单位三级等保环境设计方案模板

单位三级等保环境模板 43 第三级安全保护环境 建设方案 瑞达信息安全产业股份有限公司 (2009) 目 录 1. 前 言...................................................................................................................................... ............ 3 1.1. 项目名 称 ................................................................................................................................. 3 1.2. 单位名 称 ................................................................................................................................. 3 1.3. 建设背 景 ................................................................................................................................. 3 1.4. 条件与假 设 ............................................................................................................................. 5 1.5. 符合的标准规 范 ..................................................................................................................... 5 2. 需求分 析...................................................................................................................................... .... 6 2.1. 信息系统部署结构现状分 析.................................................................................................. 6 2.2. 物理安全分 析 ......................................................................................................................... 6 2.3. 网络安全分 析 ......................................................................................................................... 8 2.4. 主机安全分 析 ......................................................................................................................... 9 2.5. 应用安全分 析 ....................................................................................................................... 11 2.6. 数据安全分 析 ....................................................................................................................... 13 3. 总体建设方 案 ................................................................................................................................ 14 3.1. 总体建设目 标 ....................................................................................................................... 14 3.2. 总体建设原 则 ....................................................................................................................... 14 3.3. 安全改造后的信息部署结 构................................................................................................ 15 3.4. 安全保护体系建 设 ............................................................................................................... 15 3.4.1. 3.4.2. 3.4.3. 建立“一个中心”管理下的“三重保障体 系” ....................................................... 15 建立安全保护环 境 ....................................................................................................... 16 建立系统安 全互联 ....................................................................................................... 17 4. 第三级安全保护体系建设方 案 .................................................................................................... 17 4.1. 安全计算环境建 设 ............................................................................................................... 17 部署三级操作系 统 ....................................................................................................... 19 4.1.2. 部署系统安全审计系 统 ............................................................................................... 20 4.1.3. 部署客体重用系 统 ....................................................................................................... 20 4.1.4. 部署文档加密系 统 ....................................................................................................... 21 4.2. 安全通信网络建 设 ............................................................................................................... 22 4.2.1. 部署网络安全审计系 统 ............................................................................................... 23 4.2.2. 建立IPSEC VPN ........................................................................................................... 25 4.2.3. 部署网络通信安全监控系 统 ....................................................................................... 25 4.2.4. 部署网络通信管理系 统 ............................................................................................... 26 4.3. 安全区域边界建 设 ............................................................................................................... 26 4.3.1. 部署防火 墙 ................................................................................................................... 27 4.3.2. 部署可信接入网 关 ....................................................................................................... 29 1 4.1.1. 部署入侵检测系 统 ....................................................................................................... 32 4.3.4. 部署应用防护 墙 ........................................................................................................... 32 4.4. 安全管理中心建 设 ............................................................................................................... 32 4.4.1. 部署网络管理中 心 ....................................................................................................... 33 4.4.2. 部署自主访问控制系统管理中 心 ............................................................................... 34 4.4.3. 部署安全审计管理中 心 ............................................................................................... 37 5. 系统安全互 联 ................................................................................................................................ 40 5.1.1. 5.1.2. 4.3.3. 安全互联部件设计技术要 求 ....................................................................................... 40 建立跨定级系统安全 管理中心 ................................................................................... 40 6. 第三级安全保护环境产品清 单 .................................................................................................... 41 2 1. 前言 1.1. 项目名称 1.2. 单位名称 1.3. 建设背景 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)明确 规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令要求而制订 发布的强制性国家标准《计算机信息系统安全保护等级划分准则》 (GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。《国 家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明 确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护”。 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全 等级保护管理办法》(公通字[2007]43号)确定了实施信息安全等级保护制度的 原则、工作职责划分、实施要求和实施，明确了开展信息安全等级保护工作 的基本 3 标准保障。2007年起公安部组织编制了《信息安全技术 信息系统等级保护安 全设计技术要求》，为已定级信息系统的设计、整改提供标准依据，至2008年 11月已报批为国标。与此同时，2007年7月全国开展重要信息系统等级保护定 级工作，标志着信息安全等级保护工作在我国全面展开。 依据《计算机信息系统安全保护等级划分准则》，将信息系统安全保护能力划分为五个等级。分别为: 第一级:用户自主保护级;由用户来决定如何对资源进行保护，以及采用何种方式进行保护。 第二级:系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。 第三级:安全标记保护级;具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同安全标记，限制访问者的权限。 第四级:结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。其本身构造也是结构化的，以使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。 4 第五级:访问验证保护级;具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。 目前，全国范围信息系统等级保护安全设计技术要求》 5 2. 需求分析 2.1. 信息系统部署结构现状分析 终端 远程接入 移动终端 2.2. 物理安全分析 目前现有的物理安全机制不够完善，在物理安全的设计和施工中，需要考虑的安全要素包括:机房场地选择安全、机房 6 人员。 需要将通信线缆铺设在隐蔽处，例如:铺设在地下或管道中。 需要对介质分类标识，存储在介质库或档案室中。 需要在主机房安装必要的防盗报警设施。 机房建筑需要设臵避雷装臵及设臵交流电源地线。 机房需要设臵灭火 设备和火灾自动报警系统。 在水管安装时，需要考虑不得穿过机房屋顶和活动地板下。 需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 需要采取措施防止机房 7 控报警系统。 需要设臵防雷保安器，防止感应雷。 考虑机房设臵火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。 考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料，机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。 需要安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。 考虑机房采用防静电地板。 考虑机房设臵温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之 8 护。 需要对通信网络进行安全审计，其网络系统中的网络设备运行状况、网络 流量、用户行为等进行日志记录，并对确认为违规的用户操作行为需要提供报警，并对审计信息进行存储备份。 需要考虑网络边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 需要对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。 网络边界对入侵防范措施不够完善，考虑检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 考虑网络边界对恶意代码防范能力应提供及时检测和清除，维护病毒库的升级更新。 2.4. 主机安全分析 目前现有的主机安全机制不够完善，需依据《信息安全技术 信息系统安全等级保护基本要求》第三级基本要求加强现有主机安全机制。 1) 用户身份鉴别 需要对用户登录过程采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 2) 标记和强制访问控制 9 系统资源访问控制需要对重要信息资源设臵敏感标记，需要依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 3) 系统安全审计 系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户，应保护审计进程，避免受到未预期的中断。 审计记录包括安全事件的主体、客体、时间、类型和结果等 10 严重入侵事件时提供报警。应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。 8) 可信执行程序保护 需要构建从操作系统到上层应用的信任链，其中可采用可信计算技术，以 实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时，应采取有效的恢复措施。 2.5. 应用安全分析 目前现有的应用安全机制不够完善，需依据《信息安全技术 信息系统安全等级保护基本要求》第三级基本要求的加强现有应用安全机制。 需要对用户登录过程提供用户身份标识唯一和鉴别信息复杂度检查功能，考虑保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。考虑对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 自主访问控制，需要依据安全策略控制用户对文件、数据库表等客体的访问，访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。 考虑应用系统安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。 考虑对重要信息资源设臵敏感标记的功能，并依据安全策略 11 严格控制用户对有敏感标记重要信息资源的操作。 考虑提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 剩余信息保护:应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。 通信完整性:应采用密码技术保证通信过程中数据的完整性。 通信保密性:应对通信过程中的整个报文或会话过程进行加密。 抗抵赖:应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 软件容错:应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 资源控制:应能够对一个时间段内可能的并发会话连接数进行限制，应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额，应能够对系统服务水平降低到预先规定的最小值进行检测和报警，应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。 12 2.6. 数据安全分析 目前数据安全存在的安全隐患， 业务数据在传输过程中完整性受到破坏，数据存储没有经过加密处理，导致数据泄露。数据没有提供备份，导致重要数据丢失几种现象。因此需要在现有数据安全上增加以下几种保护: 数据完整性:应能够检测到系统管理数据、鉴别信息和重要业务数据在传 输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。 数据保密性:应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 备份和恢复:应提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放;应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地;应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障;应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 13 3. 总体建设方案 3.1. 总体建设目标 遵循等级保护的相关标准和的要求，结合信息系统安全建设实际状态。针对信息系统中存在的安全隐患进行系统建设，加强信息系统的信息安全保护能力，使其达到相应等级的等级保护安全要求。 3.2. 总体建设原则 1) 遵循等级保护的相关标准和规范的要求; 2) 按照本技术要求进行设计，保证系统结构完整，安全要素全面覆盖; 3) 统一规划、分步实施。网络与信息安全体系建设是一个逐步完善的过程，各单位应依据本技术要求进行统一规划，在建设时可以根据信息化的发展逐步建设与完善，首先保证重要信息系统的安全; 4) 在保证关键技术实现的前提下，尽可能采用成熟产品，保证系统的可用性、工程实施的简便快捷 14 3.3. 安全改造后的信息部署结构 3.4. 安全保护体系建设 3.4.1. 建立“一个中心”管理下的“三重保障体系” 为已定级信息系统构建安全保护环境，是以较低成本实现其安全保护能力的合理方式，具有技术上成熟、产品选择面宽、无需对业务系统进行修改的优点。 安全保护环境的核心在于构建“一个中心”管理下的“三重防御体系”。“一个中心”是指安全管理中心，包括系统/安全管理和审计管理。“三重防御体系”包括提供安全计算环境、提供安全区域边界和提供安全通信网络。安全计算环境可细分为:节点子系统和典型应用子系统;安全管理中心分为系统/安全管理子系统和 审计子系统。 15 图,第三级系统安全保护体系结构 3.4.2. 建立安全保护环境 落实GB 17859-1999的4.3相关要求，在第二级系统安全保护环境的基础上，构造非形式化的安全策略模型，对主、客体进行安全标记，并以此为基础，按照强制访问控制规则实现对所有主体及其客体 16 的访问控制。此外，第三级系统安全保护环境还需相应增强系统的审计能力、数据保密性和完整性保护能力。 3.4.3. 建立系统安全互联 对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护，确保用户身份的真实性、操作的安全性以及抗抵赖性，并按安全策略对信息流向进行严格控制，确保进出安全计算环境、安全区域边界以及安全通信网络的数据(含信息)安全。 4. 第三级安全保护体系建设方案 4.1. 安全计算环境建设 进行第三级安全计算环境建设重点在于进行系统加固、实现自主访问控制、实现强制访问控制、实现系统安全审计、实现客体重用并且提供恶意代码防范的功能。 1) 用户身份鉴别 应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符的方式进行用户标识，并确保在系统整个生存周期用户标识的唯一性; 在每次用户登录系统时，采用强化管理的口令、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 17 2) 自主访问控制 应在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户。访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和(或)记录、字段级。访问操作包括对客体的创建、读、写、修改和删除等。 3) 标记和强制访问控制 在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记; 应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制;强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级; 应确保系统安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。 4) 系统安全审计 应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。 应提供审计记录查询、分类、分析和存储保护;能对特定安全事件进行报 警;确保审计记录不被破坏或非授权访问。 应为安全管理中心提供接口;对不能由系统独立处理的安全事件，提供由授权主体调用的接口。 5) 用户数据完整性保护 18 采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制，检验在系统安全计算环境中存储和传输的用户数据的完整性，并在其受到破坏时能够对重要数据进行恢复。 6) 用户数据保密性保护 采用密码技术支持的保密性保护机制或其他具有相当安全强度的保密性保护机制，对在安全计算环境中存储和传输的用户数据进行保密性保护。 7) 客体安全重用 对于动态管理和使用的客体资源，应在该客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄漏。 8) 程序可信执行保护 可构建从操作系统到上层应用的信任链，其中可采用可信计算技术，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取有效的恢复措施。 参照上述第三级系统安全保护环境的安全计算环境的安全技术要素，实现安全计算环境安全功能。需安装如下软件系统: 4.1.1. 部署三级操作系统 进行操作系统加固不仅需要对服务器的操作系统进行加固，并 19 且需要对用户操作终端计算机进行系统加固。在本方案中，通过部署由我公司提供的安全操作系统实现强化管理的口令以及基于生物特征或数字证书的双因子身份认证，自主访问控制以及标记和强制访问控制、程序可信执行保护等安全保护要求. 4.1.2. 部署系统安全审计系统 安全计算环境的系统安全审计主要是对服务器、安全终端的系统安全事件进行审计。在本方案中通过在各服务器以及安全终端部署系统安全审计探头，对重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用等记录的日期和时间、用户、事件类型、事件是否成功等进行记录，并可以将这些记录转换为标准格式，通过审计代理将审计记录提交给审计管理中心。并且 可以依据审计控制策略，对特定安全事件进行报警。 4.1.3. 部署客体重用系统 对使用的客体资源进行监控、管理，在该客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄漏。 1) 20 此映射能对相应的 21 密要由计算机自动地进行，无需人工干预，文件的使用者也无需知道“加密文档安全管理系统码”; 在未授权情况下，被加密的文件无法被非涉密计算机打开，就算电脑主机或硬盘被偷出公司，得到者也无法打开电脑主机或者硬盘上的资料; 如果企业需要外发图纸，必须要有特定的审批流程，经过审批允许外发后，有专人解密，将密文状态的图纸转换成明文状态的图纸后带出，并有详细的日志方便日后追查; 4.2. 安全通信网络建设 在第三级系统安全保护环境中的安全网络建设主要在于实现网络安全审计，并依据客户实际应用的要求为用户的网络数据传输提供完整性、保密性保护以及提供可信接入控制。 1) 通信网络安全审计 应在安全通信网络设臵必要的审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。 2) 网络数据传输完整性保护 采用由密码技术支持的完整性校验机制或具有相当安全强度的其他安全机制，以实现网络数据传输完整性保护，并在发现完整性破坏时进行恢复。 3) 网络数据传输保密性保护 采用由密码技术支持的保密性保护机制或具有相当安全强度 22 的其他安全机制，以实现网络数据传输保密性保护。 4) 网络可信接入 可采用由密码技术支持的可信网络连接机制，通过对连接到网络的设备进行可信检验，确保接入网络的设备真实可信，防止设备的非法接入。 参照上述第三级系统安全保护环境的安全通信网络的安全技术要素，实现安全通信网络安全功能。需安装如下软件系统: 4.2.1. 部署网络安全审计系统 在本方案中通过部署网络行为审计系统，对用户行为进行探测探测、收集、还原，并且可以对其他网络设备日志、其它审计产品日志进行获取，实现对安全通信网络中所有的网络安全事件的集中存储、管理、分析。 在本方案中提供的网络安全审计系统，可以支持以下网络事件的采集: 网络及安全设备:支持天融信、绿盟、东软、联想网御、Cisco、Checkpoint、Juniper、Fortinet、等国 23 MSN、BT等常见本方案中的网络行为审计系统的安全事件采集由基于网络监听的硬件探测器设备、基于网络协议采集的硬件探测器设备和软件形式的软件探针等三类探测器完成，对不同类型的事件类型采用不同的采集手段。 1) 网络监听方式 部署在网络中的硬件探测器设备通过监听及协议还原方式获取，采取旁路方式部署在网络中，通过交换机镜像对网络流量进行采集分析。主要完成以下网络操作行为的收集工作: 对用户通过数据库客户端对各种数据库系统的各种操作行为,包括登录、查 询、修改、删除、数据定义和权限管理等; 上网行为日志(Web访问、Email、BT、Msn等)、Telnet访问、FTP访问行为等。 2) 协议访问方式 部署在网络中的硬件探测器设备通过通用协议接收或获取各种日志，可分为两类: 专用日志协议，以Syslog日志为代表的网络及系统日志协议是目前所有的网络设备、安全设备、Unix主机中比较通用的日志协议，其它类似协议还有SNMP OPSEC-LEA等，网络行为审计系统依据特定协议接受或主动询问获得相Trap、 关系统日志。 24 文件访问协议，系统管理员通过FTP、SMB、HTTP等协议将操作系统、应用系统产生的文件型日志开放给网络行为审计系统探测器设备，由探测器设备主动下载日志文件、从而分析并采集日志。 3) 软件探针方式 对于主机上的各种非文件形式的日志、无法通过SNMP等协议获取的操作系统运行状态等信息，网络行为审计系统支持采用在对象主机上安装软件探针(Agent)方式进行日志采集。如通过在Windows主机上安装Agent完成收集Event Log、性能监控、网络连接状态、进程运行状态等信息的收集;通过在Unix主机上安装Agent完成对用户通过加密协议或Console进行的Shell操作的记录采集等。 4.2.2. 建立IPSEC VPN 网络数据传输完整性、保密性保护主要体现在与两个安全计算环境之间的网络数据传输的完整性、保密性保护。在本方案中通过在两个安全计算环境间建立IPSEC VPN，通过IPSEC VPN提供的数据校验机制以及加密机制，为网络数据传输提供完整性、保密性保护。 4.2.3. 部署网络通信安全监控系统 通过在网络通信节点配臵IDS探测器，监视从外部对网络通信的攻击;通过在信息系统安全管理中心设臵IDS控制中心，集中管理和 25 分析由IDS探测器汇集的数据信息;IDS的监测的重点是各种网络通信攻击，使系统安全管理员对网络通信运行的安全风险程度有一个基本的了解。 并且可以通过在网络通信节点配臵网络通信漏洞扫描系统，发现网络通信系统 和主机存在的漏洞，并提供网络通信安全状况信息，以便安全管理人员根据扫描器报告，通过系统参数调整和打补丁、软件升级提高网络通信安全性。 4.2.4. 部署网络通信管理系统 通过配臵网络通信管理系统，对服务器和网络通信设备运行状况进行集中监控和管理;通过对网络通信和系统运行数据进行收集、分析、统计和处理，为网络通信管理人员实时监控服务器、网络通信传输节点、端口线路等各方面的运行状况提供支持，以便及时发现潜在的网络通信故障隐患，及时发现并定位线路故障，解决网络通信故障问题。 4.3. 安全区域边界建设 在第三级系统安全保护环境中的安全区域边界建设主要在于实现区域边界访问控制、区域边界协议过滤、区域边界安全审计、区域边界恶意代码防范、区域边界完整性保护等安全功能。 1) 区域边界访问控制 应在安全区域边界设臵自主和强制访问控制策略，对进出安 26 全区域边界的数据信息进行控制，阻止非授权访问。 2) 区域边界协议过滤 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。 3) 区域边界安全审计 应在安全区域边界设臵必要的审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。 4) 区域边界完整性保护 应在区域边界设臵探测软件，探测非法外联和入侵行为，并及时报告安全管理中心。 参照上述第二级系统安全保护环境的安全区域边界的安全技术要素，实现安全区域边界安全功能。需安装如下软件系统: 4.3.1. 部署防火墙 在本方案中通过部署安智防火墙，实现: 1) 状态检测和访问控制 采用基于状态检测的包过滤技术，快速实现基于源/目的IP地址、源MAC地址、服务/端口、用户、时间、组(网络，服务，用户，时间)的精细粒度的访问控制。 2) 内容过滤 27 关键字、命令过滤 文件名过滤 过滤 邮件关键字过滤 邮件文件名过滤 发件人邮箱过滤 收件人邮箱过滤 命令过滤(get、put、post) -X 过滤封堵 小程序控制 过滤 、smtp、pop3、ftp、telnet等协议的透明应用代理 提供丰富全面的应用代理，覆盖大多数用户常用应用程序，包括HTTP、SMTP、POP3、FTP、TELNET代理等。同时，多线程的代理提供较高性能的连接速度。提供多种 28 区的特殊地址转换，即端口转换能力，加强DMZ区的安全保护、 负载均衡 5) 日志、审计和告警 防火墙提供五种日志内容:连接日志、攻击日志、代理日志、认证日志和配臵日志。并且可以对任意的日志内容、任意级别指定不同的日志报警方式，系统提供的告警方式包括: 声音报警 邮件通知 消息 用户终端 系统缓冲区 支持日志的本地存储、远端存储、备份等存储方式。 4.3.2. 部署可信接入网关 对接入网络的计算机终端实施强制平台身份认证，检查计算机终端安全状态，阻断非受控终端以及不符合安全策略的终端接入网络。并且提供终端接入审计，访问控制，系统日志等，主要功能如下: 1) 安全传输设臵 安全传输表示两个网关之间的通信协议是经过安全处理的，它保障了网关之间数据传输的安全和可靠. 29 2) 网关访问控制 访问控制的设臵制定了一个总体的访问策略，它标明了网关分别连接的内网和外网所有终端的通讯状况，可以设臵为: • 内网?外网 • 内网?外网 • 内网??外网 • 内网?X?外网 3) IP端口控制 当外网终端接入内网时，通过该设臵可以对接入终端的端口和协议进行过滤，起到防火墙的作用，实现终端接入的受限和受控，从而保障内网的安全。 4) 策略配臵 策略配臵主要是对内外网终端访问加以控制，所实施的安全策略。主要策略包括: • 接入:接入表示该终端已经安装了网关客户端，并接受了网关的平台审核，但 是此时它还不能接出到外网，与外网终端不能访问。 • 接出:接出表示该内网终端可以接出到外网，并与外网终端互相访问。 • 单向接入:单向接入表示外网终端可以接入到内网，外网终端单向访问该内网终端，该内网终端不能访问所有外网 30 终端。 • 单向接出:单向接出表示该内网终端可以接出到外网，并且单向访问所有外网终端，所有外网终端不能访问该内网终端。 • 卸载:卸载表示是否允许卸载网关客户端，不允许用户则无法卸载( • 协议暂停:协议暂停是内网终端安装了客户端代理软件后，便不再使用普通的IP协议，而是使用了安全协议，它与普通协议是无法互通的。打开此权限表示该终端可以使用普通协议进行通信。 • 补丁安装:补丁安装是检查终端的WINDOWS系统补丁文件是否完整和最新，勾选后表示如果终端的WINDOWS系统补丁文件不完整或不是最新的，存在安全漏洞，网关会指引该终端到补丁服务器上进行升级更新。 • 开启杀毒软件信息:开启杀毒软件信息是检查终端是否安装了杀毒软件，勾选后表示只有安装了杀毒软件的终端才能通过网关的安全审核，才能在内网访问相应的资源。 • 杀毒软件已过期:杀毒软件已过期是检查终端的杀毒软件病毒库是否是最新的，勾选后表示只有病毒库最新的终端才能通过网关的安全审核，才能在内网访问相应的资源。 • 开启windows防火墙:开启windows防火墙是检查终端的windows防火墙是否开启，勾选后表示只有windows防火 31 墙开启的终端才能通过网关的安全审核，才能在内网访问 相应的资源。 4.3.3. 部署入侵检测系统 在安全区域边界中，部署入侵检测系统,检测并记录attack-responses、backdoor、chat、ddos、dns、dos、exploit、finger、ftp、icmp、misc、multimedia、netbios、oracle、p2p、policy、pop3、rpc、rservices、scan、shellcode、smtp、snmp、sql、telnet、tftp、virus、web-attacks、web-cgi、web-client、web-coldfusion、web-frontpage、web-iis、web-misc、web-php等攻击行为。 4.3.4. 部署应用防护墙 根据数据发送方和接收方的安全属性值，按照确定的访问规则，提供明确的允许访问和拒绝访问受保护网络环境的方法和机制;通过安全机制不可旁路、遗留信息清除、安全审计等增强安全性，并确定更高的安全机制配臵管理要求。 对经过区域边界的所有数据信息进行检查，对明确指定的特定信息，能阻止其进/出受保护的网络环境;通过安全管理中心对信息过滤进行统一管理。 4.4. 安全管理中心建设 安全管理中心安全功能基本结构图，如下图所示: 32 建立安全管理中心目标在于，实现对在进行安全保护环境建设过程中所部属的 各系统进行集中管理。在第二级安全管理中心主要需要部署自主访问控制管理中心，系统安全审计管理中心，病毒防护管理中心，网络资源管理中心。 4.4.1. 部署网络管理中心 安全管理中心通过网络管理系统工具对网络进行管理，收集网络监控记录;对网络安全配臵;对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补;能够对非授权设备私自联到内部网络的行为进行检查，准确定出位臵，并对其进行有效阻断;应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位臵，并对其进行有效阻断。 安全管理中心通过安全设备在网络边界处监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为;当检测到攻击行为时，记录攻击源IP、 33 攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 4.4.2. 部署自主访问控制系统管理中心 1. 管理控制台 管理员通过控制台对整个系统的安全策略进行配臵与控制。从该控制台登陆并管理系统的有下面三类管理员: 1) 系统管理 系统管理子系统用于对节点子系统、区域边界子系统、通信网络子系统的软硬件进行管理和维护，发行用户硬件令牌，对系统异常行为做应急处理。 系统管理子系统功能如下: 身份管理:将与用户相关的身份信息、证书、密钥等安全属性发行到与用户绑定的硬件令牌中，以硬件令牌代表用户身份和权限;将平台的身份信息发送到管理中心进行注册，确保只有经过注册的平台才能接入维护系统。 配臵管理:采集节点、区域边界和通信网络子系统相关的软硬件信息到安全管理中心，包括软件安装、硬件资源、网络状态等信息。 应急处理。在系统审计的基础上，及时发现节点、区域边界和通信网络子系统内发生的安全事件，并采取相应措施，做应急处理工作。 2) 安全管理 34 安全管理子系统策略配臵包括:主/客体标记案例管理、用户授权管理、策略管理等。 标记管理功能如下: 提供主体标记管理功能，为系统中的所有用户配臵安全级别和安全范畴。 提供客体标记管理功能，为系统与安全业务相关的客体设定安全标记。安全标识包括与文件名直接相关的安全标识、目录安全标识、通配符格式的安全标识等类型。同时提供安全标识中安全级别的修改接口，供人工参与安全级别的制 定和更改。 授权管理功能如下: 提供授权管理界面，安全管理子系统提供授权模板维护强制访问控制表和自主访问控制表，将对特定客体的读、写执行等权限赋予相应的用户。对应用流程的特定位臵进行授权，制定级别调整策略、网络访问控制策略等。 提供策略批准功能，接收并查看来自系统管理员以及各节点上报的策略申请信息，依据安全管理规则和主客体的安全标识信息，对合法的申请内容予以批准; 策略模板导入，将第三方提供的或利用策略制定工具生成的授权策略模板 导入策略库。 策略管理功能如下: 35 生成访问策略库。访问策略库是将用户与用户能够访问的客体资源结合起来所形成的一个访问控制策略表，安全管理子系统根据应用的安全策略配臵，生成访问策略设臵，并将访问策略设臵与策略配臵功能所生成的用户身份配臵、文件标识配臵以及可信接入策略和可信进程名单等组装发送到各安全部件中。 策略请求处理和下发。策略请求和处理是将设定客体安全级别的特权和该 特权所授予的用户身份结合起来所形成的一个权限列表，该列表项目来源于各用户提出的主客体安全级别修改请求和自主访问控制策略申请，反应客体资源属性 策略的维护。和主体的权限范围，并将该列表发送给相应主体所在的平台。 策略的维护功能为安全管理员的策略查找、策略更新等操作提供支持，并能够实现策略文件的导入和导出操作，支持离线状态下的策略管理，提高安全管理员的策略管理操作的方便性和易用性。 3) 审计管理 审计子系统用于存储和处理整个系统中的所有审计信息。节点子系统、区域边界子系统、通信网络子系统和安全管理子系统、系统管理子系统等获得审计信息后形成文件，上传到审计服务器进行存储和处理，安全审计员可以在安全管理中心上查看审计信息。 审计子系统功能如下: 生成审计策略并发放。使用安全管理中心提供的审计策略设 36 臵界面，使审计管理员可以选择四级安全应用支撑平台不同范畴中主客体访问的审计级别，并与访问策略、等级检查策略相配合，生成具体的审计策略，并将该策略发放给对应的安全部件。 接收、存储审计信息。接收从安全部件传来的审计信息，并进行存储和处理。 查询审计信息。使用安全管理中心提供审计界面，通过审计界面将审计信息直观地提供给安全审计员，并提供审计信息分类查询功能。 4.4.3. 部署安全审计管理中心 实现对计算环境 37 头;从审计探头获取审计信息后，调用审计信息格式转化模块进行标准格式转换;调用安全传输模块将标准格式日志信息加密，传输至审计服务器进行审计分 析。 3. 日志存储数据库 分为本地日志存储数据库和服务器端日志存储数据库。本地日志存储数据库是在节点备份审计探头采集的本地审计日志，以防止网络不通的情况下，审计信息的丢失;服务器端日志存储数据库是存储真个信息系统获取的供审计分析的日志信息。 4. 审计引擎 开启和关闭审计引擎，通讯审计代理进行审计信息加密/解密传输，交由安全审计分析模块对信息进行审计分析。 5. 策略管理服务 开启策略管理下载服务，形成三重结构，防止直接读取策略库，而对策略库构成安全威胁，保证策略数据的安全性。提交策略下载请求给策略/日志处理模块，获取策略库中策略。策略管理服务在获取策略/日志处理模块准备发送策略的就绪状态时，提示安全审计代理调用策略管理模块处理策略，形成策略模板。 6. 安全审计分析 对信息系统审计日志记录进行安全性分析，对用户行为进行监控，防止用户越权使用，检测系统资源使用状况，保证系统的安全性。这种分析可用入侵检测来支持，或对即将来临的安全侵害作出自动响应。 38 /日志处理 7. 策略 本模块提供一种策略下载/存储请求与策略库/日志存储库之间的安全通道，防止直接对策略库和日志存储库的读取，从而保证了策略库和日志存储库的数据不被破坏。 8. 安全审计查询 为第三方查询提供了接口，方便审计管理员在控制台查询有关的审计信息。 9 策略库管理 分为本地策略库和服务器端策略库，本地策略库是策略管理模块请求下载策略在本地的存储备份;服务器端策略库是存储整个信息系统中审计管理员、系统管理员、安全管理员制定的安全策略。 10. 安全传输模块 安全传输模块将审计代理调用审计信息格式转换模块产生的统一格式信息进行安全性加密，以保证信息的完整性和保密性，再传输到审计服务器端;在审计服务器端，安全传输模块将统一格式审计信息进行解密后，递交给安全审计分析模块分析，并存储。 11. 策略管理 从审计服务器端的策略库下载策略到本地，并将从策略库下载的策略按不同类型的审计探头形成相应的策略模板，提供给审计探头管理模块。策略管理模块还提供可扩展的策略模板接口，可以定制新的策略模板类型，为三级、四级安全系统提供接口。 12 审计探头管理 39 注册新的与策略模板匹配的审计探头;删除审计探头。 13. 审计信息格式转换 将审计信息转换成审计子系统定义的标准格式。 此模块同样提供可扩展的格式标准接口。 5. 系统安全互联 5.1.1. 安全互联部件设计技术要求 安全互联部件是通信网络交换网关，与各定级系统安全保护环境的安全通信网络部件相联接，按互联互通的安全策略进行信息交换。安全策略由跨定级系统安全管理中心实施。 5.1.2. 建立跨定级系统安全管理中心 跨定级系统安全管理中心通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连，主要实施跨定级系统的系统管理、安全管理和审计管理。 系统管理 应通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资源和运行进行配臵和管理，包括用户身份管理、安全互联部件资源配臵和管理等。 安全管理 应通过安全管理员对相同和不同等级的定级系统中与安全互联相关的主/客体进行标记管理，使得其标记信息能够准确反映主/客体 40 在定级系统中的安全属性;对主体进行授权，配臵统一的安全策略，并确保授权信息在相同和不同等级的定级系统中的合理性。 审计管理 应通过安全审计员对安全互联部件的安全审计机制和各定级系统跨定级系统互联有关的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录进行分析，并根据分析结果进行及时处理。 6. 第三级安全保护环境产品清单 41 42