第三级安全保护环境建设方案瑞达信息安全产业股份有限公司（2009）目录1.前言 (4)1.1.项目名称 (4)1.2.单位名称 (4)1.3.建设背景 (4)1.4.条件及假设 (6)1.5.符合的标准规范 (6)2.需求分析 (7)2.1.信息系统部署结构现状分析 (7)2.2.物理安全分析 (7)2.3.网络安全分析 (9)2.4.主机安全分析 (10)2.5.应用安全分析 (12)2.6.数据安全分析 (14)3.总体建设方案 (15)3.1.总体建设目标 (15)3.2.总体建设原则 (15)3.3.安全改造后的信息部署结构 (16)3.4.安全保护体系建设 (16)3.4.1.建立“一个中心”管理下的“三重保障体系” (16)3.4.2.建立安全保护环境 (17)3.4.3.建立系统安全互联 (18)4.第三级安全保护体系建设方案 (18)4.1.安全计算环境建设 (18)4.1.1.部署三级操作系统 (20)4.1.2.部署系统安全审计系统 (21)4.1.3.部署客体重用系统 (21)4.1.4.部署文档加密系统 (22)4.2.安全通信网络建设 (23)4.2.1.部署网络安全审计系统 (24)4.2.2.建立IPSEC VPN (26)4.2.3.部署网络通信安全监控系统 (26)4.2.4.部署网络通信管理系统 (27)4.3.安全区域边界建设 (27)4.3.1.部署防火墙 (28)4.3.2.部署可信接入网关 (30)4.3.3.部署入侵检测系统 (33)4.3.4.部署应用防护墙 (33)4.4.安全管理中心建设 (33)4.4.1.部署网络管理中心 (34)4.4.2.部署自主访问控制系统管理中心 (35)4.4.3.部署安全审计管理中心 (38)5.系统安全互联 (41)5.1.1.安全互联部件设计技术要求 (41)5.1.2.建立跨定级系统安全管理中心 (41)6.第三级安全保护环境产品清单 (42)1.前言1.1.项目名称1.2.单位名称1.3.建设背景《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）明确规定我国“计算机信息系统实行安全等级保护”。

依据国务院147号令要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）为计算机信息系统安全保护等级的划分奠定了技术基础。

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出实行信息安全等级保护，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度”。

《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。

信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准保障。

2007年起公安部组织编制了《信息安全技术信息系统等级保护安全设计技术要求》，为已定级信息系统的设计、整改提供标准依据，至2008年11月已报批为国标。

及此同时，2007年7月全国开展重要信息系统等级保护定级工作，标志着信息安全等级保护工作在我国全面展开。

依据《计算机信息系统安全保护等级划分准则》，将信息系统安全保护能力划分为五个等级。

分别为：第一级：用户自主保护级;由用户来决定如何对资源进行保护，以及采用何种方式进行保护。

第二级：系统审计保护级;本级的安全保护机制支持用户具有更强的自主保护能力。

特别是具有访问审记能力，即它能创建、维护受保护对象的访问审计跟踪记录，记录及系统安全相关事件发生的日期、时间、用户和事件类型等信息，所有和安全相关的操作都能够被记录下来，以便当系统发生安全问题时，可以根据审记记录，分析追查事故责任人。

第三级：安全标记保护级;具有第二级系统审计保护级的所有功能，并对访问者及其访问对象实施强制访问控制。

通过对访问者和访问对象指定不同安全标记，限制访问者的权限。

第四级：结构化保护级;将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略。

其本身构造也是结构化的，以使之具有相当的抗渗透能力。

本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级：访问验证保护级;具备第四级的所有功能，还具有仲裁访问者能否访问某些对象的能力。

为此，本级的安全保护机制不能被攻击、被篡改的，具有极强的抗渗透能力。

目前，全国范围内的定级工作已经基本完成，2009年起将依据标准要求对已定级信息系统进行整改，以达到规范安全管理、提高信息安全保障能力到应有水平的目标。

1.4.条件及假设1)已完成对已定级系统的风险评估工作2)此次建设方案仅针对于第三级的以定级系统进行整改1.5.符合的标准规范1)GB 17859-1999《计算机信息系统安全防护等级划分准则》2)国务院令第147号《中华人民共和国计算机信息系统安全防护条例》3)中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》4)公通字【2007】66号关于印发《关于信息安全等级保护工作的实施意见》的通知5)公通字【2007】43号信息安全等级保护管理办法6)《信息安全技术信息系统等级保护安全设计技术要求》2.需求分析2.1.信息系统部署结构现状分析终端远程接入移动终端2.2.物理安全分析目前现有的物理安全机制不够完善，在物理安全的设计和施工中，需要考虑的安全要素包括：机房场地选择安全、机房内部安全防护、机房防火、机房供、配电、机房空调、降温、机房防水及防潮、机房防静电、机房接地及防雷击、机房电磁防护。

●需要优先考虑机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

●需要在机房出入口应安排专人值守，控制、鉴别和记录进入的人员。

●需要将通信线缆铺设在隐蔽处，例如：铺设在地下或管道中。

●需要对介质分类标识，存储在介质库或档案室中。

●需要在主机房安装必要的防盗报警设施。

●机房建筑需要设置避雷装置及设置交流电源地线。

●机房需要设置灭火设备和火灾自动报警系统。

●在水管安装时，需要考虑不得穿过机房屋顶和活动地板下。

●需要采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

●需要采取措施防止机房内水蒸气结露和地下积水的转移及渗透。

●需要在关键设备上采用必要的接地防静电措施。

●考虑机房需要设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

●需要提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。

●需要考虑电源线和通信线缆应隔离铺设，避免互相干扰。

●机房场地避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

●需要对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；●重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。

●需要利用光、电等技术设置机房防盗报警系统，对机房设置监控报警系统。

●需要设置防雷保安器，防止感应雷。

●考虑机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火。

●考虑机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料，机房应采取区域隔离防火措施，将重要设备及其他设备隔离开。

●需要安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

●考虑机房采用防静电地板。

●考虑机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

●需要设置冗余或并行的电力电缆线路为计算机系统供电，应建立备用供电系统。

●需要采用接地方式防止外界电磁干扰和设备寄生耦合干扰，并对关键设备和磁介质实施电磁屏蔽。

2.3.网络安全分析目前现有的通信网络安全机制不够完善，需依据《信息安全技术信息系统安全等级保护基本要求》第三级基本要求加强现有网络安全机制。

●需要对用户数据在网络传输中的数据提供保密性及完整性保护。

●需要对通信网络进行安全审计，其网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，并对确认为违规的用户操作行为需要提供报警，并对审计信息进行存储备份。

●需要考虑网络边界访问控制对会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。

●需要对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。

●网络边界对入侵防范措施不够完善，考虑检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

●考虑网络边界对恶意代码防范能力应提供及时检测和清除，维护病毒库的升级更新。

2.4.主机安全分析目前现有的主机安全机制不够完善，需依据《信息安全技术信息系统安全等级保护基本要求》第三级基本要求加强现有主机安全机制。

1)用户身份鉴别●需要对用户登录过程采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

2)标记和强制访问控制●系统资源访问控制需要对重要信息资源设置敏感标记，需要依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

3)系统安全审计●系统安全审计需要覆盖到服务器上的每个操作系统用户和数据库用户，应保护审计进程，避免受到未预期的中断。

●审计记录包括安全事件的主体、客体、时间、类型和结果等内容；●考虑对各审计记录，应提供审计记录查询、分类和存储保护。

4)用户数据完整性保护●需要采用各种常规校验机制，对系统安全计算环境中存储和传输的用户数据的完整性进行检验，能发现完整性被破坏的情况。

5)用户数据保密性保护●需要采密码技术支持的保密性保护机制，为安全计算环境中存储和传输的用户数据进行保密性保护。

6)剩余信息保护●剩余信息保护应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

7)入侵防范●需要能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

8)可信执行程序保护●需要构建从操作系统到上层应用的信任链，其中可采用可信计算技术，以实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时，应采取有效的恢复措施。

2.5.应用安全分析目前现有的应用安全机制不够完善，需依据《信息安全技术信息系统安全等级保护基本要求》第三级基本要求的加强现有应用安全机制。