首页>解决方案>政策法规

政策法规

  解读国际 《信息系统等级保护安全设计技术要求》

  摘要:国家标准《信息安全技术 信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用。本文主要对第二级至第四级系统安全保护环境设计及系统安全互联设计技术要求进行解读,并给出设计示例,以帮助读者学习和理解该标准,并推进贯彻与实施。

  引言

  信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。2007年7月重要信息安全等级保护定级工作会议,标志着信息安全等级保护工作在我国全面展开。目前全国重要信息系统定级工作已基本完成,为了配合信息系统安全建设和加固工作,特制订该标准。本标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,可作为信息安全智能部门进行监督、检查和指导的依据。同时也适用于信息系统安全建设的相关人员,以及从事信息系统安全测试、管理和服务的相关人员。

  1.第二级信息系统安全保护环境设计

  第二级信息系统安全保护环境的安全设计是对GB 17859-1999系统审计保护级安全保护要求的具体实现。是在第一级系统安全保护环境所设置的安全机制的基础上,通过增强自主访问控制、增加安全审计和客体安全重用等安全机制,实现数据存储和传输的完整性和保密性保护,从系统角度对用户所属客体进行安全保护,使系统具有更强的自主安全保护能力。

  第二级信息系统安全保护环境的安全设计应特别注重对系统安全审计的设计。安全审计机制贯穿于整个安全系统的设计之中,使之成为一个整体。安全审计虽然不是一种对攻击和破坏直接进行对抗的安全技术,但是完备的系统安全审计和完整的具有良好可用性的审计日志,能够有效的提供安全事件的可查性。安全审计与严格的身份鉴别相结合,可将安全事件落实到具体的用户,从而具有很强的威慑作用。此外,应注意在安全计算环境、安全区域边界和安全通信网络中,将安全审计和恶意代码防范等安全机制的设置统一进行考虑,使之成为一个实现全系统安全保护的整体。

  第二级保护信息系统的安全计算环境,要求对计算环境进行一定程度的安全保护,主要是通过在操作系统和数据库管理系统中采用增强的用户身份鉴别(包括在整个系统生存周期用户标识的唯一性和对鉴别信息的增强要求),中粒度的自主访问控制和较强安全性的用户数据的完整性保护,以及包括客体安全重用在内的用户数据保密性保护,并通过较完整的恶意代码的防范措施确保系统正常运行。安全区域边界要求对来自外部的对安全计算环境的攻击进行一般性的安全防护。安全通信网络是通过选择和配置具有符合第二级安全要求的通信网络安全审计、通信网络数据传输完整性和保密性保护的安全机制和/或产品,实现通信网络的安全保护。安全管理中心的设计,是在信息系统原有的系统管理的基础上,通过对分布在安全计算环境、安全区域边界和安全通信网络等各组成部分中的安全审计的集中管理,增强信息系统各安全机制的整体安全保护能力。

  2.第三级信息系统安全保护环境设计

  第三级信息系统安全保护环境的安全设计是对GB 17859-1999安全标记保护级安全保护要求的具体现。是在第二级信息系统安全保护环境所提供的安全机制的基础上,通过构建非形式化的安全策略模型,增加标记和强制访问控制等安全机制,使系统在安全管理中心统一的安全策略管控下,提供对重要信息系统的安全运行和数据进行安全保护的能力,使整个信息系统的安全保护能力能够抵御各种常见攻击的水平。

  第三级信息系统的安全计算环境,要求对安全保护环境进行较高程度的安全保护,在第二级安全设计的基础上,主要是通过在安全计算环境和安全区域边界实施强制访问控制,使安全计算环境的抗攻击能力达到较大提高,同时要求在用户身份鉴别和用户数据的完整性保护和保密性等方面,均应达到与强制访问控制项匹配的水平。比如,采用较完整的密码体系,实现用户身份鉴别、签名、验证、抗抵赖,实现用户身份数据的保密性、完整性保护,以及程序可信执行保护等,并通过较完整的安全管理中心实现对整个信息系统安全保护环境安全策略的统一管理。

  第三级信息系统的安全区域边界,对来自外部的对安全计算环境的攻击进行较高程度的安全防护。具体是,在第二级安全区域边界安全设计的基础上,通过选择和配置具有符合第三级安全要求的区域边界协议过滤、区域边界完整性保护和区域边界安全审计等安全机制和/或产品,特别是增加区域边界访问控制,来进行区域边界访问控制,来进行区域边界安全防护,以对抗来自外部的攻击。

  第三级信息系统的安全通信网络,对通信网络的安全运行和通信网络所传输的数据进行较高程度的安全保护。具体是,在第二级安全通信网络安全设计的基础上,通过选择和配置具有符合第三级安全要求的通信网络安全审计、通信网络数据传输完整性、保密性保护以及网络可信接入的安全机制和/或产品,实现通信网络的安全保护。

  第三级信息系统的安全管理中心的设计,是在第二级信息系统安全管理中心设计的基础上,通过增强对安全审计的管理和增加安全管理的相关内容,实现信息系统各安全管理统一管理。第三级信息系统各安全机制的统一管理主要包括:对系统中由安全策略控制的主体、客体进行统一标记,对主体进行统一授权管理,并为全系统配置统一的安全策略;对分布在系统中的各种需要集中控制和管理的安全机制进行管理和控制;实现系统管理员、安全员和审计员的三权分离,并形成相互制约关系;为安全员和审计员各自提供专用的操作界面,并对安全员和审计员按照第三级安全的要求进行严格的身份鉴别,对其操作行为进行审计。

  3.第四级信息系统安全保护环境设计

  第四级信息系统安全保护环境的安全设计是对GB 17859-1999结构化保护级安全保护要求的具体实现。是在第三级信息系统安全保护环境的安全环境的基础上,通过安全管理中心,明确定义和维护形式化的安全策略模型,对系统内的所有主、客体进行标记和强制访问控制,并从结构化设计的角度增强信息系统安全保护的强度,使整个信息系统的安全保护能力得达到能够抵御各种内、外部攻击的水平。

  第四级信息系统的安全计算环境,主要是通过将实施标记和强制访问控制的范围,扩展到系统中的所有主、客体,使系统具有整体的抗击能力,同时要求在用户身份鉴别和用户数据的完整性保护和保密性保护等方面也有相应的提升。

  第四级信息系统的安全区域边界,对来自外部的对安全计算环境的攻击进行更高程度的安全防护。具体是在第三级安全区域边界安全设计的基础上,通过选择和配置具有符合第四级安全要求的区域边界访问控制、区域边界协议过滤、区域边界完整性保护和区域边界安全审计等安全机制和产品,来进行区域边界安全防护,以对抗来自外部的攻击。

  第四级信息系统的安全通信网络,对通信网络的安全运行和通信网络多传输的数据进行更高程度的安全保护。具体是在第三级安全通信网络安全设计的基础上,通过选择和配置具有符合第四级安全要求的通信网络安全审计、通信网络数据传输完整性、保密性保护以及网络可信接入的安全机制和/或产品,实现通信网络的安全保护。

  第四级信息系统的安全管理中心的设计,是在第三级信息系统安全管理中心设计的基础上,通过增强对安全审计和安全管理的相关内容,实现信息系统各安全机制的统一管理。第四级信息系统各安全机制的统一管理主要包括:对系统中的所有主体、客体进行统一标记,对主体进行统一授权管理,并为全系统配置统一的安全策略;对分布在系统中的各种需要集中控制和管理的安全机制进行管理和控制;实现系统管理员、安全员和审计员的三权分离,并形成相互制约关系;为安全员和审计员各自提供专用的操作界面,并对安全员和审计员按照第四级安全的要求进行严格的身份鉴别,对其操作行为进行审计。

  安全机制是操作系统安全的基础,也是信息系统安全的核心。然而,即使信息系统中存在非常完善的安全机制,但是如果信息系统的各组成模块间的接口关系不清楚,逻辑和调用关系混乱,那么系统中就极可能存在隐蔽通道,致使攻击者可以绕过系统的安全机制访问客体资源,使得系统中的重要信息缺乏基本安全保障。相反,如果信息系统在设计时明确定义了各组成模块的功能,并且依据一个严谨的安全体系结构确定了模块间的接口关系,同时利用相关的方法验证了每一模块的工程实现都是正确的,没有引入新的接口,这样就可以保证系统中的所有信息流都是预先设计好的,避免出现隐蔽通道,也就避免了系统安全机制被旁路的风险。因此,对于高等级信息系统开发而言,最大的难点不在于安全功能的实现,而在于安全保证机制的实现,即确保系统的TCB始终有效、不被旁路。基于上述原因,GB17859-1999对四级以上信息系统提出了结果化保证的要求。

  高等级信息系统结构化保证可从安全程序结构化、重要数据结构化、连接交互结构化三个方向入手,实现对重要信息系统的结构化保证。其中安全程序结构化主要针对安全部件,实现系统层次清晰化、系统功能模块化、函数调用单向化;重要数据结构化主要实现系统数据的结构化保护,包括策略模型的形式化、系统关键数据结构的局部化、程序对关键数据结构访问的范围控制、以及数据在不同层次之间传输;连接交互结构化用于保证安全部件TCB的无缝连接,完成从安全部件TCB出发,通过基于隔离保护机制的TCB扩展,将TCB扩展到整个系统的过程。

  4.信息系统互联安全保护环境设计

  多级安全互联是指,通过不同安全等级的安全应用平台之间的安全连接,为不同安全平台之间的互操作提供安全支持,既要确保进行操作的用户身份的真实性和操作的合法性,又要确保数据出/入安全计算环境的合法性和数据在传输过程中的安全性。

  多级安全互联是以各级安全应用平台自身安全保护为基础,辅以相关的互联网络的安全机制,实现多级安全应用平台之间的操作和数据传输与交换的安全保护。这些安全机制主要包括:身份鉴别,访问控制,区域边界保护,数据传输安全保护,抗抵赖性,系统可用性,以及可信连接等。信息系统互联安全保护环境的安全互联部件的设计,主要是对“通信网络交换网关”的设计,该网关通过实施由跨定级系统安全管理中心统一控制和管理的安全策略,实现多级安全互联的安全要求。

  5.第三级系统安全保护环境设计示例

  根据“一个中心”管理下的“三重保护”体系框架,构建安全机制和策略,形成定级系统的安全保护环境。该环境分为如下四部分:安全计算环境、安全区域边界、安全通信网络和安全管理中心。每个部分由1个或若干个子系统(安全保护部件)组成,子系统具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征。安全计算环境可细分为节点子系统和典型应用支撑子系统;安全管理中心可细分为系统管理子系统、安全管理子系统和审计子系统。

  第三级系统安全保护环境各子系统的主要功能如下:

  1) 节点子系统,节点子系统的现有操作系统进行安全增强,增加标记、强制访问控制、客体重用、可信路径等安全功能,增强身份鉴别级别机制的安全性,明确系统核心层、系统层以及应用层的边界,对各层之间的信息流进行安全检查,确保系统安全机制始终有效、不会被恶意篡改,使其基本满足GB17859的三级要求,为上层应用系统的安全提供足够支撑。

  2) 典型应用支撑子系统,安全保护环境通过典型应用支撑子系统为应用系统提供安全支撑服务。通过实施三级安全要求的应用,使用安全保护环境所提供的安全机制,为应用提供符合三级要求的安全功能支持和安全服务。

  3) 区域边界子系统,区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查,增强其强制访问控制功能,确保安全保护环境的安全性不会受到破坏。

  4) 通信网络子系统,通信网络子系统对安全保护环境间的信息流进行封装,确保信息在传输过程中不会被非授权窃听和篡改。

  5) 系统管理子系统,系统管理子系统对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护,包括用户身份管理、资源管理、应急处理等,为三级信息系统的安全提供基础保障。

  6) 安全管理子系统,安全管理子系统对安全保护环境中的计算节点、安全区域边界、安全通信网络、系统管理的安全机制实施集中管理,包括标记管理、授权管理、策略管理等,为三级信息系统的安全提供基础保障。

  7) 审计子系统,审计子系统对安全保护环境中的计算节点、区域边界、通信网络、安全管理、系统管理统一实施与安全相关的审计管理,包括制定审计策略、分析审计结果并作报警处理,为判断系统安全状态及应急处理提供依据。

  跨定级系统安全管理中心的设计同安全管理中心。

  国家标准《信息安全技术 信息系统等级保护安全设计技术要求》是信息系统等级保护安全建设,特别是安全技术方案设计阶段的重要技术标准之一,标准基于大量的理论研究和工程实践的探索,进行了较为广泛的讨论和共识的达成。标准根据当前我国信息系统所涉及的整体安全保护问题,有针对性地提出解决方案,将对国家信息安全等级保护制度实施的技术实现具有指导和现实意义。

  作者简介:范红(1969-),女,博士后,主要研究方向:信息安全;厉剑(1961-),男,博士,主要研究方向:信号与信息处理;胡志昂(1962-),男,硕士,主要研究方向:无线电。