数据、设备及系统的备份与恢复、集中统一的病毒监控体系、两种鉴别方式组合实现的强身份鉴别、细粒度的自主访问控制、满足三级要求的操作系统和数据库、较高强度密码支持的存储和传输数据的加密保护等安全机制,实现对局域计算环境内信息的安全保护和系统安全运行的支持;
? 采用分区域保护和边界防护(如应用级防火墙、网络隔离部件、信息过滤和边界完整性检查等),在不同区域边界统一制定边界访问控制策略,实现不同安全等级区域之间安全互操作的较严格控制;
? 按照系统化的要求和层次化结构的方法设计和实现安全子系统,增强各层面的安全防护能力,通过集中运维管理平台,在统一安全策略下对系统安全事件集中审计、集中监控和数据分析,并做出响应和处理,从而构建较为全面的动态安全体系。
2.3.3 等级保护需求
根据国家信息安全等级保护的相关政策要求,数据中心作为国家信息系统建设的基础设施之一,对公民、法人和其他组织的合法权益,对社会秩序和公共利益,对国家安全都具有重要的影响。因此,政务云的信息安全系统建设,应当参考国家信息安全等级保护的相关标准、规范来规划、设计、实施和运维。根据《信息系统安全等级保护定级指南》(GB/T22240-2008)的标准要求,部署于政务云的信息系统,大多数会定义为等保二级、三级。按照就高不就低的原则,建议按照等级保护三级的基本要求进行规划和设计安全系统。
根据《信息系统等级保护安全设计技术要求》(GB/T 25070-2010),符合等级保护三级要求的信息系统能够具备如下的安全防护能力:
在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
8
2.3.4 等级保护设计要求
根据《信息系统等级保护安全设计技术要求》(GB/T 25070-2010)的要求,在信息系统安全技术建设中应采取“一个中心、三维防护”的防护策略,实现相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。即需要从安全管理中心、安全计算环境、安全域边界、安全通信网络四个方面进行相应的规范设计。
三级安全架构的设计在以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务下,实现三级安全计算环境、三级安全通信网络、三级安全域边界防护和三级安全管理中心的设计。
三级安全计算环境设计以符合三级安全要求的安全操作系统和安全数据库管理系统所提供的安全功能及相应安全等级的其他安全功能,实现对计算环境的内部数据的存储、传输和处理及系统运行的安全保护。
三级安全通信网络设计以符合三级安全要求的通信网络运行安全保护和通信网络数据传输与交换安全保护,实现对通信网络所提供服务,以及通信网络中传输数据的完整性、保密性、真实性和抗抵赖等的安全保护。
三级安全域边界防护设计以符合三级安全要求的防火墙、安全网关,以及隔离与过滤等安全机制,隔离并控制区域边界传输的数据和操作,防止非法链接和违规
9
操作。
三级安全管理中心对分布在通信网络环境的各种安全机制和服务进行集中控制和管理。
具体安全设计要点如下:
2.3.4.1 安全计算环境
(一)
用户身份鉴别
应支持用户标识和用户鉴别在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令令牌基于生物特征数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
(二)
自主访问控制
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级自主访问操作包括对客体的创建读写修改和删除等。
(三)
标记和强制访问控制
在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级应确保安全计算环境内的所有主客体具有一致的标记信息,并实施相同的强制访问控制规则。
(四)
系统安全审计
应记录系统的相关安全事件审计记录包括安全事件的主体客体时间类型和结果等内容应提供审计记录查询分类分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。
(五)
用户数据完整性保护
10
应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复。
(六)
用户数据保密性保护
应采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。
(七)
客体安全重用
应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。
(八)
程序可信执行保护
可构建从操作系统到上层应用的信任链,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复,例如采用可信计算等技术。
2.3.4.2 安全域边界
(一)
区域边界访问控制
应在安全域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全域边界的数据信息进行控制,阻止非授权访问。
(二)
区域边界包过滤
应根据区域边界安全控制策略,通过检查数据包的源地址目的地址传输层协议请求的服务等,确定是否允许该数据包进出该区域边界。
(三)
区域边界安全审计
应在安全域边界设置审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。
(四)
区域边界完整性保护
应在区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。
11
2.3.4.3 安全通信网络
(一)
通信网络安全审计
应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警。
(二)
通信网络数据传输完整性保护
应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复。
(三)
通信网络数据传输保密性保护
应采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
(四)
通信网络可信接入保护
可采用由密码等技术支持的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入。
2.3.4.4 安全管理中心
(一)
系统管理
应通过系统管理员对系统的资源和运行进行配置控制和管理,包括用户身份管理系统资源配置系统加载和启动系统运行的异常处理以及支持管理本地和(或)异地灾难备份与恢复等。
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
(二)
安全管理
应通过安全管理员对系统中的主体客体进行统一标记,对主体进行授权,配置一致的安全策略应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
(三)
审计管理
应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的
12