等级三级系统安全防护应用

1、等级三级系统安全防护应用概述信息安全等级保护制度作为国家信息安全保护的基本国策，目 前已在全国各行业得到广泛推广和落实。 根据国家的相关要求， 已经 定级备案的信息系统应在三年之内完成整改建设工作， 并通过等级保 护相关测评。 随着等保建设逐步提上日程， 各单位在如何利用现有安 全保密产品的条件下， 结合本单位实际满足等保要求方面面临诸多困 惑。笔者结合本单位在等保建设中的实践， 抛砖引玉， 就三级系统下 如何满足等保要求进行有效的探索。 第三级系统安全保护环境的设计 目标是：按照 GB17859-1999对第三级系统的安全保护要求，在第二 级系统安全保护环境的基础上， 通过实现基于安全策略模

2、型和标记的 强制访问控制以及增强系统的审计机制， 使系统具有在统一安全策略 管控下，保护敏感资源的能力。本系统根据 “ 一个中心 ”管理下的 “三重保护 ”体系框架进行 设计，构建安全机制和策略， 形成定级系统的安全保护环境。 该环境 共包括四部分： 安全计算环境、 安全区域边界、 安全通信网络和安全 管理中心。1、等级保护三级系统的防护要求与设计要求分析按照等级保护三级的要求， 笔者主要针对以下 四个方面进行设计：2.1 安全计算环境设计(1) 用户身份鉴别 应支持用户标识和用户鉴别。(2) 自主访问控制在安全策略控制范围内， 使用户对其创建的 对象具有访问操作权限， 这个权限可以根据用户

3、进行授权。可以具体到针对被访问对象的具体操 作。(3) 标记和强制访问控制 可以对访问者和被访问者在身份鉴别的基 础上进行安全标记， 实现对主体访问客体的操作 进行控制。(4) 系统安全审计对访问行为进行完整的审计， 审计的内容包 括访问对象、被访问对象，访问的行为、时间等 内容。(5) 用户数据完整性保护采用备份、 HASH方法对数据的完整性进行 保护，防止被篡改。(6) 用户数据保密性保护采用密码等技术支持的保密性保护机制， 对 在安全计算环境中存储和处理的用户数据进行 保密性保护。(7) 客体安全重用 客体安全重用即指被访问对象不应保留访 问对象的特征，避免由于不同访问对象的访问而 造成

4、访问对象之间信息的泄露。(8) 程序可信执行保护采用可信计算技术， 保证程序执行过程是可 信的。可信是个复杂的环节， 但是我们可以在重 点服务器计算环境内实现可信。对于(1), (2), (3), (4) 的要求可以通过高 强度的身份认证产品实现。 (5), (6), (7) 可以 通过比较流行的敏感信息数据保护技术实 现 ;(8) 是一个复杂的要求， 如何做到可信的环境 也是一个复杂的命题， 毕竟在多数情况下， 我们 的计算环境还是建立在一个开放的平台上进行 建设。而且，从硬件开始至操作系统，基本都是 国外的产品构成 . 可信执行保护只能在操作系统 平台上实现，很难做到完全的可信。2.2安全

5、区域边界设计(1) 区域边界访问控制 要求在区域边界进行控制，防止非授权访问。(2) 区域边界包过滤要求在区域边界进行包过滤检测措施。(3) 区域边界安全审计要求在区域边界进行安全审计措施，保证内外数据的审计。(4) 区城边界完整性保护应在区域边界设置探测器，例如外接探测软件，探渊非法外联和人侵行为，并及时报告安全 管理中心。2. 3安全通信网络设计(1) 通信网络安全审计在安全通信网络设置审计机制，由安全管理 中心集中管理，并对确认的违规行为进行报警。(2) 通信网络数据传输完轶性保护对网络传输数据进行完整性检验和保护。保 证网络传输数据的安全性。(3) 通信网络数据传输保密性保护对网络数据

6、进行传输保密。(4) 通信网络可信接人保护 对通信网络釆用可信接人保护。安全通信网络设计主要是针对通信网络的 保密要求，釆用网络加密技术可以实现等级保护 三级中的所有要求，这里我们采用VPN技术实现 对通信网络和数据的保护。2. 4安全管理中心设计(1) 系统管理等保三级要求系统可以对系统管理员的行 为进行身份鉴别和授权，仅允许系统管理员访问 特定的界面和特定的系统。在多数情况下，系统 管理员可以分为网络管理员、主机管理员和存储 管理员。网络管理员主要对网络设备进行策略配 置。主机管理员主要对服务器操作系统进行管理 和配置。多数情况下，主机管理员又分为PC服 务器管理员和小型机管理员；存储管理

7、员主要对 存储设备进行维护和管理。(2) 安全管理等保三级要求对安全管理员进行身份鉴别 和授权。总所周知，安全管理员仅是对安全设备 的管理，安全设备又涉及到了整个计算系统的各 个方面，对安全管理员的管理也变得尤为重要， 多数安全设备都具有LOG记录功能，同时提供了 方便的接口可以进行授权管理。(3) 审计管理等保共级要求对安全审计员进行身份鉴别 和管理， 安全审计员要和多种设备打交道， 如何 保证安全审计员的行为进行控制同样是一个复 杂的要求。2、网络的现状分析 3、具体设计实施 3、针对本单位的具体实践3.1 安全计算环境建设 安全计算环境设计选用的一个重要的产品 是高强度的多因子身份认证系

8、统， 采用该身份认 证系统，可以实现等保三级中要求的用户身份鉴 别、自主访问控制、标记和强制访问控制、系统 安全审计等要求， 笔者采用基于代理技术的身份 认证技术。 除了以上功能外， 还可以实现对访问 过程的控制，保证请求的有效、请求过程的正确、 数据格式的正确等等。敏感数据保护系统是一个近年来刚刚兴起 的技术， 普遍基于文件驱动管理技术， 优点在干 稳定性较好，缺点在于其工作在操作系统平台之 上，在操作系统内部是没有办法对数据进行保护 的。当前市面上有些企业采用国外的技术实现了 在操作系统内部的数据保护， 但是其稳定性还待 进一步观察。该系统可以实现等保三级要求的用 户数据完整性保护、 用户

9、数据保密性保护和客体 安全重用的要求。可信计算平台是一个复杂的间题， 到日前为 止，笔者无法选用合适的技术和产品完全满足这 个要求，在目前的情况下可以采用主机加固和增 强类产品实现。3.2 安全区域边界建设 外部网络和内部网络保护系统由防火墙、 防 DDoS攻击设备、人侵检测设备、防病毒网关组 成。防火墙只开放必需的服务端日， 若配有 IDS, 需考虑两者之间的联动， 提供对攻击的检测和报 警。防 DDoS设施起到对外部网络层分布式拒绝 服务攻击的基本控制作用。 完整的抵御分布式拒 绝服务攻击还包括整体应用策略和应用层机制。防病毒网关对流入数据进行防毒检溯， 作为 防毒的第一道防线， 在边界起

10、到章要的作用。 但 是仅仅具有防病毒网关是不够的， 还必须在终端 安装网络防病毒软件， 做到全网统一策略， 从而 可以保证对流入的病毒进行实时查杀。 这里需要 说明的是，国外品牌的防毒软件大部分在遇到无 法杀毒的染毒文件时， 采用保守策略， 仅仅是警 告或者移动文件至保护区。 国内的软件大部分采 用侧除文件的操作。 在某些极端环境下， 两种方 法都有可能给用户带来问题， 笔者选用了杀毒软 件和终端管理软件相结合的方式， 保证染毒文件 可以通过网络移动到指定的病毒服务器的相应 目录下，便于安全管理员进行下一步的处理。3.3安全通信网络建设 安全通信网络的要求基本上可以采用一台 VPN设备解决 :

11、 外部终端需访问内部网络资源时， 可以采用 IPSecVPN或者 SSL VPN;若具有分支机 构的情况，采用带有加速功能的 VPN设备可以提 高网络传输效率。 IPSecVPN 的技术较为成熟， 配置相对比较麻烦，在实际使用过程中不如 SSL VPN方便。针对等保三级的要求， VPN系统的审计、数 据校验等功能都必须打开。3.4 安全管理中心建设 目前很多厂商提供安全管理中心的设计和 解决方案，然而笔者研究了多个产品的解决方 案，无论是 SOC产品还是安全管理平台产品， 多 数冠以按照 ITIL 规范设计和部署，但是基本上 没有一家产品可以真正实现 ITIL 规范中所要求 的各个实现，所涉及

12、的安全产品仅限于少量的合 作伙伴的产品， 很难做到大范围内产品的统一管 理，这主要是由于目前安全产品没有遵循统一的 规范造成的。为了既满足等保要求又能真正解决实际需 求，笔者考虑选用多个产品来实现安全管理中心 的功能 : 各个被管理系统的管理工具 +数据铭合 的方式实现。选用多个产品也有利于将不同的权 限从系统级别进行划分，划归不同人员进行管 理，从而为管理制度 _L 的相互约束提供技术支 撑。当各个对象的管理工具将信息获取到以后， 采用数据整合管理工具实现对这些数据的最后 整合。数据整合的产品比较多， 尤其在 ERP系统 中使用比较广泛，用以提供最高管理者进行决 策，价格也能够为一般企业所接

13、受， 只是在以前 的方案设计中， 很少考虑到将该产品用于安全管 理中心。在安全管理中心建设中利用数据整合工 具可实现多个管理工具之间的信息互通。笔者在本单位安全管理中心的设计中， 采用 运维管理、内网管理、网络管理、 LOG日志管理 相结合的方式，同时在安全设备和网络设备的选 择中，着重考虑系统之间的兼容性和开放性， 避 免由于某个设备无法进行安全管理而造成枯个 网络的无序。3.5 安全管理规范制定 目前在业界内大多数用户也已经达成共识， 单纯依靠技术不能解决所有的安全问题， 必须配 套相应的管理手段。 安全管理规范是必要而且非 常重要的辅助手段， 笔者所在单位根据实际的情 况，采用系统管理员、安全管理员、安全审计员 三权分立、 互不兼任的原则， 约束各个管理员的 行为，同时配合门禁、 USB Key 等手段，