等级保护三级系统建设实践.pdfVIP

等级保护三级系统建设实践 孥f (广东惠州供电局，广东惠州516001) 摘要：通过对等保三级要求的分析，结合本单位实际情况，充分利用目前市场上的安全保密产品，提出了一个满足等保三级 的解决方案。 关键词：等级保护；三级；实践 as Sjtuationofthe full oftherrnrket’ onthethree-levelrequirementssuch security actual advantage Abstract：Based analysis。the unit，take meettheother s prop08edathree-levelto solutions． existingsecurityproducts．has security Keywords：Levelprotection，；Threelevel；PraCtice 1概述 象、被访问对象，访问的行为，时间等内容。 信息安全等级保护制度作为国家信息安全保护的基本 (5)用户数据完整性保护 国策，目前已在全国各行业得到广泛推广和落实。截至目 采用备份、HASH方法对数据的完整性进行保护， 防止被篡改。 前，全国在地市级以上公安机关备案的信息系统53106个， (6)用户数据保密性保护 其中第二级信息系统31632个、第三级信息系统21356个、 第四级信息系统118个，三级系统占所有已定级系统的 采用密码等技术支持的保密性保护机制，对在安全计 40％。根据国家的相关要求，已经定级备案的信息系统应 算环境中存储和处理的用户数据进行保密性保护。 在三年之内完成整改建设工作，并通过等级保护相关测评。 (7)客体安全重用 随着等保建设逐步提上日程，各单位在如何利用现有 客体安全重用即指被访问对象不应保留访问对象的特 安全保密产品的条件下，结合本单位实际满足等保要求方 征，避免由于不同访问对象的访问而造成访问对象之间信 面面临诸多困惑。笔者结合本单位在等保建设中的实践， 息的泄露。 抛砖引玉，就三级系统F如何满足等保要求进行有效的探索。 (8)程序可信执行保护 C—m棚yⅢ^C由一一吒 第三级系统安全保护环境的设计目标是：按照GB 信是 17859-1999对第三级系统的安全保护要求，在第二级系 统安全保护环境的基础上，通过实现基于安全策略模型和 内实 标记的强制访问控制以及增强系统的审计机制，使系统具 有在统一安全策略管控下，保护敏感资源的能力。 份认 本系统根据“一个中心”管理下的“三重保护”体系 信息 框架进行设计，构建安全机制和策略，形成定级系统的安 到可 全保护环境。该环境共包括四部分：安全计算环境、安全 我们 区域边界、安全通信网络和安全管理中心。 而且 可信 2等保三级的设计要求和分析 的可 按照等级保护三级的要求，笔者主要针对以下四个方 2．2 面进行设计： 2．1安全计算环境设计 (1)用户身份鉴别 应支持用户标识和用户鉴别。 (2)自主访问控制 在安全策略控制范围内，使用户对其创建的对象具有 访问操作权限，这个权限可以根据用户进行授权。可以具