二级安全的设计要求.ppt

信息系统等级保护测评系列讲座 山东维平信息安全测评技术有限公司 信息系统等级保护（二级）安全设计技术要求 张朝伦 主要内容 信息系统等级保护安全技术设计概述 设计目标 设计策略 设计技术要求 信息系统等级保护安全技术设计概述 信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，如图1所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。 信息系统等级保护安全技术设计框架 设计目标 第二级系统安全保护环境的设计目标是：按照GB 17859-1999对第二级系统的安全保护要求，在第一级系统安全保护环境的基础上，增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力。 设计策略 第二级系统安全保护环境的设计策略是： 遵循GB 17859-1999的4.2中相关要求，以身份鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表等的自主访问控制；以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段，同时通过增加系统安全审计、客体安全重用等功能，使用户对自己的行为负责，提供用户数据保密性和完整性保护，以增强系统的安全保护能力。第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。 设计技术要求 安全计算环境设计技术要求 安全区域边界设计技术要求 安全通信网络设计技术要求 安全管理中心设计技术要求 安全计算环境设计技术要求 第二级安全计算环境从以下方面进行安全设计： a) 用户身份鉴别 b) 自主访问控制 c) 系统安全审计 d) 用户数据完整性保护 e) 用户数据保密性保护 f) 客体安全重用 g) 恶意代码防范 用户身份鉴别 应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 自主访问控制 应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。 系统安全审计 应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护，并可由安全管理中心管理。 用户数据完整性保护 可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。 用户数据保密性保护 可采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。 客体安全重用（剩余信息保护） 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。 恶意代码防范 应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码。 安全区域边界设计技术要求 a) 区域边界包过滤 b) 区域边界安全审计 c) 区域边界恶意代码防范 d) 区域边界完整性保护 区域边界包过滤 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。 区域边界安全审计 应在安全区域边界设置审计机制，并由安全管理中心统一管理。 区域边界恶意代码防范 应在安全区域边界设置防恶意代码网关，由安全管理中心管理。 区域边界完整性保护 应在区域边界设置探测器，探测非法外联等行为，并及时报告安全管理中心。 安全通信网络设计技术要求 第二级安全通信网络从以下方面进行安全设计： a) 通信网络安全审计 应在安全通信网络设置审计机制，由安全管理中心管理。 b) 通信网络数据传输完整性保护 可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护。 c) 通信网络数据传输保密性保护 可采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。 安全管理中心设计技术要求 系统管理 审计管理 系统管理 可通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。 审