等级保护网络的示范系统

Size: px

Start display at page:

Download "等级保护网络的示范系统"

沐昌
7 years ago
Views:

1 ICS L80 GB/T XXXXX 200X 中华人民共和国国家标准 GB/T XXXXX 2008 信息安全技术信息系统等级保护安全建设技术方案设计要求 Information security technology-- Design requirement of security construction techniques scheme for information system classified protection ( 征求意见稿 ) 200X - - 发布 200X - - 实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布

3 目次前言... I 引言... II 1 范围规范性引用文件术语和定义信息系统等级保护安全建设技术方案设计概述一级系统安全保护环境设计设计目标设计策略计算环境安全设计区域边界安全设计通信网络安全设计系统安全集成二级系统安全保护环境设计设计目标设计策略计算环境安全设计区域边界安全设计通信网络安全设计安全管理中心设计系统安全集成三级系统安全保护环境设计设计目标设计策略计算环境安全设计区域边界安全设计通信网络安全设计安全管理中心设计系统安全集成四级系统安全保护环境设计设计目标设计策略计算环境安全设计区域边界安全设计通信网络安全设计安全管理中心设计安全保证设计系统安全集成五级系统安全保护环境设计设计目标设计策略系统互联安全保护环境设计... 13

4 10.1 设计目标设计策略互操作安全保护环境设计... 错误! 未定义书签 10.4 数据交换安全保护环境设计... 错误! 未定义书签 10.5 跨系统安全管理中心设计... 错误! 未定义书签附录 A ( 规范性附录 ) 访问控制模型 A.1 自主访问控制模型 A.2 强制访问控制模型附录 B ( 资料性附录 ) 三级系统安全保护环境设计实现参考 B.1 总体结构流程 B.1.1 各子系统主要功能 B.1.2 各子系统主要流程 B.2 子系统间接口 B.3 重要数据结构参考文献... 28

5 前言本标准的附录 A 是规范性附录, 附录 B 是资料性附录本标准由公安部公共信息网络安全监察局提出本标准由全国信息安全标准化技术委员会归口本标准主要起草单位 : 公安部第一研究所本标准主要起草人 : 本标准由公安部公共信息网络安全监察局负责解释 I

6 引言中华人民共和国计算机信息系统安全保护条例 ( 国务院令第 147 号 ) 明确规定我国计算机信息系统实行安全等级保护依据国务院 147 号令的要求而制订发布的强制性国家标准计算机信息系统安全保护等级划分准则 (GB ) 为计算机信息系统安全保护等级的划分奠定了技术基础国家信息化领导小组关于加强信息安全保障工作的意见 ( 中办发 [2003]27 号 ) 明确指出实行信息安全等级保护要重点保护基础信息网络和关系国家安全经济命脉社会稳定等方面的重要信息系统, 抓紧建立信息安全等级保护制度关于信息安全等级保护工作的实施意见 ( 公通字 [2004]66 号 ) 和信息安全等级保护管理办法 ( 公通字 [2007]43 号 ) 确定了实施信息安全等级保护制度的原则工作职责划分实施要求和实施计划, 明确了开展信息安全等级保护工作的基本内容工作流程工作方法等信息安全等级保护相关法规政策文件国家标准和公共安全行业标准的出台, 为信息安全等级保护工作的开展提供了法律政策标准保障 2007 年 7 月全国开展重要信息系统等级保护定级工作, 标志着信息安全等级保护工作在我国全面展开在开展信息安全等级保护定级和备案工作基础上, 各单位各部门应按照信息安全等级保护有关政策规定和技术标准规范, 开展信息系统安全建设整改等工作, 建立健全信息安全管理制度, 落实安全保护技术措施, 全面贯彻落实信息安全等级保护制度为了配合信息系统安全建设整改阶段工作, 特制订本标准本标准规范了信息系统等级保护安全建设技术方案, 对第一级至第五级信息系统安全保护环境从计算环境区域边界通信网络等方面确定安全需求, 以及对系统互联安全保护环境和安全管理中心提出设计要求在第五章至第九章, 每一安全保护等级的系统安全保护环境设计比较低一级安全等级的系统安全保护环境设计所增加和增强的部分, 用宋体加粗表示 II

7 信息安全技术信息系统等级保护安全建设技术方案设计要求 1 范围本标准按照国家信息安全等级保护的要求, 规定了信息系统等级保护安全建设技术方案的设计要求本标准适用于指导信息系统运营使用单位按照国家信息安全等级保护的要求, 进行信息系统等级保护安全建设技术方案的设计 2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件, 其随后所有的修改单 ( 不包括勘误的内容 ) 或修订版均不适用于本标准, 然而, 鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件, 其最新版本适用于本标准 GB 计算机信息系统安全保护等级划分准则 3 术语和定义 GB 确立的以及下列术语和定义适用于本标准 3.1 定级系统安全保护环境 secure protective environment of classified system 定级系统的安全保护是指, 在安全管理中心统一安全策略控制下, 对已经确定安全保护等级的系统, 从安全计算环境安全区域边界和安全通信网络三个方面进行保护定级系统安全保护环境包括一级系统安全保护环境二级系统安全保护环境三级系统安全保护环境四级系统安全保护环境和五级系统安全保护环境和系统互联安全保护环境各级安全计算环境安全区域边界安全通信网络和安全管理中心构成了相应等级的定级系统的安全保护环境 3.2 安全计算环境 secure computing environment 安全计算环境由定级系统中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成, 也可以是独立的或移动的计算机系统安全计算环境按照保护能力可划分为一级安全计算环境二级安全计算环境三级安全计算环境四级安全计算环境和五级安全计算环境 3.3 安全区域边界 secure area boundary 安全区域边界是定级系统中安全计算环境的边界以及安全计算环境与安全通信网络之间实现联接功能的部分, 对安全计算环境及进出安全计算环境的信息进行保护安全区域边界按照保护能力可划分为一级安全区域边界二级安全区域边界三级安全区域边界四级安全区域边界和五级安全区域边界 3.4 安全通信网络 secure communication network 安全通信网络是定级系统中实现安全计算环境之间信息传输功能的部分安全通信网络按照保护能力可划分一级安全通信网络二级安全通信网络三级安全通信网络四级安全通信网络和五级安全通信网络 1

8 3.5 安全管理中心 security management center 安全管理中心是对部署在安全计算环境安全区域边界和安全通信网络上的安全策略与机制实施统一管理的设施二级以上的系统都需要设置安全管理中心, 分别称为二级安全管理中心三级安全管理中心四级安全管理中心和五级安全管理中心 3.6 系统安全互联 secure system interconnection 系统互联安全是信息系统中为相同或不同安全等级系统安全保护环境之间的互连互通互操作安全提供支持的安全机制总称 4 信息系统等级保护安全建设技术方案设计概述信息系统等级保护安全建设技术方案设计, 是各级系统安全保护环境及其安全互联的安全保护环境设计信息系统等级保护安全建设技术方案的总体框架如图 1 所示按图 1 所示, 信息系统等级保护安全建设技术方案由一级系统安全保护环境二级系统安全保护环境三级系统安全保护环境四级系统安全保护环境和五级系统安全保护环境以及系统互联安全保护环境组成于是, 信息系统等级保护安全建设技术方案设计由一级系统安全保护环境设计二级系统安全保护环境设计三级系统安全保护环境设计四级系统安全保护环境设计和五级系统安全保护环境设计以及系统互联安全保护环境设计组成各级安全计算环境安全区域边界安全通信网络在安全管理中心的统一管控下运行, 各司其职相互配合, 共同构成该级系统的安全保护环境, 确保信息的存储处理和传输安全系统安全保护环境则在跨系统安全管理中心的全系统统一安全策略控制下, 通过设置系统安全互联机制, 实现跨系统的安全互操作和信息安全交换本标准的以下章节对图 1 的各个部分进行了详细描述, 附录 A 是信息系统等级保护访问控制模型的规范性要求, 附录 B 是三级系统安全保护环境设计的资料性说明 5 一级系统安全保护环境设计 5.1 设计目标一级系统安全保护环境的设计目标是 : 落实 GB 对一级系统的安全保护要 2

9 求, 实现定级系统的自主访问控制, 使系统用户对其所属客体具有自我保护的能力 5.2 设计策略一级安全保护环境的设计策略, 应遵循 GB 的 4.1 中通过隔离用户与数据, 使用户具备自主安全保护的能力的相关要求, 以身份鉴别为基础, 提供用户 / 用户组对文件及数据库表的自主访问控制, 提供基本的数据完整性保护和系统安全运行控制, 实现数据保护和系统服务安全一级安全保护环境设计包括一级的安全计算环境设计安全区域边界设计和安全通信网络设计 5.3 计算环境安全设计一级安全计算环境从以下方面进行设计 : a) 用户身份鉴别包括用户标识和用户鉴别在每一个用户注册到系统时, 应采用用户名和用户标识符的方式进行用户标识 ; 在每次用户登录系统时, 应采用一般性的口令鉴别机制进行用户鉴别, 并对口令数据进行保护 b) 自主访问控制应在安全策略控制范围内, 使用户 / 用户组对自己创建的客体具有各种访问操作权限, 并能将这些权限的部分或全部授予其他用户 / 用户组 ; 访问控制主体的粒度应为用户 / 用户组, 客体的粒度应为文件和数据库表 ; 访问操作应包括对客体的创建读写修改和删除等 c) 用户数据完整性保护宜采用各种常规校验机制, 检验安全计算环境存储的用户数据的完整性, 并能发现完整性被破坏的情况 d) 恶意代码防范应安装防恶意代码软件, 并定期进行升级和更新, 以及时防范和清除恶意代码 5.4 区域边界安全设计一级安全区域边界从以下方面进行设计 : a) 区域边界包过滤宜根据区域边界安全控制策略, 由数据包的源地址目的地址传输层协议请求的服务确定是否允许该数据包通过受保护的安全区域边界 b) 恶意代码防范应通过在安全区域边界设置防恶意代码软件, 并定期进行升级和更新, 以防止恶意代码入侵 5.5 通信网络安全设计宜采用各种常规校验机制, 检验网络传输数据的完整性, 并能发现其完整性被破坏的情况 5.6 系统安全集成集成要求应按照上述设计目标和设计策略, 落实一级计算环境安全区域边界安全和通信网络安全的设计要求, 选择符合相应要求的安全产品, 进行一级系统安全保护环境的集成产品类型及功能表 1 是一级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型表 1 一级系统安全保护环境主要产品类型及功能 3

10 使用范围安全功能产品类型用户身份鉴别安全计算环境自主访问控制用户数据完整性保护操作系统数据库管理系统等恶意代码防范主机防病毒软件等 * 区域边界包过滤防火墙网关等安全区域边界区域边界恶意代码防范防病毒网关等 * 安全通信网络网络数据传输完整性保护安全路由器等注 : 其中带 * 的项表示其设备的功能可在信息系统安全建设设计中统一考虑 6 二级系统安全保护环境设计 6.1 设计目标二级系统安全保护环境的设计目标是 : 落实 GB 对二级系统的安全保护要求, 以系统安全审计为核心, 通过增强的身份鉴别更细粒度的自主访问控制以及客体重用等安全机制, 使系统具有核查安全事件等基本安全保护能力 6.2 设计策略二级安全保护环境的设计策略, 应遵循 GB 的 4.2 中通过登录规程审计安全性相关事件和隔离资源, 使用户对自己的行为负责的相关要求, 以身份鉴别为基础, 提供单个用户和 ( 或 ) 用户组对共享文件数据库表等的自主访问控制, 以及系统安全审计客体安全重用用户数据保密性和完整性保护等安全机制二级安全保护环境设计包括二级的安全计算环境设计安全区域边界设计安全通信网络设计和安全管理中心设计 6.3 计算环境安全设计二级安全计算环境从以下方面进行设计 : a) 用户身份鉴别包括用户标识和用户鉴别在对每一个用户注册到系统时, 应采用用户名和用户标识符的方式进行用户标识, 并确保在系统整个生存周期用户标识的唯一性 ; 在每次用户登录系统时, 采用强化管理的口令或具有相应安全强度的其他机制进行用户身份鉴别, 并对鉴别数据进行保密性和完整性保护 b) 自主访问控制应在安全策略控制范围内, 使用户对自己创建的客体具有各种访问操作权限, 并能将这些权限的部分或全部授予其他用户 ; 自主访问控制主体的粒度应为用户级, 客体的粒度应为文件或数据库表级 ; 自主访问操作应包括对客体的创建读写修改和删除等 c) 系统安全审计应能记录系统相关安全事件 ; 审计记录应包括安全事件的主体客体时间类型和结果等内容 ; 应提供审计记录的分类查询和存储保护 ; 应为安全管理中心提供接口 ; 对不能由系统独立处理的安全事件, 应提供可由授权主体调用的接口 d) 用户数据完整性保护应采用各种常规校验机制, 对在安全计算环境中存储和传输的用户数据进行完整性检验, 以发现完整性是否被破坏 e) 用户数据保密性保护可采用密码技术支持的保密性保护机制, 确保安全计算环境中存储和传输的用户数据的保密性 4

11 f) 客体安全重用对于动态管理和使用的客体资源, 应在这些客体资源重新分配前, 对其原使用者的信息进行清除, 以确保信息不被泄漏 g) 恶意代码防范应安装防恶意代码软件, 并及时进行升级和更新, 以防范和清除恶意代码 6.4 区域边界安全设计二级安全区域边界从以下方面进行设计 : a) 区域边界协议过滤应根据区域边界安全控制策略, 通过检查数据包的源地址目的地址传输层协议请求的服务等, 确定是否允许该数据包进出受保护的区域边界 b) 区域边界安全审计应在安全区域边界设置必要的审计机制, 并通过安全管理中心集中管理 c) 区域边界恶意代码防范应在安全区域边界设置防恶意代码网关, 并通过安全管理中心集中管理 d) 区域边界完整性保护应在终端用户系统设置探测软件, 探测用户非法外联的行为, 并及时报告安全管理中心 6.5 通信网络安全设计二级安全通信网络从以下方面进行设计 : a) 通信网络安全审计应在安全通信网络设置必要的审计机制, 并通过安全管理中心集中管理 b) 网络数据传输完整性保护采用由密码技术支持的完整性校验机制或具有相当安全性的其他安全机制, 以实现网络数据传输完整性保护 c) 网络数据传输保密性保护采用由密码技术支持的保密性保护机制或具有相当安全性的其他安全机制, 以实现网络数据传输保密性保护 6.6 安全管理中心设计系统管理应通过系统管理员对系统的资源和运行进行配置控制和管理, 包括 : 用户身份管理, 系统资源配置, 系统加载和启动, 系统运行的异常处理, 数据和设备的备份与恢复以及恶意代码防范等 ; 应对系统管理员进行严格的身份鉴别, 只允许其通过特定的命令或操作界面进行系统管理操作, 并对这些操作进行审计审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理, 包括 : 根据安全审计策略对审计记录进行分类 ; 提供按时间段开启和关闭相应类型的安全审计机制 ; 对各类审计记录进行存储管理和查询等 ; 对安全审计员进行严格的身份鉴别, 并只允许其通过特定的命令或界面进行安全审计操作 6.7 系统安全集成集成要求应按照上述设计目标和设计策略, 落实二级计算环境安全区域边界安全通信网络 5

12 安全以及安全管理中心的设计要求, 选择符合相应要求的安全产品, 进行二级定级系统安全保护环境的集成此外, 系统安全集成还可包括 : 通过设置数据和设备的备份与恢复机制, 支持用户和系统管理员对被破坏或丢失的数据进行恢复, 以及在设备和系统出现故障时进行恢复产品类型及功能表 2 是二级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型表 2 二级系统安全保护环境主要产品类型及功能使用范围安全功能产品类型安全计算环境用户身份鉴别自主访问控制系统安全审计用户数据完整性保护操作系统数据库管理系统安全审计系统 * 等用户数据保密性保护客体安全重用恶意代码防范主机防病毒软件等 * 区域边界协议过滤防火墙网关等区域边界安全审计安全区域边界区域边界恶意代码防范防病毒网关等 * 区域边界完整性保护防非法外联系统安全通信网络网络安全审计网络数据传输完整性保护 VPN 加密机* 安全路由器等网络数据传输保密性保护安全管理中心系统管理审计管理安全管理平台注 : 其中带 * 的项表示其设备的功能可在信息系统安全建设技术方案设计中统一考虑 7 三级系统安全保护环境设计 7.1 设计目标三级系统安全保护环境的设计目标是 : 落实 GB 对三级系统的安全保护要求, 在二级安全保护环境的基础上, 通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制, 使得系统具有在统一安全策略管控下, 保护敏感资源的能力 7.2 设计策略三级安全保护环境的设计策略, 应遵循 GB 的 4.3 中提供有关安全策略模型数据标记以及主体对客体强制访问控制的相关要求, 构造非形式化的安全策略模型, 对主客体进行安全标记, 并以此为基础, 按照访问控制规则实现对所有主体及其所控制的客体的强制访问控制此外, 三级安全保护环境还需相应增强系统的审计能力数据保密性和完整性保护能力三级安全保护环境设计包括三级的安全计算环境设计安全区域边界设计安全通信网络设计和安全管理中心设计 7.3 计算环境安全设计 6 三级安全计算环境从以下方面进行设计 : a) 用户身份鉴别

13 包括用户标识和用户鉴别在每一个用户注册到系统时, 应采用用户名和用户标识符的方式进行用户标识, 并确保在系统整个生存周期用户标识的唯一性 ; 在每次用户登录系统时, 采用强化管理的口令基于生物特征基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别, 并对鉴别数据进行保密性和完整性保护 b) 自主访问控制应在安全策略控制范围内, 使用户对自己创建的客体具有各种访问操作权限, 并能将这些权限的部分或全部授予其他用户 ; 自主访问控制主体的粒度应为用户级, 客体的粒度应为文件或数据库表级和 / 或记录字段级 ; 自主访问操作应包括对客体的创建读写修改和删除等 c) 标记和强制访问控制在对安全管理员进行严格的身份鉴别和权限控制基础上, 由安全管理员通过特定操作界面对主客体进行安全标记 ; 应按安全标记和强制访问控制规则, 对确定主体访问客体的操作进行控制 ; 强制访问控制主体的粒度应为用户级, 客体的粒度应为文件或数据库表级 ; 应确保安全计算环境内所有主客体具有一致的标记信息, 并实施相同的强制访问控制规则 d) 系统安全审计应能记录系统相关安全事件, 并能对特定安全事件进行报警 ; 审计记录应包括安全事件的主体客体时间类型和结果等内容 ; 应提供审计记录的分类统计分析和查询等 ; 应提供审计记录的存储保护, 确保审计记录不被破坏或非授权访问 ; 应为安全管理中心提供接口 ; 对不能由系统独立处理的安全事件, 应提供可由授权主体调用的接口 e) 用户数据完整性保护采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制, 检验安全计算环境中用户数据的完整性, 并在其受到破坏时能对重要数据进行恢复 f) 用户数据保密性保护采用密码技术支持的保密性保护机制或其他具有相当安全强度的保密性保护机制, 对在安全计算环境中的用户数据进行保密性保护 g) 客体安全重用对于动态管理和使用的客体资源, 应在客体资源重新分配前, 对其原使用者的信息进行清除, 以确保信息不被泄漏 h) 系统可执行程序保护宜采用基于密码技术的信任链安全机制, 构建从操作系统到上层应用的信任链, 实现系统运行过程中可执行程序的完整性检验, 并在检测到其完整性受到破坏时, 采取有效的恢复措施, 使其具有防范恶意代码攻击的能力 7.4 区域边界安全设计三级安全区域边界从以下方面进行设计 : a) 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制, 对进出安全区域边界的数据信息进行控制, 阻止非授权访问 b) 区域边界协议过滤应根据区域边界安全控制策略, 通过检查数据包的源地址目的地址传输层协议请求的服务等, 确定是否允许该数据包进出受保护的区域边界 c) 区域边界安全审计应在安全区域边界设置必要的审计机制, 通过安全管理中心集中管理, 并对确认的违规行为及时报警 7

14 d) 区域边界完整性保护应在终端用户系统设置探测软件, 探测用户非法外联的行为, 并及时报告安全管理中心 7.5 通信网络安全设计三级安全通信网络从以下方面进行设计 : a) 通信网络安全审计应在安全通信网络设置必要的审计机制, 通过安全管理中心集中管理, 并对确认的违规行为及时报警 b) 网络数据传输完整性保护采用由密码技术支持的完整性校验机制或具有相当安全强度的其他安全机制, 以实现网络数据传输完整性保护, 并在发现完整性破坏时进行恢复 c) 网络数据传输保密性保护采用由密码技术支持的保密性保护机制或具有相当安全强度的其他安全机制, 以实现网络数据传输保密性保护 d) 网络可信接入宜采用由密码技术支持的可信网络连接机制, 通过对连接到网络的设备进行可信检验, 确保接入网络的设备真实可信, 防止设备的非法接入 7.6 安全管理中心设计系统管理应通过系统管理员对系统的资源和运行进行配置控制和管理, 包括 : 用户身份管理, 系统资源配置, 系统加载和启动, 系统运行的异常处理, 以及支持管理本地和 / 或异地灾难备份与恢复等 ; 应对系统管理员进行严格的身份鉴别, 只允许其通过特定的命令或操作界面进行系统管理操作, 并对这些操作进行审计安全管理应通过安全管理员对系统中的主体客体进行统一标记, 进行系统安全监测, 并为安全计算环境安全区域边界安全通信网络配置统一的安全策略 ; 应对安全管理员进行严格的身份鉴别, 并只允许其通过特定的命令或操作界面进行安全管理操作, 并进行审计审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理, 包括 : 根据安全审计策略对审计记录进行分类 ; 提供按时间段开启和关闭相应类型的安全审计机制 ; 对各类审计记录进行存储管理和查询等 ; 对审计记录进行分析, 并根据分析结果进行处理 ; 对安全审计员进行严格的身份鉴别, 并只允许其通过特定的命令或操作界面进行安全审计操作 7.7 系统安全集成集成要求应按照上述设计目标和设计策略, 落实三级计算环境安全区域边界安全通信网络安全以及安全管理中心的设计要求, 选择符合相应要求的安全产品, 进行三级系统安全保护环境的集成此外, 系统安全集成还应包括 : 通过设置数据和设备的备份与恢复机制, 支持用户和系统管理员对被破坏或丢失的数据进行恢复, 以及在设备和系统出现故障时进行恢复 ; 根据应用对业务连续性的要求, 设置系统级灾难备份与恢复机制, 并支持应急处理产品类型及功能 8

15 表 3 是三级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型表 3 三级系统安全保护环境主要产品类型及功能使用范围安全功能产品类型用户身份鉴别自主访问控制标记与强制访问控制安全操作系统 ( 或安全增强 ) 安全数据安全计算环境系统安全审计库管理系统 ( 或安全增强 ) 安全审计系用户数据完整性保护统 * 等用户数据保密性保护客体安全重用系统可执行程序保护安全操作系统 ( 或安全增强 ) 等区域边界访问控制安全区域边界区域边界协议过滤安全隔离与信息交换系统等区域边界安全审计区域边界完整性保护防非法外联系统网络安全审计 VPN 加密机* 安全路由器等安全通信网络网络数据传输完整性保护网络数据传输保密性保护网络可信接入防非法接入系统安全管理中心系统管理安全管理安全管理平台审计管理注 : 其中带 * 的项表示其设备的功能可在信息系统安全建设技术方案设计中统一考虑 8 四级系统安全保护环境设计 8.1 设计目标四级系统安全保护环境的设计目标是 : 落实 GB 对四级系统的安全保护要求, 将三级系统中的自主和强制访问控制扩展到所有主体与客体, 并相应增强其他安全功能强度四级安全保护环境应对安全功能组件组件互联和重要参数进行结构化设计, 使系统具有抗渗透能力 8.2 设计策略四级安全保护环境的设计策略, 应遵循 GB 的 4.4 中建立于一个明确定义的形式化安全策略模型之上, 将自主和强制访问控制扩展到所有主体与客体, 可信计算基必须结构化为关键保护元素和非关键保护元素, 以及使系统具有相当的抗渗透能力等要求, 基于形式化的安全策略模型, 对系统内的所有主客体进行标记, 并实现扩展到所有主体与客体的强制访问控制机制四级安全保护环境应区分关键的安全部件和非关键的安全部件, 并明确定义安全部件之间的接口, 且通过充分的测试和审核, 从而体现结构化, 保障系统安全功能的有效性此外, 还需要相应增强身份鉴别审计安全管理和系统管理等能力四级安全保护环境设计包括四级的安全计算环境设计安全区域边界设计安全通信网络设计和安全管理中心设计 8.3 计算环境安全设计四级安全计算环境从以下方面进行设计 : 9

16 a) 用户身份鉴别包括用户标识和用户鉴别在每一个用户注册到系统时, 应采用用户名和用户标识符的方式进行用户标识, 并确保在系统整个生存周期用户标识的唯一性 ; 在每次用户登录和重新连接系统时, 采用强化管理的口令基于生物特征数据基于数字证书以及其他具有相应安全强度的两种或两种以上机制的组合进行用户身份鉴别, 且其中一种鉴别技术产生的鉴别数据是不可替代的, 并对鉴别数据进行保密性和完整性保护 b) 自主访问控制将自主访问控制扩展到所有主体与客体, 使用户对自己创建的客体具有各种访问操作权限, 并能将这些权限的部分或全部授予其他用户 ; 自主访问控制主体的粒度应为用户级, 客体的粒度应为文件或数据库表级和 / 或记录字段级 ; 自主访问操作应包括对客体的创建读写修改和删除等 c) 标记和强制访问控制在对安全管理员进行严格的身份鉴别和权限控制基础上, 由安全管理员通过特定操作界面对主客体进行安全标记 ; 将强制访问控制扩展到所有主体与客体 ; 应按安全标记和强制访问控制规则, 对主体访问客体的操作进行控制 ; 强制访问控制主体的粒度应为用户级, 客体的粒度应为文件或数据库表级 ; 应确保安全计算环境内所有主客体具有一致的标记信息, 并实施相同的强制访问控制规则 d) 系统安全审计应能记录系统相关安全事件, 并能对特定安全事件进行实时报警 ; 审计记录应包括安全事件的主体客体时间类型和结果等内容 ; 应提供审计记录的分类统计分析查询审计记录分析和违例进程终止等功能 ; 应提供审计记录的存储保护, 确保审计记录不被破坏或非授权访问以及防止审计记录丢失等功能 ; 应为安全管理中心提供接口 ; 对不能由系统独立处理的安全事件, 应提供可由授权主体调用的接口 e) 用户数据完整性保护采用密码机制支持的完整性校验机制或其他具有相当安全强度的完整性校验机制, 检验安全计算环境中用户数据的完整性, 并在其受到破坏时能对重要数据进行恢复 f) 用户数据保密性保护采用密码技术支持的保密性保护机制或其他具有相当安全强度的保密性保护机制, 对在安全计算环境中的用户数据进行保密性保护 g) 客体安全重用对于动态管理和使用的客体资源, 应在客体资源重新分配前, 对其原使用者的信息进行清除, 以确保信息不被泄漏 h) 系统可执行程序保护应采用基于密码技术的信任链安全机制, 构建从操作系统到上层应用的信任链, 实现系统运行过程中可执行程序的完整性检验, 并在检测到其完整性受到破坏时, 采取有效的恢复措施, 使其具有防范恶意代码攻击的能力 8.4 区域边界安全设计四级安全区域边界从以下方面进行设计 : a) 区域边界访问控制应在安全区域边界设置自主和强制访问控制机制, 对进出安全区域边界的数据信息进行控制, 阻止非授权访问 b) 区域边界协议过滤应根据区域边界安全控制策略, 通过检查数据包的源地址目的地址传输层协议请求的服务等, 确定是否允许该数据包进出受保护的区域边界 10

17 c) 区域边界安全审计应在安全区域边界设置必要的审计机制, 通过安全管理中心集中管理, 对确认的违规行为及时报警并做出相应处置 d) 区域边界完整性保护应在终端用户系统设置探测软件, 探测用户非法外联的行为, 并及时报告安全管理中心 8.5 通信网络安全设计四级安全通信网络从以下方面进行设计 : a) 通信网络安全审计应在安全通信网络设置必要的审计机制, 通过安全管理中心集中管理, 对确认的违规行为及时报警并做出相应处置 b) 网络数据传输完整性保护采用由密码技术支持的完整性校验机制, 以实现网络数据传输完整性保护, 并在发现完整性破坏时进行恢复 c) 网络数据传输保密性保护采用由密码技术支持的保密性保护机制或具有相当安全强度的其他安全机制, 以实现网络数据传输保密性保护 d) 网络可信接入应采用由密码技术支持的可信网络连接机制, 通过对连接到网络的设备进行可信检验, 确保接入网络的设备真实可信, 防止设备的非法接入 8.6 安全管理中心设计系统管理应通过系统管理员对系统的资源和运行进行配置控制和管理, 包括 : 用户身份管理, 系统资源配置, 系统加载和启动, 系统运行的异常处理, 以及支持管理本地和异地灾难备份与恢复等 ; 应对系统管理员进行严格的身份鉴别, 只允许其通过特定的命令或操作界面进行系统管理操作, 并对这些操作进行审计安全管理应通过安全管理员对系统中的主体客体进行统一标记, 进行系统安全监测, 配置统一的安全策略, 并确保标记授权和安全策略的数据完整性 ; 应对安全管理员进行严格的身份鉴别, 并只允许其通过特定的命令或操作界面进行安全管理操作, 并进行审计审计管理应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理, 包括 : 根据安全审计策略对审计记录进行分类 ; 提供按时间段开启和关闭相应类型的安全审计机制 ; 对各类审计记录进行存储管理和查询等 ; 对审计记录进行分析, 并根据分析结果进行及时处理 ; 对安全审计员进行严格的身份鉴别, 并只允许其通过特定的命令或操作界面进行安全审计操作 8.7 安全保证设计安全功能组件结构化保证四级系统安全保护环境各安全功能组件的设计应基于形式化的安全策略模型 ; 安全功能组件应划分关键的和非关键的, 防止安全策略相关信息从关键安全功能组件流向非关键安全功能部件 ; 关键安全功能组件应划分功能层次, 明确定义功能层次间的调用接口, 并建立有序的功能调用关系 11

18 8.7.2 组件互联结构化保证四级系统各安全功能组件之间互联的接口功能及其调用关系应明确定义 ; 各安全功能组件之间互联时, 需要通过可信验证机制相互验证对方的可信性, 确保安全功能组件间的可信连接重要参数结构化保证应对四级系统安全保护环境设计实现的重要数据结构给出明确定义, 包括参数的类型使用描述以及功能说明等 8.8 系统安全集成集成要求应按照上述设计目标和设计策略, 落实四级计算环境安全区域边界安全通信网络安全以及安全管理中心的设计要求, 选择符合相应要求的安全产品, 进行四级系统安全保护环境的集成此外, 系统安全集成还应包括 : 设置系统备份与恢复机制, 支持系统管理员在系统出现故障时进行恢复 ; 根据应用对业务连续性的要求, 设置系统级的本地和异地灾难备份与恢复机制, 制定应急处置和灾难恢复预案并支持应急处理和恢复产品类型及功能表 4 是四级系统安全保护环境集成中各部分的安全功能及可供参考的主要产品类型表 4 四级系统安全保护环境主要产品类型及功能使用范围安全功能产品类型安全计算环境用户身份鉴别自主访问控制标记与强制访问控制系统安全审计用户数据完整性保护安全操作系统安全数据库管理系统安全审计系统 * 等用户数据保密性保护客体安全重用系统可执行程序保护安全操作系统 ( 或安全增强 ) 等区域边界访问控制安全区域边界区域边界协议过滤安全隔离与信息交换系统等区域边界安全审计区域边界完整性保护防非法外联系统网络安全审计安全通信网络网络数据传输完整性保护 VPN 加密机* 安全路由器等网络数据传输保密性保护网络可信接入防非法接入系统安全管理中心系统管理安全管理安全管理平台审计管理注 : 其中带 * 的项表示其设备的功能可在信息系统安全建设技术方案设计中统一考虑 9 五级系统安全保护环境设计 9.1 设计目标 12

19 五级系统安全保护环境的设计目标是 : 落实 GB 对五级系统的安全保护要求, 在四级安全保护环境的基础上, 实现访问监控器, 并支持安全管理职能, 审计机制可根据审计记录即时分析发现安全事件并进行报警, 提供系统恢复机制, 从而使系统具有很强的抗渗透能力 9.2 设计策略五级安全保护环境的设计策略, 应遵循 GB 的 4.5 中访问监控器本身是抗篡改的必须足够小, 能够分析和测试将其复杂性降低到最小程度提供系统恢复机制使系统具有很高的抗渗透能力, 所设计的访问监控器能够进行必要的分析与测试, 使其具有较强的抗篡改能力, 并且访问监控器的设计应尽力降低其复杂性, 并使其不包含不必要的代码等要求五级安全保护环境设计包括五级的安全计算环境设计安全区域边界设计安全通信网络设计和安全管理中心设计, 其设计要求另行制订 10 系统互联安全保护环境设计 10.1 设计目标系统互联安全保护环境的设计目标是 : 在相同等级或不同等级的定级系统之间进行信息交换时, 应按照跨系统安全管理中心统一安全策略控制下, 对相同或不同等级的定级系统之间的互连互通互操作进行安全保护, 确保用户身份的真实性操作的安全性以及抗抵赖性, 并对信息流向进行严格控制, 确保安全计算环境的安全性以及进出安全区域边界的数据的安全性 10.2 设计策略系统互联安全保护环境的设计策略, 应遵循 GB 对各安全等级的相关要求, 在跨系统安全管理中心的统一管理下, 以各个安全等级系统的计算环境安全区域边界安全和通信网络安全为基础, 通过增加全系统安全控制策略, 重点进行互联系统之间互操作和数据交换的安全保护系统安全互联设计包括相同或不同安全等级系统之间互操作的安全设计相同或不同安全等级系统之间数据交换的安全设计和相应的安全审计安全检测和监控设计, 以及跨系统安全管理中心设计等 10.3 互操作安全保护环境设计各级系统之间的互操作, 通常以远程访问的方式实现其安全保护环境设计包括访问控制部分和数据传输保护部分对于访问控制部分, 首先需要对全系统中的主体客体进行统一标记, 并设置统一的访问规则对于数据传输保护部分, 需要按照被传输数据所在系统的安全保护等级, 对跨系统传输数据的通信网络进行相应的安全设计同时, 应对实施跨系统安全管理的安全员进行严格的身份鉴别, 只允许其通过特定的命令或操作界面进行安全管理操作, 并进行相应的安全审计安全检测和监控设计 10.4 数据交换安全保护环境设计各级系统之间的数据交换, 通常以文件传输邮件等方式实现其安全保护环境设计主要是确保通过跨系统通信网络进行数据交换的参与者双方身份的真实性和交换数据的真实性及抗抵赖等实现通信网络数据交换的参与者双方身份的真实性和交换数据的真实性及抗抵赖等, 可以采用以 PKI 为基础的 CA 系统实现或采用具有相当安全性的其他安全机制实现这些安全机制同样应对实施跨系统安全管理的安全员进行严格的身份鉴别, 只允许其通过特定的命令或操作界面进行安全管理操作, 并进行相应的安全审计安全检测和监控设计 10.5 跨系统安全管理中心设计跨系统安全管理中心是整个信息系统的安全管理中心, 通过各级系统安全环境的安全管 13

20 理中心实现对各级系统安全环境的统一管理, 根据业务应用的安全需要, 制定统一的安全策略, 包括 : 对全系统实施统一访问控制策略的主客体进行统一的安全标记 ; 互联系统之间互操作和数据交换的安全保护策略 ; 收集和汇集各级系统安全环境的各类安全相关信息, 对跨系统安全策略的实现机制进行控制和管理 ; 为对全系统安全策略相关的安全机制进行操作管理的安全员提供专用操作界面, 并对安全员进行严格的身份鉴别 14

21 附录 A ( 规范性附录 ) 访问控制模型 A.1 自主访问控制模型计算机信息系统可信计算基定义和控制系统中命名用户 ( 主体 ) 对命名客体的访问, 允许以用户用户组的身份规定并控制客体的共享, 防止非授权用户访问敏感信息系统在初始配置过程中, 安全管理中心首先需要对系统中的用户及客体进行登记命名, 然后根据自主访问控制安全策略, 按照用户对其创建客体的授权命令, 为相关主体授权, 规定主体允许访问的客体, 并形成访问控制列表在用户登录到系统时, 首先对其进行身份鉴别, 经过系统身份认证确认为命名用户后, 用户才能登录到系统, 并启动相应的程序执行当执行程序主体发出访问系统中客体资源的请求后, 自主访问控制安全机制将截获该请求, 然后查询对应的访问控制列表, 如果该请求符合自主访问控制列表规定的权限, 则允许其执行, 否则将拒绝执行, 并将此行为记录在审计信息中图 A.1 自主访问控制模型 A.2 强制访问控制模型计算机信息系统可信计算基根据安全策略, 对确定主体对其所控制的客体的访问实施强制访问控制强制访问控制能够防止非授权访问和越权访问, 能够阻止高安全级别信息向低安全级别范围流动系统在初始配置过程中, 安全管理中心需要对系统中的确定主体及其所控制的客体实施身份管理标记管理授权管理和策略管理身份管理确定系统中所有合法用户的身份工作密钥证书等与安全相关的内容标记管理根据业务系统的需要, 结合客体资源的重要程度, 确定系统中所有客体资源的安全级别及范畴, 生成全局客体安全标记列表, 同时根据用户在业务系统中的权限和角色确定主体的安全级别及范畴, 生成全局主体安全标记列表授权管理是根据业务系统需求和安全状况, 授予用户访问客体资源能力的权限, 生成自主和级 15

22 别调整策略列表策略管理则是根据业务系统的需求, 生成与执行主体相关的策略, 包括自主访问控制策略级别调整策略等除此之外, 安全审计员需要通过安全管理中心制定系统审计策略, 实施系统的审计管理系统在初始执行时, 首先要求用户标识自己的身份, 经过系统身份认证确认为授权主体后, 系统将下载全局主 / 客体安全标记列表及与该主体对应的访问控制列表, 并对其进行初始化当执行程序主体发出访问系统中客体资源的请求后, 系统安全机制将截获该请求, 并从中取出访问控制相关的主体客体操作三要素信息, 然后查询全局主 / 客体安全标记列表, 得到主 / 客体的安全标记信息进而依据强制访问控制策略对该请求实施策略符合性检查如果该请求符合系统强制访问控制策略, 则系统将允许该主体执行资源访问否则, 系统将进行级别调整审核, 即依据级别调整检查策略, 判断发出该请求的主体是否有特权访问该客体如果上述检查通过, 系统同样允许该主体执行资源访问, 否则, 该请求将被系统拒绝执行系统强制访问控制机制在执行安全策略过程中, 需要根据安全审计员制定的审计策略, 对用户的请求及安全决策结果进行审计, 并且将生成的审计信息发送到审计服务器存储, 供安全审计员管理图 A.2 强制访问控制模型 16

23 附录 B ( 资料性附录 ) 三级系统安全保护环境设计实现参考 B.1 总体结构流程根据一个中心管理下的三重保护体系框架, 构建安全保护环境, 形成定级系统的安全保护环境该环境分为如下四个部分 : 安全计算环境安全区域边界安全通信网络和安全管理中心其中安全计算环境又可细分为 :WINDOWS 节点子系统 LINUX 节点子系统和典型应用子系统 ; 而做为整个三级系统安全保护环境的核心, 安全管理中心又可细分为安全管理子系统审计子系统和系统管理子系统 B.1.1 各子系统主要功能三级系统安全保护环境各子系统的主要功能如下 : a) 节点子系统节点子系统通过在操作系统核心层系统层设置以强制访问控制为主体的系统安全机制, 形成了一个严密牢固的防护层, 通过对用户行为的控制, 可以有效防止非授权用户访问和授权用户越权访问, 确保信息和信息系统的保密性和完整性安全, 从而为典型应用子系统的正常运行和免遭恶意破坏提供支撑和保障 b) 区域边界子系统区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查, 确保不会有违背系统安全策略的信息流经过边界, 是三级信息系统的第二道安全屏障 c) 通信网络子系统通信网络子系统通过对通信数据包的保密性和完整性进行保护, 确保其在传输过程中不会被非授权窃听和篡改, 使得数据在传输过程中的安全得到了保障, 是三级信息系统的外层安全屏障 d) 系统管理子系统系统管理子系统负责对安全保护环境中的计算节点安全区域边界安全通信网络实施集中管理和维护, 包括用户身份管理资源管理应急处理等, 为三级信息系统的安全提供基础保障 e) 安全管理子系统安全管理子系统是信息系统的控制中枢, 主要实施标记管理授权管理及策略管理等安全管理子系统通过制定相应的系统安全策略, 并且强制节点子系统区域边界子系统通信网络子系统及节点子系统执行, 从而实现了对整个信息系统的集中管理, 为三级信息系统的安全提供了有力保障 f) 审计子系统审计子系统是系统的监督中枢, 安全审计员通过制定审计策略, 强制节点子系统区域边界子系统通信网络子系统安全管理子系统系统管理子系统执行, 从而实现对整个信息系统的行为审计, 确保用户无法抵赖违背系统安全策略的行为, 同时为应急处理提供依据 g) 典型应用子系统安全保护环境为应用系统 ( 如安全 OA 系统等 ) 提供安全支撑服务通过实施三级安全要求的业务应用系统, 使用安全保护环境所提供的安全机制, 为应用提供符合三级要求的安全功能支持和安全服务以上各子系统之间的逻辑关系如图 B.1 所示 : 计算环境子系统通过在操作系统核心层系统层设置以强制访问控制为主体的系统安全机制, 形成了一个严密牢固的防护层, 通过对用户行为的控制, 可以有效防止非授权用户访问和授权用户越权访问, 确保信息和定级系统的保密性和完整性安全, 从而为典型应用子系 17

24 统的正常运行和免遭恶意破坏提供支撑和保障区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查, 确保不会有违背系统安全策略的信息流经过边界, 是三级系统的第二道安全屏障通信网络子系统通过对通信数据包的保密性和完整性进行保护, 确保其在传输过程中不会被非授权窃听和篡改, 使得数据在传输过程中的安全得到了保障, 是三级系统的外层安全屏障安全管理子系统是三级系统的控制中枢, 主要实施标记管理授权管理及策略管理等安全管理子系统通过制定相应的系统安全策略, 并且强制计算环境子系统区域边界子系统通信网络子系统执行, 从而实现了对整个定级系统的集中管理, 为重要信息的安全提供了有力保障审计子系统是系统的监督中枢, 安全审计员通过实施审计策略, 强制计算环境子系统区域边界子系统通信网络子系统安全管理子系统系统管理子系统执行, 从而实现对整个定级系统的行为审计, 确保用户无法抵赖违背系统安全策略的行为, 同时为应急处理提供依据 18

25 图 B.1 三级系统安全保护环境结构与流程 B.1.2 各子系统主要流程三级系统安全保护环境的结构与流程可以分为安全管理流程与访问控制流程安全管理流程主要由安全管理中心的安全管理员系统管理员和安全审计员通过安全管理中心执行, 分别实施系统维护安全策略制定和部署和审计记录分析和结果响应等策访问控制流程则在系统运行时执行, 实施自主访问控制强制访问控制等 a) 策略初始化流程计算环境子系统在运行之前, 应首先由安全管理员系统管理员和安全审计员通过安全管理中心为其部署相应的安全策略其中, 系统管理员首先需要为定级系统中的所有用户实施身份管理, 即确定所有用户的身份工作密钥证书等, 同时需要为定级系统实施资源管理, 即确定业务系统正常运行需要使用的执行程序等安全管理员需要通过安全管理中心为定级系统中所有主 \ 客体实施标记管理, 即根据业务系统的需要, 结合客体资源的重要程度, 确定其安全级, 生成全局客体安全标记列表, 同时根据用户在业务系统中的权限和角色确定其安全标记, 生成全局主体安全标记列表在此基础上, 安全管理员需要根据系统需求和安全状况, 为主体实施授权管理, 即授予用户访问客体资源能力的权限, 生成访问控制列表和级别调整检查列表除此之外, 安全审计员需要通过安全管理中心中的审计子系统制定系统审计策略, 实施系统的审核管理如果定级系统需要和其它系统进行互联, 则上述初始化流程需要结合跨域管理中心制定的策略执行 b) 计算环境启动流程策略初始化完成后, 授权用户才可以启动并使用计算环境访问定级系统中的客体资源为了确保计算环境的系统完整性, 计算环境子系统在启动时需要对所装载的可执行代码进行可信验证, 确保其在可执行代码预期值列表中, 并且程序完整性没有遭到破坏计算环境自系统启动后, 用户便可以安全地登录系统在此过程中, 系统首先装载代表用户身份唯一标识的硬件令牌, 然后获取其中的用户信息, 进而验证登录用户是否是该计算环境上的授权用户如果检查通过, 系统将请求策略服务器下载与该用户相关的系统安全策略下载成功后, 系统可信计算基将确定执行主体的数据结构, 并初始化用户工作空间此后, 该用户便可以通过启动应用访问定级系统中的客体资源 c) 计算环境访问控制流程用户启动应用形成执行主体后, 将代表用户发出访问本地或网络资源的请求, 该请求将被操作系统访问控制模块截获访问控制模块首先依据自主访问控制策略对其执行策略符合性检查, 如果检查通过, 那么该请求允许将被执行否则访问控制模块将依据强制访问控制策略对该请求执行策略符合性检查如果检查通过, 那么该请求将允许被执行否则, 系统将对其进行级别调整检查, 即依照级别调整检查策略, 判断发出该请求的主体是否有特权访问该客体, 如果上述检查通过, 该请求同样允许被执行, 否则, 该请求将被拒绝执行系统访问控制机制在安全决策过程中, 需要根据安全审计员制定的审计策略, 对用户的请求及决策结果进行审计, 并且将生成的审计信息发送到审计服务器存储, 供安全审计员检查和处理 d) 接入控制流程如果主体和其所请求访问的客体资源不在同一个计算环境, 该请求将会被可信接入模块截获, 用来判断该请求是否会破坏系统安全在进行接入检查前, 模块首先通知系统安全代理获取对方计算环境的身份, 并检验其安全性如果检验结果是不安全的, 则系统将拒绝该请求否则, 系统将依据强制访问控制策略, 判断该主体是否允许访问对的相应端口, 如果检查通过, 该请求将被放行, 否则被拒绝 e) 边界访问控制流程如果主体和其所请求访问的客体资源不在同一个安全保护环境内, 那么该请求必然会被 19

26 区域边界控制设备截获并且进行安全性检查, 检查过程类似于节点访问控制流程 B.2 子系统间接口为了清楚描述各子系统之间的关系, 图 B.2 给出了子系统间的接口关系典型应用子系统 4 Windows Linux 节点子系统节点子系统区域边界子系统通信网络子系统安全管理子系统 3 审计子系统 3 系统管理子系统图 B.2 三级系统安全保护环境子系统接口典型应用子系统与节点子系统之间通过系统调用接口, 其它子系统之间则通过可靠的网络传输协议, 按照规定的接口协议传输策略数据审计数据以及其他保护环境认证数据等由于不同子系统之间需要交换各种类型的数据包, 于是需要明确定义子系统间的接口协议并规范传输数据包格式, 使得他们能够透明交互, 实现相应数据的交换数据包的标准格式如表 B.1 所示表 B.1 子系统间数据包格式标志版本号接口类型 flags 内容长度附加项长度保留数据内容... 附加项类型附加项内容... 数据包分包头附加项和数据包内容三部分, 其中包头为 32 字节, 定义了标志版本号接口类型标记位 (flags) 以及附加信息和内容的长度等内容和附加项长度不定数据包各数据项说明如下 : 标志 (4 字节 ): 用于标识等级保护相关的数据流, 此标志可以作为区别等级保护数据包的依据版本号 (4 字节 ): 表示该接口协议的版本号其中前两个字节表示主版本号,00 为测试版本协议接口类型 (4 字节 ): 表示本数据包的对应接口类型编号 20

27 flags (4 字节 ): 表述数据包属性标志, 如表 B.2 所示表 B.2 数据包属性标志保留 (29 Bits) BRO SIG CHK CHK: 表示数据包是否需要校验,0 为不校验,1 为校验如果需要校验, 校验码在附加项中存放 SIG: 表示数据包是否有签名保护,0 为无签名,1 为有签名如果有签名保护, 签名信息在附加项中附加项长度 (4 字节 ): 表示所有附加项长度之和, 以字节为单位内容长度 (4 字节 ): 表示数据包内容部分长度, 以字节为单位预留 (8 字节 ): 作为数据包扩展保留附加项类型 (4 字节 ): 表示附加项的类型数据包内容 : 数据包传输的具体内容, 格式和数据包类型相关, 长度不定下面按照接口对应的数据包类型介绍数据包内容部分, 表格中不含包头和附加项 B.2.1 接口 1: 安全计算环境 ( 安全区域边界安全通信网络 ) 子系统 --> 安全管理子系统类型 : 请求数据包描述 : 安全计算环境安全区域边界安全通信网络设备启动时, 向安全管理子系统请求下载策略, 该接口为计算环境子系统区域边界子系统通信网络子系统到安全管理子系统之间的接口 ; 功能 : 向安全管理子系统请求下载策略 ; 客户端向服务器发起 TCP 连接, 发出的数据包格式如表 B.3 所示表 B.3 客户端向服务器发出的数据包格式计算环境标志 (1-16 字节 ) 计算环境标志 (17-20 字节 ) 用户名 (1-12 字节 ) 用户名 (13-28 字节 ) 用户名 (29-40 字节 ) 附加信息长度附加信息... B.2.2 接口 2: 安全管理子系统 --> 计算环境 ( 安全区域边界安全通信网络 ) 子系统类型 : 策略下载数据包描述 : 安全管理中心接到下载策略请求后, 向安全计算环境安全区域边界安全通信网络设备发送安全策略 ; 功能 : 安全管理子系统返回与请求主体相关的策略 ; 下发策略的数据包格式如表 B.4 所示表 B.4 安全管理子系统下发策略的数据包格式 21

28 计算环境标志 (1-16 字节 ) 计算环境标志 (17-20 字节 ) 用户名 (1-12 字节 ) 用户名 (13-28 字节 ) 用户名 (29-40 字节 ) 策略类型策略版本 (8 字节 ) 策略项数 (4 字节 ) 保留 (4 字节 ) 下载策略项 1... 下载策略项 2... B.2.3 接口 3: 计算环境 ( 安全区域边界安全通信网络 ) 子系统 --> 审计子系统类型 : 审计信息数据包描述 : 安全计算环境安全区域边界安全通信网络设备向审计子系统发送审计信息 ; 动作 : 安全计算环境安全区域边界安全通信网络设备向审计服务器发送审计信息 ; 所发送的审计信息格式如表 B.5 所示表 B.5 计算环境子系统发送的审计信息格式计算环境标志 (1-16 字节 ) 计算环境标志 (17-20 字节 ) 审计项数 (4 字节 ) 保留第 1 个审计项... 第 2 个审计项... 第 n 个审计项... B.2.4 接口 4: 计算环境子系统 --> 计算环境子系统描述 : 计算环境子系统之间的接口主要实现可信接入可信接入是在执行跨计算环境间访问时, 客体所在计算环境验证主体所在计算环境可信性的过程可信接入需要三步协议执行首先是访问发起方所在计算环境向访问应答方所在计算环境提出可信接入申请包, 应答方所在计算环境验证申请包, 而后向发起方所在计算环境发送可信接入应答包, 由发起方所在计算环境验证应答包成功后, 返回可信接入确认包 ; 功能 : 发起方和应答方验证所在计算环境的可信性 ; 可信接入信息申请包格式如表 B.6 所示 22

29 表 B.6 可信接入信息申请包格式发起方计算环境身份 (1-16 字节 ) 发起方计算环境身份 (17-32 字节 ) 附加项长度 (4 字节 ) 附加项可信接入应答包格式如表 B.7 所示表 B.7 可信接入应答包格式应答方计算环境身份 (1-16 字节 ) 应答方计算环境身份 (17-32 字节 ) 附加项长度 (4 字节 ) 附加项可信接入确认包和应答方结构一样, 具体区别在于附加项 B.3 重要数据结构三级系统安全保护环境设计的重要数据结构如表 B.8 所示表 B.8 重要数据结构编号数据结构名称用途 1 用户身份信息列表用户身份密钥等信息列表 2 主体安全标记列表以此表为依据, 可以利用用户身份查询其标记信息 3 客体安全标记列表以此表为依据, 可以利用客体名查询其标记信息 4 自主访问控制列表确定了主体能够自主访问的客体 5 级别调整策略列表确定了主体能够特权操作的客体 6 审计策略列表确定了系统的审计策略, 即需要对哪些安全事件进行审计 7 审计信息格式审计日志的格式 B.3.1 用户身份信息列表用户身份信息表示用户的用户名所属机构信息公私钥等信息, 以证书方式存放, 证书格式遵循国家标准 GB/T 信息安全技术公钥基础设施数字证书格式, 一般可以存放在安全 U-Key 之类的硬件令牌中, 并通过物理保护机制加以保护 B.3.2 主体安全标记列表 typedef struct SubjectLabel { UINT32 SubNameLength; BYTE * ssubname; UINT32 GroupNameLength; BYTE * sgroupname; BYTE ConfLevel; BYTE InteLevel; BYTE SecClass[8]; BYTE SubType; }Sub_Label; 23

30 主体标记列表如表 B.9 所示表 B.9 主体安全标记列表字段名 SubNameLength ssubname GroupNameLength sgroupname ConfLevel InteLevel 解释主体名长度主体名主体所属组名称长度主体所属组名称用于标识主体的保密性级别用于标识主体的完整性级别 SecClass 表示主体所属的范畴, 共 64 位,8 位标识一个范畴, 总共可以标识 8 个范畴, 从高位到低位范畴级别依次降低 SubType 表示主体类型, 即主体是否是安全管理员系统管理员安全审计员普通操作员进程或设备 B.3.3 客体安全标记列表 typedef struct ObjectLabel { UINT32 ObjNameLength; BYTE * sobjname; BYTE ConfLevel; BYTE InteLevel; BYTE SecClass[8]; BYTE ObjType; } Obj_Label; 客体标记列表如表 B.10 所示表 B.10 客体安全标记列表字段名 ObjNameLength sobjname ConfLevel InteLevel 解释客体名长度客体名称用于标识客体的保密性级别用于标识客体的完整性级别 SecClass 表示客体所属的范畴, 共 64 位,8 位标识一个范畴, 总共可以标识 8 个范畴, 从高位到低位范畴级别依次降低 ObjType 表示客体类型, 即客体是否是系统文件审计文件策略文件业务文件系统服务或设备文件, 以及客体是否需要加密保护 24

31 B.3.4 自主访问控制列表 typedef struct DAC_List { UINT32 SubNameLength; BYTE * ssubname; UINT32 ObjNameLength; BYTE * sobjname; BYTE OperateType; } DAC_Label; 自主访问控制策略数据项的格式如表 B.11 所示表 B.11 自主访问控制策略数据项格式字段名 SubNameLength ssubname ObjNameLength sobjname OperateType 解释主体名长度主体名或主体组名客体名长度客体名操作类型, 分为打开读写添加些执行改名删除等 B.3.5 级别调整策略列表 typedef struct tagpriviledge_list { UINT32 SubNameLength; BYTE * ssubname; UINT32 ObjNameLength; BYTE * sobjname; BYTE OperateType; UINT32 AuthOwnerNameLength; BYTE * sauthownername; } PRIV_Label; 级别调整策略列表如表 B.12 所示表 B.12 级别调整策略列表字段名 SubNameLength ssubname ObjNameLength sobjname OperateType 解释主体名长度主体名或主体所属组名客体名长度客体名操作类型, 分为打开读写添加些执行改名删除等 25

32 AuthOwnerNameLength SauthOwnerName 授权者用户名长度授权者用户名 B.3.6 审计策略列表 typedef struct auditpolicytime { BYTE Year[4]; BYTE Month[2]; BYTE Day[2]; BYTE Hour[2]; BYTE Min[2]; BYTE Sec[2]; BYTE Week[2]; } APTIME; typedef struct tagaudit_policy { UINT16 NodeID; UINT16 itype; UINT16 bret; BYTE bon; APTIME NotBeforeTime; APTIME NotAfterTime; UINT32 Reserved; } Audit_Policy; 审计策略列表如表 B.13 所示表 B.13 审计策略列表字段名 NodeID Itype BRet Bon NotBeforeTime NotAfterTime Reserved 解释事件计算环境编号事件类型, 包括身份认证客体访问或用户行为等事件的操作行为结果及其原因是否开启审计探头审计开始时间审计结束时间保留字段 B.3.7 审计信息格式 typedef struct audit_label { BYTE Name[21]; 26

33 BYTE ConfLevel; BYTE InteLevel; BYTE SecClass[8]; BYTE Type; }ALABEL, *PALABEL; typedef struct tagaudit_record { UINT16 NodeID; UINT16 itype; UINT32 Time; ALABEL SubLabel; ALABEL ObjLabel; UINT16 Bret; Byte Reserved[6]; } Audit_Record; 审计信息格式如表 B.14 所示表 B.14 审计信息格式 NodeID Itype 字段名解释事件计算环境编号事件类型, 包括身份认证客体访问或用户行为等 Time 事件发生时间 (UTC Time 格式 ) SubLabel ObjLabel Bret Reserved 事件发起主体安全标记事件对应客体安全标记事件的操作行为结果及其原因保留字段 27

34 参考文献 [1] GB/T 信息安全技术信息系统安全管理要求 [2] GB/T 信息安全技术网络基础安全技术要求 [3] GB/T 信息安全技术信息系统通用安全技术要求 [4] GB/T 信息安全技术操作系统安全技术要求 [5] GB/T 信息安全技术数据库管理系统安全技术要求 [6] GB/T 信息安全技术服务器安全技术要求 [7] GB/T aaaaa-xxxx 信息安全技术信息系统安全等级保护基本要求 ( 信安字 [2007]12 号 ) [8] GA/T 信息安全技术信息系统安全等级保护基本模型 [9] 公通字 [2007] 43 号信息安全等级保护管理办法 [10] 信息保障技术框架 (3.0 版 ), 美国国家安全局发布, 国家 973 信息与网络安全体系研究课题组组织翻译, 北京中软电子出版社,2004 年 4 月第一版 [11] NIST SP800-XX,National Institute of Standards and Technology 28

等级保护网络的示范系统

等级保护网络的示范系统 ICS 35.040 L80 GB/T XXXXX XXXX 中华人民共和国国家标准 GB/T XXXXX XXXX 信息安全技术信息系统等级保护安全设计技术要求 Information security technology-- Technical requirements of security design for information system classified protection