關(guān)于建設(shè)信息安全保密中的分級(jí)保護(hù)的思考

—認(rèn)識(shí)安全域隨著計(jì)算機(jī)系統(tǒng)在辦公室、科學(xué)研究、設(shè)計(jì)和生產(chǎn)中的廣泛應(yīng)用，給工作帶來(lái)了舒適，也給安全對(duì)策帶來(lái)了新問(wèn)題。防止計(jì)算機(jī)信息系統(tǒng)的披露已成為防止披露秘密信息的重要任務(wù)和挑戰(zhàn)。國(guó)家對(duì)于涉密信息系統(tǒng)的建設(shè)非常重視,相關(guān)部委也發(fā)文對(duì)涉密信息系統(tǒng)的建設(shè)明確指出涉密信息系統(tǒng)實(shí)行分級(jí)保護(hù)制度。涉密信息系統(tǒng)的建設(shè)過(guò)程中,所遵循的標(biāo)準(zhǔn)中有兩個(gè)是很重要的:《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》和《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》。在圍繞著涉密信息系統(tǒng)展開的活動(dòng)中,如何體現(xiàn)分級(jí)保護(hù)是一個(gè)關(guān)鍵,筆者以為在2個(gè)層次上都應(yīng)體現(xiàn)分級(jí)保護(hù)的理念。在信息系統(tǒng)層面上,應(yīng)首先確定系統(tǒng)的整體安全等級(jí),而在一個(gè)信息系統(tǒng)內(nèi)可以劃分不同等級(jí)的安全域。確定一個(gè)信息系統(tǒng)的整體安全等級(jí)工作往往先行,等到設(shè)計(jì)一個(gè)涉密信息系統(tǒng)的時(shí)候,系統(tǒng)等級(jí)已經(jīng)確定了。那么,在設(shè)計(jì)時(shí)的一個(gè)首要問(wèn)題就是如何確定系統(tǒng)內(nèi)的安全域。在《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》中指出“在涉密信息系統(tǒng)可根據(jù)信息密級(jí)、系統(tǒng)重要性和安全策略劃分不同的安全域。不同的安全域可單獨(dú)確定等級(jí),并應(yīng)按照相應(yīng)等級(jí)的保護(hù)要求進(jìn)行保護(hù)。同一等級(jí)的不同安全域可根據(jù)風(fēng)險(xiǎn)分析的結(jié)果和實(shí)際安全需求,選擇采用不同的保護(hù)要求進(jìn)行保護(hù)?！狈旨?jí)保護(hù)思想在實(shí)現(xiàn)過(guò)程中,劃分安全域是一個(gè)基本但很重要的策略,通過(guò)明確劃分安全域可以為實(shí)現(xiàn)訪問(wèn)控制、邊界防護(hù)提供直接的依據(jù),為不同等級(jí)的涉密信息安全保密防護(hù)提供了技術(shù)基礎(chǔ)。本文從劃分安全域、針對(duì)安全域采取不同等級(jí)的安全策略、安全域之間的訪問(wèn)控制,以及如何管理安全域等方面出發(fā),談?wù)剬?duì)建設(shè)涉密信息系統(tǒng)的認(rèn)識(shí)。安全領(lǐng)域的技術(shù)應(yīng)用1.不同信息級(jí)別劃分一個(gè)涉密信息系統(tǒng)中,往往存在著不同級(jí)別的設(shè)備、用戶、應(yīng)用。以一個(gè)機(jī)密級(jí)的涉密系統(tǒng)為例,并不代表所有的信息設(shè)備、用戶、應(yīng)用都按照機(jī)密級(jí)要求實(shí)施防護(hù),可以根據(jù)不同密級(jí)、功能劃分為不同的安全域。用戶分級(jí)。系統(tǒng)內(nèi)用戶按照涉密程度不同,劃分為內(nèi)部非涉密用戶、秘密級(jí)用戶、機(jī)密級(jí)用戶。用戶級(jí)別的劃分按照其接觸到的最高密級(jí)確定本人涉密等級(jí)。所有的非涉密用戶劃分到一個(gè)規(guī)定范圍的VLAN群內(nèi),所有秘密級(jí)用戶劃分到一個(gè)VLAN群內(nèi),所有機(jī)密級(jí)用戶劃分到一個(gè)VLAN群內(nèi)。根據(jù)實(shí)際需要,一個(gè)VLAN群可以包含一個(gè)或多個(gè)VLAN。網(wǎng)絡(luò)服務(wù)及應(yīng)用分級(jí)。系統(tǒng)內(nèi)應(yīng)用按照涉密程度以及提供的網(wǎng)絡(luò)功能不同,劃分為內(nèi)部、秘密級(jí)、機(jī)密級(jí)三個(gè)級(jí)別,根據(jù)這種指導(dǎo)思想,網(wǎng)絡(luò)服務(wù)及應(yīng)用可劃分為:非涉密應(yīng)用區(qū)、秘密級(jí)應(yīng)用區(qū)、機(jī)密級(jí)應(yīng)用區(qū)、網(wǎng)絡(luò)管理區(qū)(機(jī)密級(jí))。設(shè)備分級(jí)。按照處理的信息最高密級(jí)劃分為:內(nèi)部非涉密設(shè)備、秘密級(jí)設(shè)備、機(jī)密級(jí)設(shè)備。安全域的劃分及訪問(wèn)原則如下表所示:2.網(wǎng)絡(luò)管理區(qū)域的隔離用戶群的隔離。因?yàn)樗械挠脩舳际峭ㄟ^(guò)網(wǎng)絡(luò)交換機(jī)接入的,不同級(jí)別的用戶VLAN群之間通過(guò)在交換機(jī)上劃分VLAN實(shí)現(xiàn)用戶群之間的隔離,不同級(jí)別的VLAN群之間禁止互通,同一VLAN群的不同VLAN之間可以實(shí)現(xiàn)有限制的連通。VLAN之間的連通與隔斷通過(guò)在交換機(jī)上配置訪問(wèn)控制列表實(shí)現(xiàn)。目前流行的主流交換機(jī)基本都可以實(shí)現(xiàn)vlan級(jí)別的訪問(wèn)控制,技術(shù)實(shí)現(xiàn)難度不大。服務(wù)器區(qū)的隔離。不同級(jí)別的服務(wù)器區(qū)之間、服務(wù)器區(qū)與用戶區(qū)之間的隔離用防火墻來(lái)實(shí)現(xiàn)。防火墻是一種傳統(tǒng)的安全設(shè)備,很方便實(shí)現(xiàn)不同安全區(qū)域之間的網(wǎng)絡(luò)訪問(wèn)控制。網(wǎng)絡(luò)管理區(qū)域的隔離。網(wǎng)絡(luò)管理區(qū)域是一個(gè)特殊的區(qū)域,因?yàn)榫W(wǎng)絡(luò)維護(hù)管理工作需要通過(guò)此區(qū)域內(nèi)設(shè)備完成,需要很多特殊權(quán)限,因此此區(qū)域的用戶、設(shè)備訪問(wèn)權(quán)限比較大,應(yīng)定義為機(jī)密級(jí),應(yīng)通過(guò)防火墻與其它區(qū)域隔離。通過(guò)實(shí)施安全訪問(wèn)控制規(guī)則,可方便實(shí)現(xiàn)“禁止高密級(jí)信息由高等級(jí)安全域流向低等級(jí)安全域”。3.“互聯(lián)網(wǎng)+”域內(nèi)身份鑒別管理物理安全。涉密信息系統(tǒng)的物理安全應(yīng)從中心機(jī)房建設(shè)、區(qū)域安全控制、設(shè)備安全、介質(zhì)安全幾方面著手。中心機(jī)房是系統(tǒng)中最為關(guān)鍵之處,中心機(jī)房的選址、建設(shè)標(biāo)準(zhǔn)應(yīng)按照BMB17、BMB20中規(guī)定執(zhí)行。對(duì)于信息系統(tǒng)中重點(diǎn)部位應(yīng)采取更為嚴(yán)格的區(qū)域控制、監(jiān)控措施,如要害部門、部位的物理防護(hù)措施、管理措施就應(yīng)區(qū)別于其它的部位;對(duì)于不同密級(jí)的設(shè)備、介質(zhì)采取的安全防護(hù)技術(shù)與管理措施應(yīng)有所區(qū)別,密級(jí)越高,采取的技術(shù)手段越多,管理越要細(xì)致、規(guī)范,這些方面都應(yīng)體現(xiàn)出積極防范,突出重點(diǎn)的思想。(1)身份鑒別身份鑒別在涉密系統(tǒng)中有著舉足輕重的地位,實(shí)現(xiàn)身份鑒別的方式很多。目前國(guó)內(nèi)已有專門針對(duì)涉密系統(tǒng)開發(fā)的身份鑒別系統(tǒng),但筆者認(rèn)為也可以借助其它方式實(shí)現(xiàn)身份鑒別。如在網(wǎng)絡(luò)中實(shí)施Windowsserver活動(dòng)目錄就是一個(gè)可行的方法。實(shí)施windows活動(dòng)目錄,對(duì)于用戶的現(xiàn)實(shí)意義在于可以充分利用活動(dòng)目錄的優(yōu)點(diǎn)。主要體現(xiàn)在:安裝活動(dòng)目錄后,Windows系統(tǒng)的安全性完全與活動(dòng)目錄集成,用戶授權(quán)管理和目錄進(jìn)入控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了(包括用戶的訪問(wèn)和登錄權(quán)限等)。通過(guò)實(shí)施安全策略,實(shí)現(xiàn)系統(tǒng)內(nèi)用戶登錄身份認(rèn)證,集中控制用戶授權(quán)。引入基于策略的管理?；顒?dòng)目錄服務(wù)通過(guò)設(shè)置組策略把相應(yīng)各種策略(包括安全策略)實(shí)施到組策略對(duì)象中,組策略對(duì)象可以是域、組織單元。組策略對(duì)象設(shè)置決定目錄對(duì)象和域資源的進(jìn)入權(quán)限,什么樣的域資源可以被用戶使用,以及這些域資源怎樣使用等。具備智能信息復(fù)制能力,活動(dòng)目錄使用多主機(jī)復(fù)制,允許在任何域控制器上而不是單個(gè)主域控制器上同步更新目錄,不僅具有容錯(cuò)的優(yōu)點(diǎn),同時(shí)可保證目錄信息是最新的。(2)身份鑒別策略實(shí)現(xiàn)涉密信息系統(tǒng)內(nèi),由系統(tǒng)管理員為每一位合法用戶設(shè)定用戶名,普通用戶只能以域用戶身份登錄計(jì)算機(jī),在登錄時(shí)必需輸入指定的用戶名和私人口令。通過(guò)組策略指定不同級(jí)別用戶口令的復(fù)雜性、長(zhǎng)度、使用周期、鎖定策略,可以指定每一個(gè)用戶可登錄的機(jī)器、可以安裝的軟件以及其它諸多權(quán)限控制。可以說(shuō)通過(guò)windows域的安全策略同時(shí)實(shí)現(xiàn)了身份鑒別與權(quán)限分配的功能。在實(shí)際應(yīng)用中,完全可以把硬件的USB-KEY令牌與域用戶登錄過(guò)程結(jié)合使用,可以大大增強(qiáng)身份鑒別的安全性。對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全軟件系統(tǒng)的訪問(wèn)采取用戶名/口令的方式進(jìn)行身份鑒別。對(duì)于網(wǎng)絡(luò)設(shè)備的訪問(wèn)用戶,定義不同安全級(jí)別的用戶,分別提供查看、配置的權(quán)利,網(wǎng)絡(luò)設(shè)備的運(yùn)行日志由審計(jì)員審計(jì)。對(duì)于防火墻、IDS、防水墻、漏洞掃描等安全類設(shè)備及軟件,按照分權(quán)的原則分別定義系統(tǒng)管理員、安全員、審計(jì)員。(3)訪問(wèn)控制物理層訪問(wèn)控制。在物理層面限制用戶非法接入網(wǎng)絡(luò)。主要措施:關(guān)閉空閑的交換機(jī)端口,避免非法用戶接入;在交換機(jī)上配置IP+MAC+PORT綁定策略,有條件的單位甚至可以啟用802.1x認(rèn)證,防止合法用戶的網(wǎng)絡(luò)濫用,共同強(qiáng)化網(wǎng)絡(luò)準(zhǔn)入限制。在每一個(gè)計(jì)算機(jī)內(nèi)設(shè)置CMOS密碼、屏幕保護(hù)密碼防止對(duì)計(jì)算機(jī)的非法訪問(wèn)。網(wǎng)絡(luò)層訪問(wèn)控制。網(wǎng)絡(luò)層實(shí)施的訪問(wèn)控制措施主要有:VLAN間訪問(wèn)控制、防火墻安全策略、在服務(wù)器上配置訪問(wèn)規(guī)則等,在本文前面已有說(shuō)明。應(yīng)用層訪問(wèn)控制。應(yīng)用層訪問(wèn)控制相對(duì)比較復(fù)雜,和每一個(gè)應(yīng)用系統(tǒng)有密切的聯(lián)系。按照保密要求,涉密信息和重要信息的訪問(wèn)控制,主體應(yīng)控制到單個(gè)用戶,客體應(yīng)控制到信息類別。涉密系統(tǒng)中應(yīng)用建議實(shí)現(xiàn)單點(diǎn)登錄,更利于用戶的權(quán)限分配與訪問(wèn)控制。一個(gè)典型的應(yīng)用層訪問(wèn)控制的案例就是網(wǎng)絡(luò)文件服務(wù)。通過(guò)windows活動(dòng)目錄,可以為每一位登錄域的用戶重新定向用戶的“桌面”、“我的文檔”到相應(yīng)級(jí)別的文件服務(wù)器,用戶的個(gè)人重要文檔可以存放在“我的文檔”文件夾內(nèi),windows系統(tǒng)會(huì)自動(dòng)利用NTFS權(quán)限、共享權(quán)限限制用戶無(wú)權(quán)訪問(wèn)他人的私有文檔,即使系統(tǒng)管理員可以集中備份文件服務(wù)器內(nèi)的用戶文檔,卻沒(méi)有權(quán)限查看用戶的私有文檔。再通過(guò)啟用文件服務(wù)器的審計(jì)策略,限制系統(tǒng)管理員通過(guò)取得文件夾的“所有權(quán)”去訪問(wèn)其它用戶的私有文檔。這樣即可實(shí)現(xiàn)不同用戶之間的訪問(wèn)權(quán)限控制,同時(shí)又限制了系統(tǒng)管理員的權(quán)限。對(duì)于使用數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng),在系統(tǒng)實(shí)現(xiàn)時(shí),須能實(shí)現(xiàn)用戶的訪問(wèn)權(quán)限控制,防止信息泄漏。這對(duì)涉密系統(tǒng)中的應(yīng)用系統(tǒng)的選型、開發(fā)都提出更為嚴(yán)格的要求。其它安全技術(shù)措施。在涉密系統(tǒng)建設(shè)過(guò)程中,還需要采取的安全技術(shù)措施有:補(bǔ)丁系統(tǒng)、防病毒系統(tǒng)、終端監(jiān)控、安全審計(jì)、非法外聯(lián)監(jiān)控、數(shù)據(jù)存儲(chǔ)、系統(tǒng)及數(shù)據(jù)的備份與恢復(fù)、入侵監(jiān)控、電磁泄漏防護(hù)、安全評(píng)估與加固等,均是涉密系統(tǒng)重要組成部分。4.安全管理安全管理在涉密系統(tǒng)建設(shè)過(guò)程中,起著極重要的作用。一般應(yīng)從人員管理、物理環(huán)境與設(shè)施管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)管理、信息保密管理幾方面入手,采取必要的管理措施,保證系統(tǒng)的運(yùn)行與信息保密性。在實(shí)踐中,涉密系統(tǒng)既要保證使用的方便性,又要在系統(tǒng)中實(shí)施各種安全策略,對(duì)系統(tǒng)管理而言是一個(gè)挑戰(zhàn)。筆者根據(jù)實(shí)際經(jīng)驗(yàn),列舉幾個(gè)易忽視的問(wèn)題:系統(tǒng)管理人員權(quán)限過(guò)大的問(wèn)題。系統(tǒng)管理員是一個(gè)特殊的群體,既要維護(hù)系統(tǒng)運(yùn)行,行使管理職能,如果在系統(tǒng)運(yùn)行時(shí)不采取措施,系統(tǒng)管理可以擁有控制系統(tǒng)的權(quán)利,可以訪問(wèn)系統(tǒng)中任何信息,這對(duì)涉密系統(tǒng)而言是不可接受的。所以,在實(shí)現(xiàn)時(shí)應(yīng)限制系統(tǒng)管理員無(wú)權(quán)訪問(wèn)用戶私有信息,同時(shí)通過(guò)審計(jì)制度,用審計(jì)工作來(lái)制約管理員的行為。審計(jì)內(nèi)容不全面的問(wèn)題。涉密系統(tǒng)中的審計(jì)措施,不僅僅是對(duì)普通用戶行為的審計(jì),還應(yīng)針對(duì)系統(tǒng)管理員、安全員的行為進(jìn)行審計(jì)。為此,除了常用的用戶行為審計(jì)、網(wǎng)絡(luò)訪問(wèn)審計(jì)之外,還應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)設(shè)置日志系統(tǒng),以監(jiān)督系統(tǒng)管理員、安全員的行為。涉密載體管理問(wèn)題。涉密載體包括磁介質(zhì)、光碟、紙質(zhì)介質(zhì),因?yàn)檫@些信息載體往往不受物理空間限制,使用人員復(fù)雜,采取的技術(shù)手段往往難以防范,更加依靠管理手段實(shí)現(xiàn)人員的訪問(wèn)限制,所以在實(shí)際操作中,應(yīng)制定切實(shí)可行的流程,指定每一個(gè)環(huán)節(jié)的責(zé)任人,做好載體交接工作,確保每一個(gè)環(huán)節(jié)有據(jù)可查。尤其是電子化載體應(yīng)有技術(shù)處理手段,避免交叉使用中的信息恢復(fù)產(chǎn)生的信息泄漏。設(shè)備的登錄密碼長(zhǎng)期不變。系統(tǒng)中用戶的口令與密鑰可以做到按照規(guī)定的周期、復(fù)雜度進(jìn)行更換,卻容易忽視網(wǎng)絡(luò)中