第三級等級保護信息系統(tǒng)的安全設(shè)計

韓 穎，吳文敬

(工業(yè)和信息化部電信規(guī)劃研究院，北京 100037)

0 引言

安全保障系統(tǒng)是信息系統(tǒng)建設(shè)的重要組成部分，特別是重要信息系統(tǒng)的建設(shè)，應(yīng)根據(jù)國家信息安全等級保護制度要求，進行系統(tǒng)定級、安全規(guī)劃與設(shè)計、等級測評、備案等工作。在信息系統(tǒng)建設(shè)的前期定級和規(guī)劃設(shè)計階段，主要依據(jù)《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》（以下簡稱《基本要求》）等管理規(guī)范和標(biāo)準(zhǔn)，同步建設(shè)符合相應(yīng)等級要求的信息安全設(shè)施[1]。

信息系統(tǒng)安全保護等級分為五級[2]，由于實踐中很多重要信息系統(tǒng)多按照三級保護要求進行建設(shè)，同時三級安全系統(tǒng)建設(shè)具有一定的復(fù)雜性，因此文中重點研究第三級安全措施。

1 設(shè)計方法和流程

信息系統(tǒng)的安全保障系統(tǒng)的設(shè)計應(yīng)首先明確系統(tǒng)的安全需求，主要通過對信息系統(tǒng)的架構(gòu)、承載的業(yè)務(wù)、系統(tǒng)定級等的綜合分析確定系統(tǒng)的安全風(fēng)險[3]和防護需求，依據(jù)相應(yīng)等保基本要求，并平衡安全、成本和效率之間的關(guān)系，確定安全保護措施。隨著系統(tǒng)和業(yè)務(wù)的發(fā)展，安全系統(tǒng)也應(yīng)不斷完善。安全保障系統(tǒng)的設(shè)計流程如圖1所示。

在設(shè)計之初需要了解安全現(xiàn)狀、安全需求，對系統(tǒng)基本情況和業(yè)務(wù)特點進行分析。安全現(xiàn)狀包括是否有可依托的基礎(chǔ)安全措施、整體安全規(guī)劃、存在問題等，了解信息系統(tǒng)保護等級或定級傾向；系統(tǒng)分析內(nèi)容包括系統(tǒng)邊界、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)處理能力、系統(tǒng)組成及設(shè)備部署、系統(tǒng)的管理框架等[4]；業(yè)務(wù)分析內(nèi)容包括用戶范圍和類型、業(yè)務(wù)應(yīng)用種類和特性、安全關(guān)注點等。通過以上分析得出系統(tǒng)面臨的安全風(fēng)險和安全需求，同時結(jié)合建設(shè)方需求（建設(shè)范圍和內(nèi)容、建設(shè)期、投資、額外/特殊安全需求等），確定系統(tǒng)的安全方案。

圖1 安全保障系統(tǒng)設(shè)計流程

信息系統(tǒng)的定級工作應(yīng)在總體安全規(guī)劃、設(shè)計之前進行，對于新建信息系統(tǒng)未確定安全等級情況，為了合理規(guī)劃設(shè)計安全保障系統(tǒng)方案，應(yīng)建議建設(shè)方盡快開展定級工作。

2 第三級基本要求

第三級基本要求在技術(shù)上包括5個方面：物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全[5]，詳見《基本要求》，這里總結(jié)了三級系統(tǒng)在二級系統(tǒng)基礎(chǔ)上增加的主要安全要求。

1）物理安全：包括物理位置的選擇、物理訪問控制和防盜、防火、防水、防雷、溫濕度控制、電力供應(yīng)、防靜電和電磁防護。三級系統(tǒng)主要在環(huán)境安全、物理訪問控制和防盜竊防破壞等方面較二級系統(tǒng)應(yīng)有所加強，例如重要區(qū)域配置電子門禁系統(tǒng)，機房設(shè)置防盜報警系統(tǒng)和設(shè)置火災(zāi)自動消防系統(tǒng)等。

2）網(wǎng)絡(luò)安全：包括結(jié)構(gòu)安全、安全審計、訪問控制、邊界完整性檢查、惡意代碼防范、入侵防范和網(wǎng)絡(luò)設(shè)備防護等。三級要求主要增強點：結(jié)構(gòu)安全擴展到對重要網(wǎng)段采取可靠的技術(shù)隔離，在網(wǎng)絡(luò)邊界增加對惡意代碼檢測和清除；安全審計增強審計數(shù)據(jù)分析和保護，生成審計報表；訪問控制擴展到對進出網(wǎng)絡(luò)的信息內(nèi)容過濾，實現(xiàn)應(yīng)用層HTTP、FTP、TELNET等協(xié)議命令級的控制；邊界防護應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查和有效阻斷；主要網(wǎng)絡(luò)設(shè)備要求采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)身份鑒別；在網(wǎng)絡(luò)入侵防范方面不僅能夠被動的防護，還應(yīng)能主動發(fā)出報警。

3）主機安全：包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等。三級要求主要增強點：身份鑒別要求對管理用戶采用組合鑒別技術(shù)；通過設(shè)置敏感標(biāo)記加強對重要信息資源的訪問控制；安全審計應(yīng)對記錄數(shù)據(jù)進行分析、生成報表，保護審計進程；入侵防范應(yīng)能檢測到對重要服務(wù)器的入侵行為，并報警，保證重要程序的完整性；對惡意代碼的防范應(yīng)與網(wǎng)絡(luò)防惡意代碼產(chǎn)品異構(gòu)。

4）應(yīng)用安全：包括身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等。三級要求主要增強點：身份鑒別要求組合鑒別技術(shù)；訪問控制和安全審計基本同主機安全增強要求；要求對通信過程中的整個報文或會話過程進行加密，采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性；增加抗抵賴要求，為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)或接收證據(jù)；應(yīng)用軟件容錯能力和資源控制方面要求也有所增強。

5）數(shù)據(jù)安全：包括數(shù)據(jù)完整性和保密性、數(shù)據(jù)的備份和恢復(fù)。三級要求主要增強點：對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程和傳輸過程中完整性進行檢測和恢復(fù)，采用加密或其他有效措施實現(xiàn)以上數(shù)據(jù)傳輸和存儲的保密性；提供異地數(shù)據(jù)備份等。

3 設(shè)計方案

安全保障系統(tǒng)的設(shè)計應(yīng)根據(jù)系統(tǒng)或設(shè)備所處的物理位置、網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)脆弱性等劃分安全域，并制定相應(yīng)的安全策略，對安全薄弱環(huán)節(jié)預(yù)先保護，對安全事件能夠?qū)崟r監(jiān)控，并能針對遭受到的威脅進行實時響應(yīng)，保證信息的安全和系統(tǒng)連續(xù)正常的運行。通過分析《基本要求》，第三級保護系統(tǒng)的基本安全措施主要包括：

1）物理場所安全設(shè)計應(yīng)結(jié)合系統(tǒng)建設(shè)的需求，制定物理場所安全保障策略和技術(shù)措施，提高場所安全性和可靠性。此部分建設(shè)內(nèi)容一般在機房或場所裝修時統(tǒng)一考慮。

2）劃分網(wǎng)絡(luò)邊界和安全區(qū)域，部署安全設(shè)備。

3）根據(jù)安全要求和安全策略，在具體實施時對邊界控制設(shè)備、主要網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等進行安全加固配置。

4）應(yīng)用系統(tǒng)軟件開發(fā)時應(yīng)按照安全要求實現(xiàn)相應(yīng)的安全要素。

按照《基本要求》，除了安全加固配置和應(yīng)用軟件開發(fā)安全，三級系統(tǒng)應(yīng)具有的基本安全技術(shù)框架如圖2所示。

圖2 三級系統(tǒng)基本安全技術(shù)框架

圖2中加下劃線的部分表示三級系統(tǒng)相對二級系統(tǒng)需要增加的措施。

三級保護系統(tǒng)應(yīng)考慮部署的安全設(shè)備主要包括：

1）在網(wǎng)絡(luò)出口、服務(wù)器區(qū)域及其他重要網(wǎng)段等各邊界部署防火墻類邊界隔離設(shè)備，對網(wǎng)絡(luò)邊界或區(qū)域邏輯隔離，實現(xiàn)網(wǎng)絡(luò)層的訪問控制。

2）在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)，在服務(wù)器、終端設(shè)備上安裝網(wǎng)絡(luò)防病毒系統(tǒng)(要求與防病毒網(wǎng)關(guān)具有不同的惡意代碼庫)。

3）在網(wǎng)絡(luò)中的關(guān)鍵點部署入侵檢測系統(tǒng)(IDS)或入侵防御系統(tǒng)（IPS）實時監(jiān)控和分析網(wǎng)絡(luò)數(shù)據(jù)流及網(wǎng)絡(luò)行為，即時發(fā)現(xiàn)各種惡意和可疑行為，提供及時的報警及響應(yīng)。

4）部署綜合安全審計系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)安全審計、業(yè)務(wù)審計和日志審計等功能。

5）通過終端安全管理系統(tǒng)或主機監(jiān)控與審計系統(tǒng)，實現(xiàn)邊界完整性檢查和終端的安全管理。

6）主要網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、主機系統(tǒng)等應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。通常在用戶名密碼方式基礎(chǔ)上，增加第二種身份鑒別方式，如采用CA數(shù)字證書身份認(rèn)證系統(tǒng)、動態(tài)電子令牌身份認(rèn)證系統(tǒng)等認(rèn)證方式。

7）根據(jù)《基本要求》的三級管理要求應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。可以部署SOC系統(tǒng)，實現(xiàn)統(tǒng)一安全配置、統(tǒng)一安全策略、統(tǒng)一安全管理等功能。

此外，根據(jù)系統(tǒng)業(yè)務(wù)特點及安全需求，可選的其他安全部署包括：

8）部署VPN網(wǎng)關(guān)，保證數(shù)據(jù)在傳輸過程中的完整性和保密性。

9）部署漏洞掃描系統(tǒng)，對管理的所有支持TCP/IP協(xié)議的設(shè)備進行漏洞掃描，通過補丁分發(fā)系統(tǒng)修補操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞。

10）對于通過網(wǎng)站面向公眾提供服務(wù)的系統(tǒng)應(yīng)部署應(yīng)用層防火墻或網(wǎng)頁防篡改系統(tǒng)等，對 WEB服務(wù)器進行保護。

11）對關(guān)鍵服務(wù)器部署主機加固系統(tǒng)，加強訪問控制，提高服務(wù)器的自身安全性。

4 結(jié)語

《基本要求》是不同安全保護等級信息系統(tǒng)的最低保護要求，以上提出的也是第三級保護系統(tǒng)應(yīng)考慮的基本安全保障措施[6-9]，對于具體建設(shè)項目，還應(yīng)結(jié)合安全風(fēng)險評估、技術(shù)發(fā)展、實際建設(shè)需求，并參考其他信息安全標(biāo)準(zhǔn)進行補充或調(diào)整。

同時，安全體系的建立是全方位多因素制約的復(fù)雜過程，存在許多非技術(shù)因素同樣對安全起重要的作用。安全保障系統(tǒng)的建設(shè)除了滿足相關(guān)技術(shù)要求，更應(yīng)注重安全管理要求。為保障安全措施的有效運行，應(yīng)基于信息安全等級保護技術(shù)規(guī)范的要求和安全管理部門的相關(guān)規(guī)定，建立完善的安全制度體系，包括安全管理的組織機構(gòu)、人員、規(guī)章制度等，并在安全制度的支撐下，實施安全管理。

[1] 公安部，國家保密局，國家密碼管理局.信息安全等級保護管理辦法(公通字[2007]43號)[S].[出版地不詳]:[出版者不詳],2007.

[2] GB/T 22240－2008，信息系統(tǒng)安全等級保護定級指南[S].北京：中國國家標(biāo)準(zhǔn)化管理委員會:1-8.

[3] GB/Z 24364－2009，信息安全風(fēng)險管理指南[S].北京：中國國家標(biāo)準(zhǔn)化管理委員會:27-31.

[4] 信息系統(tǒng)安全等級保護實施指南（報批稿）[S].北京：中國國家標(biāo)準(zhǔn)化管理委員會:1-17.

[5] GB/T 22239－2008，信息系統(tǒng)安全等級保護基本要求[S].北京：中國國家標(biāo)準(zhǔn)化管理委員會:1-27.

[6] 吳濤.建設(shè)符合等級保護要求的信息安全體系——電子政務(wù)信息系統(tǒng)等級保護工作的研究與探索[J].通信技術(shù)，2008,41(09):190-192.

[7] 劉輝，葛淑杰，韓微微.數(shù)字化校園信息安全防護體系的設(shè)計[J].通信技術(shù)，2009,42(02):272-274.

[8] 翟亞紅.淺析信息安全風(fēng)險評估與等級保護的關(guān)系[J].信息安全與通信保密，2011(04):80-81.

[9] 何新華.淺談企業(yè)等保建設(shè)總體規(guī)劃[J].信息安全與通信保密，2011(10):52-54.