启明星辰公司等级保护系统设计方案

启明星辰公司等级保护

3级系统设计方案

目录

1概述..........................................................................1

1.1项目概况.............................................................1

1.2方案说明.............................................................2

1.3设计依据.............................................................2

2方案总体设计.................................................................3

2.1设计目标.............................................................3

2.2设计原则.............................................................4

2.3设计思路............................................错误!未定义书签。

2.3.1方案设计过程...................................错误!未定义书签。

2.3.2保护对象框架...................................错误!未定义书签。

2.3.3整体保障框架...................................错误!未定义书签。

2.3.4安全措施框架...................................错误!未定义书签。

2.3.5安全区域划分...................................错误!未定义书签。

2.3.6安全措施选择...................................错误!未定义书签。

2.3.7设计思珞总结...................................错误!未定义书签。

3需求分析.....................................................................12

3.1系统现状.............................................................12

3.2现有措施............................................................12

3.3具体需求.............................................................13

3.3.1等级保护技术需求...............................................13

3.3.2等级保护管理需求...............................................19

4安全策略.....................................................................22

4.1总体安全策略........................................................22

4.2具体安全策略........................................................23

4.2.1安全域内部策略..................................................23

4.2.2安全域边界策略..................................................27

4.2.3安全域互联策略..................................................27

5安全解决方案.................................................................28

5.1安全技术体系........................................................29

5.1.1安全防护系统....................................................29

5.1.2安全支撑系统....................................................52

5.2安全管理体系........................................................55

5.2.1安全管理机构....................................................55

5.2.2安全管理制度....................................................57

5.2.3人员安全管理....................................................58

5.2.4系统建设管理....................................................58

5.2.5系统运维管理....................................................62

6安全服务.....................................................................68

6.1风险评估月艮务.............................................................68

6.2管理监控服务........................................................70

6.3管理咨询服务........................................................72

6.4安全培训服务........................................................73

6.5安全集成服务........................................................74

7方案总结.....................................................................75

8产品选型.....................................................................76

1概述

1.1项目概况

随着我国信息技术的快速发展，计算机及信息网络对促进国民经济和社会发

展发挥着日益重要的作用。加强对重要领域内计算机信息系统安全保护工作的监

督管理，打击各类计算机违法犯罪活动，是我国信息化顺利发展的重要保障。为

加大依法管理信息网络安全工作的力度，维护国家安全和社会安定，维护信息网

络安全，使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管

理轨道，1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。

条例中规定：我国的“计算机信息系统实行安全等级保护。安全等级的划分标准

和安全等级保护的具体办法，由公安部会同有关部门制定」1999年9月国家质

量技术监督局发布了由公安部提出并组织制定的强制性国家标准GB17859-1999

《计算机信息系统安全保护等级划分准则》，为等级保护这一安全国策给出了技

术角度的诠释。

2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》（27

号文）中指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳

定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级

保护的管理办法和技术指南”。根据国家信息化令页导小组的统一部署和安排，我

国将在全国范围内全面开展信息安全等级保护工作。

启明星辰信息技术有限公司在全面体现GB17859-1999的等级化标准思想的

基础上，以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保

护测评准则》为主要指导；充分吸收近年来安全领域出现的信息系统安全保障理

论模型和技术框架（如IATF等）、信息安全管理标准ISO/IEC17799：2000和

ISO/IECTR13335系列标准；根据我国的信息化发展现状和我国特有的行政管理

模式，提出了安全等级保护的整体框架和设计方案，为指导信息系统的建设和改

进，从安全等级保护技术体系和安全等级保护管理体系两个方面分别给出了等级

化的解决建议。

1.2方案说明

本方案是在信息系统经过安全定级之后，根据信息系统安全等级保护的基本

要求和安全目标，针本相应的安全等级而提出的等级保护系统设计方案。

本方案依赖于对系统及其子系统进行的准确定级，即需要定级结果作为安全

规划与设计的前提与基础。

本方案应当作为进行信息系统等级保护工作部署的指南和依据。可以根据本

方案对于网络架构、威胁防护、策略、区域划分、系统运维等多方面的安全进行

设计、审查、改进和加强，是进行信息系统等级保护规划和建设的参考性和实用

性很强的文档。

本方案的应用建议：

＞在进行某个等级保护的具体工作规划时，可以参考方案中各个框架的描

述来策划安全策略、需求分析、安全措施选择等各个部分的乍。

＞在考虑某一项安全建设时，可以依据本方案中对于相关的技术和管理的

基本要求和安全目标进行分析，

＞在具体的信息系统使用到本方案进行规划、设计和建设时，也将用作相

关部门进行等级保护测评和备案时的文档资料。

本方案的读者包括等级保护方案的设计者、项目的承建方和用户方、信息系

统的网络安全管理人员以及项目的评审者、监管方。

1.3设计依据

＞公安部《信息安全等级保护管理办法》

＞公安部《信息系统安全等级保护实施指南》

＞公安部《信息系统安全等级保护定级指南》

＞公安部《信息系统安全等级保护基本要求》

＞公安部《信息系统安全等级保护测评准则》

＞《北京市党政机关网络与信息系统安全定级指南》

＞《北京市电子政务信息安全保障技术框典》

＞《北京市公共服务网络与信息系统安全管理规定》（市政第163令）

＞DB11/TI71-2002《党政机关信息系统安全测评规范》

>ISO/IEC17799信息安全管理标准

>ISO/IECTR13335系列标准

>信息系统安全保障理论模型和技术框架1ATF

2方案总体设计

2.1设计目标

信息安全等级保护，是指对国家秘密信息、公民、法人和其他组织的专有信

息、公开信息及存储、传输、处理这些信息的信息系统分等级实行安全保护，

对信息系统中使用的信息安全产品实行按等级管理，对信息系统中产生的信息安

全事件分等级响应、处置“本方案侧重于实现对信息、信息系统的分等级安全保

护的设计目标。

总体设计目标：以信息系统的实际情况和现实问题为基础，遵照国家的法律

法规和标准规范，参照国际的安全标准和最佳实践，依据相应等级信息系统的基

本要求和安全目标，设计出等级化、符合系统特点、融管理和技术为一体的整体

安全保障体系，指导信息系统的等级保护建设工作。

不同级别的信息系统应具备不同的安全保护能力，3级的信息系统应具备的

基本安全保护能力要求（具体设计目标）如下：

应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪

组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的

恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖

范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备

的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。

上述对3级的信息系统的基本安全保护能力要求是一种整体和抽象的描述。

信息系统所应该具有的基本安全保护能力将通过体现基本安全保护能力的安全

目标的提出以及实现安全目标的具体技术要求和管理要求的描述得到具体化。

2.2设计原则

在进行等级保护系统解决方案设计时将遵循以下设计原则：

清晰定义模型的原则：在设计信息安全保障体系时，首先要对信息系统进行

模型抽象，这样既能相对准确地描述信息体系的各个方面的内容及其安全现状，

又能代表绝大多数地区和各种类型的信息系统。把信息系统各个内容属性中与安

全相关的属性抽取出来，参照IATF（美国信息安全保障技术框架〉，建立“保

护对象框架”、“安全措施框架”、“整体保障框架”等安全框架模型，从而相

对准确地描述信息系统的安全属性和等级保护的逻辑思维。

分域防护、综合防范的原则：任何安全措施都不是绝对安全的，都可能被攻

破。为预防攻破一层或一类保护的攻击行为无法破坏整个信息系统，需要合理划

分安全域和综合采用多种有效措施，进行多层和多重保护。

需求、风险、代价平衡的原则：对任何类型网络，绝对安全难以达到，也不

一定是必须的，需正确处理需求、风险与代价的关系，等级保护，适度防护，做

到安全性与可用性相容，做到技术上可实现，经济上可执行。

技术与管理相结合原则：信息安全涉及人、技术、操作等各方面要素，单靠

技术或单靠管理都不可能实现。因此在考虑信息系统信息安全时，必须将各种安

全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。

动态发展和可扩展原则：随着网络攻防技术的进一步发展，网络安全需求会

不断变化，以及环境、条件、时间的限制，安全防护一步到位，一劳永逸地解决

信息安全问题是不现实的。信息安全保障建设可先保证基本的、必须的安全性和

良好的安全可扩展性,今后随着应用和网络安全技术的发展，不断调整安全策略,

加强安全防护力度，以适应新的网络安全环境，满足新的信息安全需求。

2.3设计思路

2.3.1保护对象框架

保护对象是对信息系统从安全角度抽象后的描述方法，是信息系统内具有相

似安全保护需求的一组信息资产的组合。

依据信息系统的功能特性、安全价值以及面临威胁的相似性，信息系统保护

对象可分为计算区域、区域边界、网络基础设施、安全措施四类。

a）计算区域

计算区域是指由相同功能集合在一起，安全价值相近，且面临相似威胁

的一组信息系统组成。计算区域的信息资产包括：主机资产、平台资产、

应用软件资产和政务数据资产等。涉及区域内的物理层、网络层、系统

层、应用软件层、数据层和业务流程层面。包含的安全属性包括所属信

息资产的物理安全、网络安全、边界安全、系统安全、应用系统安全、

数据安全和业务流程安全等。

b）区域边界

区域边界是指两个区域或两组区域之间的隔离功能集。边界是虚拟对象,

不与具体资产对应，边界是一组功能集合，包括边界访问控制，边界入

侵检测和审计等。设计保护对象框架时区域边界可以作为计算区域的一

个属性进行处理。

c）网络基础设施

网络基础设施是指由相同功能集合在一起，安全价值相近，且面临相似

威胁来源的一组网络系统组成，包括由路由器，交换机和防火墙等构成

的局域网或广域网，一般指区域边界之间的连接网络。

d）安全措施

信息系统中所有针对保护对象设计和部署的防护措施。

保护对象框架的建立过程包括以下步骤：

1）进行系统划分，将整体信息系统分解为系统和子系统，建立信息系统树;

2）系统树中的每个系统或子系统可以作为一个计算区域，针对每一层计算

区域建立所对应层次的环境边界和网络基础实施；

3）将每个不可再分的系统或子系统分解为计算区域、区域边界和网络基础

设施三类保护对象，并识别各类保护对象所包含的信息资产。

建立了各层的保护对象之后，应按照保护对象所属信息系统或子系统的安全

等级，对每一个保护九•象明确保护要求、部署适用的保护措施。

保护对象框架的示意图如下：

第•层网络第夫计算M域

法础设施

“、第二层计学

第:层网络了系统11)/

子系统

基础设施12

手系统2n网

计

广系统22络

算

基

M础

实

域

施

图1.保护对象框架的示意图

2.3.2整体保障框架

就安全保障技术而言，在体系框架层次进行有效的组织，理清保护范围、保

护等级和安全措施的关系，建立合理的整体框架结构，是对制定具体等级保护方

案的重要指导。

根据中办发[2003]27号文件，“坚持积极防御、综合防范的方针，全面提

高提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、

综合防范”是指导等级保护整体保障的战略方针。

信息安全保障涉及技术和管理两个相互紧密关联的要素。信息安全不仅仅取

决于信息安全技术，技术只是一个基础，安全管理是使安全技术有效发挥作用，

从而达到安全保障目标的重要保证。

安全保障不是单个环节、单一层面上问题的解决，必须是全方位地、多层次

地从技术、管理等方面进行全面的安全设计和建设，积极防御、综合防范”战略

要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢

复等多种安全措施和手段，对系统进行动态的、综合的保护，在攻击者成功地破

坏了某个保护措施的情况下，其它保护措施仍然能够有效地对系统进行保护，以

抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。

整体保障框架的建设应在国家和地方、行业相关的安全政策、法规、标准、

要求的指导下，制订可具体操作的安全策略，并在充分利用信息安全基础设施的

基础上，构建信息系统的安全技术体系、安全管理体系，形成集防护、检测、响

应、恢复于一体的安全保障体系，从而实现物理安全、网络安全、系统安全、数

据安全、应用安全和管理安全，以满足信息系统全方位的安全保护需求。同时,

由于安全的动态性，还需要建立安全风险评估机制，在安全风险评估的基础上,

调整和完善安全策略，改进安全措施，以适应新的安全需求，满足安全等级保护

的要求，保证长期、稳定、可靠运行。

整体保障框架的示意图如下：

/物理安全网络安全系统安全应用安全数据安全管理安全0

防护检测响应恢复

风险评估服务

安全实施、测试

管理监控服务

物理防护系统安全管埋机构

安全安

安边界防护系统安

防

护

监控检测系统全

系安全管理制度

全统全

安全审计系统服

技管管理咨询服务

应急恢复系统人员安全管理

术理务

安全

安全运营平台系统建设管理体

支

休撑体

系

系统系系

网络信任系统系统运维管理安全培训服务

安全方案设计

安全集成服务

安全策略

整体保障框架

图2.整体保障框架的示意图

2.3.3安全措施框架

安全措施框架是按照结构化原理描述的安全措施的组合。本方案的安全措施

框架是依据“积极防御、综合防范”的方针，以及“管理与技术并重”的原则进

行设计的。

安全措施框架包括安全技术措施、安全管理措施两大部分。安全技术措施包

括安全防护系统（物理防护、边界防护、监控检测、安全审计和应急恢复等子系

统）和安全支撑系统（安全运营平台、网络管理系统和网络信任系统）。

安全技术措施、安全管理措施各部分之间的关系是人（安全机构和人员），

按照规则（安全管理制度），使用技术工具（安全技术）进行操作（系统建设和

系统运维）。

安全措施框架示意图如下：

安全措施框架

2.3.4安全区域划分

不同的信息系统的业务特性、安全需求和等级、使用的对象、面对的威协和

风险各不相同。如何保证系统的安全性是一个巨大的挑战，对信息系统划分安全

区域，进行层次化、有重点的保护是有保证系统和信息安全的有效手段。

按数据分类分区域分等级保护，就是按数据分类进行分级，按数据分布进行

区域划分，根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大

规模复杂系统的安全问题，分解为更小区域的安全保护问题。这是实现大规模复

杂信息的系统安全等级保护的有效方法。

随着安全区域方法的发展，发现力图用一种大一统的方法和结构去描述一个

复杂的网络环境是非常困难的，即使描述出来其可操作性也值得怀疑。因此，启

明星辰提出了“同构性简化的方法”，其基本思路是认为一个复杂的网络应当是

由一些相通的网络结构元所组成，这些网络结构元进行拼接、递归等方式构造出

一个大的网络。可以说，结构性简化好像将网络分析成一种单一大分子组成为系

统，而同构性简化就是将网络看成一个由儿种小分子组成的系统。“3+1同构性

简化”的安全域方法就是一个非常典型的例子，此方法是用一种3+1小分子构造

来分析venuscustomer的网络系统。（注：除了3+1构造之外，还存在其他形

式的构造。）具体来说信息系统按照其维护的数据类可以分为安全服务域、安全

接入域、安全互联域以及安全管理域四类。在此基础上确定不同区域的信息系统

安全保护等级。同一区域内的资产实施统一的保护，如进出信息保护机制，访问

控制，物理安全特性等.

信息系统可以划分为以下四个大的安全域（3+1同构法）：

安全接入域：由访问同类数据的用户终端构成安全接入域，安全接入域的划

分应以用户所能访问的安全服务域中的数据类和用户计算机所处的物理位置来

确定。安全接入域的安全等级与其所能访问的安全服务域的安全等级有关。当一

个安全接入域中的终端能访问多个安全服务域时，该安全接入域的安全等级应与

这些安全服务域的最高安全等级相同。安全接入域应有明确的边界，以便于进行

保护。

安全互联域：连接传输共同数据的安全服务域和安全接入域组成的互联基础

设施构成了安全互联域。主要包括其他域之间的互连设备，域间的边界、域与外

界的接口都在此域。安全互联域的安全等级的确定与网络所连接的安全接入域和

安全服务域的安全等级有关。

安全服务域：在局域范围内存储•，传输、处理同类数据，具有相同安全等级

保护的单一计算机（主机/服务器）或多个计算机组成了安全服务域，不同数据

在计算机的上分市情况，是确定安全服务域的基本依据。根据数据分布，可以有

以下安全服务域：单一计算机单一安全级别服务城，多计算机单一安全级别服务

域，单一计算机多安全级别综合服务域，多计算机多安全级别综合服务域。

安全管理域：安全系统的监控管理平台都放置在这个区域，为整个n架构

提供集中的安全服务，进行集中的安全管理和监控以及响应。具体来说可能包括

如下内容：病毒监控中心、认证中心、安全运营中心等。

安全区域3+1同构示意图如下:

图4.安全区域3+1同构示意图

2.3.5安全措施选择

27号文件指出，实行信息安全等级保护时“要重视信息安全风险评估工作,

对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合

考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相

应等级的安全建设和管理”.由此可见，信息系统等级保护可视为一个有参照系

的风险管理过程。等级保护是以等级化的保护对象、不同安全要求对应的等级化

的安全措施为参照，以风险管理过程为主线，建立并实施等级保护体系的过程。

安全措施的选择首先应依据我国信息系统安全等级划分的要求，设计五个等

级的安全措施等级要求（安全措施等级要求是针对五个等级信息系统的基本要

求）。不同等级的信息系统在相应级别安全措施等级要求的基础上，进行安全措

施的调整、定制和增强，并按照一定的划分方法组成相应的安全措施框架，得到

适用于该系统的安全措施。安全措施的调整主要依据综合平衡系统安全要求、系

统所面临风险和实施安全保护措施的成本来进行。信息系统安全措施选择的原理

图如下:

|\

俏息系统5个

安全等级层次

图5.安全措施选择的原理图

3需求分析

3.1系统现状

3.2现有措施

目前，信息系统已经采取了下述的安全措施：

1、在物理层面上，

2、在网络层面上，

3、在系统层面上，

4、在应用层面上,

5、在管理层面上,

3.3具体需求

3.3.1等级保护技术需求

要保证信息系统的安全可靠，必须全面了解信息系统可能面临的所有安全威

胁和风险。威胁是指互能对信息系统资产或所在组织造成损害事故的潜在原因；

威胁虽然有各种各样的存在形式，但其结果是一致的，都将导致对信息或资源的

破坏，影响信息系统的正常运行，破坏提供服务的有效性、可靠性和权威性。

任何可能对信息系统造成危害的因素，都是对系统的安全威胁。威胁不仅来

来自人为的破坏，也来自自然环境，包括各种人员、机构出于各自目的的攻击行

为，系统自身的安全缺陷以及自然灾难等。信息系统可能面临的威胁的主要来源

有：

安全威胁的来源

非人为安全威胁人为安全威胁

3

威

胁

自然灾难技术岛限性

—

II/—\

系

软

配

硬

合

管

敌

恐

犯

供

服

统

件

置

件

法

理

对

怖

罪

黑

务

应

漏

缺

缺

缺

客

用

人

势

组

团

商

商

洞

陷

陷

陷

户

员

力

织

伙

图6.威胁的主要来源视图

威胁发生的可能性与信息系统资产的吸引力、资产转化为报酬的容易程度、

威胁的技术含量、薄弱点被利用的难易程度等因素密切相关。

被动攻击威胁与风险：网络通信数据被监听、口令等敏感信息被截获等。

主动攻击威胁与风险：扫描目标主机、拒绝艰务攻击、利用协议、软件、系

统故障、漏洞插入或执行恶意代码（如：特洛依木马、病毒、后门等）、越权访

问、篡改数据、伪装、重放所截获的数据等。

邻近攻击威胁与风险：毁坏设备和线路、窃取存储介质、偷窥口令等。

分发攻击威胁与风险：在设备制造、安装、维护过程中，在设备上设置隐藏

的的后门或攻击途径、

内部攻击威胁与风险：恶意修改数据和安全机制配置参数、恶意建立未授权

连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。

.物理威胁与需求

al、雷击、地震和台风等自然灾难，需要通过对物理位置进行选择、建立

数据备份和恢夏系统、实行备份与恢豆管理，以及采取防雷击措施等来解决雷击、

地震和台风等威胁带来的问题；

,2、水患和火灾等灾害，需要采取防水、防潮、防火措施、建立数据备份

和恢复系统、实行备份与恢复管理，来解决水患和火灾等威胁带来的安全威胁；

a3、高温、低温、多雨等原因引起温度、湿度异常，应该采取温湿度控制

措施，同时，建立数据备份和恢复系统、实行备份与恢复管理来解决因高温、低

温和多雨带来的安全威胁；

a4、电压波动，需要合理设计电力供应系统，同时，建立数据备份和恢复

系统、实行备份与恢复管理来解决因电压波动带来的安全威胁；

a5、供电系统故障，需要合理设计电力供应系统，如：购买UPS系统或者

建立发电机机房来保障电力的供应，同时，建立数据备份和恢复系统、实行备份

与恢复管理来解决因供电系统故障带来的安全威胁；

a6、静电、设备寄生耦合干扰和外界电磁干扰，需要采取防静电和电磁防

护措施来解决静电、设备寄生耦合干扰和外界电磁干扰带来的安全威胁；

a7、强电磁场、强震动源、强噪声源等污染，需要通过对物理位置的选择、

采取适当的电磁防护措施，同时，建立数据备份和恢复系统、实行备份与恢复管

理来解决强电磁场、强震动源、强噪声源等污染带来的安全隐患；

a8、线路老化等原因导致通信线路损坏或传输质量下降，需要通过采取对

网络进行安全管理，对网络通信线路的传输能力进行必要的监控，以及建立数据

备份和恢复系统、实行备份与恢复管理来解决因线路老化等原因导致通信线珞损

坏或传输质量下降带来的安全问题；

a9、存储介质使用时间过长或质量问题等导致不可用，需要通过对存储介

质存放的环境进行管理，对介质和设备进行管理，检查通信的完整性和数据的完

整性，建立数据备份和恢复系统、实行备份与恢复管理来解决存储介质使用时间

过长或质量问题等导致不可用带来的安全问题;

alO,网络设备、系统设备及其他设备使用时间过长或质量问题等导致硬件

故障，需要通过对产品采购、自行软件开发、外包软件和测试验收进行管理，网

络设备、系统设备存放的环境进行管理，对存储介质进行管理，对网络和系统设

备以及其他设备进行管理，建立一套监控管理体系，建立数据备份和恢复系统、

实行备份与恢复管理，通过上述措施来解决网络设备、系统设备及其他设备使用

时间过长或质量问题等导致硬件故障带来的安全问题；

all,攻击者利用非法手段进入机房内部盗窃、破坏等，需要通过进行环境

管理、采取物理访问控制策略、实施防盗窃和防破坏等控制措施，建立数据备份

和恢复系统、实行备份与恢复管理来解决非法手段进入机房内部盗窃、破坏等带

来的安全问题；

a12、攻击者采用在通信线缆上搭接或切断等导致线路不可用，需要通过采

取物理访问控制策略、实施防盗窃和防破坏等控制措施，建立数据备份和恢复系

统、实行备份与恢复管理来解决在通信线缆上搭接或切断等导致线路不可用带来

的安全问题；

al3＞攻击者利用工具捕捉电磁泄漏的信号，导致信息泄露，需要通过采取

防电磁措施，加强对产品采购的管理，加强对密码的管理，加强通信的保密性和

数据的保密性，来解决电磁、信息泄漏带来的安仝问题。

,14、攻击者非法物理访问系统设备、网络设备或存储介质等，需要通过数

据保密、通信保密性、防盗窃和防破坏、物理访问控制、产品采购、密码管理等

技术手段完成。

3.3.1.2.网络威胁与需求

bl、内部人员未授权接入外部网络，需要通过边界的完整性检查、网络审

计、主机审计、应用审计等手段解决。

b2、网络设计不合理，需要通过优化设计、安全域改造完成。

b3、设施、通信线路、设备或存储介质因使用、维护或保养不当等原因导

致故障，需要通过线路状态检测、线路冗余、数据备份与恢复等技术手段解决。

b4、攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具，恶意地消耗网

络、操作系统和应用系统资源，导致拒绝服务，需要通过主机资源优化、网络入

侵检测与防范、网络结构调整与优化等技术手段解决。

b5、攻击者利用网络协议、操作系统、应用系统漏洞，越权访问文件、数

据或其他资源，需要通过恶意代码防护、控制台审计、漏洞扫描、访问控制、身

份鉴别、GB17859三级以上操作系统、网络和主机审计系统等技术手段解决。

b6、攻击者利用网络协议存在的漏洞进行可躲避检测的攻击（如碎片重组,

协议端口重定位等），需通过网络入侵检测、防病毒系统、控制台审计、访问控

制等技术手段解决。

b7、攻击者利用网络结构设计缺陷旁路安全策略，未授权访问网络，需通

过网络入侵检测、访问控制、身份鉴别、网络结沟优化和调整等技术手段解决。

b8、攻击者利用通用安全协议/算法/软件等缺陷，获取信息、解密密钥或破

坏通信完整性，需要通过控制台审计、恶意代码防范、国密办认证的算法及协议

产品。

b9、攻击者盗用授权用户的会话连接，需通过身份鉴别、访问控制、通信

加密等技术手段解决。

3.3.1.3.系统威胁与需求

cl、攻击者在软硬件分发环节（生产、运输等）中恶意更改软硬件，需通

过恶意代码方法、控制台审计等技术手段解决。

c2、攻击者利用网络扩散病毒，需通过恶意代码方法、控制台审计等技术

手段解决。

。3、内部人员下载、拷贝软件或文件，打开可疑邮件时引入病毒。需通过

恶意代码防范技术手段解决。

c4、授权用户对系统错误配置或更改。需通过安全审计、数据备份和恢复

等技术手段解决。

c5、由于授权用户的不正确启动和恢复导致安全机制失效，需通过系统加

固、安全审计、软件容错、备份与恢复等技术手段解决。

c6、攻击者利用通过恶意代码或木马程序，对网络、操作系统或应用系统

进行攻击，需通过恶意代码防护、网络入侵检测、身份鉴别、访问控制、控制台

审计等技术手段解决。

3.3.1.4,应用威胁与需求

dl、攻击者否认自己的操作行为，需要采取抗抵赖性措施，以及通过加强

网络安全审计以及软件应用系统的自身的安全审计来解决抵赖行为带来的安全

问题；

d2、系统软件、应用软件运行故障，需要通过对产品采购、自行软件开发、

外包软件和测试验收进行管理，系统软件和应用软件应具备容错能力，对系统和

软件进行保护，并对系统软件和应用软件监控管理，对入侵系统和软件的行为进

行监测和报警，此外，建立数据备份和恢复系统、实行备份与恢复管理等措施，

来解决此类安全问题；

d3、系统软件、应用软件过度使用内存、CPU等系统资源，需要对系统软件

和应用软件进行入侵行为的防范，并进行实时的监控管理，同时，对系统使用的

资源进行管理控制来解决过度使用带来的安全问题；

d4、应用软件、系统软件缺陷导致数据丢失或运行中断，需要通过对产品

采购进行管理、加强自软件开发管理、加强外包软件开发管理、加强代码安全管

理，加强通信完整性和数据完整性，以及建立数据备份和恢复系统、实行备份与

恢复管理等措施来解决应用软件、系统软件缺陷导致数据丢失或运行中断带来的

安全问题；

d5、攻击者利用应用系统、操作系统中的后门程序攻击系统，需要加强产

品采购管理、加强软件外包开发的管理、对软件进行充分的测试和验收管理、对

恶意代码采取有效的防范措施，对网络设备进行防护、对访问网络的用户进行访

问控制、对访问网络的用户身份进行鉴别、对系统或应用实行自主访问控制和强

制的访问控制来加强访问控制措施，采取措施对入侵行为进行监测和防范，通过

采取上述措施来解决应用系统和操作系统中的后门程序带来的安全隐患；

d5、攻击者利用各种工具获取身份鉴别数据，并对鉴别数据进行分析和解

剖，获得鉴别信息，未授权访问网络、系统，或非法使用应用软件、文件和数据,

需要加强产品采购管理、加强密码管理、保证数据传输的通信的保密性和数据的

保密性、对网络设备进行防护、对拨号访问用户进行控制、对访问网络的用户进

行访问控制、对访问网络的用户身份进行鉴别、对系统或应用实行自主访问控制

和强制的访问控制来加强访问控制措施，通过采取上述措施来解决攻击者利用工

具分析和解剖信息带来的安全问题；

d6、攻击者利用非法手段获得授权用户的鉴别信息或密码介质，访问网络、

系统，或使用应用软件、文件和数据，需要加强密码管理、保证数据传输的保密

性、对网络设备进行防护、对拨号访问用户进行控制、对访问网络的用户进行访

问控制、对访问网络的用户身份进行鉴别、对系统或应用实行自主访问控制和强

制的访问控制来加强访问控制措施，同时，加强员工安全意识的教育和培训，加

强系统的安全管理，来解决攻击者带来的安全问题；

d7、攻击者利用伪造客户端进入系统，进行非法访问，需要对网络设备进

行防护、对拨号访问用户进行控制、对访问网络的用户进行访问控制、对访问网

络的用户身份进行鉴别、对系统或应用实行自主访问控制和强制的访问控制来加

强访问控制措施，来解决攻击者伪造客户端带来的安全问题；

d8、攻击者提供伪造的应用系统服务进行信息的窃取，需要加强网络边界

完整性检查，加强对网络设备进行防护、对访问河络的用户身份进行鉴别，此外,

加强数据保密性来解决攻击带来的安全问题；

3.3.1.5.数据威胁与需求

el、内部人员利用技术或管理漏洞，未授权修改重要系统数据或修改系统程

序，需要通过网络安全审计、恶意代码防范、审核和检查、网络安全管理、系统

安全管理、网络设备防护、网络访问控制、身份鉴别、自主访问控制、强制访问

控制、拨号访问控制、通信完整性、数据完整性、入侵防范、应用系统身份鉴别

等技术手段解决；

e2、内部人员未授权访问敏感信息，将信息芍出或通过网络传出，导致信息

泄露，需要通过网络安全审计、网络设备防护、网络访问控制、身份鉴别、自主

访问控制、强制访问控制、数据保密性、通信保密性、产品采购、密码管理、资

产管理、介质管理等技术手段解决；

。3、攻击者截获数据，进行篡改、插入，并重发，造成数据的完整性、真实

性丧失，需要通过通信完整性、数据完整性、通信保密性、数据保密性、产品采

购、密码管理、抗抵赖等技术手段解决；

e4、通信过程中受到干扰等原因发生数据传瑜错误，需要通过通信完整性、

数据完整性等技术手段解决；

。5、授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用，需要通

过网络安全审计、软件容错、数据备份和恢复、各份与恢复管理、管理制度、人

员录用、人员离岗、人员考核、第三方人员访问管理、安全意识教育和培训、外

包软件开发、产品采购、监控管理等手段解决；

。6、攻击者截获、读取、破解介质的信息或剩余信息，进行信息的窃取，需

要通过通信保密性、数据保密性、剩余信息保护、介质管理.、产品采购、密码管

理、网络访问控制、拨号访问控制、自主访问控制、强制访问控制等安全措施；

e7、攻击者截获、读取、破解通信线路中的信息，需要通过通信保密性、数

据保密性、产品采购、密码管理等技术手段解决：

。8、攻击者利用通信干扰工具，故意导致通信数据错误，需要通过结构安全

和网段划分、通信完整性、数据完整性等技术手段解决；

3.3.2等级保护管理需求

安全是不能仅仅靠技术来保证，单纯的技术都无法实现绝对的安全，必须要

有相应的组织管理体制配合、支撑，才能确保信息系统安全、稳定运行。管理安

全是整体安全中重要的组成部分。信息系统安全管理虽然得到了一定的落实，但

由于人员编制有限，安全的专业性、复杂性、不可预计性等，在管理机构、管理

制度、人员安全、系统建设、系统运维等安全管理方面存在一些安全隐患：

＞管理机构

/需要建立安全职能部门，设置安全管理岗位，配备必要的安全管理

人员、网络管理人员、系统管理人员；

/需要配备相应的安全管理员、网络管理员、系统管理员；

/需要建立相应的审批部门，进行相关工作的审批和授权；

/需要建立定期和不定期的协调会，就信息安全相关的业务进行协调

处理；

,需要建立相应的审核和检查部门，安全人员定期的进行全面的安全

检查；

管理制度

/需要制定信息安全工作的总体方针、政策性文件和安全策略等，说

明机构安全工作的总体目标、范围、方针、原则、责任等；

,需要建立安全管理制度，对管理活动进行制度化管理，制定相应的

制定和发布制度；

,需要对安全管理制度进行评审和修订，不断完善、健全安全管理制

度；

,需要各功能部门协调机制，进行必要的沟通和合作；

,需要建立相关工作的审批和授权机制，进行必要活动的审批和授权;

,需要建立恰当的联络渠道，进行必要的沟通和合作，在必要的时候,

进行事件的有效处理：

/需要建立审核和检查的制度，对安全策略的正确性和安全措施的合

理性进行审核和检查；

/需要建立备案管理制度，对系统的定级进行备案；

/需要建立产品采购，系统测试和验收制度，确保安全产品的可信度

和产品质量；

人员安全

,需要对人员的录用进行必要的管理，确保人员录用的安全；

/需要对人员的离岗进行有效的管理，确保人员的离岗不会带来安全

问题；

/需要对人员的考核进行严格的管理，提高人员的安全技能和安全意

识；

,需要对人员进行安全意识的教育和培训，提高人员的安全意识；

,需要对第三方人员访问进行严格的控制，确保第三方人员访问的安

全；

系统建设

/需要具有设计合理、安全网络结构的能力

/需要密码算法和密钥的使用符合国家有关法律、法规的规定

/需要任何变更控制和设备重用要申报和审批，并对其实行制度化的

管理

/需要对信息系统进行合理定级，并进行备案管理

/需要安全产品的可信度和产品质量

,需要自行开发过程和工程实施过程中的安全

,需要能顺利地接管和维护信息系统

,需要安全工程的实施质量和安全功能的准确实现

/需要对软硬件的分发过程进行控制

/需要信息安全事件实行分等级响应、处置

系统运维

/需要机房具有良好的运行环境

/需要对信息资产进行分类标识、分级管理

/需要对各种软硬件设备的选型、采购、发放、使用和保管等过程进

行控制

/需要各种网络设备、服务器正确使用和维护

/需要对网络、操作系统、数据库系统和应用系统进行安全管理

/需要用户具有鉴别信息使用的安全意识

）需要定期地对通信线路进行检查和维护

,需要硬件没备、存储介质存放环境安全，并对其的使用进行控制和

保护

/需要对支撑设施、硬件设备、存储介质进行日常维护和管理

/需要系统中使用的硬件、软件产品的质量

/需要提供足够的使用手册、维护指南等资料

/需要软硬件中没有后门程序和隐蔽信道

/需要在事件发生后能采取积极、有效的应急策略和措施

4安全策略

4.1总体安全策略

＞遵循国家、地方、行业相关法规和标准；

＞贯彻等级保护和分域保护的原则；

＞管理与技术并重,互为支撑，互为补充，相互协同，形成有效的综合防

范体系；

＞充分依托已有的信息安全基础设施，加快、加强信息安全保障体系建设。

＞第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安

全保护能力。

＞在技术策略方面，第三级要求按照确定的安全策略，实施强制性的安全

保护，使数据信息免遭非授权的泄露和破坏，保证较高安全的系统服务。

这些安全技术主要包括物理层、网络层、系统层、应用层、数据层的以

下内容：

/对计算机、网络的设备、环境和介质采用较严格的防护措施，确保

其为信息系统的安全运行提供硬件支持，防止由于硬件原因造成信

息的泄露和破坏；

,通过对局域计算环境内各组成部分采用网络安全监控、安全审计、

数据、设备及系统的备份与恢复、集中统一的病毒监控体系、两种

鉴别方式组合实现的强身份鉴别、细粒度的自主访问控制、满足三

级要求的操作系统和数据库、较高强度密码支持的存储和传输数据

的加密保井、客体重用等安全机制，实现对局域计算环境内的信息

安全保护和系统安全运行的支持；

,采用分区域保护和边界防护（如应用级防火墙、网络隔离部件、信

息过滤和边界完整性检查等），在不同区域边界统一制定边界访问

控制策略，实现不同安全等级区域之间安全互操作的较严格控制；

/按照系统化的要求和层次化结构的方法设计和实现安全子系统，增

强各层面的安全防护能力，通过安全管理中心，在统一安全策略下

对系统安全事件集中审计、集中监控和数据分析，并做出响应和处

理，从而沟建较为全面的动态安全体系。

＞在管理策略方面，第三级要求实施体系的安全管理。应建立完整的信息

系统安全管理体系，对安全管理过程进行规范化的定义。根据实际安全

需求，成立安全管理机构，配备专职的安全管理人员，落实各级领导及

相关人员的责任。

4.2具体安全策略

按照层层防护的思想，信息系统由具有相同或不同等级的子系统构成，各子

系统均需要实现安全域内部安全、安全域边界安全及安全域互联安全。

边界保护的目的是对边界内的局域计算环境和独立用户/用户群的计算机环

境进行保护，防止非法的用户连接和数据传输。

安全域内部安全是指局域计算环境自身安全和网络连接设备自身安全。

安全域互联安全是指在不同等级的系统之间互联时，应采取的保护原则和保

护策略。

4.2.1安全域内部策略

为满足威胁需求的基本防护要求应实现以下安全域内部的安全目标：

＞物理层策略

al、通过对物理位置的选择，来实现对抗中等强度地震、台风等自然灾难造

成破坏、防止雷击事件导致大面积设备被破坏、防止强电磁场、强震动源和强噪

声源等污染影响系统正常运行的目标；

a2、通过实施物理访问控制措施，来实现机房进出实行严格控制措施，防止

设备、介质等丢失.严格控制机房内人员活动.实时监控机房内部活动.对物理

入侵事件进行报警，控制接触重要设备、介质，对通信线路进行物理保护目标；

a3、通过采取防盗窃和防破坏措施，来实现防止设备、介质等丢失，严格控

制机房内人员活动，实时监控机房内部活动，对物理入侵事件进行报警，控制接

触重要设备、介质，走通信线路进行物理保护目标；

a4、通过采取防雷击措施，来实现防止雷击事件导致大面积设备被破坏目标;

a5、通过采取防火措施，来实现自动灭火，检测火灾和报警防止火灾蔓延的

目标;

a6、通过实施防水和防潮措施，来实现防水和防潮，对水患检测和报警的目

标；

a7、通过采取防静电措施，来实现防止静电导致大面积设备被破坏的目标；

a8、通过采取温湿度控制措施，来实现温湿度自动检测和控制的目标；

a9、通过采取相应的电力供应措施，来实现防止电压波动，对抗长时间断电

的目标；

alO、通过采取电磁防护措施，来实现对重要设备和介质进行电磁屏蔽，防

止强电磁场、强震动源和强噪声源等污染影响系统正常，对关键区域进行电磁屏

蔽的目标；

＞网络层策略

hl、通过合理的结构设计和网段划分手段实现合理分配、控制网络、操作系

统和应用系统资源及路由选择和控制；

b2、通过网络访问控制手段实现网络、系统和应用的访问的严格控制及数据、

文件或其他资源的访问的严格控制；

b3、通过拨号访问控制手段实现对数据、文件或其他资源的访问进行严格控

制。

b4、通过网络安仝审计手段实现记录用户操作行为和分析记录；以及对资源

访问的行为进行记录、集中分析并响应；

b5、通过边界完整性检查手段实现检测非法接入设备及检测网络边界完整

性；并能切断非法连接；

b6、通过网络入侵防范手段实现检测、集中分析、响应、阻止对网络和所有

主机的各种攻击；

1〃、通过恶意代码防范手段实现发现并修补已知漏洞；对恶意代码的检测、

集中分析、阻止和清除及防止恶意代码在网络中的扩散；对恶意代码库和搜索引

擎及时更新并防止未授权下载、拷贝软件或者文件；

b8、通过网络设备防护手段实现对网络、系统和应用的严格访问控制及对用

户进行唯一标识；同时对同一个用户产生多重鉴别信息，其中一个是不可伪造的

鉴别信息并进行多重鉴别；另外对硬件设备进行唯一标识和合法身份确定；并在

持续非活动状态一段时间后自动切断连接；

A系统层策略

ck通过身份鉴别手段实现对网络、系统和应用的访问进行严格的限制；并

对用户进行唯一标识及同一用户产生多重鉴别信息，其中一个不可伪造的鉴别信

息并进行多重鉴别；对硬件设备进行唯一标识及合法身份确定并实现在持续非活

动状态一段时间后自动切断连接；

c2、通过自主访问控制手段实现对网络、系统和应用的访问进行严格控制并

对数据、文件或其他资源的访问进行严格控制；

c3、通过强制访问控制手段实现对网络、系统和应用的访问进行严格控制并

对数据、文件或其他资源的访问进行严格控制及对敏感信息及其流向进行标识；

c4、通过安全审计手段实现记录用户操作行为和分析记录结果并对安全机制

失效进行自动监测和报警及对资源访问的行为进行记录、集中分析并响应：

c5、通过系统保护手段实现系统软件、应用软件的容错及自动保护当前工作

状态；

。6、通过剩余信息保护手段实现对存储介质中的残余信息的删除；

c7、通过入侵防范手段实现软件状态检测和我警；检测、集中分析、响应、

阻止对网络和所有主机的各种攻击并重要数据和程序进行完整性检测和纠错；

c8、通过恶意代码防范手段实现对已知漏洞的检测和修补并防止恶意代码在

网络中的扩散及对恶意代码库和搜索引擎及时更新；防止未授权下在、拷贝软件

或者文件；

c9、通过系统资源控制手段实现合理使用和控制系统资源及按优先级自动分

配系统资源并能在持续非活动状态一段时间后自动切断连接；

A应用层策略

dl、通过采取身份鉴别措施，来实现有对网络、系统和应用的访问进行严格

控制，对用户进行唯一标识，对同一个用户产生多重鉴别信息进行多重鉴别，对

持续性非活动状态一段时间后自动切断连接的目标；

d2、通过采取相应的访问控制措施，来实现对网络、系统和应用的访问进行

严格控制，对数据、文件或其他资源的访问进行严格控制，对敏感信息进行标识

的目标；

d3、通过安全审计措施，来实现记录用户操作行为和分析记录结果，对资源

访问的行为进行记录、集中分析并响应的目标；

d4、通过对剩余信息采取相应的保护措施，来实现对存储介质中的残余信息

进行删除的目标；

d5、通过采取相应的措施来确保通信的完整性，来实现对传输和存储数据进

行完整性检测和纠错，对通信数据进行完整性检测和纠错，重要数据和程序进行

完整性检测和纠错的目标；

d6、通过采取相应的措施来确保通信的保密性，来实现对传输和存储中的信

息进行保密性保护，防止加密数据被破解的目标；

d7、通过采取相应的抗抵赖性措施，来实现信息源发的鉴别，基于密码技术

的抗抵赖的目标；

d8、通过采取相应的软件容错措施，来实现系统软件、应用软件容错，软件

故障分析，自动保护当前工作状态的，对用户的误操作行为进行检测、报警和恢

复的目标；

(19、通过采取相应的资源控制措施，来实现合理使用和控制系统资源，按优

先级自动分配系统资源，限制网络、操作系统和应用系统资源使用，合理分配、

控制网络、操作系统和应用系统资源，持续非活动状态一段时间后自动切断连接

的目标；

diO