2025等級保護(hù)安全設(shè)計(jì)技術(shù)要求234

5安全建設(shè)案例

介紹安全建設(shè)總體

設(shè)計(jì)設(shè)計(jì)技術(shù)要求

關(guān)鍵技術(shù)解析設(shè)計(jì)技術(shù)要求

核心思想設(shè)計(jì)技術(shù)要求

主要內(nèi)容目錄頁1n

《設(shè)計(jì)技術(shù)要求》遵照GB17859以及《基本要求》等標(biāo)準(zhǔn)的技術(shù)要求部分

，對信息

系統(tǒng)等級保護(hù)安全從技術(shù)上進(jìn)行了框架性的規(guī)范

，不包括物理安全、

安全管理制度等要

求。n

《基本要求》是在GB17859等標(biāo)準(zhǔn)基礎(chǔ)上

，根據(jù)現(xiàn)有技術(shù)的發(fā)展水平

，提出和規(guī)定

了不同安全等級信息系統(tǒng)的最低保護(hù)要求

，包括基本技術(shù)要求和基本管理要求。n《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（

GB17859-1999）

是根據(jù)國務(wù)院147號

令要求制定的強(qiáng)制性標(biāo)準(zhǔn)

，是等級保護(hù)的基礎(chǔ)性標(biāo)準(zhǔn)

，是其他標(biāo)準(zhǔn)制定的依據(jù)。n該標(biāo)準(zhǔn)以訪問控制為核心構(gòu)建基本保護(hù)環(huán)境和相關(guān)安全服務(wù)。1.設(shè)計(jì)技術(shù)要求核心思想01

要。信息系統(tǒng)安全影響國家安全重02安全漏洞和安全威脅永遠(yuǎn)存在。03攻防失衡，攻擊占有巨大優(yōu)勢。04主動防御、守住底線。1.設(shè)計(jì)技術(shù)要求核心思想1.設(shè)計(jì)技術(shù)要求核心思想u《設(shè)計(jì)技術(shù)要求》重在設(shè)計(jì)PPDR模型中的防護(hù)機(jī)制；控制規(guī)則↓

t訪問控制度量

驗(yàn)證可信認(rèn)證1.1防護(hù)思想?可信認(rèn)證為基礎(chǔ)

、

訪問控制為核心可信認(rèn)證：保障信息系統(tǒng)主體、客體可信訪問控制：保障主體對客體合理操作權(quán)限主體客體通過構(gòu)建集中管控、最小權(quán)限管理與三權(quán)分立的管理平臺，為管

理員創(chuàng)建了一個(gè)工作平臺，使其可以借助于本平臺對系統(tǒng)進(jìn)行更

好的管理，從而彌補(bǔ)了我國現(xiàn)在重機(jī)制、輕管理的不足，保證信

息系統(tǒng)安全可管。以訪問控制技術(shù)為核心，實(shí)現(xiàn)主體對客體的受控訪問，保證所

有的訪問行為均在可控范圍之內(nèi)進(jìn)行，在防范內(nèi)部攻擊的同時(shí)

有效防止了從外部發(fā)起的攻擊行為。對用戶訪問權(quán)限的控制可

以確保系統(tǒng)中的用戶不會出現(xiàn)越權(quán)操作，永遠(yuǎn)都按系統(tǒng)設(shè)計(jì)的方式進(jìn)行資源訪問，保證了系統(tǒng)的信息安全可控。以可信計(jì)算技術(shù)為基礎(chǔ)，構(gòu)建一個(gè)可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境，

即用戶、平臺、程序都是可信的，確保用戶無法被冒充、病毒

無法執(zhí)行、入侵行為無法成功?？尚诺沫h(huán)境保證業(yè)務(wù)系統(tǒng)永遠(yuǎn)

都按照設(shè)計(jì)預(yù)期的方式執(zhí)行，不會出現(xiàn)非預(yù)期的流程，從而保

障了業(yè)務(wù)系統(tǒng)安全可信。1231.1防護(hù)思想可控可信可管1.1防護(hù)思想u《設(shè)計(jì)技術(shù)要求》強(qiáng)調(diào)基于統(tǒng)一策略的安全管理

，

以避免出現(xiàn)如下現(xiàn)象：

1）有機(jī)制

，

無策略

，安全機(jī)

制形同虛設(shè)；

2）各產(chǎn)品策略之間缺乏互相配合

，也缺乏根據(jù)安全事件調(diào)整策略的響應(yīng)流程

，使得安全

機(jī)制難以真正發(fā)揮作用；u《設(shè)計(jì)技術(shù)要求》強(qiáng)調(diào)基于主動防御的控制保護(hù)機(jī)制

，

以避免出現(xiàn)如下現(xiàn)象

：只重視對已知威脅的檢測

和漏洞的發(fā)現(xiàn)

，不具備對新型攻擊的防護(hù)能力

，從而出現(xiàn)攻擊防護(hù)滯后的現(xiàn)象。u信息系統(tǒng)的安全設(shè)計(jì)應(yīng)基于業(yè)務(wù)流程自身特點(diǎn)

，建立

“可信、

可控、

可管”的安全防護(hù)體系

，使得系統(tǒng)

能夠按照預(yù)期運(yùn)行

，免受信息安全攻擊和破壞。n安全計(jì)算環(huán)境

：對定級系統(tǒng)的信息進(jìn)行存儲、

處理及實(shí)施安全策略的相關(guān)部件。n安全區(qū)域邊界

：對定級系統(tǒng)的安全計(jì)算環(huán)境邊界

，

以及安全計(jì)算環(huán)境與安全通信網(wǎng)絡(luò)之間實(shí)現(xiàn)連接并

實(shí)施安全策略的相關(guān)部件。n安全通信網(wǎng)絡(luò)

：對定級系統(tǒng)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸及實(shí)施安全策略的相關(guān)部件。n安全管理中心

：對定級系統(tǒng)的安全策略及安全計(jì)算環(huán)境、

安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制

實(shí)施統(tǒng)一管理的平臺。n定級系統(tǒng)互聯(lián)

：通過安全互聯(lián)部件和跨定級系統(tǒng)安全管理中心實(shí)現(xiàn)的相同或不同等級的定級系統(tǒng)安全

保護(hù)環(huán)境之間的安全連接。n跨定級系統(tǒng)安全管理中心

：對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上的安

全機(jī)制實(shí)施統(tǒng)一管理的平臺。1.2防護(hù)框架u建設(shè)“一個(gè)中心”管理中下的

“三重防護(hù)”

體系

，分別對計(jì)算環(huán)境、

區(qū)域邊界、

通信網(wǎng)

絡(luò)體系進(jìn)行管理

，

實(shí)施多層隔離和保護(hù)

，

以

防止某薄弱環(huán)節(jié)影響整體安全。u重點(diǎn)對操作人員使用的終端、

業(yè)務(wù)服務(wù)器等

計(jì)算節(jié)點(diǎn)進(jìn)行安全防護(hù)

，控制操作人員行為

，

使其不能違規(guī)操作

，從而把住攻擊發(fā)起的源

頭關(guān)

，

防止發(fā)生攻擊行為。u分析應(yīng)用系統(tǒng)的流程

，確定用戶（主體）

和

訪問的文件（客體）

的級別（標(biāo)記）

，

以此

來制定訪問控制安全策略

，

由操作系統(tǒng)、

安

全網(wǎng)關(guān)等機(jī)制自動執(zhí)行

，從而支撐應(yīng)用安全。計(jì)算環(huán)境

區(qū)域邊界

通信網(wǎng)絡(luò)安全管理中心1.2防護(hù)框架u不同定級系統(tǒng)之間的信息交互需要經(jīng)過多級互聯(lián)平臺的仲裁；u多級互聯(lián)平臺在信息交互過程中

，從更高層次實(shí)現(xiàn)了基于安全策略的全局判斷；u多級互聯(lián)平臺防止定級系統(tǒng)敏感信息外泄、

攻擊入侵；u跨級互聯(lián)管理中心實(shí)現(xiàn)了全系統(tǒng)策略的統(tǒng)一和協(xié)調(diào)。1.2防護(hù)框架工業(yè)控制系統(tǒng)：安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御多級互聯(lián)技術(shù)框架邊界防護(hù)邊界防護(hù)生產(chǎn)監(jiān)控

計(jì)算環(huán)境邊界隔離安全管理中心安全管理中心安全管理中心系統(tǒng)

安全

審計(jì)安全管理中心互聯(lián)網(wǎng)現(xiàn)場控制

計(jì)算環(huán)境企業(yè)管理

計(jì)算環(huán)境1.2防護(hù)框架1.2防護(hù)框架IEC62443工控安全防護(hù)框架3

4

51

2安全建設(shè)案例

介紹安全建設(shè)總體

設(shè)計(jì)設(shè)計(jì)技術(shù)要求

關(guān)鍵技術(shù)解析設(shè)計(jì)技術(shù)要求

核心思想設(shè)計(jì)技術(shù)要求

主要內(nèi)容目錄頁安全計(jì)算環(huán)境安全區(qū)域邊界安全通信網(wǎng)絡(luò)安全管理中心一級系統(tǒng)安

全保護(hù)環(huán)境用戶身份鑒別、

自主訪問控制、用

戶數(shù)據(jù)完整性保護(hù)、惡意代碼防范包過濾、惡意代碼

防范數(shù)據(jù)傳輸完整性保

護(hù)二級系統(tǒng)安

全保護(hù)環(huán)境用戶身份鑒別、

自主訪問控制、系

統(tǒng)安全審計(jì)、用戶數(shù)據(jù)完整性保護(hù)、

用戶數(shù)據(jù)保密性保護(hù)、惡意代碼防

范、客體安全重用包過濾、安全審計(jì)、

完整性保護(hù)、惡意

代碼防范安全審計(jì)、數(shù)據(jù)傳

輸完整性保護(hù)、數(shù)

據(jù)傳輸保密性保護(hù)系統(tǒng)管理、審計(jì)管

理三級系統(tǒng)安

全保護(hù)環(huán)境用戶身份鑒別、

自主訪問控制、標(biāo)

記和強(qiáng)制訪問控制、系統(tǒng)安全審計(jì)、

用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保

密性保護(hù)、客體安全重用、程序可

信執(zhí)行保護(hù)區(qū)域邊界訪問控制、

區(qū)域邊界包過濾、區(qū)域邊界安全審計(jì)、

區(qū)域邊界完整性保

護(hù)安全審計(jì)、數(shù)據(jù)傳

輸完整性保護(hù)、數(shù)

據(jù)傳輸保密性保護(hù)、可信接入保護(hù)系統(tǒng)管理、安全管

理、審計(jì)管理四級系統(tǒng)安

全保護(hù)環(huán)境用戶身份鑒別、

自主訪問控制、標(biāo)

記和強(qiáng)制訪問控制、系統(tǒng)安全審計(jì)、

用戶數(shù)據(jù)完整性保護(hù)、用戶數(shù)據(jù)保

密性保護(hù)、客體安全重用、程序可

信執(zhí)行保護(hù)訪問控制、包過濾、

安全審計(jì)、完整性

保護(hù)安全審計(jì)、數(shù)據(jù)傳

輸完整性保護(hù)、數(shù)

據(jù)傳輸保密性保護(hù)、

可信接入保護(hù)系統(tǒng)管理、安全管

理、審計(jì)管理2.1功能機(jī)制設(shè)計(jì)技術(shù)要求基本要求使用范圍具體要求使用范圍具體要求安全計(jì)算環(huán)境用戶身份鑒別主機(jī)安全應(yīng)用安全數(shù)據(jù)安全主機(jī)安全、應(yīng)用安全身份鑒別自主訪問控制主機(jī)安全、應(yīng)用安全訪問控制；

主機(jī)安全、應(yīng)用安全資源控制標(biāo)記和強(qiáng)制訪問控制系統(tǒng)安全審計(jì)主機(jī)安全、應(yīng)用安全審計(jì)、應(yīng)用安全抗抵賴用戶數(shù)據(jù)完整性保護(hù)數(shù)據(jù)完整性；備份和恢復(fù)用戶數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性客體安全重用主機(jī)安全、應(yīng)用安全剩余信息保護(hù)程序可信執(zhí)行保護(hù)主機(jī)安全惡意代碼防范安全區(qū)域邊界區(qū)域邊界訪問控制網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全訪問控制區(qū)域邊界包過濾網(wǎng)絡(luò)安全入侵防范區(qū)域邊界安全審計(jì)網(wǎng)絡(luò)安全審計(jì)區(qū)域邊界完整性保護(hù)邊界完整性檢查安全通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全數(shù)據(jù)安全網(wǎng)絡(luò)安全審計(jì)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)數(shù)據(jù)完整性通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)數(shù)據(jù)保密性通信網(wǎng)絡(luò)可信接入保護(hù)邊界完整性檢查安全管理中心系統(tǒng)管理安全管理建立統(tǒng)一的支撐平臺

進(jìn)行集中的安全管理安全管理審計(jì)管理2.1功能機(jī)制u和基本要求的對照關(guān)系2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u用戶身份鑒別

總體要求應(yīng)對系統(tǒng)中的用戶進(jìn)行身份標(biāo)識和鑒別。

在對每一個(gè)用戶注冊到系統(tǒng)時(shí)

，

采用用戶名和用戶標(biāo)識符

標(biāo)識用戶身份

，

并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識的唯一性。

在每次用戶登錄系統(tǒng)時(shí)

，采用兩種或兩種

以上的組合機(jī)制進(jìn)行用戶身份鑒別。

實(shí)現(xiàn)方式1)

應(yīng)采用服務(wù)器、

計(jì)算終端的操作系統(tǒng)加固和數(shù)據(jù)庫加固方式

，

對登錄服務(wù)器和計(jì)算終端的用戶進(jìn)行基

于口令、

令牌、

基于生物特征、

數(shù)字證書或其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合身份鑒別；2)

應(yīng)采用身份認(rèn)證網(wǎng)關(guān)或?qū)?yīng)用系統(tǒng)進(jìn)行改造

，

對應(yīng)用系統(tǒng)用戶進(jìn)行基于口令、

令牌、

數(shù)字證書等方式

的兩種或兩種以上的組合身份鑒別。2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u標(biāo)記與強(qiáng)制訪問控制

總體要求應(yīng)對系統(tǒng)中主要的主、

客體進(jìn)行安全標(biāo)記

，

按安全標(biāo)記和強(qiáng)制訪問控制規(guī)則

，

對確定主體訪問客體

的操作進(jìn)行控制。

實(shí)現(xiàn)方式1)服務(wù)器、

計(jì)算終端應(yīng)采用安全操作系統(tǒng)或相應(yīng)安全強(qiáng)度的操作系統(tǒng)加固產(chǎn)品

，

實(shí)現(xiàn)對操作系統(tǒng)中主客

體的安全標(biāo)記

，

并基于標(biāo)記實(shí)現(xiàn)強(qiáng)制訪問控制；2)

應(yīng)采用安全數(shù)據(jù)庫或相應(yīng)安全強(qiáng)度的數(shù)據(jù)庫安全加固產(chǎn)品

，

實(shí)現(xiàn)對數(shù)據(jù)庫表和（或）

記錄或字段的安

全標(biāo)記

，最終基于標(biāo)記實(shí)現(xiàn)強(qiáng)制訪問控制；3)

應(yīng)對應(yīng)用系統(tǒng)進(jìn)行改造

，

設(shè)置對重要信息資源的安全標(biāo)記

，

實(shí)現(xiàn)應(yīng)用系統(tǒng)基于標(biāo)記的強(qiáng)制訪問控制；2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u系統(tǒng)安全審計(jì)

總體要求應(yīng)記錄系統(tǒng)的相關(guān)安全事件。

審計(jì)記錄包括安全事件的主體、

客體、

時(shí)間、

類型和結(jié)果等內(nèi)容。

應(yīng)

提供審計(jì)記錄查詢、

分類、

分析和存儲保護(hù)；

能對特定安全事件進(jìn)行報(bào)警；

確保審計(jì)記錄不被破壞或非授

權(quán)訪問。

實(shí)現(xiàn)方式1)

應(yīng)通過服務(wù)器、

計(jì)算終端上部署的主機(jī)審計(jì)類產(chǎn)品或具有類似功能的安全產(chǎn)品

，

實(shí)現(xiàn)對系統(tǒng)及用戶操

作的審計(jì)；2)

應(yīng)通過數(shù)據(jù)庫審計(jì)產(chǎn)品或具有類似功能的安全產(chǎn)品

，

實(shí)現(xiàn)對數(shù)據(jù)庫的安全審計(jì)。2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u數(shù)據(jù)完整性保護(hù)

總體要求應(yīng)校驗(yàn)重要數(shù)據(jù)在存儲過程中的完整性

，

以發(fā)現(xiàn)其完整性是否被破壞

，

并在其受到破壞時(shí)能對重要

數(shù)據(jù)進(jìn)行恢復(fù)實(shí)現(xiàn)方式。

實(shí)現(xiàn)方式應(yīng)通過密碼算法等完整性校驗(yàn)機(jī)制

，對服務(wù)器、

計(jì)算終端中存儲的重要數(shù)據(jù)進(jìn)行完整性校驗(yàn)。2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u數(shù)據(jù)保密性保護(hù)

總體要求應(yīng)確保用戶數(shù)據(jù)在存儲和處理過程中的保密性。

實(shí)現(xiàn)方式應(yīng)采用加密機(jī)制

，對服務(wù)器、

計(jì)算終端中存儲的用戶數(shù)據(jù)進(jìn)行保密性保護(hù)；2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u客體安全重用

總體要求應(yīng)在客體資源重新分配前

，對其原使用者的信息進(jìn)行清除

，

以確保信息不被泄露。

實(shí)現(xiàn)方式應(yīng)采用具有客體安全重用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)品

，

對服務(wù)器、

計(jì)算終端、

移動終端中的客體資源重新分配前

，對其進(jìn)行清除。2.2安全計(jì)算環(huán)境設(shè)計(jì)要求u程序可信執(zhí)行保護(hù)

總體要求應(yīng)實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的完整性檢驗(yàn)

，

防范惡意代碼等攻擊。

實(shí)現(xiàn)方式應(yīng)采用可信計(jì)算等技術(shù)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈

，

以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程序的

完整性檢驗(yàn)

，

防范惡意代碼等攻擊

，

并在檢測到其完整性受到破壞時(shí)采取措施恢復(fù)。2.3安全區(qū)域邊界設(shè)計(jì)要求u區(qū)域邊界訪問控制

總體要求應(yīng)在安全區(qū)域邊界設(shè)置訪問控制機(jī)制

，

實(shí)施相應(yīng)的訪問控制策略

，

對進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制

，

阻止非授權(quán)訪問。

實(shí)現(xiàn)方式2.3安全區(qū)域邊界設(shè)計(jì)要求u區(qū)域邊界安全審計(jì)

總體要求應(yīng)在安全區(qū)域邊界設(shè)置審計(jì)機(jī)制

，對確認(rèn)的違規(guī)行為及時(shí)報(bào)警

，

并支持對審計(jì)信息的關(guān)聯(lián)分析。

實(shí)現(xiàn)方式應(yīng)通過網(wǎng)絡(luò)行為審計(jì)或具有同等安全功能的網(wǎng)絡(luò)審計(jì)設(shè)備

，

實(shí)現(xiàn)對出入?yún)^(qū)域邊界的網(wǎng)絡(luò)行為進(jìn)行安

全審計(jì)。2.3安全區(qū)域邊界設(shè)計(jì)要求u區(qū)域邊界完整性保護(hù)

總體要求應(yīng)在區(qū)域邊界設(shè)置完整性保護(hù)機(jī)制

，探測非法網(wǎng)絡(luò)連接和網(wǎng)絡(luò)入侵行為。

實(shí)現(xiàn)方式1)應(yīng)通過準(zhǔn)入控制機(jī)制

，

防止計(jì)算終端非授權(quán)接入；2)

應(yīng)通過桌面管理系統(tǒng)或其他非法外聯(lián)檢測產(chǎn)品

，

對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外

部網(wǎng)絡(luò)的行為進(jìn)行檢查；2.4安全通信網(wǎng)絡(luò)設(shè)計(jì)要求u通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)

總體要求應(yīng)校驗(yàn)整個(gè)報(bào)文或會話的完整性

，

以發(fā)現(xiàn)其完整性是否被破壞

，

并在發(fā)現(xiàn)完整性被破壞時(shí)進(jìn)行恢復(fù)。

實(shí)現(xiàn)方式應(yīng)采用SSL、

IPSEC

VPN等產(chǎn)品或技術(shù)措施

，

實(shí)現(xiàn)對網(wǎng)絡(luò)傳輸數(shù)據(jù)完整性校驗(yàn)

，

并在發(fā)現(xiàn)完整性被

破壞時(shí)進(jìn)行恢復(fù)。2.4安全通信網(wǎng)絡(luò)設(shè)計(jì)要求u通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)

總體要求應(yīng)確保整個(gè)報(bào)文或會話的保密性。

實(shí)現(xiàn)方式應(yīng)采用SSL、

IPSEC

VPN等產(chǎn)品或技術(shù)措施

，

實(shí)現(xiàn)整個(gè)報(bào)文或會話的保密性保護(hù)。2.5安全管理中心設(shè)計(jì)要求u系統(tǒng)管理應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、

控制和管理

，包括用戶身份管理、

系統(tǒng)資源配置、

系統(tǒng)加載和啟動、

系統(tǒng)運(yùn)行的異常處理以及支持管理本地和（或）

異地災(zāi)難備份與恢復(fù)等。應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別

，

只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作

，

并對這些

操作進(jìn)行審計(jì)。u安全管理應(yīng)通過安全管理員對系統(tǒng)中的主體、

客體進(jìn)行統(tǒng)一標(biāo)記

，對主體進(jìn)行授權(quán)

，

配置一致的安全策略。應(yīng)對安全管理員進(jìn)行身份鑒別

，

只允許其通過特定的命令或操作界面進(jìn)行安全管理操作

，

并進(jìn)行審

計(jì)。2.5安全管理中心設(shè)計(jì)要求u審計(jì)管理應(yīng)通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理

，

包括根據(jù)安全審計(jì)策

略對審計(jì)記錄進(jìn)行分類；

提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；

對各類審計(jì)記錄進(jìn)行存儲、

管理和查詢等。

對審計(jì)記錄應(yīng)進(jìn)行分析

，

并根據(jù)分析結(jié)果進(jìn)行處理。應(yīng)對安全審計(jì)員進(jìn)行身份鑒別

，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作。1

2

34

5安全建設(shè)案例

介紹安全建設(shè)總體

設(shè)計(jì)設(shè)計(jì)技術(shù)要求

關(guān)鍵技術(shù)解析設(shè)計(jì)技術(shù)要求

核心思想設(shè)計(jì)技術(shù)要求

主要內(nèi)容目錄頁u強(qiáng)制訪問控制機(jī)制當(dāng)執(zhí)行程序主體發(fā)出

訪問系統(tǒng)中客體資源的請求

后

，

系統(tǒng)安全機(jī)制將截獲該

請求

，

并從中取出訪問控制

相關(guān)的主體、客體、

操作三

要素信息

，然后查詢?nèi)种?/p>

/客體安全標(biāo)記列表

，

得到

主/客體的安全標(biāo)記信息

，

并依據(jù)強(qiáng)制訪問控制策略對

該請求實(shí)施策略符合性檢查。3.1強(qiáng)制訪問控制機(jī)制3.2可信計(jì)算u結(jié)構(gòu)化保障機(jī)制—可信計(jì)算可基于可信根對計(jì)算節(jié)點(diǎn)的BIOS

、引導(dǎo)程序、操作系統(tǒng)內(nèi)核等進(jìn)行可信驗(yàn)證，并在檢測到其可信性受到破壞后進(jìn)行報(bào)警。在一級基礎(chǔ)上，對應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測到其可信性受到破壞后進(jìn)行報(bào)警。并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄。在二級基礎(chǔ)上，在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)對系統(tǒng)調(diào)用的主體、客體、操作可信驗(yàn)證，并對中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進(jìn)行可信驗(yàn)證，并在檢測到其可信性受到破壞時(shí)采取措施恢復(fù)。并將驗(yàn)證結(jié)果形成審計(jì)紀(jì)錄，送到管理中心。在三級基礎(chǔ)上進(jìn)行動態(tài)關(guān)聯(lián)感知。第一級第二級第三級第四級3.2可信計(jì)算3.3結(jié)構(gòu)化保障機(jī)制3.3結(jié)構(gòu)化保障機(jī)制u結(jié)構(gòu)化保障的實(shí)現(xiàn)方式實(shí)現(xiàn)結(jié)構(gòu)

化方法?

基于嚴(yán)格定義的數(shù)學(xué)概念和語言。

語義

清晰

，無歧義。

可以用自動化工具進(jìn)行

檢查和分析的方法。?引入可信計(jì)算思想

，通過對安全部件度

量和驗(yàn)證

，保證安全機(jī)制的執(zhí)行

，達(dá)到

結(jié)構(gòu)化的目標(biāo)。?

通過遵循采用自頂向下、

逐步求精及模

塊化的程序設(shè)計(jì)方法。結(jié)構(gòu)化

編程形式化

驗(yàn)證可信保障

安全保護(hù)部件應(yīng)劃分為關(guān)鍵安全保護(hù)部件和非關(guān)鍵安全

保護(hù)部件

，

防止違背安全策略致使敏感信息從關(guān)鍵安全

保護(hù)部件流向非關(guān)鍵安全保護(hù)部件。

關(guān)鍵安全保護(hù)部件

應(yīng)劃分功能層次

，

明確定義功能層次間的調(diào)用接口

，確

保接口之間的信息安全交換。

各安全保護(hù)部件之間互聯(lián)的接口功能及其調(diào)用關(guān)系應(yīng)明

確定義；

各安全保護(hù)部件之間互聯(lián)時(shí)

，

需要通過可信驗(yàn)

證機(jī)制相互驗(yàn)證對方的可信性

，確保安全保護(hù)部件間的

可信連接。

安全保護(hù)環(huán)境設(shè)計(jì)實(shí)現(xiàn)的與安全策略相關(guān)的重要參數(shù)的

數(shù)據(jù)結(jié)構(gòu)給出明確定義

，

并用可信驗(yàn)證機(jī)制確保數(shù)據(jù)不

被篡改。3.3結(jié)構(gòu)化保障機(jī)制u結(jié)構(gòu)化保障機(jī)制—可信計(jì)算3.4定級系統(tǒng)互聯(lián)機(jī)制u安全互聯(lián)部件實(shí)現(xiàn)機(jī)制應(yīng)通過通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級系統(tǒng)安全保護(hù)環(huán)境的安全通信網(wǎng)絡(luò)部件相連接

，

并按互聯(lián)互通的安

全策略進(jìn)行信息交換

，

實(shí)現(xiàn)安全互聯(lián)部件。

安全策略由跨定級系統(tǒng)安全管理中心實(shí)施。主體A-1系統(tǒng)A客體A-1主體B-1系統(tǒng)B客體B-1主體A’客體B’12

34安全建設(shè)案例

介紹安全建設(shè)總體

設(shè)計(jì)設(shè)計(jì)技術(shù)要求

關(guān)鍵技術(shù)解析設(shè)計(jì)技術(shù)要求

核心思想設(shè)計(jì)技術(shù)要求

主要內(nèi)容目錄頁5n

設(shè)計(jì)身份認(rèn)證及程序可信保護(hù)機(jī)制

，確保主體可信；n

設(shè)計(jì)訪問控制機(jī)制及策略

，保證主體對客體的最小訪問權(quán)限；n

設(shè)計(jì)保密性、

完整性保護(hù)機(jī)制

，確保重要客體的保密性及完

整性不被破壞；n

設(shè)計(jì)安全管理中心

，保證系統(tǒng)安全機(jī)制始終可管。

梳理業(yè)務(wù)流程

風(fēng)險(xiǎn)評估

梳理主、

客體及其權(quán)限

區(qū)域設(shè)計(jì)

分析關(guān)鍵保護(hù)點(diǎn)

安全機(jī)制及策略設(shè)計(jì)n

梳理業(yè)務(wù)流程是給系統(tǒng)量身定制安全設(shè)計(jì)方案的基礎(chǔ)；n

通過業(yè)務(wù)流程的梳理

，

了解系統(tǒng)的現(xiàn)狀、

特點(diǎn)及特殊安全需

求

，

為后續(xù)方案設(shè)計(jì)奠定基礎(chǔ)。n

基于一個(gè)中心、

三重防護(hù)

，構(gòu)建安全防護(hù)體系；n

從不同層次、

不同位置設(shè)計(jì)縱深防御體系

，

防止單點(diǎn)失效；n

找出系統(tǒng)中的所有主體及客體；n

明確主體對客體的最小訪問權(quán)限；4.1總體設(shè)計(jì)流程1

2

345安全建設(shè)案例

介紹安全建設(shè)總體

設(shè)計(jì)設(shè)計(jì)技術(shù)要求

關(guān)鍵技術(shù)解析設(shè)計(jì)技術(shù)要求

核心思想設(shè)計(jì)技術(shù)要求

主要內(nèi)容目錄頁5.1系統(tǒng)總體描述u系統(tǒng)結(jié)構(gòu)描述5.1系統(tǒng)總體描述u業(yè)務(wù)結(jié)構(gòu)描述u播出整備業(yè)務(wù)流程5.2業(yè)務(wù)流程及安全需求描述5.3分層分域設(shè)計(jì)u區(qū)域劃分結(jié)果通信網(wǎng)絡(luò)層次用戶應(yīng)用層次用戶

播出系統(tǒng)不同采用安全管

證書的組合服務(wù)器節(jié)點(diǎn)部署身份鑒別部件，維人員身份。播出核心交換機(jī)旁路部署運(yùn)維鑒別在線運(yùn)維用戶身份。點(diǎn)用戶身份鑒別

：運(yùn)維人員對播出控制域工作站運(yùn)維

，

工作站節(jié)點(diǎn)部署身份鑒別部件

，鑒別運(yùn)維。戶身份鑒別

：對應(yīng)用類務(wù)

節(jié)點(diǎn)前端部

應(yīng)部件

，鑒別應(yīng)用人員應(yīng)用業(yè)務(wù)時(shí)必須要通過應(yīng)用身份鑒別部件的身份才可訪問應(yīng)用業(yè)務(wù)系統(tǒng)。5.4安全機(jī)制及策略設(shè)計(jì)u計(jì)算環(huán)境—用戶身份鑒別視頻播出域在線運(yùn)維

：播出核心交換機(jī)旁路部署運(yùn)維監(jiān)控

部件

，鑒別在線運(yùn)維用戶身份。工作站節(jié)進(jìn)行本地

人員身份

應(yīng)用層用

身份鑒別

用戶訪問

鑒別后，本地運(yùn)維：鑒別本地運(yùn)在線運(yùn)維：監(jiān)控部件，依據(jù)播出系統(tǒng)實(shí)際情況

，

用戶分為：

節(jié)點(diǎn)通過部署可信互聯(lián)部件

，確保直送服務(wù)器節(jié)

點(diǎn)只與外部制作系統(tǒng)建立可信互聯(lián)隧道

，

并

使用ftp協(xié)議接收節(jié)目視頻文件；

轉(zhuǎn)碼服務(wù)器

節(jié)點(diǎn)只與外部媒資系統(tǒng)建立可信互聯(lián)隧道，并使用cifs協(xié)議接收節(jié)目視頻文件；5.4安全機(jī)制及策略設(shè)計(jì)u計(jì)算環(huán)境—播出整備業(yè)務(wù)流程訪問控制5.4安全機(jī)制及策略設(shè)計(jì)u計(jì)算環(huán)境—播出整備業(yè)務(wù)流程訪問控制主體：

直送進(jìn)程、

轉(zhuǎn)碼進(jìn)程和運(yùn)維人員客體：

節(jié)目視頻文件直送、

轉(zhuǎn)碼節(jié)點(diǎn)部署標(biāo)記與強(qiáng)制訪問控制部件

，保證只

有直送進(jìn)程、

轉(zhuǎn)碼進(jìn)程才能對節(jié)目視頻文件進(jìn)行讀/寫操

作

，其他主體對節(jié)目視頻文件無權(quán)限操作。5.4安全機(jī)制及策略設(shè)計(jì)u計(jì)算環(huán)境—播出整備業(yè)務(wù)流程訪問控制直送節(jié)點(diǎn)只與存儲系統(tǒng)建立可信互聯(lián)隧道

，使用ftp協(xié)議將節(jié)目視頻文件寫入存儲中；

轉(zhuǎn)碼節(jié)點(diǎn)只與存儲系統(tǒng)經(jīng)建立

可信互聯(lián)隧道

，使用cifs協(xié)議將節(jié)目視頻文件寫入存儲中；主體：

同步遷移進(jìn)程和運(yùn)維人員客體：

節(jié)目視頻文件同步遷移節(jié)點(diǎn)部署可信互聯(lián)部件

，

節(jié)點(diǎn)之間經(jīng)過可信認(rèn)證后建

立可信互聯(lián)隧道。

同步遷移節(jié)點(diǎn)只與存儲系統(tǒng)建立可信互聯(lián)隧

道

，通過ftp協(xié)議遷移節(jié)目視頻文件；證只有同步遷

主體對節(jié)目同步遷移節(jié)點(diǎn)只與播出服務(wù)器建立可信互聯(lián)隧道

，通過ft