第三級等級保護信息系統的安全設計

韓 穎，吳文敬

(工業和信息化部電信規劃研究院，北京 100037)

0 引言

安全保障系統是信息系統建設的重要組成部分，特別是重要信息系統的建設，應根據國家信息安全等級保護制度要求，進行系統定級、安全規劃與設計、等級測評、備案等工作。在信息系統建設的前期定級和規劃設計階段，主要依據《信息系統安全等級保護定級指南》、《信息系統安全等級保護基本要求》（以下簡稱《基本要求》）等管理規范和標準，同步建設符合相應等級要求的信息安全設施[1]。

信息系統安全保護等級分為五級[2]，由于實踐中很多重要信息系統多按照三級保護要求進行建設，同時三級安全系統建設具有一定的復雜性，因此文中重點研究第三級安全措施。

1 設計方法和流程

信息系統的安全保障系統的設計應首先明確系統的安全需求，主要通過對信息系統的架構、承載的業務、系統定級等的綜合分析確定系統的安全風險[3]和防護需求，依據相應等保基本要求，并平衡安全、成本和效率之間的關系，確定安全保護措施。隨著系統和業務的發展，安全系統也應不斷完善。安全保障系統的設計流程如圖1所示。

在設計之初需要了解安全現狀、安全需求，對系統基本情況和業務特點進行分析。安全現狀包括是否有可依托的基礎安全措施、整體安全規劃、存在問題等，了解信息系統保護等級或定級傾向；系統分析內容包括系統邊界、網絡結構、網絡處理能力、系統組成及設備部署、系統的管理框架等[4]；業務分析內容包括用戶范圍和類型、業務應用種類和特性、安全關注點等。通過以上分析得出系統面臨的安全風險和安全需求，同時結合建設方需求（建設范圍和內容、建設期、投資、額外/特殊安全需求等），確定系統的安全方案。

圖1 安全保障系統設計流程

信息系統的定級工作應在總體安全規劃、設計之前進行，對于新建信息系統未確定安全等級情況，為了合理規劃設計安全保障系統方案，應建議建設方盡快開展定級工作。

2 第三級基本要求

第三級基本要求在技術上包括5個方面：物理安全、主機安全、網絡安全、應用安全和數據安全[5]，詳見《基本要求》，這里總結了三級系統在二級系統基礎上增加的主要安全要求。

1）物理安全：包括物理位置的選擇、物理訪問控制和防盜、防火、防水、防雷、溫濕度控制、電力供應、防靜電和電磁防護。三級系統主要在環境安全、物理訪問控制和防盜竊防破壞等方面較二級系統應有所加強，例如重要區域配置電子門禁系統，機房設置防盜報警系統和設置火災自動消防系統等。

2）網絡安全：包括結構安全、安全審計、訪問控制、邊界完整性檢查、惡意代碼防范、入侵防范和網絡設備防護等。三級要求主要增強點：結構安全擴展到對重要網段采取可靠的技術隔離，在網絡邊界增加對惡意代碼檢測和清除；安全審計增強審計數據分析和保護，生成審計報表；訪問控制擴展到對進出網絡的信息內容過濾，實現應用層HTTP、FTP、TELNET等協議命令級的控制；邊界防護應能夠對非授權設備私自聯到內部網絡的行為進行檢查和有效阻斷；主要網絡設備要求采用兩種或兩種以上組合的鑒別技術實現身份鑒別；在網絡入侵防范方面不僅能夠被動的防護，還應能主動發出報警。

3）主機安全：包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等。三級要求主要增強點：身份鑒別要求對管理用戶采用組合鑒別技術；通過設置敏感標記加強對重要信息資源的訪問控制；安全審計應對記錄數據進行分析、生成報表，保護審計進程；入侵防范應能檢測到對重要服務器的入侵行為，并報警，保證重要程序的完整性；對惡意代碼的防范應與網絡防惡意代碼產品異構。

4）應用安全：包括身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等。三級要求主要增強點：身份鑒別要求組合鑒別技術；訪問控制和安全審計基本同主機安全增強要求；要求對通信過程中的整個報文或會話過程進行加密，采用密碼技術保證通信過程中數據的完整性；增加抗抵賴要求，為數據原發者或接收者提供數據原發證據或接收證據；應用軟件容錯能力和資源控制方面要求也有所增強。

5）數據安全：包括數據完整性和保密性、數據的備份和恢復。三級要求主要增強點：對系統管理數據、鑒別信息和重要業務數據在存儲過程和傳輸過程中完整性進行檢測和恢復，采用加密或其他有效措施實現以上數據傳輸和存儲的保密性；提供異地數據備份等。

3 設計方案

安全保障系統的設計應根據系統或設備所處的物理位置、網絡拓撲、網絡脆弱性等劃分安全域，并制定相應的安全策略，對安全薄弱環節預先保護，對安全事件能夠實時監控，并能針對遭受到的威脅進行實時響應，保證信息的安全和系統連續正常的運行。通過分析《基本要求》，第三級保護系統的基本安全措施主要包括：

1）物理場所安全設計應結合系統建設的需求，制定物理場所安全保障策略和技術措施，提高場所安全性和可靠性。此部分建設內容一般在機房或場所裝修時統一考慮。

2）劃分網絡邊界和安全區域，部署安全設備。

3）根據安全要求和安全策略，在具體實施時對邊界控制設備、主要網絡設備、操作系統和數據庫系統等進行安全加固配置。

4）應用系統軟件開發時應按照安全要求實現相應的安全要素。

按照《基本要求》，除了安全加固配置和應用軟件開發安全，三級系統應具有的基本安全技術框架如圖2所示。

圖2 三級系統基本安全技術框架

圖2中加下劃線的部分表示三級系統相對二級系統需要增加的措施。

三級保護系統應考慮部署的安全設備主要包括：

1）在網絡出口、服務器區域及其他重要網段等各邊界部署防火墻類邊界隔離設備，對網絡邊界或區域邏輯隔離，實現網絡層的訪問控制。

2）在網絡邊界部署防病毒網關，在服務器、終端設備上安裝網絡防病毒系統(要求與防病毒網關具有不同的惡意代碼庫)。

3）在網絡中的關鍵點部署入侵檢測系統(IDS)或入侵防御系統（IPS）實時監控和分析網絡數據流及網絡行為，即時發現各種惡意和可疑行為，提供及時的報警及響應。

4）部署綜合安全審計系統，實現網絡安全審計、業務審計和日志審計等功能。

5）通過終端安全管理系統或主機監控與審計系統，實現邊界完整性檢查和終端的安全管理。

6）主要網絡設備、應用系統、主機系統等應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別。通常在用戶名密碼方式基礎上，增加第二種身份鑒別方式，如采用CA數字證書身份認證系統、動態電子令牌身份認證系統等認證方式。

7）根據《基本要求》的三級管理要求應建立安全管理中心，對設備狀態、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。可以部署SOC系統，實現統一安全配置、統一安全策略、統一安全管理等功能。

此外，根據系統業務特點及安全需求，可選的其他安全部署包括：

8）部署VPN網關，保證數據在傳輸過程中的完整性和保密性。

9）部署漏洞掃描系統，對管理的所有支持TCP/IP協議的設備進行漏洞掃描，通過補丁分發系統修補操作系統和應用系統的漏洞。

10）對于通過網站面向公眾提供服務的系統應部署應用層防火墻或網頁防篡改系統等，對 WEB服務器進行保護。

11）對關鍵服務器部署主機加固系統，加強訪問控制，提高服務器的自身安全性。

4 結語

《基本要求》是不同安全保護等級信息系統的最低保護要求，以上提出的也是第三級保護系統應考慮的基本安全保障措施[6-9]，對于具體建設項目，還應結合安全風險評估、技術發展、實際建設需求，并參考其他信息安全標準進行補充或調整。

同時，安全體系的建立是全方位多因素制約的復雜過程，存在許多非技術因素同樣對安全起重要的作用。安全保障系統的建設除了滿足相關技術要求，更應注重安全管理要求。為保障安全措施的有效運行，應基于信息安全等級保護技術規范的要求和安全管理部門的相關規定，建立完善的安全制度體系，包括安全管理的組織機構、人員、規章制度等，并在安全制度的支撐下，實施安全管理。

[1] 公安部，國家保密局，國家密碼管理局.信息安全等級保護管理辦法(公通字[2007]43號)[S].[出版地不詳]:[出版者不詳],2007.

[2] GB/T 22240－2008，信息系統安全等級保護定級指南[S].北京：中國國家標準化管理委員會:1-8.

[3] GB/Z 24364－2009，信息安全風險管理指南[S].北京：中國國家標準化管理委員會:27-31.

[4] 信息系統安全等級保護實施指南（報批稿）[S].北京：中國國家標準化管理委員會:1-17.

[5] GB/T 22239－2008，信息系統安全等級保護基本要求[S].北京：中國國家標準化管理委員會:1-27.

[6] 吳濤.建設符合等級保護要求的信息安全體系——電子政務信息系統等級保護工作的研究與探索[J].通信技術，2008,41(09):190-192.

[7] 劉輝，葛淑杰，韓微微.數字化校園信息安全防護體系的設計[J].通信技術，2009,42(02):272-274.

[8] 翟亞紅.淺析信息安全風險評估與等級保護的關系[J].信息安全與通信保密，2011(04):80-81.

[9] 何新華.淺談企業等保建設總體規劃[J].信息安全與通信保密，2011(10):52-54.