关键信息基础设施网络安全等级保护核心技术

关键信息根底设施网络平安等级保护核心技术目录二一三信息平安等级保护2.0—网络平安等级保护全面建设、全程防护主动免疫、积极防御是我国网络平安保障的根本制度是网络空间平安保障体系的重要支撑是应对强敌APT的有效措施网络安全等级保护一、信息安全等级保护2.0—网络安全等级保护我国等级保护工作创新开展我国80年代兴起了计算机信息系统平安保护研究，1994年，国务院发布?中华人民共和国计算机信息系统平安保护条例?〔国务院令第147号〕，为我国信息系统实行等级保护提供法律依据，也是世界上第一个等级保护国家法规依据国务院147号令制定发布了强制性国家标准?计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕，强制性标准，为等级划分和保护奠定了技术根底?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕进一步明确要求“抓紧建立信息平安等级保护制度〞国家有关部委屡次联合发文，明确了等级保护的原那么、根本内容、工作流程和方法、实施要求和方案等。目前国家各部门都按信息系统定级备案、整改建设和测评进行推进，国家重点工程的验收要求必须通过信息平安等级保护的测评最近公布的?网络平安法?第二十一条国家实行网络平安等级保护制度。网络运营者应当按照网络平安等级保护制度的要求，履行以下平安保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改第三十一条规定，国家对关键信息根底设施，在网络平安等级保护制度的根底上实行重点保护美国国防部早在八十年代就推行“平安等级划分准那么〞

〔TCSEC〕〔ITSEC〕〔CC〕2003年，美国发布?保护网络空间国家战略?，提出按重要程度不同分五级保护，并通过了?联邦信息平安管理法案?〔FISMA〕，要求NIST制定分类分级标准超越国外等级保护2021年2月12日，奥巴马发布了?增强关键根底设施网络平安?行政令，按此令NIST于2021年2月12日12日提出了?美国增强关键根底设施网络平安框架?，按风险程度不同分为四个等级，实行识别、保护、监测、响应、恢复全过程的风险管理2005年变成强制性标准〔FIPS200〕，要求联邦机构无条件执行1、法律支撑：计算机信息系统平安等级保护条例提升为“网络平安法〞中的网络平安等级保护制度3、工程应用：由传统的信息系统防护转向新型计算环境下的主动防御体系建设2、科学技术：由分层被动防护到科学平安框架下的主动免疫防护等级保护2.0的时代特征确保关键信息根底设施平安全过程准确划分定级系统，从保护业务信息和系统效劳两维资源出发，根据在国家平安、经济建设、社会生活中的重要程度，以及系统遭受破坏后的危害程度等因素确定等级适用于网络空间的云计算等平安需求分析1、分析风险，准确等级二、全面建设、全程防护业务处理流程的完整性软硬件设备相对的独立性平安管理责权的统一性定级系统的特征多级互联隔离性等级合法权益社会秩序和公共利益国家安全损害严重损害损害严重损害特别严重损害损害严重损害特别严重损害一级√二级√√三级√√四级√√五级√信息系统按重要程度不同分为五级，三级以上是国家重要信息系统〔业务信息/系统效劳〕等级按级保护保护级（GB17859)可信保障一级自主保护自主访问静态可信二级指导保护审计（自主访问）建可信链三级监督检查标记（强制访问）动态度量四级强制监督检查结构化保证实时感知五级专门监督检查实时监控实时处置按照?信息平安等级保护管理方法?、?计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕和参照?信息系统等级保护平安设计技术要求?〔GB/T25070-2021〕，设计制定建设方案2、标准建设、严密管控参照?信息平安等级保护实施指南?、?信息系统等级保护平安设计技术要求?等技术标准，从技术和管理两个方面进行平安建设选择等级测评机构制定测评方案开展测评工作出具测评报告专家评审确认3、等级测评、整改完善4、监督检查、应急恢复应对事件和灾难发生，减少损失，采取必要的应急和备份措施，发生事件，及时恢复保证资源平安必须实行科学管理，强调最小权限管理，高等级系统实行三权别离管理体制，不许设超级用户针对信息资源〔数据及应用〕构建业务流程控制链，以访问控制为核心，实行主体〔用户〕按策略规那么访问客体〔信息资源〕，确保业务信息平安针对计算资源〔软硬件〕构建保护环境，以可信计算基〔TCB〕为根底，层层扩充，对计算资源进行保护，确保系统效劳平安YoucanBelikeGod1)可信2)可控YoucanBelikeGod3)可管从技术和管理两个方面进行平安设计，做到:1、设计原那么三、主动免疫、积极防御

平安管理中心支持下的可信免疫的计算环境区域边界通信网络三重防护结构框架2、结构框架

保护环境框架图可信计算环境可信区域边界可信通信网络构建三重平安防护结构框架划分为节点、典型应用、区域边界、通信网络、平安管理、审计管理和系统管理等子系统。平安管理中心21典型应用子系统：平安保护环境为应用系统〔如平安OA系统等〕提供平安支撑效劳。通过实施三级平安要求的业务应用系统，使用平安保护环境所提供的平安机制，为应用提供符合要求的平安功能支持和平安效劳节点子系统：节点子系统通过在操作系统核心层、系统层设置以了一个严密牢固的防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性平安，从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑和保障1〕可信计算环境22区域边界子系统：区域边界子系统通过对进入和流出平安保护环境的信息流进行平安检查，确保不会有违背系统平安策略的信息流经过边界，是信息系统的第二道平安屏障2〕可信区域边界23通信网络子系统：通信网络子系统通过对通信数据包的保密性和完整性进行保护，确保其在传输过程中不会被非授权窃听和篡改，使得数据在传输过程中的平安得到了保障，是信息系统的外层平安屏障3〕可信通信网络24系统管理子系统：系统管理子系统负责对平安保护环境中的计算节点、平安区域边界、平安通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为信息系统的平安提供根底保障平安管理子系统：平安管理子系统是信息系统的控制中枢，主要实施标记管理、授权管理及策略管理等。平安管理子系统通过制定相应的系统平安策略，并且强制节点子系统、区域边界子系统、通信网络子系统及节点子系统执行，从而实现了对整个信息系统的集中管理，为信息系统的平安提供了有力保障审计子系统：审计子系统是系统的监督中枢，平安审计员通过制定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、平安管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统平安策略的行为，同时为应急处理提供依据4〕管理中心1〕国家电网电力调度系统平安防护建设发改委14号令决定以可信计算架构实现等级保护四级电力可信计算密码平台已在34个省级以上调度控制中心和59个地级调度控制中心上线运行，覆盖了上万台服务器，确保了运行安全

3、重要核心系统规模化建设应用应用CPU使用率内存使用率计算时间加载前加载后影响度加载前加载后影响度加载前加载后影响度应用12.92%2.95%1.03%11%11%0%69s69.9s1.3%应用22.3%2.33%1.3%6.9%7%1.45%24.6s25.1s2.03%应用32.8%2.85%1.79%7.8%7.9%1.28%18.9s19.4s2.65%采用PCI可信卡的方式进行部署实施实现了对、未知恶意代码的免疫实现了可信保障机制，使得系统运行效率有限降低基于D5000平台的平安标签，不许改动源代码……通过逐级认证实现系统的主动免疫，到达等级保护四级技术要求2〕中央电视台可信制播环境建