搜索
信息系统等级保护安全设计技术要求引言《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》(GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出实行信息安全等级保护,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。上述信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准依据。2007年7月全国开展重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。在开展信息安全等级保护定级和备案工作基础上,各单位、各部门正在按照信息安全等级保护有关政策规定和技术标准规范,开展信息系统安全建设和加固工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。为了配合信息系统安全建设和加固工作,特制订本标准。本标准规范了信息系统等级保护安全设计技术要求,包括第一级至第五级系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求。涉及物理安全、安全管理、安全运维等方面的要求分别参见参考文献[9]、[2]、[7]、[10]等。进行安全技术设计时,要根据信息系统定级情况,确定相应安全策略,采取相应级别的安全保护措施。在第五章至第九章中,每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和增强的部分,用“黑体”表示。信息安全技术信息系统等级保护安全设计技术要求1范围本标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求。本标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则3术语和定义GB17859-1999确立的以及下列术语和定义适用于本标准。3.1定级系统classifiedsystem按照参考文献[11]已确定安全保护等级的信息系统。定级系统分为第一级、第二级、第三级、第四级和第五级信息系统。3.2定级系统安全保护环境securityenvironmentofclassifiedsystem由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。定级系统安全保护环境包括第一级系统安全保护环境、第二级系统安全保护环境、第三级系统安全保护环境、第四级系统安全保护环境、第五级系统安全保护环境以及定级系统的安全互联。3.3安全计算环境securecomputingenvironment对定级系统的信息进行存储、处理及实施安全策略的相关部件。安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境、第四级安全计算环境和第五级安全计算环境。3.4安全区域边界secureareaboundary对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。安全区域边界按照保护能力划分为第一级安全区域边界、第二级安全区域边界、第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。3.5安全通信网络securecommunicationnetwork对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。安全通信网络按照保护能力划分第一级安全通信网络、第二级安全通信网络、第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。3.6安全管理中心securitymanagementcenter对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心,称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。3.7跨定级系统安全管理中心securitymanagementcenterforcrossclassifiedsystem跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。3.8定级系统互联classifiedsysteminterconnection通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。4信息系统等级保护安全技术设计概述信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计,如图1所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。本标准以下章节,对图1各个部分提出了相应的设计技术要求(第五级信息安全保护环境的设计要求除外)。附录A给出了访问控制机制设计,附录B给出了第三级系统安全保护环境设计示例。5第一级系统安全保护环境设计5.1设计目标第一级系统安全保护环境的设计目标是:按照GB17859-1999对第一级系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。5.2设计策略第一级系统安全保护环境的设计策略是:遵循GB17859-1999的4.1中相关要求,以身份鉴别为基础,提供用户和(或)用户组对文件及数据库表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。第一级系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。5.3设计技术要求5.3.1安全计算环境设计技术要求第一级安全计算环境从以下方面进行安全设计:a)用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护。b)自主访问控制应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组。访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c)用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。d)恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。5.3.2安全区域边界设计技术要求第一级安全区域边界从以下方面进行安全设计:a)区域边界包过滤可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。b)区域边界恶意代码防范可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。5.3.3安全通信网络设计技术要求a)通信网络数据传输完整性保护可采用常规校验机制,检验通信网络数据传输的完整性,并能发现其完整性被破坏。6第二级系统安全保护环境设计6.1设计目标第二级系统安全保护环境的设计目标是:按照GB17859-1999对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力。6.2设计策略第二级系统安全保护环境的设计策略是:遵循GB17859-1999的4.2中相关要求,以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段,同时通过增加系统安全审计、客体安全重用等功能,使用户对自己的行为负责,提供用户数据保密性和完整性保护,以增强系统的安全保护能力。第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。6.3设计技术要求6.3.1安全计算环境设计技术要求第二级安全计算环境从以下方面进行安全设计:a)用户身份鉴别应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。b)自主访问控制应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c)系统安全审计应提供安全审计机制,记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护,并可由安全管理中心管理。d)用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。e)用户数据保密性保护可采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。f)客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。g)恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。6.3.2安全区域边界设计技术要求第二级安全区域边界从以下方面进行安全设计:a)区域边界包过滤应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。b)区域边界安全审计应在安全区域边界设置审计机制,并由安全管理中心统一管理。c)区域边界恶意代码防范应在安全区域边界设置防恶意代码网关,由安全管理中心管理。d)区域边界完整性保护应在区域边界设置探测器,探测非法外联等行为,并及时报告安全管理中心。6.3.3安全通信网络设计技术要求第二级安全通信网络从以下方面进行安全设计:a)通信网络安全审计应在安全通信网络设置审计机制,由安全管理中心管理。b)通信网络数据传输完整性保护可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。c)通信网络数据传输保密性保护可采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。6.3.4安全管理中心设计技术要求6.3.4.1系统管理可通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。6.3.4.2审计管理可通过安全审计