信息安全体系设计要求

体系各部分的定义——安全计算环境
确认职员身份 对职员进行权限控制 保障重要机密文件不 被窃取或破坏 人或事物不被冒充 记录每个人的行为
用户身份鉴别 用户权限控制 数据机密性及完整性 保护 程序可信执行保护 系统安全审计
定级系统互联设计 基本概念－术语
审计管理 应通过安全审计员对安全互联部件的安全审 计机制、各定级系统的安全审计机制以及与跨定 级系统互联有关的安全审计机制进行集中管理。 包括根据安全审计策略对审计记录进行分类；提 供按时间段开启和关闭相应类型的安全审计机制 ；对各类审计记录进行存储、管理和查询等。对 审计记录应进行分析，并根据分析结果进行及时 处理。
系统管理确认信息系统 中有什么 用户身份管理 系统配置管理 系统设备管理
体系各部分的定义
安全管理中心——安全管理
保密室保障政府办公安 全正常 授予不同办公人员相 应权限 制定规章制度 规定不同人员、文件 等的安全级别
安全管理保障信息系统 安全运行 授权管理 策略管理 标记管理
计算环境
通信网络
区域边界
其他信息系统
“一个中心,三重防护”体系的提出依据
如何保障信息系统的安全？
保障政府办公安全 保卫部统管安全 各区域办公安全 保障信息系统安全 安全管理中心 安全计算环境 安全区域边界 安全通信网络
大院院墙坚实
与其他单位之 间的道路安全
信息系统安全防护体系 －－“一个中心，三重防护”
保障院内办公流程 安全、各办公区域安全
与其它业务部门之间 的通信道路安全
安
处 保卫
全
处 档 案 室
谁来负责整个安全管理？
“一个中心,三重防护”体系的提出依据
谁负责整个安全管理？
保卫处对出入大院的人员进行控制
安全处对院内工作人员的权限进行控制 摄像头负责对办公流程及整个大院的监控
基本概念－术语 基本概念－术语
结构化 安全保护部件应划分为关键安全保护部件和 非关键安全保护部件。关键安全保护部件应划分 功能层次，明确定义功能层次间的调用接口，确 保接口之间的信息安全交换。 安全保护部件之间互联的接口功能及其调用 关系应明确定义；各安全保护部件之间互联时， 需要通过可信验证机制相互验证对方的可信性， 确保安全保护部件间的可信连接。 安全保护环境设计实现的与安全策略相关的 重要参数的数据结构给出明确定义，包括参数的 类型、使用描述以及功能说明等，并用可信验证 机制确保数据不被篡改。
安全通信网络 secure communication network 对定级系统安全计算环境之间进行信息传输 及实施安全策略的相关部件。
基本概念－术语 基本概念－术语 安全管理中心 security management center 对定级系统的安全策略及安全计算环境、安 全区域边界和安全通信网络上的安全机制实施统 一管理的平台。 定级系统互联 classified system interconnection 通过安全互联部件和跨定级系统安全管理中 心实现的相同或不同等级的定级系统安全保护环 境之间的安全连接。
安全管理中心
安全计算环境
安全区域边界
安全通信网络
体系各部分的定义——安全管理中心
对政府办公进行统一管 理。 保卫部 安全处 监控摄像头
对信息系统进行统一安 全管控。 系统管理 安全管理 安全审计
体系各部分的定义
安全管理中心——系统管理
保卫部确认政府大院中 有什么 人员身份管理 资产管理 设备管理
体系各部分的定义
安全管理中心——审计管理
监控摄像头 安全事件分类 对监控录像进行存储 、管理 分析监控录像
安全审计 审计记录分类 审计记录进行存储、 管理和查询 审计记录应进行分析 处理
体系各部分的定义——安全区域边界
构筑坚实的院墙，禁止 外界非法进入。
对信息系统的安全计算 环境边界，以及安全计算环 境与安全通信网络之间实现 连接并实施安全策略的相关 部件。

体系各部分的定义
安全计算环境——用户身份鉴别
进入机关楼要向岗哨出 示带有个人相片的工作证； 进入办公室前用自己的 指纹开门。
采用受安全管理中心控 制的口令、令牌、基于生物 特征、数字证书以及其他具 有相应安全强度的两种或两 种以上的组合机制进行用户 身份鉴别。
政府办公安全防护体系
控制人员、物资出入
使 食 堂 利 店 关楼 机
保障院内办公流程 安全、各办公区域安全
与其它业务部门之间 的通信道路安全
安
处 保卫
全
处 档 案 室
保卫部门进行 统管和监督
“一个中心，三重防护”
“一个中心,三重防护”体系的提出依据
如何保障信息系统的安全？
服务器 服务器 服务器 信 息 系 统
基本概念－术语 基本概念－术语 跨定级系统安全管理中心 security management center for cross classified system 跨定级系统安全管理中心是对相同或不同等 级的定级系统之间互联的安全策略及安全互联部 件上的安全机制实施统一管理的平台。
定级系统安全保护环境 security environment of classified system 由安全计算环境、安全区域边界、安全通信 网络和（或）安全管理中心构成的对定级系统进 行安全保护的环境。
自主访问控制
主体 用户
基本概念－术语 基本概念－术语
执行程序主体请求访问客体 请求 执行 返回
用户组 访问 操作 符合
主体访问权限 获取 符合性检查
审计
读取 客体 内容 自主访问控制 策略 设置
用户请求定制策略
用户身份和授权管理 安全管理中心
审计管理
强制访问控制
基本概念－术语 基本概念－术语
体系各部分的定义
安全计算环境——系统安全审计
记录办公过程中发生的 安全事件，安全事件分类整 理后统一存放、上报，办公 区域遭受非法入侵时报警。
记录系统的相关安全事 件，提供审计记录查询、分 类、分析和存储保护；能对 特定安全事件进行报警；确 保审计记录不被破坏或非授 权访问。
内容简介
基本概念
安全保护环境设计
定级系统互联设计 方案实例
和基本要求关系
定级系统互联设计 基本概念－术语 安全互联部件设计技术要求 应通过通信网络交换网关与各定级系统安全 保护环境的安全通信网络部件相连接，并按互联 互通的安全策略进行信息交换，实现安全互联部 件。安全策略由跨定级系统安全管理中心实施。 跨定级系统安全管理中心设计技术要求 应通过安全通信网络部件与各定级系统安全 保护环境中的安全管理中心相连，主要实施跨定 级系统的系统管理、安全管理和审计管理。
体系各部分的定义通信道路安全。
对信息系统安全计算环 境之间进行信息传输及实施 安全策略的相关部件。

体系各部分的定义——安全计算环境
控制院内人员行为，保 障各办公流程安全，保障各 办公区域安全。
通过实施安全策略，对 信息系统的信息进行安全存 储及处理。
第二级安全管理中心
第三级安全管理中心
第四级安全管理中心
第五级安全管理中心
定级系统互联
安全互联部件
跨定级系统安全管理中心
内容简介
基本概念
安全保护环境设计
定级系统互联设计 方案实例
和基本要求关系
1 “设计要求”解读
“一个中心,三重防护”体系的提出依据
如何保障政府部门的办公安全？
使 食 堂
利
店 机关 楼
系统管理 应通过系统管理员对安全互联部件与相同和 不同等级的定级系统中与安全互联相关的系统资 源和运行进行配置和管理，包括用户身份管理、 安全互联部件资源配置和管理等。 安全管理 应通过安全管理员对相同和不同等级的定级 系统中与安全互联相关的主/客体进行标记管理， 使其标记能准确反映主/客体在定级系统中的安全 属性；对主体进行授权，配置统一的安全策略， 并确保授权在相同和不同等级的定级系统中的合 理性。
确认职员的职务级别 确认业务对职员职务 的要求 通过职务与业务的比 对，判断该职员能否 办理该业务
主体标记 客体标记 通过主客体标识，进 行强制访问控制
体系各部分的定义
安全计算环境——机密性及完整性保护
重要的文件放在文件保 密柜中，只有密码和钥匙才 能打开。 拿到和查看重要之前， 首先检查文件是否完好，是 否被恶意修改。
信息安全体系设计要求
基本概念
安全保护环境设计 定级系统互联设计
方案实例
和基本要求关系
概述
2010年，国家发布了等级保护系列标准中的《信息系统 等级保护安全设计技术要求》(GB/T 25070-2010)。该标准 对信息系统等级保护安全整改阶段技术方案的设计具有指导
和参考作用，其核心为“一个中心，三重防护”体系。
执行程序主体请求访问客体
请求 主体 身份 标记 符合 按级别判 定策略符 合性
执行 返回 不符合 允许调整
拒绝 返回
级别调整 检查
审计
客体 客体名 标记
访 问 操 作 内容
强制访问控制执行 强制访问控制 策略 级别调整 策略
用户身份管理
标记管理、授权管理、策略管理 安全管理中心
审计管理
客体安全重用 在计算机信息系统可信计算基的空闲存储客 体空间中，对客体初始指定、分配或再分配一个 主体之前，撤消该客体所含信息的所有授权。当 主体获得对一个已被释放的客体的访问权时，当 前主体不能获得原主体活动所产生的任何信息。 可信路径 对用户的初始登录和鉴别，计算机信息系统 可信计算基在它与用户之间提供可信通信路径。 该路径上的通信只能由该用户初始化。
体系各部分的定义
安全计算环境——自主访问控制
领导可授权职员自己具 有的某些权限，以完成相应 的工作。
用户对其创建的客体具 有相应的访问权限，并能将 这些权限的部分或全部授予 其他用户。自主访问操作包 括对客体的创建、读、写、 修改和删除等。
体系各部分的定义
安全计算环境——标记和强制访问控制
安
处 保卫
全
处 档 案 室
“一个中心,三重防护”体系的提出依据 如何保障政府部门的办公安全？
对院内人员进行控制，保障各办公流程安全，保障各办公区域安全
构筑坚实的院墙，禁止非法进入 保证政府大院与其他单位的信件等通信道路安全
政府办公安全防护体系
控制人员、物资出入
使 食 堂 利 店 关楼 机
基本概念－术语 基本概念－术语 安全计算环境 secure computing environment 对定级系统的信息进行存储、处理及实施安 全策略的相关部件。 安全区域边界 secure area boundary 对定级系统的安全计算环境边界，以及安全 计算环境与安全通信网络之间实现连接并实施安 全策略的相关部件。
基本概念－术语 基本概念－术语
基本概念－总体结构
通信网络
计算环境
计算节点n 计算节点2 计算节点1
区域边界 区域 边界 安全 保护 系统
应用系统
安全 通信 网络 系统
其它应 用环境
安全操作系统
交换机
路由器
系统管理
安全管理
审计管理
安全管理中心
基本概念－总体结构
第一级系统 安全保护环境 第 一 级 安 全 计 算 环 境 第 一 级 安 全 区 域 边 界 第 一 级 安 全 通 信 网 络 第 二 级 安 全 计 算 环 境 第二级系统 安全保护环境 第 二 级 安 全 区 域 边 界 第 二 级 安 全 通 信 网 络 第 三 级 安 全 计 算 环 境 第三级系统 安全保护环境 第 三 级 安 全 区 域 边 / 界 第 三 级 安 全 通 信 网 络 第 四 级 安 全 计 算 环 境 第四级系统 安全保护环境 第 四 级 安 全 区 域 边 界 第 四 级 安 全 通 信 网 络 第 五 级 安 全 计 算 环 境 第五级系统 安全保护环境 第 五 级 安 全 区 域 边 界 第 五 级 安 全 通 信 网 络
采用密码等技术支持的 保密性保护机制，对在安全 计算环境中存储和处理的用 户数据进行保密性保护。 采用完整性校验机制， 检验存储和处理的用户数据 的完整性，以发现其完整性 是否被破坏
体系各部分的定义
安全计算环境——程序执行保护
领导使用可信的人办公。
构建从操作系统到上层 应用的信任链，实现系统运 行过程中可执行程序的完整 性检验，防范恶意代码等攻 击，例如采用可信计算等技 术。