摘要:为了进一步贯彻落实国家信息安全等级保护制度,应依据信息安全等级保护有关政策和标准,进一步对已定级的国土资源非涉密信息系统开展安全建设整改工作。本文主要探讨如何依据作息系统等级保护安全设计技术要料,对部门户系统(三级)进行总体技术设计。 关键词:国土资源;信息;等级保护;安全整改;访问控制;门户系统 1 背景 根据等级保护管理办法,信息系统安全等级保护工作主要分为定级、备案、建设整改、等级测评和监督检查五个环节。其中,定级和备案是信息安全等级保护的首要环节和确定信息安全保护的重点。2007年8月,由国土资源部信息化工作办公室牵头,全面开展了国土资源信息系统安全等级保护定级工作,对部机关、信息中心、中国地质调查局等巧家相关单位的非涉密信息系统进行了摸底调查,总共涉及140个信息系统、42个网络,并在此基础上,筛选出了24个重要信息系统作为定级对象。根据“谁主管谁负责,自主定级、自主保护”的工作原则,各单位综合考虑所属信息系统是否承载相对独立或单一业务应用、信息安全是否由本单位主管、是否具备信息系统基本要素、系统重要程度和遭到破坏后的危害程度等要素,自行确定了所属信息系统的安全保护等级,并在年底之前全部完成了系统备案工作。 为了进一步贯彻落实国家信息安全等级保护制度,根据公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)的要求,应依据信息安全等级保护有关政策和标准,进一步对部机关和在京直属单位已定级的非涉密信息系统开展安全建设整改工作。通过组织开展信息系统安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,全面提高国土资源非涉密信息系统的安全防护能力,有效保障国土资源信息化建设健康发展。 2安全整改工作中的政策和标准依据 2.1政策依据 在信息安全等级保护工作中,《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)和《信息安全等级保护管理办法》(公通字〔2007〕43号)是两项起着宏观指导作用的总体政策文件。其中,66号文明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作要求和实施计划;43号文则进一步明确了在信息系统定级、备案、安全建设整改、等级测评、信息安全产品和测评机构选择等等级保护的实施与管理方面的工作要求,以及各阶段所应遵循的技术标准和管理规范,为开展信息安全等级保护工作提供了规范保障。近期,为了指导各部「1开展非涉密信息系统安全建设整改工作,公安部又下发了《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号),明确了安全整改下作目标、内容、流程和工作要求等。 2.2标准依据 目前,我国制定和发布了约50余个信息系统等级保护相关的国标、行标以及已报批标准,总共包括基础类、安全要求类、定级类、方法指导类、现状分析类等五大类标准,形成了比较完整的信息安全等级保护标准体系。这些标准分别从基础、设计、实施、管理、制度等各个方面对信息系统等级保护提出了要求和建议,为信息系统的使用者、设计者、建设者提供了管理规范和技术标准。其中,GB17859-1999《计算机信息系统安全保护等级划分准则》(以下简称GB17859-1999)、GB/T22239-2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)、《信息系统安全等级保护实施指南》(信安字〔2007〕10号)、《信息系统等级保护安全设计技术要求》(信安秘字〔2009〕059号,以下简称《设计技术要求)))等是我们下一步开展安全整改工作需要遵循或参考的标准; GB17859-1999是整个等级保护标准体系中的基础标准。它是我国第一个信息系统等级保护技术类标准,也是国家强制标准,其后陆续推出的GB/T 20271-2006《信息系统通用安全技术要求》、GB/T20269-2006《信息系统安全管理要求》、GB/T20272-2006《操作系统安全技术要求》等技术类、管理类和产品类标准均是该标准的延伸和细化。 《基本要求》是安全建设整改的依据和基本目标。该标准提出并确定了不同安全保护等级信息系统的最低保护要求。基本意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,实现这些要求能够保证系统达到相应等级的基本保护能力。 《设计技术要求》提出了五个级别信息系统等级保护安全设计的技术要求,以及定级系统互联的设计要求,明确了体现定级系统安全保护能力的整体控制机制。需要特别注意的是,该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以,在利用该标准进行安全建设整改方案设计时,应与《基本要求》等标准配合使用。《设计技术要求》只是实现《基本要求》的方法之一。 《实施指南》是安全整改工作中的过程控制标准,属于指南性标准。它阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中,如何按照信息安全等级保护政策、标准要求实施等级保护工作。它与《设计技术要求》共同构成了指导安全建设整改的方法指导类标准。 3 安全保护能力目标 对已定级信息系统进行安全建设整改,提高国土资源非涉密信息系统的安全保护能力,主要体现在两个方面,一是能够应对威胁和抵御攻击的对抗能力;二是当信息系统因无法阻挡威胁和恶意攻击而遭到破坏时,能够在一定时间内恢复系统原有状态的恢复能力,两者共同构成了信息系统的安全保护能力。不同安全等级的信息系统,其对抗能力和恢复能力的强度要求也不同,信息系统越重要,应具有的保护能力也就越高。比如,经过整改后的第二级信息系统应具有抵御和防范小规模、较弱强度恶意攻击、一般自然灾害、一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后具有恢复系统正常运行状态的能力。整改后的第三级信息系统应在统一的安全保护策略下,具有抵御和防范大规模、较强恶意攻击、较为严重的自然灾害、计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录人侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后具有能够较快恢复正常运行状态的能力,对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。 4总体技术设计 作为安全建设整改工作的三项重点工作之一,安全技术建设整改就是要以《基本要求》为目标,结合实际安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,全面落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。积极开展安全建设整改方案设计可以为后续安全建设整改工程实施提供依据。本文主要就其中的总体技术设计进行详细阐述。 4.1设计方法 在进行国土资源信息系统安全建设整改技术设计,满足《基本要求》时,有多种设计方法可供选择:一是针对安全现状分析发现的问题进行加固改造,缺什么补什么;二是参照《基本要求》,从物理安全、网络安全、主机安全、应用安全和数据安全等方面进行总体安全技术设计,全面落实等级保护基本要求,三是参考《设计技术要求》,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等四个方面进行总体技术设计,形成有机的安全保护体系,使国土资源信息系统安全保护技术符合其安全等级的保护要求。下面,我们采用《设计技术要求》的技术思路,对部门户系统(三级)进行总体技术框架设计。 4.2基本要求》和《设计技术要求》的相互关系 根据《基本要求》,三级信息系统应具备“能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能”的安全保护能力。 《设计技术要求》对第三级系统安全保护环境的设计目标是:按照GB17859-1999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力。 《基本要求》根据现有技术的发展水平,提出和规定了不同安全等级信息系统的最低保护要求,而《设计技术要求》则是在《基本要求》的基础上,对等级保护信息系统的技术设计方案和实施方法提供了更为具体的指导。它以访问控制为核心,将整个信息系统安全保护环境划分为安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心四个部分。各级安全计算环境、安全区域边界和安全通信网络在安全管理中心的统一管控下运行,各司其职、相互配合,确保信息的存储、处理和传输的安全,并在跨域安全管理中心的全系统统一安全策略控制下,实现不同系统的安全互操作和信息安全交换,从技术上规范了信息系统等级保护安全设计要求。 4.3设计原则 国土资源部门户系统(三级)总体技术设计以《基本要求》为依据,分区分域,多层防护,建设“一个中心、三重防御体系”架构的、符合国土资源部门户系统安全需要的安全保护环境。 4.4技术设计 任何一个信息系统都可由计算环境、区域边界、通信网络三个方面组成。所谓计算环境就是用户的工作环境,由完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其连接部件组成。它包括终端、服务器、操作系统、数据库、业务和应用系统等。计算环境的安全通过终端、服务器操作系统、上层应用系统和数据库的安全机制服务,保障信息处理全过程的安全。区域边界是计算环境的边界,对进人和流出应用环境的信息流进行安全检查和访问控制,可以确保边界的安全和访问控制,形成信息系统保护的第二道安全屏障。通信网络是计算环境之间实现信息传输功能的部分,对通信双方进行可信鉴别验证,实施数据传输完整性和保密性保护,可建立信息系统保护的第三道安全屏障。安全管理中心实施对计算环境、区域边界和通信网络统一的安全策略管理,确保系统配置完整可信,确定用户操作权限,并实施全程审计追踪。这种结构设计比以往的物理层、网络层、系统层、应用层和数据层来描述系统安全相比,要更加科学合理。因为,传统的层次式描述更适用于描述开放互连网络,而不宜于描述信息系统。 作为三级以上的门户网站,对外要防止恶意攻击者通过黑客技术,利用系统漏洞和缺陷进行人侵攻击,获取网站服务器的维护权限,进而非法篡改网站主页,对内还要防止内部人员的有意或无意的非法操作和越权操作,特别是要加强对数据库内容有修改和更新权限的信息发布员和系统管理员的访问控制,以及执行程序的权限,防止因误操作对门户系统的机密性和完整性所造成的安全威胁,况且,外部攻击也是在获得合法用户的权限、假冒身份后才能够实现对主页内容完整性的破坏,所以,门户网站的安全防护措施应作到防内为主,内外兼防。终端是一切不安全问题的根源,终端安全是信息系统安全的源头,而安全操作系统则是终端安全的核心和基础。现有的windows操作系统采用自主访问控制模式来限制用户权限,资源属主可以任意授权,权限可以传递;恶意人员可以利用操作系统漏洞窃取超级用户权限,肆意进行破坏;合法用户可以越权访问;病毒程序可以利用操作系统不检查执行代码一致性的弱点,嵌入执行程序中实施病毒传播。如果在终端建立起安全操作系统,在操作系统层实现用户的最小权限和职责分离限制,采用身份鉴别、访问控制、数据完整性保护、执行程序控制等安全机制,努力消除安全隐患,那么,病毒、木马和恶意攻击也就无法人侵终端,内部非授权用户更是无法从网络破坏信息系统安全。 综上可见,访问控制机制是整个信息系统安全保护的核心,所以,部门户系统(三级)的安全保护环境设计思想应以终端安全为基础,强化现有操作系统的安全机制,增加强制访问控制,构建由安全管理中心管控下的安全计算环境、安全区域边界和安全通信网络所组成的三重防护体系,在“一个中心、三重防护”的安全保护环境下,构造非形式化的安全策略模型,对主体和客体进行安全标记,并以此为基础,按照访问控制规则实现主体及其所控制的客体的强制访问控制,防止非授权用户访问和授权用户越权访问。 安全访问控制的前提是必须合理划分安全域,将安全等级或者安全防护要求相同的信息系统置于同一安全域中,不同的安全区域内,部署不同类型和功能的安全防护设备和产品,同时形成相辅相成的多层次立体防护体系。通过安全域划分,不仅网络结构清晰,而且防护重点明确,同时也使得有限的安全资源能够得到充分和有效地利用。为了突出重点保护的等级保护原则,可以将国土资源部外部局域网划分为外网接人区、托管系统区、三级系统区、安全管理区、二级应用服务区、机关用户区、信息与系统维护区等几个安全区域。在分区分域的基础上,按照业务处理过程将重点保护的门户系统划分成计算环境、区域边界、通信网络三个部分,以终端安全为基础,构建一个中心、三重防护体系。 安全计算环境设计 计算环境安全通过终端、服务器操作系统、L层应用系统和数据库的安全机制服务,保障应用业务处理全过程的安全。通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制,形成严密的安全保护环境,通过对用户行为的控制,可以有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,从而为门户系统的正常运行和免遭恶意破坏提供支撑和保障。 三级系统区内主要部署门户网站、内容管理系统、数据库、督察网等三级信息系统。该区应满足《基本要求》主机安全、系统安全和数据安全的身份鉴别、访问控制、安全审计、剩余信息保护、人侵防范、恶意代码防范、资源控制、数据完整性和保密性中的三级要求。终端区是专门为系统管理员、安全管理员和信息员进行网络设备和安全系统管理与配置,以及网站信息更新维护的区域。该区应能控制合法用户的有效访问内容,对敏感信息的URL加密传输,保证信息的安全性,实现对维护人员的认证、授权和控制,并提供内容合法性的审核机制,明确限制维护人员的操作行为,防范内部人员的非法操作。 按照设计技术要求,区域边界指的是对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。这里所提到的区域边界并非原来意义上的网络边界,而是指应用系统运行环境的边界,是应用系统和外界进行信息交互的接口。对于门户网站而言,不仅用于部机关和互联网普通用户浏览和查询,而且需要由信息发布员利用内容管理平台进行网站信息发布和内容更新,以及系统管理员远程进行系统和设备维护与管理,他们属于认证授权用户。毋庸置疑的是,和普通用户一样,本地授权和远程授权用户也是门户网站的用户,供这些用户进行信息交互的终端都是网站运行环境的一部分。因此,虽然与网站服务器同在一个局域网内的网站维护终端和互联网上远程授权终端不在同一个网络边界内,但是,他们都同属于同一个计算环境,即网站系统运行环境。对于门户网站来说,网站服务器、本地维护终端、远程维护终端均属于同一个系统计算环境。两者的区别是,网站维护终端和服务器是可控的,是可信终端,而互联网上的终端是不可信的,其用户的安全级比较低。 针对部门户网站、内容更新系统和数据库,部署操作系统层的服务器安全加固系统,通过白名单机制,对启动过程加载的可执行程序和模块与可执行列表里的程序进行实时一致性校验,确保服务器启动过程和运行环境的可信性,同时,设置服务器中的重要信息(如网站配置及网页内容)的访问权限,在操作系统内核访问控制模块监控对重要文件的访问,防范网页等重要和敏感资源被篡改,并对服务器中的软件安装、软件运行、宏执行、脚本运行、网页代码进行实时控制,实现恶意代码的主动防御,确保三级系统的机密性和完整性;而且,还应在边界访问控制的基础上,采取用户输人过滤和转义、使用边界参数检查、限制数据库权限并分离用户、关闭错误返回信息、修正Weh服务器目录权限设置、部署应用级防火墙等安全措施,尽可能减少SQL注入、跨站攻击漏洞等应用层安全隐患。 同样,针对本地信息更新和系统维护终端也进行操作系统安全加固,为系统登陆提供基于数字证书的强用户身份认证方式,并采用PIN口令保护的USBKey作为数字证书存储介质,数字证书与每台终端上的用户帐号绑定,用户拔掉USBKey后系统自动锁屏重新进行认证,实现非法用户进不来的可信系统环境;在此基础上增加强制访问控制机制,由安全管理中心对系统的主体(用户、进程)和客体(文件、执行程序、外设、移动存储设备)进行安全标识,根据客体类型,分别制定不同的访问控制规则,强制终端采用低安全级用户不能访问高安全级客体的原则来限制用户权限,安全管理员可以依据系统中数据的重要性来规定其安全级,规定其可以执行什么的程序,确保只有经过系统安全性检查并且得到授权的应用程序才能被用户使用,这样,降低了恶意程序破坏系统的可能性,同时,安全管理员规定执行程序权限(文件的访问权限和对网络的使用权限),使其在满足用户权限访问控制规则的前提下,只拥有正常完成任务的最小权限。通过限制程序对文件的访问权限,可以有效防止恶意脚本对系统安全的攻击;通过限制应用程序访问网络的能力,可以有效防止蠕虫等恶意代码对信息系统可用性的破坏,防止病毒、木马程序在用户不知情的情况下,将系统中的重要信息泄漏出去。此外,通过数据存储和传输加密保护、重新分配客体资源前清除原使用者信息、用户行为审计等安全措施,在客体重用、审计等方面进一步对本地终端进行操作系统加固,使其满足三级功能要求。 针对互联网远程维护终端的保护,主要是安装杀毒软件,并通过vPN网关构建基于IPSEC的安全通讯渠道,从而实现网站信息维护人员和系统管理人员远程登陆网站服务器的强身份认证、信息安全上传和系统安全远程管理。 安全区域边界设计 外网接人区构成了网站系统的区域边界,通过这个边界,门户网站与互联网低安全级用户、维护终端、部机关用户、托管系统、二级系统进行信息交互。该区域应满足《基本要求》网络安全中的结构安全、访问控制、安全审计、边界完整性检查、人侵防范、恶意代码防范中的二级要求,主要部署互联网接人设备和抗攻击、网络防火墙、防毒网关、流量控制、人侵检测和网络安全审计系统。网络防火墙通过检查数据包的源地址、目的地址、传输层协议和请求的服务,确定是否允许该数据包进出该区域边界,实现与互联网、托管区和系统服务区的逻辑隔离和边界包过滤;流量控制系统对部机关用户上网行为和网络流量严格管理,并按照业务服务重要次序指定带宽分配优先级别和安全策略,在网络各部分带宽满足业务高峰期的需要的基础上,确保对门户系统的优先保护;入侵检测和抗攻击系统实时检测和防范拒绝服务攻击和网络入侵行为;防毒网关对应用层协议病毒和恶意代码实时进行安全过滤;网络安全审计系统对用户的上网行为,以及信息员和管理员的数据库操作行为进行实时记录,并提供审计记录的查询和统计功能。此外,该区内的所有网络设备和安全设备全部采用冗余配置和冗余部署,彻底排除单点故障隐患,确保系统L作的连续性和高可用性。 安全通信网络设计 该区域应满足《基本要求》应用安全中的通信完整性和保密性中的只级要求,主要部署VPN网关,结合身份认证、关闭网站不必要开放端口、管理员权限控制、安全审计等安全机制,为网站信息维护人员和系统管理人员远程登陆门户网站和系统管理提供基于/SSL的信息传输保密性和完整性保护,实现接入通信网络设备的可信检验,以及应用系统的抗抵赖保护。 安全管理中心设计 安全管理中心是对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台,是实现等级保护体系的重点,根据《设计技术要求》,第三级以上的定级系统安全保护环境应设置安全管理中心。因此,对于部门户系统来说,除了对已有人侵检测、终端管理、客户端杀毒等安全系统的日志信息进行统一汇总和分析以外,安全管理中心还应增加系统管理、安全管理和审计管理功能,实现包含用户身份、授权、访问控制、操作审计等全过程的安全管理措施。 系统管理主要对门户系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以、灾难备份与恢复等。其中,用户身份管理主要确定系统中所有合法用户的身份、工作密钥、证书等与安全相关的内容。系统管理员进行身份鉴别后,只允许其通过特定的命令或操作界面进行系统管理操作,同时,还应对这些操作进行审计。 安全管理主要包括标记管理、授权管理和策略管理。安全管理员在经过身份鉴别后,通过特定的命令或操作界面,对客体(进程、文件、数据等)进安全标识设置,包括与文件名直接相关的安全标记、目录安全标记、设备安全标记、网络服务安全标记等类型;同时,为系统中的主体(远程认证用户、管理员、信息员、审计员等)配置安全级别和安全范畴;针对网站的访问请求和各类主体对客体的访问许可类型,维护强制访问控制表和自主访问控制表,将对特定客体的打开、读、写、执行、删除、改名等权限赋予相应的用户;制定并下发强制访问控制策略、自主访问控制策略、级别调整策略等,包括终端授权用户、可执行代码控制、本地访问控制、网络访问控制等安全策略。 安全审计主要用于集中存储、管理和查询门户系统中的所有审计信息,包括终端用户登录、文件读写等操作、网络访问行为,以及对网站发布内容的更新、上传、删除等操作行为,并应对原始审计记录进行分析和相应处理。同样,安全审计员也必须在身份鉴别后通过特定的命令或操作界面进行安全审计操作。此外,安全审计员的操作行为必须通过安全管理中心制定的审计策略后才能实施。通过安全审计机制,可以实现对整个门户系统的行为审计,确保用户无法抵赖违背系统安全策略的行为,并为应急处理提供依据。 5 结束语 开展国土资源已定级非涉密信息系统安全建设整改,必须要正确构建安全保护环境框架。在设计思想上,以防内为主,内外兼防,提高计算节点自身防护能力,加强信息系统,尤其是三级以上信息系统的强访问控制机制;在具体技术设计上,应重点做好信息维护和系统维护人员使用的终端防护设计,使其在可信环境中实施各种可控操作。通过建设管理中心支持下的计算环境、区域边界和通信网络三重防护安全保护环境,全面提高国土资源非涉密信息系统的整体安全防护能力