信息安全等级保护安全建设2017年8月7日信息系统安全等级保护技术体系设计引言依据如下相关文件,制定信息系统安全等级保护相关标准:-《中华人民共和国计算机信息系统安全保护条例》国务院147号令-《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号-《关于信息安全等级保护工作的实施意见》公通字[2004]66号-《信息安全等级保护管理办法》公通字[2007]43号本标准是信息安全等级保护相关系列标准之一;相关的系列标准包括:-信息安全技术信息系统安全等级保护定级指南;(GB/T22240-2008)-信息安全技术信息系统安全等级保护基本要求;(GB/T22239-2008)-信息安全技术信息系统安全等级保护测评准则;(GB/T28448)-信息安全技术信息系统安全等级保护实施指南;(GB/T25058-2010)-信息安全技术信息系统等级保护安全设计技术要求;(GB/T25070-2010)《关于开展信息安全等级保护安全建设整改工作的指导意见》(2009-10-27)1429号文在对信息系统实施信息安全等级保护的过程中,在不同的阶段,还应参照其他有关信息安全等级保护的标准、要求开展工作,本课程将对信息系统安全等级保护基本要求和建设整改的相关事项的重点进行讲述。引言2GB/T22239.2-2017《信息安全技术网络安全等级保护基本要求》第1部分:安全通用要求;第2部分:云计算安全扩展要求;第3部分:移动互联安全扩展要求;第4部分:物联网安全扩展要求;第5部分:工业控制安全扩展要求;第6部分:大数据安全扩展要求。等级保护2.0即将发布信息安全等级保护安全建设技术体系设计主要内容第一部分:信息系统等级保护安全建设需求分析1、等级保护的安全需求2、系统特殊安全需求第二部分:信息系统等级保护安全保护环境第三部分:新建系统等级保护安全建设技术方案设计第四部分:已有系统等级保护安全整改方案设计总结4第一部分——信息系统等级保护安全建设需求分析S类—业务信息安全保护类—关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。A类—系统服务安全保护类—关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。G类—通用安全保护类—既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。1、等级保护定义了三类安全需求5第一部分——信息系统等级保护安全建设需求分析安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G56第一部分——信息系统等级保护安全建设需求分析选择等级保护要求的步骤:第一步根据其等级从《基本要求》中选择相应等级的通用安全要求(G);第二步根据定级过程中确定业务信息安全保护等级(S)和系统服务安全保护等级(A),确定该信息系统的安全需求类;第三步根据系统所面临的威胁特点调整安全要求。7第一部分——信息系统等级保护安全建设需求分析2、系统特殊安全需求应对分析:信息安全的基本属性(CIA)---保护对象的特有属性保密性、完整性、可用性可控性、不可否认性、可追究性评估:信息安全风险评估(GB/T20984-2007)---值得应对的事情有哪些,排个优先级资产价值、脆弱性、威胁取舍:木桶理论和过度安全---量力而行聚焦核心价值安全之安全8第一部分——信息系统等级保护安全建设需求分析选择安全措施时常遇见两种情况:第一种情况:不够。等级保护相应等级的基本要求中某些方面的安全措施所达到的安全保护不能满足本单位信息系统的保护需求,需要更强的保护。第二种情况:没有。由于信息系统的业务需求、应用模式具有特殊性,系统面临的威胁具有特殊性,基本要求没有提供所需要的保护措施,例如有关云计算、无线网络的接入和防护《基本要求》中没有提出专门的要求,需要作为特殊需求。9第一部分——信息系统等级保护安全建设需求分析第一种-不够:选择《基本要求》中更高级别的安全要求达到本级别基本要求不能实现的安全保护能力第二种-没有:参照《管理办法》第十二条和第十三条列出的等级保护的其它标准进行保护。最后,调整后的信息系统等级保护基本安全要求与识别出的特殊安全需求共同确定了该系统的安全需求。10第一部分——信息系统等级保护安全建设需求分析电视台业务的特殊安全需求:1.媒资系统-体积大:媒资来源广,音视频资料容量大,病毒查杀是件大事,归档前多重查杀2.播出系统-政治性:播出内容严格监管,安全等级要提高,对人员、归档节目完整性要求强3.直播系统-时间快:播出通道控制,时延小;注意现场控制,如插播、广告、互动等4.网络云播出-标准不覆盖:网络电视台的开通,采用云计算技术,支持热点播出需求信息安全等级保护安全建设技术体系设计主要内容第一部分:信息系统等级保护安全建设需求分析第二部分:信息系统等级保护安全保护环境1、安全保护环境相关定义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应产品总结第三部分:新建系统等级保护安全建设技术方案设计第四部分:已有系统等级保护安全整改方案设计总结12第二部分:信息系统等级保护安全保护环境信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。网络逻辑拓扑图131、安全保护环境定义第二部分:信息系统等级保护安全保护环境1、安全计算环境---计算域网络:服务器与数据中心对定级系统的信息进行存储、处理及实施安全策略的相关部件。2、安全区域边界---计算域边界安全措施对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。3、安全通信网----计算域网络的出口---这个定义有些局限,应该包括所有终端对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。4、安全管理中心—支撑对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。5、跨定级系统安全管理中心跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。6、定级系统互联通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。14信息安全等级保护安全建设技术体系设计主要内容第一部分:信息系统等级保护安全建设需求分析第二部分:信息系统等级保护安全保护环境1、安全保护环境相关定义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应产品总结第三部分:新建系统等级保护安全建设技术方案设计第四部分:已有系统等级保护安全整改方案设计总结15边界接入域网络基础设施域支撑性设施域计算环境域第二部分:信息系统等级保护安全保护环境IATF(信息保障技术框架):“3+1”安全域架构安全环境模型设计思路来源安全管理中心安全区域边界安全通信网络(终端接入)安全计算环境第二部分:信息系统等级保护安全保护环境17第二部分:信息系统等级保护安全保护环境支持分布式服务强制性访问控制实现身份鉴别授权控制安全标记行为审计安全控制技术网络访问控制ACL内容安全检测(AV+IPS+APT)信息传输安全第二部分:信息系统等级保护安全保护环境安全运维内容安全审计工作分离系统运维与应急管理第二部分:信息系统等级保护安全保护环境20两种安全域划分方法运维式划分,功能区域为主。同等级系统网络常用第二部分:信息系统等级保护安全保护环境21烟筒式划分,系统等级为主。不同等级系统推荐采用第二部分:信息系统等级保护安全保护环境22不同行业安全域设计示例第二部分:信息系统等级保护安全保护环境23第二部分:信息系统等级保护安全保护环境第二部分:信息系统等级保护安全保护环境2930信息安全等级保护安全建设技术体系设计主要内容第一部分:信息系统等级保护安全建设需求分析第二部分:信息系统等级保护安全保护环境1、安全保护环境相关定义2、信息系统安全保护环境模型3、不同等级信息系统安全保护环境的设计要求4、安全保护环境的基本要求与对应产品总结第三部分:新建系统等级保护安全建设技术方案设计第四部分:已有系统等级保护安全整改方案设计总结31第二部分:信息系统等级保护安全保护环境第三部分:信息安全设计技术要求第一级系统安全保护环境设计设计目标设计策略设计技术要求32第二部分:信息系统等级保护安全保护环境第一级系统安全保护环境的设计目标是:按照GB17859-1999对第一级系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。设计目标33第二部分:信息系统等级保护安全保护环境第一级系统安全保护环境的设计策略是:遵循GB17859-1999的4.1中相关要求,以身份鉴别为基础,提供用户/用户组对文件及数据库表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。设计策略34第二部分:信息系统等级保护安全保护环境安全计算环境设计技术要求安全区域边界设计技术要求安全通信网络设计技术要求设计技术要求35第二部分:信息系统等级保护安全保护环境第一级安全计算环境从以下方面进行安全设计:用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护。自主访问控制应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组。访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。用户数据完整性保护可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。安全计算环境设计技术要求操作系统、数据库管理系统等主机防病毒软件36第二部分:信息系统等级保护安全保护环境第一级安全区域边界从以下方面进行安全设计:区域边界包过滤可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。区域边界恶意代码防范可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。安全区域边界设计技术要求37防火墙\OS的安全策略第二部分:信息系统等级保护安全保护环境第一级安全通信网络从以下方面进行安全设计:通信网络数据传输完整性保护可采用常规校验机制,检验通信网络数据传输的完整性,并能发现其完整性被破坏。安全通信网络设计技术要求38传输协议的完整性校验机制第二级系统安全保护环境设计设计目标设计策略设计技术要求39第二部分:信息系统等级保护安全保护环境第二部分:信息系统等级保护安全保护环境第二级系统安全保护环境的设计目标是:按照GB17859-1999对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力。设计目标40第二部分:信息系统等级保护安全保护环境第二级系统安全保护环境的设计策略是:遵循G