发起的攻击行为。对用户访问权限的控 制可 以确保系统中的用户不会出现越权操作，永远都按系统 设计的 方式进行资源访问，保证了系统的信息安全可控。 以可信计算技术为基础，构建一个可信的业务系统执行环境， 即用户、平台、程序都是可信的，确保用户无法被冒充、病 毒 无法执行、入侵行为无法成功。可信的环境保证业务系统 永远 都按照设计预期的方式执行，不会出现非预期的流程， 从而保 障了业务系统安全可信。 1 2 3 1.1 防护思 想 可控 可信 可管 1.1 防护思想 u 《设计技术要求》强调基于统一策略的安全管理 ， 以避免出现如下现象： 1 ）有机制 ， 无策略 ，安全机 制形同虚设； 2 ）各产品策略之间缺乏互相配合 ，也缺乏根据安全事件调整策略的响应流程 ，使得安全 机制难以真正发挥作用； u 《设计技术要求》强调基于主动防御的控制保护机制 ， 以避免出现如下现象 ：只重视对已知威胁的检测 和漏洞的发现 ，不具备对新型攻击的防护能力 ，从而出现攻击防护滞后的现象。 u 信息系统的安全设计应基于业务流程自身特点 ，建立 “可信、 可控、 可管”的安全防护体系 ，使得系统 能够按照预期运行 ，免受信息安全攻击和破坏。 n 安全计算环境 ：对定级系统的信息进行存储、 处理及实施安全策略的相关部件。 n 安全区域边界 ：对定级系统的安全计算环境边界 ， 以及安全计算环境与安全通信网络之间实现连接并 实施安全策略的相关部件。 n 安全通信网络 ：对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 n 安全管理中心 ：对定级系统的安全策略及安全计算环境、 安全区域边界和安全通信网络上的安全机制 实施统一管理的平台。 n 定级系统互联 ：通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全 保护环境之间的安全连接。 n 跨定级系统安全管理中心 ：对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安 全机制实施统一管理的平台。 1.2 防护框 架 u 建设“一个中心”管理中下的 “三重防护” 体系 ，分别对计算环境、 区域边界、 通信网 络 体系进行管理 ， 实施多层隔离和保护 ， 以 防止某薄弱环节影响整体安全。 u 重点对操作人员使用的终端、 业务服务器等 计算节点进行安全防护 ，控制操作人员行为 ， 使其不能违规操作 ，从而把住攻击发起的源 头关 ， 防止发生攻击行为。 u 分析应用系统的流程 ，确定用户（主体） 和 访问的文件（客体） 的级别（标记） ， 以此 来制定访问控制安全策略 ， 由操作系统、 安 全网关等机制自动执行 ，从而支撑应用安 全。 计算环境 区域边界 通信网络 安全管理中心 1.2 防护框 架 u 不同定级系统之间的信息交互需要经过多级互联平台的仲裁； u 多级互联平台在信息交互过程中 ，从更高层次实现了基于安全策略的全局判断； u 多级互联平台防止定级系统敏感信息外泄、 攻击入侵； u 跨级互联管理中心实现了全系统策略的统一和协调。 1.2 防护框 架 工业控制系统：安全管理中心支持下的计算环境、区域边界、通信网络三重防御多级互联技术框架 边 界 防 护 边 界 防 护 生产监控 计算环境 边 界 隔 离 安全管理中心 安全管理中心 安全管理中心 系统 安全 审计 安全管理中心 互联网 现场控制 计算环境 企业管理 计算环境 1.2 防护框 架 1.2 防护框架 IEC 62443 工控安全防护框架 3 4 5 1 2 安全建设案例 介绍 安全建设总体 设计 设计技术要求 关键技术解析 设计技术要求 核心思想 设计技术要求 主要内容 目 录 页 安全计算环境 安全区域边界 安全通信网络 安全管理中心 一级系统安 全保护环境 用户身份鉴别、 自主访问控制、用 户数据完整性保护、恶意代码防范 包过滤、恶意代码 防范 数据传输完整性保 护 二级系统安 全保护环境 用户身份鉴别、 自主访问控制、系 统安全审计、用户数据完整性保护、 用户数据保密性保护、恶意代码防 范、客体安全重用 包过滤、安全审计、 完整性保护、恶意 代码防范 安全审计、数据传 输完整性保护、数 据传输保密性保护 系统管理、审计管 理 三级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可 信执行保护 区域边界访问控制、 区域边界包过滤、 区域边界安全审计、 区域边界完整性保 护 安全审计、数据传 输完整性保护、数 据传输保密性保护、 可信接入保护 系统管理、安全管 理、审计管理 四级系统安 全保护环境 用户身份鉴别、 自主访问控制、标 记和强制访问控制、系统安全审计、 用户数据完整性保护、用户数据保 密性保护、客体安全重用、程序可 信执行保护 访问控制、包过滤、 安全审计、完整性 保护 安全审计、数据传 输完整性保护、数 据传输保密性保护、 可信接入保护 系统管理、安全管 理、审计管理 2.1 功能机 制 设计技术要求 基本要求 使用范围 具体要求 使用范围 具体要求 安全计算环境 用户身份鉴别 主机安全 应用安全 数据安全 主机安全、应用安全身份鉴别 自主访问控制 主机安全、应用安全访问控制； 主机安全、应用安全资源控制 标记和强制访问控制 系统安全审计 主机安全、应用安全审计、应 用安全抗抵赖 用户数据完整性保护 数据完整性；备份和恢复 用户数据保密性保护 数据保密性 客体安全重用 主机安全、应用安全剩余信息 保护 程序可信执行保护 主机安全恶意代码防范 安全区域边界 区域边界访问控制 网络安全 网络安全访问控制 区域边界包过滤 网络安全入侵防范 区域边界安全审计 网络安全审计 区域边界完整性保护 边界完整性检查 安全通信网络 通信网络安全审计 网络安全 数据安全 网络安全审计 通信网络数据传输完整性保护 数据完整性 通信网络数据传输保密性保护 数据保密性 通信网络可信接入保护 边界完整性检查 安全管理中心 系统管理 安全管理 建立统一的支撑平台 进行集中的安全管理 安全管理 审计管理 2.1 功能机制 u 和基本要求的对照关系 2.2 安全计算环境设计要求 u 用户身份鉴别 总体要求 应对系统中的用户进行身份标识和鉴别。 在对每一个用户注册到系统时 ， 采用用户名和用户标识符 标识用户身份 ， 并确保在系统整个生存周期用户标识的唯一性。 在每次用户登录 系统时 ，采用两种或两种 以上的组合机制进行用户身份鉴别。 实现方式 1) 应采用服务器、 计算终端的操作系统加固和数据库加固方式 ， 对登录 服务 器和计算终端的用户进行基 于口令、 令牌、 基于生物特征、 数字证书或其他具有相应安全强度的两种或两种以上的组合身份鉴别； 2) 应采用身份认证网关或对应用系统进行改造 ， 对应用系统用户进行基于口令、 令牌、 数字证书等方式 的两种或两种以上的组合身份鉴别。 2.2 安全计算环境设计要求 u 标记与强制访问控制 总体要求 应对系统中主要的主、 客体进行安全标记 ， 按安全标记和强制访问控制规则 ， 对确定主体访问客体 的操作进行控制。 实现方式 1) 服务器、 计算终端应采用安全操作系统或相应安全强度的操作系统加固产品 ， 实现对操作系统中主客 体的安全标记 ， 并基于标记实现强制访问控制； 2) 应采用安全数据库或相应安全强度的数据库安全加固产品 ， 实现对数据库表和（或） 记录或字段的安 全标记 ，最终基于标记实现强制访问控制； 3) 应对应用系统进行改造 ， 设置对重要信息资源的安全标记 ， 实现应用系统基于标记的强制访问控制； 2.2 安全计算环境设计要求 u 系统安全审计 总体要求 应记录 系统的相关安全事件。 审计记录 包括安全事件的主体、 客体、 时间、 类型和结果等内容。 应 提供审计记录查询、 分类、 分析和存储保护； 能对特定安全事件进行报警； 确保审计记录 不被 破坏或非授 权访问。 实现方式 1) 应通过服务器、 计算终端上部署的主机审计类产品或具有类似功能的安全产品 ， 实现对系统及用户操 作的审计； 2) 应通过数据库审计产品或具有类似功能的安全产品 ， 实现对数据库的安全审计。 2.2 安全计算环境设计要求 u 数据完整性保护 总体要求 应校验重要数据在存储过程中的完整性 ， 以发现其完整性是否被破坏 ， 并在其受到破坏时能对重要 数据进行恢复实现方式。 实现方式 应通过密码算法等完整性校验机制 ，对服务器、 计算终端中存储的重要数据进行完整性校验。 2.2 安全计算环境设计要求 u 数据保密性保护 总体要求 应确保用户数据在存储和处理过程中的保密性。 实现方式 应采用加密机制 ，对服务器、 计算终端中存储的用户数据进行保密性保护； 2.2 安全计算环境设计要求 u 客体安全重用 总体要求 应在客体资源重新分配前 ，对其原使用者的信息进行清除 ， 以确保信息不被泄露。 实现方式 应采用具有客体安全重用功能的系统软件或具有相应功能的信息技术产品 ， 对服务器、 计算终端、 移动终端中的客体资源重新分配前 ，对其进行清除。 2.2 安全计算环境设计要求 u 程序可信执行保护 总体要求 应实现系统运行过程中可执行程序的完整性检验 ， 防范恶意代码等攻击。 实现方式 应采用可信计算等技术构建从操作系统到上层应用的信任链 ， 以实现系统运行过程中可执行程序的 完整性检验 ， 防范恶意代码等攻击 ， 并在检测到其完整性受到破坏时采取措施恢复。 2.3 安全区域边界设计要求 u 区域边界访问控制 总体要求 应在安全区域边界设置访问控制机制 ， 实施相应的访问控制策略 ， 对进出安全区域边界的数据信息 进行控制 ， 阻止非授权访问。 实现方式 2.3 安全区域边界设计要求 u 区域边界安全审计 总体要求 应在安全区域边界设置审计机制 ，对确认的违规行为及时报警 ， 并支持对审计信息的关联分析。 实现方式 应通过网络行为审计或具有同等安全功能的网络审计设备 ， 实现对出入区域边界的网络行为进行安 全审计。 2.3 安全区域边界设计要求 u 区域边界完整性保护 总体要求 应在区域边界设置完整性保护机制 ，探测非法网络连接和网络入侵行为。 实现方式 1) 应通过准入控制机制 ， 防止计算终端非授权接入； 2) 应通过桌面管理系统或其他非法外联检测产品 ， 对内部网络中出现的内部用户未通过准许私自联到外 部网络的行为进行检查； 2.4 安全通信网络设计要求 u 通信网络数据传输完整性保护 总体要求 应校验整个报文或会话的完整性 ， 以发现其完整性是否被破坏 ， 并在发现完整性被破坏时进行恢复。 实现方式 应采用 SSL 、 IPSEC VPN 等产品或技术措施 ， 实现对网络传输数据完整性校验 ， 并在发现完整性被 破坏时进行恢复。 2.4 安全通信网络设计要求 u 通信网络数据传输保密性保护 总体要求 应确保整个报文或会话的保密性。 实现方式 应采用 SSL 、 IPSEC VPN 等产品或技术措施 ， 实现整个报文或会话的保密性保护。 2.5 安全管理中心设计要求 u 系统管理 应通过系统管理员对系统的资源和运行进行配置、 控制和管理 ，包括用户身份管理、 系统资源配置、 系统加载和启动、 系统运行的异常处理以及支持管理本地和（或） 异地灾难备份与恢复等。 应对系统管理员进行身份鉴别 ， 只允许其通过特定的命令或操作界面进行系统管理操作 ， 并对这些 操作进行审计。 u 安全管理 应通过安全管理员对系统中的主体、 客体进行统一标记 ，对主体进行授权 ， 配置一致的安全策略。 应对安全管理员进行身份鉴别 ， 只允许其通过特定的命令或操作界面进行安全管理操作 ， 并进行审 计。 2.5 安全管理中心设计要求 u 审计管理 应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理 ， 包括根据安全审计策 略对审计记录 进行分 类； 提供按时间段开启和关闭相应类型的安全审计机制； 对各类审计记录 进行存 储、 管理和查询等。 对审计记录 应进行分析 ， 并根据分析结果进行处理。 应对安全审计员进行身份鉴别 ，只允许其通过特定的命令或操作界面进行安全审计操作。 1 2 3 4 5 安全建设案例 介绍 安全建设总体 设计 设计技术要求 关键技术解析 设计技术要求 核心思想 设计技术要求 主要内容 目 录 页 u 强制访问控制机制 当执行程序主体发出 访问系统中客体资源的请求 后 ， 系统安全机制将截获该 请求 ， 并从中取出访问控制 相关的主体、客体、 操作 三 要素信息 ，然后查询全 局主 / 客体安全标记列表 ， 得到 主 / 客体的安全标记 信息 ， 并依据强制访问控 制策略对 该请求实施策略符 合性检查。 3.1 强制访问控制机 制 3.2 可信计算 u 结构化保障机制—可信计算 可基于可信根对计算节点的 BIOS 、引导程序、操作系统内核等进行可信验证， 并在检测到其可信性受到破坏后进行报警。 在一级基础上，对应用程序等进行可信验证，并在检测到其可信性受到破坏后 进行报警。并将验证结果形成审计纪录 。 在二级基础上，在应用程序的关键执行环节对系统调用的主体、客体、操作可 信 验证，并对中断、关键内存区域等执行资源进行可信验证，并在检测到其可 信性 受到破坏时采取措施恢复。并将验证结果形成审计纪录 ， 送到管理中心。 在三级基础上进行动态关联感知。 第一级 第二级 第三级 第四级 3.2 可信计 算 3.3 结构化保障机 制 3.3 结构化保障机制 u 结构化保障的实现方式 实现结构 化方法 • 基于严格定义的数学概念和语言。 语 义 清晰 ，无歧义。 可以用自动化工具 进行 检查和分析的方法。 • 引入可信计算思想 ，通过对安全部件 度 量和验证 ，保证安全机制的执行 ， 达到 结构化的目 标。 • 通过遵循采用自顶向下、 逐步求精及 模 块化的程序设计方法。 结构化 编程 形式化 验证 可信保障 安全保护部件应划分为关键安全保护部件和非关键安 全 保护部件 ， 防止违背安全策略致使敏感信息从关键 安全 保护部件流向非关键安全保护部件。 关键安全保 护部件 应划分功能层次 ， 明确定义功能层次间的调用 接口 ，确 保接口之间的信息安全交换。 各安全保护部件之间互联的接口功能及其调用关系应 明 确定义； 各安全保护部件之间互联时 ， 需要通过可 信验 证机制相互验证对方的可信性 ，确保安全保护部 件间的 可信连接。 安全保护环境设计实现的与安全策略相关的重要参数 的 数据结构给出明确定义 ， 并用可信验证机制确保数 据不 被篡改。 3.3 结构化保障机制 u 结构化保障机制—可信计算 3.4 定级系统互联机制 u 安全互联部件实现机制 应通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接