GBT xxxxx-xxxx信息系统等级保护安全设计技术要求.pdf
《GBT xxxxx-xxxx信息系统等级保护安全设计技术要求.pdf》由会员分享,可在线阅读,更多相关《GBT xxxxx-xxxx信息系统等级保护安全设计技术要求.pdf(30页珍藏版)》请在文库网上搜索。
1、 ICS 35.040 L80 GB/T XXXXXXXXX GB/T XXXXXXXXX 信息安全技术 信息系统等级保护安全设计 技术要求 Information security technology- Technical requirements of security design for information system classified protection (报批稿) X X X X - 发布 X X X X - 实施 中华人民共和国国家质量监督检验检疫总局中华人民共和国国家质量监督检验检疫总局 中中 国国 国国 家家 标标 准准 化化 管管 理理 委委 员员 会会中 华
2、 人 民 共 和 国 国 家 标 准中 华 人 民 共 和 国 国 家 标 准 发 布 GB/T XXXXXXXXX I 目 次 前 言 . II 引 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义. 1 4 信息系统等级保护安全技术设计概述 . 2 5 第一级系统安全保护环境设计 . 3 5.1 设计目标 . 3 5.2 设计策略 . 3 5.3 设计技术要求 . 3 6 第二级系统安全保护环境设计 . 3 6.1 设计目标 . 3 6.2 设计策略 . 4 6.3 设计技术要求 . 4 7 第三级系统安全保护环境设计 . 5 7.1 设计目标 . 5 7.2
3、设计策略 . 5 7.3 设计技术要求 . 6 8 第四级系统安全保护环境设计 . 8 8.1 设计目标 . 8 8.2 设计策略 . 8 8.3 设计技术要求 . 8 9 第五级系统安全保护环境设计 . 10 9.1 设计目标 . 10 9.2 设计策略 . 10 9.3 设计技术要求 . 11 10 定级系统互联设计 . 11 10.1 设计目标 . 11 10.2 设计策略 . 11 10.3 设计技术要求 . 11 附录 A . 12 (资料性附录). 12 访问控制机制设计 . 12 A.1 自主访问控制机制设计 . 12 A.2 强制访问控制机制设计 . 12 附录 B . 14
4、(资料性附录). 14 第三级系统安全保护环境设计示例 . 14 B.1 功能与流程 . 14 B.2 子系统间接口 . 16 B.3 重要数据结构 . 19 参考文献 . 24 GB/T XXXXXXXXX II 前 言 (略)GB/T XXXXXXXXX III 引 言 中华人民共和国计算机信息系统安全保护条例 (国务院令第 147 号)明确规定我国“计算机信息系统实行安全等级保护” 。依据国务院 147 号令要求制订发布的强制性国家标准计算机信息系统安全保护等级划分准则 (GB17859-1999)为计算机信息系统安全保护等级的划分奠定了技术基础。 国家信息化领导小组关于加强信息安全保障
5、工作的意见 (中办发200327 号)明确指出实行信息安全等级保护, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度” 。 关于信息安全等级保护工作的实施意见 (公通字200466 号)和信息安全等级保护管理办法 (公通字200743 号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。 上述信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准依据。 2007 年 7 月全国开展
6、重要信息系统等级保护定级工作,标志着信息安全等级保护工作在我国全面展开。在开展信息安全等级保护定级和备案工作基础上,各单位、各部门正在按照信息安全等级保护有关政策规定和技术标准规范, 开展信息系统安全建设和加固工 作 , 建立、 健全信息安全管理制度, 落实安全保护技术措施, 全面贯彻落实信息安全等级保护制度。为了配合信息系统安全建设和加固工作,特制订本标准。 本标准规范了信息系统等级保护安全设计技术要求, 包 括 第一级至第五级系统安全保护环境的安全计算环境、 安全区域边界、 安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求。涉及物理安全、安全管理、安全运维等方
7、面的要求分别参见参考文献9 、 2 、 7 、 10等。进行安全技术设计时,要根据信息系统定级情况,确定相应安全策略,采取相应级别的安全保护措施。 在第五章至第九章中, 每一级系统安全保护环境设计比较低一级系统安全保护环境设计所增加和增强的部分,用“黑体黑体”表示。 GB/T XXXXXXXXX 1 信息安全技术 信息系统等级保护安全设计技术要求 1 范围 本标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求。 本标准适用于指导信息系统运营使用单位、 信息安全企业、 信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施, 也可作为信息安全职能部门进行监督、 检查
8、和指导的依据。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。 凡是注日期的引用文件, 其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件, 其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 3 术语和定义 GB 17859-1999 确立的以及下列术语和定义适用于本标准。 3.1 定级系统 classified system 按照参考文献11已确定安全保护等级的信息系统。定级系统分为第一级、第二级、第三级、第四级和第五级信
9、息系统。 3.2 定级系统安全保护环境 security environment of classified system 由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。 定级系统安全保护环境包括第一级系统安全保护环境、 第二级系统安全保护环境、 第三级系统安全保护环境、 第四级系统安全保护环境、 第五级系统安全保护环境以及定级系统的安全互联。 3.3 安全计算环境 secure computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 安全计算环境按照保护能力划分为第一级安全计算环境、 第二级安全
10、计算环境、 第三级安全计算环境、第四级安全计算环境和第五级安全计算环境。 3.4 安全区域边界 secure area boundary 对定级系统的安全计算环境边界, 以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。 安全区域边界按照保护能力划分为第一级安全区域边界、 第二级安全区域边界、 第三级安全区域边界、第四级安全区域边界和第五级安全区域边界。 GB/T XXXXXXXXX 2 3.5 安全通信网络 secure communication network 对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 安全通信网络按照保护能力划分第一级安全通信网
11、络、 第二级安全通信网络、 第三级安全通信网络、第四级安全通信网络和第五级安全通信网络。 3.6 安全管理中心 security management center 对定级系统的安全策略及安全计算环境、 安全区域边界和安全通信网络上的安全机制实施统一管理的平台。 第二级及第二级以上的定级系统安全保护环境需要设置安全管理中心, 称为第二级安全管理中心、第三级安全管理中心、第四级安全管理中心和第五级安全管理中心。 3.7 跨定级系统安全管理中心 security management center for cross classified system 跨定级系统安全管理中心是对相同或不同等级的定
12、级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。 3.8 定级系统互联 classified system interconnection 通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。 4 信息系统等级保护安全技术设计概述 信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计,如图 1 所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。 第一级系统安全保护环境第一级安全通信网络第一级安全
13、区域边界第一级安全计算环境第二级系统安全保护环境第二级安全管理中心第二级安全通信网络第二级安全区域边界第二级安全计算环境第三级系统安全保护环境第三级安全管理中心第三级安全通信网络第三级安全区域边界第三级安全计算环境第四级系统安全保护环境第四级安全管理中心第四级安全通信网络第四级安全区域边界第四级安全计算环境第五级系统安全保护环境第五级安全管理中心第五级安全通信网络第五级安全区域边界第五级安全计算环境 定级系统互联跨定级系统安全管理中心/安全互联部件 图 1 信息系统等级保护安全技术设计框架 本标准以下章节, 对图 1 各个部分提出了相应的设计技术要求 (第五级信息安全保护环境的设计要求除外)
14、。附录 A 给出了访问控制机制设计,附录 B 给出了第三级系统安全保护环境设计示例。 GB/T XXXXXXXXX 3 5 第一级系统安全保护环境设计 5.1 设计目标 第一级系统安全保护环境的设计目标是: 按照 GB 17859-1999 对第一级系统的安全保护要求,实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力。 5.2 设计策略 第一级系统安全保护环境的设计策略是:遵循 GB 17859-1999 的 4.1 中相关要求,以身份鉴别为基础,提供用户和(或)用户组对文件及数据库表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域
15、边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。 第一级系统安全保护环境的设计通过第一级的安全计算环境、 安全区域边界以及安全通信网络的设计加以实现。 5.3 设计技术要求 5.3.1 安全计算环境设计技术要求 第一级安全计算环境从以下方面进行安全设计: a) 用户身份鉴别 应支持用户标识和用户鉴别。在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护。 b) 自主访问控制 应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/
16、用户组。访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、 写、 修改和删除等。 c) 用户数据完整性保护 可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。 d) 恶意代码防范 应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以防范和清除恶意代码。 5.3.2 安全区域边界设计技术要求 第一级安全区域边界从以下方面进行安全设计: a) 区域边界包过滤 可根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。 b) 区域边界恶意代
17、码防范 可在安全区域边界设置防恶意代码软件,并定期进行升级和更新,以防止恶意代码入侵。 5.3.3 安全通信网络设计技术要求 a) 通信网络数据传输完整性保护 可采用常规校验机制,检验通信网络数据传输的完整性,并能发现其完整性被破坏。 6 第二级系统安全保护环境设计 6.1 设计目标 GB/T XXXXXXXXX 4 第二级系统安全保护环境的设计目标是: 按照 GB 17859-1999 对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力。 6.2 设计策略 第二级系统安全保
18、护环境的设计策略是:遵循 GB 17859-1999 的 4.2 中相关要求,以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;以包过滤手段提供区域边界保护; 以数据校验和恶意代码防范等手段, 同时通过增加系统安全审计、 客体安全重用等功能, 使用户对自己的行为负责, 提供用户数据保密性和完整性保护,以增强系统的安全保护能力。 第二级系统安全保护环境的设计通过第二级的安全计算环境、 安全区域边界、 安全通信网络以及安全管理中心的设计加以实现。 6.3 设计技术要求 6.3.1 安全计算环境设计技术要求 第二级安全计算环境从以下方面进行安全设计: a) 用户身份鉴
19、别 应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别, 并对鉴别数据进行保密保密性和完整性性和完整性保护。 b) 自主访问控制 应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。 访问控制主体的粒度为用户级, 客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。 c) 系统安全审计 应提供安全审计机制, 记录系统的相关安全事件。 审计记录包括安全事件
20、的主体、 客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护,并可由安全管理中心管理。 d) 用户数据完整性保护 可采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏。 e) 用户数据保密性保护 可采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。 f) 客体安全重用 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。 g) 恶意代码防范 应安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升
21、级和更新,以防范和清除恶意代码。 6.3.2 安全区域边界设计技术要求 第二级安全区域边界从以下方面进行安全设计: GB/T XXXXXXXXX 5 a) 区域边界包过滤 应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议和请求的服务等,确定是否允许该数据包通过该区域边界。 b) 区域边界安全审计 应在安全区域边界设置审计机制,并由安全管理中心统一管理。 c) 区域边界恶意代码防范 应在安全区域边界设置防恶意代码网关,由安全管理中心管理。 d) 区域边界完整性保护 应在区域边界设置探测器,探测非法外联等行为,并及时报告安全管理中心。 6.3.3 安全通信网络设计技术要求
22、第二级安全通信网络从以下方面进行安全设计: a) 通信网络安全审计 应在安全通信网络设置审计机制,由安全管理中心管理。 b) 通信网络数据传输完整性保护 可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。 c) 通信网络数据传输保密性保护 可采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。 6.3.4 安全管理中心设计技术要求 6.3.4.1 系统管理 可通过系统管理员对系统的资源和运行进行配置、 控制和管理, 包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。 应对系统管理员进行
23、身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。 6.3.4.2 审计管理 可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理, 包括根据安全审计策略对审计记录进行分类; 提供按时间段开启和关闭相应类型的安全审计机制; 对各类审计记录进行存储、管理和查询等。 应对安全审计员进行身份鉴别, 并只允许其通过特定的命令或操作界面进行安全审计操作。 7 第三级系统安全保护环境设计 7.1 设计目标 第三级系统安全保护环境的设计目标是: 按照 GB 17859-1999 对第三级系统的安全保护要求, 在第二级系统安全保护环境的基础上, 通过实现基于安全策
24、略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力。 7.2 设计策略 第三级系统安全保护环境的设计策略是:在第二级系统安全保护环境的基础上,遵循GB 17859-1999 的 4.3 中相关要求,构造非形式化的安全策略模型,对主、客体进行安全标记,表明主、客体的级别分类和非级别分类的组合,以此为基础,按照强制访问控制规则实现对主体及其客体的访问控制。 GB/T XXXXXXXXX 6 第三级系统安全保护环境的设计通过第三级的安全计算环境、 安全区域边界、 安全通信网络以及安全管理中心的设计加以实现。 7.3 设计技术要求 7.3.1 安全计算
25、环境设计技术要求 第三级安全计算环境从以下方面进行安全设计: a) 用户身份鉴别 应支持用户标识和用户鉴别。 在对每一个用户注册到系统时, 采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。 b) 自主访问控制 应在安全策略控制范围内, 使用户对其创建的客体具有相应的访问操作权限, 并能将这些权限的部分或全部授予其他用户。 自主访问控制主体的粒度为用户级, 客体的粒度为文件或数据库表级
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT xxxxx-xxxx信息系统等级保护安全设计技术要求 xxxxx xxxx 信息系统 等级 保护 安全 设计 技术 要求