发布时间 : 星期日 文章信息系统等级保护安全设计技术要求 (报批稿)更新完毕开始阅读a84ba79c83d049649b665876
第四级安全区域边界从以下方面进行安全设计:
a) 区域边界访问控制
应在安全区域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问。
b) 区域边界包过滤
应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界。
c) 区域边界安全审计
应在安全区域边界设置审计机制,通过安全管理中心集中管理,对确认的违规行为及时报警并做出相应处置。
d) 区域边界完整性保护
应在区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。
8.3.3 安全通信网络设计技术要求
第四级安全通信网络从以下方面进行安全设计:
a) 通信网络安全审计
应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警,且做出相应处置。
b) 通信网络数据传输完整性保护
应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复。
c) 通信网络数据传输保密性保护
采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
d) 通信网络可信接入保护
应采用由密码等技术支持的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入。
8.3.4 安全管理中心设计技术要求 8.3.4.1 系统管理
应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等。
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
8.3.4.2 安全管理
应通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略,并确保标记、授权和安全策略的数据完整性。应对安全管理员进行身份鉴别,只允许其通过特定的命令或
操作界面进行安全管理操作,并进行审计。
8.3.4.3 审计管理
应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、
管理和查询等。对审计记录应进行分析,并根据分析结果进行及时处理。
应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
8.3.5 系统安全保护环境结构化设计技术要求
8.3.5.1 安全保护部件结构化设计技术要求
第四级系统安全保护环境各安全保护部件的设计应基于形式化的安全策略模型。安全保护部件应划分为关键安全保护部件和非关键安全保护部件,防止违背安全策略致使敏感信息从关键安全保护部件流向
非关键安全保护部件。关键安全保护部件应划分功能层次,明确定义功能层次间的调用接口,确保接口之间的信息安全交换。
8.3.5.2 安全保护部件互联结构化设计技术要求
第四级系统各安全保护部件之间互联的接口功能及其调用关系应明确定义;各安全保护部件之间互联时,需要通过可信验证机制相互验证对方的可信性,确保安全保护部件间的可信连接。
8.3.5.3 重要参数结构化设计技术要求
应对第四级系统安全保护环境设计实现的与安全策略相关的重要参数的数据结构给出明确定义,包括参数的类型、使用描述以及功能说明等,并用可信验证机制确保数据不被篡改。
9 第五级系统安全保护环境设计
9.1 设计目标
第五级系统安全保护环境的设计目标是:按照GB 17859-1999对第五级系统的安全保护要求,在第四级系统安全保护环境的基础上,实现访问监控器,仲裁主体对客体的访问,并支持安全管理职能。审计
机制可根据审计记录及时分析发现安全事件并进行报警,提供系统恢复机制,以使系统具有更强的抗渗透能力。
9.2 设计策略
第五级系统安全保护环境的设计策略是:遵循GB 17859-1999的4.5中“访问监控器本身是抗篡改的;必须足够小,能够分析和测试”。在设计和实现访问监控器时,应尽力降低其复杂性;提供系统恢复机
制;使系统具有更强的抗渗透能力;所设计的访问监控器能进行必要的分析与测试,具有抗篡改能力。 第五级系统安全保护环境的设计通过第五级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。
9.3 设计技术要求
第五级系统安全保护环境设计技术要求另行制定。
10 定级系统互联设计
10.1 设计目标
定级系统互联的设计目标是:对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保护,确保用户身份的真实性、操作的安全性以及抗抵赖性,并按安全策略对信息流向进行严格控制,确保
进出安全计算环境、安全区域边界以及安全通信网络的数据安全。
10.2 设计策略
定级系统互联的设计策略是:遵循GB 17859-1999对各级系统的安全保护要求,在各定级系统的计算环境安全、区域边界安全和通信网络安全的基础上,通过安全管理中心增加相应的安全互联策略,保持
用户身份、主/客体标记、访问控制策略等安全要素的一致性,对互联系统之间的互操作和数据交换进行安全保护。
10.3 设计技术要求
10.3.1 安全互联部件设计技术要求
应通过通信网络交换网关与各定级系统安全保护环境的安全通信网络部件相连接,并按互联互通的安全策略进行信息交换,实现安全互联部件。安全策略由跨定级系统安全管理中心实施。
10.3.2 跨定级系统安全管理中心设计技术要求
应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连,主要实施跨定级系统的系统管理、安全管理和审计管理。
10.3.2.1系统管理
应通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资源和运行进行配置和管理,包括用户身份管理、安全互联部件资源配置和管理等。
10.3.2.2安全管理
应通过安全管理员对相同和不同等级的定级系统中与安全互联相关的主/客体进行标记管理,使其标记能准确反映主/客体在定级系统中的安全属性;对主体进行授权,配置统一的安全策略,并确保授权在
相同和不同等级的定级系统中的合理性。
10.3.2.3审计管理
应通过安全审计员对安全互联部件的安全审计机制、各定级系统的安全审计机制以及与跨定级系统互联有关的安全审计机制进行集中管理。包括根据安全审计策略对审计记录进行分类;提供按时间段开启
和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。对审计记录应进行分析,并根据分析结果进行及时处理。
附录A (资料性附录)
访问控制机制设计
A.1 自主访问控制机制设计
系统在初始配置过程中,安全管理中心首先需要对系统中的主体及客体进行登记命名,然后根据自主访问控制安全策略,按照主体对其创建客体的授权命令,为相关主体授权,规定主体允许访问的客体和
操作,并形成访问控制列表。自主访问控制机制结构如图A.1所示。
用户登录系统时,首先进行身份鉴别,经确认为合法的注册用户可登录系统,并执行相应的程序。当执行程序主体发出访问系统中客体资源的请求后,自主访问控制安全机制将截获该请求,然后查询对应
访问控制列表。如果该请求符合自主访问控制列表规定的权限,则允许其执行;否则将拒绝执行,并将此行为记录在审计记录中。