【文章內(nèi)容簡介】 完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。? 通信完整性：應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。? 通信保密性：應(yīng)對通信過程中的整個(gè)報(bào)文或會話過程進(jìn)行加密。? 抗抵賴：應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。? 軟件容錯(cuò)：應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。? 資源控制：應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制，應(yīng)能夠?qū)σ粋€(gè)訪問帳戶或一個(gè)請求進(jìn)程占用的資源分配最大限額和最小限額，應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警，應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請求進(jìn)程的優(yōu)先級，根據(jù)優(yōu)先級分配系統(tǒng)資源。13 / 43. 數(shù)據(jù)安全分析目前數(shù)據(jù)安全存在的安全隱患， 業(yè)務(wù)數(shù)據(jù)在 傳輸過程中完整性受到破壞，數(shù)據(jù)存儲沒有經(jīng)過加密處理，導(dǎo)致數(shù)據(jù)泄露。數(shù)據(jù)沒有提供備份，導(dǎo)致重要數(shù)據(jù)丟失幾種現(xiàn)象。因此需要在現(xiàn)有數(shù)據(jù)安全上增加以下幾種保護(hù)：? 數(shù)據(jù)完整性：應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完整性受到破壞，并在檢測到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。? 數(shù)據(jù)保密性：應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲保密性。? 備份和恢復(fù)：應(yīng)提供本地?cái)?shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場地；應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)的高可用性。14 / 433. 總體建設(shè)方案. 總體建設(shè)目標(biāo)遵循等級保護(hù)的相關(guān)標(biāo)準(zhǔn)和規(guī)范的要求，結(jié)合信息系統(tǒng)安全建設(shè)實(shí)際狀態(tài)。 針對信息系統(tǒng)中存在的安全隱患進(jìn)行系統(tǒng)建設(shè)，加強(qiáng)信息系統(tǒng)的信息安全保護(hù)能力，使其達(dá)到相應(yīng)等級的等級保護(hù)安全要求。. 總體建設(shè)原則1) 遵循等級保護(hù)的相關(guān)標(biāo)準(zhǔn)和規(guī)范的要求；2) 按照本技術(shù)要求進(jìn)行設(shè)計(jì)，保證系統(tǒng)結(jié)構(gòu)完整，安全要素全面覆蓋；3) 統(tǒng)一規(guī)劃、分步實(shí)施。網(wǎng)絡(luò)與信息安全體系建設(shè)是一個(gè)逐步完善的過程，各單位應(yīng)依據(jù)本技術(shù)要求進(jìn)行統(tǒng)一規(guī)劃，在建設(shè)時(shí)可以根據(jù)信息化的發(fā)展逐步建設(shè)與完善，首先保證重要信息系統(tǒng)的安全；4) 在保證關(guān)鍵技術(shù)實(shí)現(xiàn)的前提下，盡可能采用成熟產(chǎn)品，保證系統(tǒng)的可用性、工程實(shí)施的簡便快捷15 / 43. 安全改造后的信息部署結(jié)構(gòu). 安全保護(hù)體系建設(shè). 建立“一個(gè)中心”管理下的“三重保障體系”為已定級信息系統(tǒng)構(gòu)建安全保護(hù)環(huán)境，是以較低成本實(shí)現(xiàn)其安全保護(hù)能力的合理方式，具有技術(shù)上成熟、產(chǎn)品選擇面寬、無需對業(yè)務(wù)系統(tǒng)進(jìn)行修改的優(yōu)點(diǎn)。安全保護(hù)環(huán)境的核心在于構(gòu)建“一個(gè)中心” 管理下的 “三重防御體系” ?！耙粋€(gè)中心” 是指安全管理中心，包括系統(tǒng)/ 安全管理和審計(jì)管理?！叭胤烙w系 ”包括提供安全 計(jì)算環(huán)境、提供安全區(qū)域 邊界和提供安全通信網(wǎng)絡(luò)。安全計(jì)算環(huán)境可細(xì)分為：節(jié)點(diǎn)子系統(tǒng)和典型應(yīng)用子系統(tǒng)；安全管理中心分為系統(tǒng)/安全管理子系統(tǒng)和審計(jì)子系統(tǒng)。16 / 43安全管理子系統(tǒng)授權(quán)管理 策略管理安全計(jì)算環(huán)境安全區(qū)域邊界策略服務(wù)控制部件仲裁器邊界控制策略應(yīng)用層系統(tǒng)層核心層審計(jì)請求訪問本地 / 網(wǎng)絡(luò)資源應(yīng)用平臺計(jì)算節(jié)點(diǎn) 1 W I N計(jì)算節(jié)點(diǎn) 2 L I N計(jì)算節(jié)點(diǎn) n跨系統(tǒng)安全管理局域網(wǎng)交換機(jī)路由器安全通信網(wǎng)絡(luò)應(yīng)用系統(tǒng)通信網(wǎng)絡(luò)子系統(tǒng)區(qū)域邊界子系統(tǒng)策略符合性檢查級別調(diào)整檢查審計(jì)子系統(tǒng)典型應(yīng)用子系統(tǒng)用戶登錄下載策略訪問控制策略表跨域互連策略審計(jì)管理審計(jì)服務(wù)級別調(diào)整檢查策略表執(zhí)行主體全局客體標(biāo)記表標(biāo)記管理系統(tǒng)管理子系統(tǒng)系統(tǒng)管理用戶身份管理資源管理 應(yīng)急處理數(shù)據(jù)傳輸機(jī)密性保護(hù)數(shù)據(jù)傳輸完整性保護(hù)安全管理中心節(jié)點(diǎn)子系統(tǒng)內(nèi)部代理外部代理三級系統(tǒng)安全保護(hù)環(huán)境專用接口系統(tǒng)管理服務(wù)安全管理執(zhí)行返回圖１第三級系統(tǒng)安全保護(hù)體系結(jié)構(gòu). 建立安全保護(hù)環(huán)境落實(shí) GB 178591999 的 相關(guān)要求，在第二級系統(tǒng)安全保護(hù)環(huán)境的基礎(chǔ)上，構(gòu)造非形式化的安全策略模型，對主、客體進(jìn)行安全標(biāo)記，并以此 為基礎(chǔ)，按照強(qiáng)制訪問控制規(guī)則實(shí)現(xiàn)對所有主體及其客體17 / 43的訪問控制。此外，第三級系統(tǒng)安全保護(hù)環(huán)境還需相應(yīng)增強(qiáng)系統(tǒng)的審計(jì)能力、數(shù)據(jù)保密性和完整性保護(hù)能力。. 建立系統(tǒng)安全互聯(lián)對相同或不同等級的定級系統(tǒng)之間的互聯(lián)、互通、互操作進(jìn)行安全保護(hù)，確保用戶身份的真實(shí)性、操作的安全性以及抗抵賴性，并按安全策略對信息流向進(jìn)行嚴(yán)格控制，確保進(jìn)出安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)（含信息）安全。4. 第三級安全保護(hù)體系建設(shè)方案. 安全計(jì)算環(huán)境建設(shè)進(jìn)行第三級安全計(jì)算環(huán)境建設(shè)重點(diǎn)在于進(jìn)行系統(tǒng)加固、實(shí)現(xiàn)自主訪問控制、 實(shí)現(xiàn)強(qiáng)制訪問控制、實(shí)現(xiàn)系統(tǒng)安全審計(jì)、實(shí)現(xiàn)客體重用并且提供惡意代碼防范的功能。1) 用戶身份鑒別? 應(yīng)支持用戶標(biāo)識和用戶鑒別。在對每一個(gè)用戶注冊到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識符的方式進(jìn)行用戶標(biāo)識，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性；? 在每次用戶登錄系統(tǒng)時(shí)，采用強(qiáng)化管理的口令、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，并對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。18 / 432) 自主訪問控制? 應(yīng)在安全策略控制范圍內(nèi)，使用戶對自己創(chuàng)建的客體具有各種訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。訪問控制主體的粒度為用戶級，客體的粒度為文件或數(shù)據(jù)庫表級和（或）記錄、字段級。訪問操作包括對客體的創(chuàng)建、讀、寫、修改和刪除等。3) 標(biāo)記和強(qiáng)制訪問控制? 在對安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過特定操作界面對主、客體進(jìn)行安全標(biāo)記；? 應(yīng)按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則，對確定主體訪問客體的操作進(jìn)行控制；強(qiáng)制訪問控制主體的粒度應(yīng)為用戶級，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級；? 應(yīng)確保系統(tǒng)安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問控制規(guī)則。4) 系統(tǒng)安全審計(jì)? 應(yīng)記錄系統(tǒng)的相關(guān)安全事件。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、 類型和結(jié)果等內(nèi)容。? 應(yīng)提供審計(jì)記錄查詢、分類、分析和存儲保護(hù)；能對特定安全事件進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授權(quán)訪問。? 應(yīng)為安全管理中心提供接口；對不能由系統(tǒng)獨(dú)立處理的安全事件，提供由授權(quán)主體調(diào)用的接口。5) 用戶數(shù)據(jù)完整性保護(hù)19 / 43? 采用密碼機(jī)制支持的完整性校驗(yàn)機(jī)制或其他具有相當(dāng)安全強(qiáng)度的完整性校驗(yàn)機(jī)制，檢驗(yàn)在系統(tǒng)安全計(jì)算環(huán)境中存儲和傳輸?shù)挠脩魯?shù)據(jù)的完整性，并在其受到破壞時(shí)能夠?qū)χ匾獢?shù)據(jù)進(jìn)行恢復(fù)。6) 用戶數(shù)據(jù)保密性保護(hù)? 采用密碼技術(shù)支持的保密性保護(hù)機(jī)制或其他具有相當(dāng)安全強(qiáng)度的保密性保護(hù)機(jī)制，對在安全計(jì)算環(huán)境中存儲和傳輸?shù)挠脩魯?shù)據(jù)進(jìn)行保密性保護(hù)。7) 客體安全重用? 對于動態(tài)管理和使用的客體資源，應(yīng)在該客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄漏。8) 程序可信執(zhí)行保護(hù)? 可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，其中可采用可信計(jì)算技術(shù)，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)采取有效的恢復(fù)措施。參照上述第三級系統(tǒng)安全保護(hù)環(huán)境的安全計(jì)算環(huán)境的安全技術(shù)要素，實(shí)現(xiàn)安全 計(jì)算環(huán)境安全功能。需安裝如下軟件系統(tǒng)：. 部署三級操作系統(tǒng)進(jìn)行操作系統(tǒng)加固不僅需要對服務(wù)器的操作系統(tǒng)進(jìn)行加固，并20 / 43且需要對用戶操作終端計(jì)算機(jī)進(jìn)行系統(tǒng)加固。在本方案中，通過部署由我公司提供的安全操作系統(tǒng)實(shí)現(xiàn)強(qiáng)化管理的口令以及基于生物特征或數(shù)字證書的雙因子身份認(rèn)證，自主訪問控制以及標(biāo)記和強(qiáng)制訪問控制、程序可信執(zhí)行保護(hù)等安全保護(hù)要求.. 部署系統(tǒng)安全審計(jì)系統(tǒng)安全計(jì)算環(huán)境的系統(tǒng)安全審計(jì)主要是對服務(wù)器、安全終端的系統(tǒng)安全事件進(jìn)行審計(jì)。在本方案中通過在各服務(wù)器以及安全終端部署系統(tǒng)安全審計(jì)探頭，對重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等記錄的日期和時(shí)間、用戶、事件類型、事件是否成功等進(jìn)行記錄，并可以將這些記錄轉(zhuǎn)換為標(biāo)準(zhǔn)格式，通過審計(jì) 代理將審計(jì)記錄提交給審計(jì)管理中心。并且可以依據(jù)審計(jì)控制策略，對特定安全事件進(jìn)行報(bào)警。. 部署客體重用系統(tǒng)對使用的客體資源進(jìn)行監(jiān)控、管理，在該客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄漏。1) 內(nèi)存重用? 掛載內(nèi)存釋放系統(tǒng)調(diào)用，截獲系統(tǒng)響應(yīng)系統(tǒng)調(diào)用的所有參數(shù)，包括所需虛擬內(nèi)存的起始地址和大小，從而鉤子可以通過這些信息來清零相應(yīng)內(nèi)存中的信息。? 鉤子在清零內(nèi)存時(shí)，要對原來的地址進(jìn)行映射，并保證通過21 / 43此映射能對相應(yīng)的內(nèi)存寫入全零。2) 文件重用? 掛載文件刪除系統(tǒng)調(diào)用，截獲相應(yīng)系統(tǒng)調(diào)用的所有參數(shù)，包括所需的文件的全路徑、文件名、文件分配的空間大小，從而鉤子可以通過這些信息來清零相應(yīng)文件中的剩余信息。? 調(diào)用內(nèi)核寫文件的函數(shù)，向相應(yīng)文件寫入全零，并向低層文件驅(qū)動發(fā)送請求包,將所有內(nèi)存緩沖區(qū)中的數(shù)據(jù)（全零數(shù)據(jù)）同步的覆蓋到上述文件中去后，再調(diào)用原刪除文件的函數(shù)將文件刪除。. 部署文檔加密系統(tǒng)通過確保電腦硬盤上的每一份涉密資料均為密文狀態(tài)，從源頭上解決一切通過其它方式泄密的可能。同時(shí)為企業(yè)中各用戶搭建一個(gè)互相之間可以自由流通，無縫集成的數(shù)據(jù)交流平臺。在這個(gè)前提下，不需要用戶作任何額外的操作，就能實(shí)現(xiàn)對重要數(shù)據(jù)進(jìn)行保護(hù)而且不對他們原本的日常操作習(xí)慣有任何影響。具體地可以細(xì)化為以下幾條：? 特定的文件（并非所有的文件）在生成（或保存）之時(shí)，就應(yīng)該被加密，且加密要由計(jì)算機(jī)自動地進(jìn)行，不能依靠人工執(zhí)行。? 文件的加密和解密，不能依賴人工設(shè)定的密碼或口令。? 被加密的文件在涉密計(jì)算機(jī)打開之時(shí)，就應(yīng)該被解密，且解密要由計(jì)算機(jī)自動地進(jìn)行，無需人工干預(yù)，文件的使用者也22 / 43無需知道“加密文檔安全管理系統(tǒng)碼”。? 在未授權(quán)情況下，被加密的文件無法被非涉密計(jì)算機(jī)打開，就算電腦主機(jī)或硬盤被偷出公司，得到者也無法打開電腦主機(jī)或者硬盤上的資料。? 如果企業(yè)需要外發(fā)圖紙，必須要有特定的審批流程，經(jīng)過審批允許外發(fā)后，有專人解密，將密文狀態(tài)的圖紙轉(zhuǎn)換成明文狀態(tài)的圖紙后帶出，并有詳細(xì)的日志方便日后追查。. 安全通信網(wǎng)絡(luò)建設(shè)在第三級系統(tǒng)安全保護(hù)環(huán)境中的安全網(wǎng)絡(luò)建設(shè)主要在于實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)，并依據(jù)客戶實(shí)際應(yīng)用的要求為用戶的網(wǎng)絡(luò)數(shù)據(jù)傳輸提供完整性、保密性保護(hù)以及提供可信接入控制。1) 通信網(wǎng)絡(luò)安全審計(jì)? 應(yīng)在安全通信網(wǎng)絡(luò)設(shè)置必要的審計(jì)機(jī)制，由安全管理中心集中管理，并對確認(rèn)的違規(guī)行為及時(shí)報(bào)警。2