证件管理系统解决方案

1.天融信证件管理系统解决方案

编者按

作为国家信息安全建设的基本要求和方法，等级保护的相关政策和标准日益成熟。近期，公安部已陆续发布了基于等级保护建设思想的整改办法和建设依据，以及衡量等级保护建设成果的基本要求和等级保护建设过程的实施指南，还有等级保护方案设计所参考的设计技术要求等。本文以设计技术要求和基本要求为主要参考对象，根据一个特定的案例-证件管理系统，以“一个中心下的三重防护”为目标，以整合为手段，进行了全面的规划，形成了相关的技术解决方案。

信息安全等级保护是实施国家信息安全战略的重大举措，也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据，在实行安全防护系统建设的过程中，应当按照等级保护的思想和基本要求进行建设，本方案根据《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统等级保护基本要求》，结合天融信在等级保护试点的建设经验，根据分级、分域、分系统进行安全建设的思路，针对一个特定的信息系统-证件管理系统为例，提出全面的等级保护技术建设方案，希望能够为用户的等级保护建设提出参考。

证件管理系统是用户建设和运营期间，证件管理工作的业务管理支撑系统。证件管理系统和与之协同工作的证件查验终端系统、证件制作系统组成了用户证件管理的工作平台。管理系统平台整体框架结构可参考下图：

证件管理系统整体框架示意图

根据证件业务的结构关系和业务流程，支撑证件管理系统的网络环境从总体上可分为相关子系统部分、证件管理系统部门以及背景审查系统部门，其网络环境表示如下：

证件管理系统网络环境示意图

目前，证件管理系统已经完成定级备案工作，在定级阶段中对该系统受到安全威胁或破坏时所影响到的客体，及对客体影响程度的分析，最终确定证件管理系统的安全性等级为三级，且对应等级保护要求选择措施为：S3A3G3

根据《信息安全技术信息系统等级保护安全设计技术要求》，对系统进行安全防护系统规划的过程中，必须按照分级、分域的办法进行规划和设计，要划分具体的安全计算环境、安全区域边界、安全通信网络，并根据系统的等级来确定不同环节的保护等级，同时通过集中的安全管理中心，实现对计算环境、区域边界、通信网络实施集中的管理，并确保上述环节执行统一的安全防护策略。

针对证件管理系统，确认的保护对象以及分区、分域的划分方式如下：

证件管理系统区域划分示意图

划分内容汇总如下：

本方案针对证件管理系统，严格参考了《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统等级保护基本要求》，根据分级、分域的原则，进行了安全保障体系的建设与规划，从保护计算环境、保护区域边界、保护通信网络以及搭建集中的安全管理中心，使安全保障体系全面保障证件管理系统的正常、安全运行，并通过引入PKI/CA认证平台，以及建立应急响应预案，进一步提升系统的可靠性和应用安全性。

根据区域划分的原则，对证件管理系统划分为6个计算环境、8个区域边界以及4个通信网络，并且考虑到证件管理系统定级为三级，并且保护等级按照“A3S3G3”的标准来进行防护，除终端系统以外，其余环节均按照三级要求进行设计，形成如下图所描述的整体建设方案（简化版）。

证件管理系统安全防护总体示意图

➢保护计算环境

⏹针对三级计算环境的证件管理应用服务器、证件管理数据库服务器、安

全数据交换服务器，采用安全操作系统，从而全面提升了操作系统的安

全性，在身份认证、标记与强制访问控制、用户文件机密性/完整性保护、

剩余信息保护实现有效的防护，弥补了商用操作系统在强访问控制、用

户文件机密性/完整性保护、客体重用控制方面的不足。

⏹也可采用操作系统核心加固系统，来弥补商用操作系统的不足，核心加

固系统也能够实现包括双因素身份认证、标记与强制访问控制、客体重

用控制等方面的内容；

⏹针对数据库采用安全数据库管理系统，将有效弥补商用数据库在强制访

问控制方面的不足，安全数据库管理系统支持强身份认证（双因素认证）、

标记与强制访问控制、数据机密性/完整性保护、数据客体重用、数据库

管理员的分权管理等安全机制，有效保障了证件管理信息系统的数据安

全性；

⏹也可采用购买数据库安全模块的方法，ORACLE 11G单独提供了实现安全

机制的模块，通过模块也可实现强身份认证、标记与强制访问控制以及数据机密性/完整性保护，在配合数据库安全模块进行人工加固，也可实现三级计算环境所要求的内容，符合三级系统对数据安全和主机安全的一些要求；

⏹此外，在各个服务器、数据库开启审计功能，在采用安全操作系统以及

安全数据库后，系统从底层上就有措施来保护审计进程的有效性；如果采取操作系统内核加固以及数据库安全模块加固后，系统也可对审计进程进行保护；然后再通过集中的日志审计系统，来收集各个服务器及数据库的日志信息，进行集中存储，也有效防范了日志信息被非法篡改或删除；

⏹此外，通过部署基于终端、服务器的防病毒软件，有效查杀感染到端点

的病毒，防止病毒、木马、蠕虫等恶意代码对系统的破坏，并且通过部署的集中病毒管理服务器，实现对各个防病毒节点的病毒库统一升级，保持防病毒系统的有效性；

⏹在三级计算环境的服务器和数据库服务器上安装主机入侵检测，实时监

控系统，自动检测可疑行为，分析来自主机内部的入侵信号, 如果与预定义的事件匹配成功，则产生事件报警信息。在系统受到危害前发出警告，实时对攻击作出反应，并提供补救措施，最大程度地为主机系统提供安全保障，保护重要的服务器和数据库服务器不受到攻击的威胁；

⏹另外，对于三级计算环境，部署本地和异地数据备份中心，将重要的数

据库、用户文件分别在本地和异地进行定时备份，有效保障了系统服务的可用性，一旦发生以外，数据和用户文件将通过网络进行有效恢复，或实现系统服务的A/A、A/S切换；

⏹在所有的终端设备上安装终端管理平台，实现终端桌面安全监管、桌面

行为监管、桌面系统监管、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部桌面系统的管理和维护，能有效保障桌面系统的安全。同时部署的终端管理平台有效监测了终端的非法外联和非法内联情况，从而满足三级系统的“边界完整性”保护要求。