信息系統(tǒng)等級(jí)保護(hù)建設(shè)方案

1、邊界接入平臺(tái)終端安全保護(hù)系統(tǒng)邊界接入平臺(tái)終端安全保護(hù)系統(tǒng)建設(shè)方案建設(shè)方案2009 年年 6 月月 5 日日2文件修改記錄文件修改記錄修改日期修改日期版本號(hào)版本號(hào)修改內(nèi)容修改內(nèi)容修改人修改人審核人審核人批準(zhǔn)人批準(zhǔn)人/日期日期3目目 錄錄1項(xiàng)目建設(shè)的必要性項(xiàng)目建設(shè)的必要性.51.1政策必要性政策必要性.51.2整體安全需要整體安全需要.51.3合規(guī)性需要合規(guī)性需要.62法規(guī)、政策和技術(shù)依據(jù)法規(guī)、政策和技術(shù)依據(jù).72.1信息安全等級(jí)保護(hù)有關(guān)法規(guī)、政策、文件信息安全等級(jí)保護(hù)有關(guān)法規(guī)、政策、文件.72.1.1中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國(guó)務(wù)院（國(guó)務(wù)

2、院 147 號(hào)令）號(hào)令）.72.1.2國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) （中辦發(fā)（中辦發(fā)200327 號(hào)）號(hào)）.72.1.3關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) （公通字（公通字200466 號(hào)）號(hào)）.82.1.4信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法 （公通字（公通字200743 號(hào)）號(hào)）.92.1.5信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系 .93終端安全防護(hù)系統(tǒng)功能介紹終端安全防護(hù)系統(tǒng)功能介紹 .143.1終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）功能介紹終端安

3、全防護(hù)系統(tǒng)（前置服務(wù)器版）功能介紹.143.1.1強(qiáng)身份認(rèn)證功能強(qiáng)身份認(rèn)證功能 .143.1.2多用戶強(qiáng)制訪問(wèn)控制多用戶強(qiáng)制訪問(wèn)控制 .14圖圖 3.1.3 用戶權(quán)限控制示意圖用戶權(quán)限控制示意圖.153.1.3應(yīng)用系統(tǒng)安全封裝應(yīng)用系統(tǒng)安全封裝 .173.1.4自主訪問(wèn)控制自主訪問(wèn)控制 .17圖圖 3.1.4 文件保密柜示意圖文件保密柜示意圖.173.1.5數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù) .173.1.6系統(tǒng)完整性保護(hù)系統(tǒng)完整性保護(hù) .183.1.7行為審計(jì)監(jiān)控行為審計(jì)監(jiān)控 .183.1.8邊界保護(hù)控制邊界保護(hù)控制 .183.2終端安全防護(hù)系統(tǒng)（終端安全防護(hù)系統(tǒng)（PCPC 版）功能介紹版）功能介紹

4、.193.2.1強(qiáng)身份認(rèn)證功能強(qiáng)身份認(rèn)證功能 .193.2.2強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制 .20圖圖 3.2.2 用戶權(quán)限控制示意圖用戶權(quán)限控制示意圖.213.2.3自主訪問(wèn)控制自主訪問(wèn)控制 .22圖圖 3.2.3 文件保密柜示意圖文件保密柜示意圖.223.2.4數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù) .233.2.5系統(tǒng)完整性保護(hù)系統(tǒng)完整性保護(hù) .233.2.6行為審計(jì)監(jiān)控行為審計(jì)監(jiān)控 .233.2.7邊界保護(hù)控制邊界保護(hù)控制 .2444邊界接入平臺(tái)終端安全保護(hù)系統(tǒng)實(shí)施計(jì)劃邊界接入平臺(tái)終端安全保護(hù)系統(tǒng)實(shí)施計(jì)劃.254.1統(tǒng)一規(guī)劃，分步實(shí)施統(tǒng)一規(guī)劃，分步實(shí)施.254.2實(shí)施產(chǎn)品列表實(shí)施產(chǎn)品列表.254.3

5、項(xiàng)目實(shí)施拓?fù)涫疽鈭D項(xiàng)目實(shí)施拓?fù)涫疽鈭D.2551項(xiàng)目建設(shè)的必要性項(xiàng)目建設(shè)的必要性1.1政策必要性政策必要性隨著全球信息化進(jìn)程的不斷推進(jìn)，我國(guó)政府及各行各業(yè)也在進(jìn)行大量的信息系統(tǒng)的建設(shè)，這些信息系統(tǒng)已經(jīng)成為國(guó)家重要的基礎(chǔ)設(shè)施，因此，信息系統(tǒng)安全問(wèn)題已經(jīng)被提升到關(guān)系國(guó)家安全和國(guó)家主權(quán)的戰(zhàn)略性高度，已引起黨和國(guó)家領(lǐng)導(dǎo)以及社會(huì)各界的關(guān)注。隨著政府上網(wǎng)、電子商務(wù)、電子軍事等信息化政府上網(wǎng)、電子商務(wù)、電子軍事等信息化建設(shè)和發(fā)展，作為現(xiàn)代信息社會(huì)重要基礎(chǔ)設(shè)施的信息系統(tǒng)，其安全問(wèn)題必將對(duì)我國(guó)的政治、軍事、經(jīng)濟(jì)、科技、文化等領(lǐng)域產(chǎn)生至關(guān)重要的影響。能否有效的保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展，直接

6、關(guān)乎國(guó)家安危，關(guān)乎民族興亡，是國(guó)家民族的頭等大事。沒(méi)有信息安全，就沒(méi)有真正意義上的政治安全，就沒(méi)有穩(wěn)固的經(jīng)濟(jì)安全和軍事安全，沒(méi)有完整意義上的國(guó)家安全。隨著國(guó)家信息化的不斷推進(jìn)與當(dāng)前電子政務(wù)的大力建設(shè)，信息已經(jīng)成為最能代表綜合國(guó)力的戰(zhàn)略資源，因此，信息資源的保護(hù)、信息化進(jìn)程的健康是關(guān)乎國(guó)家安危、民族興旺的大事；信息安全是保障國(guó)家主權(quán)、政治、經(jīng)濟(jì)、國(guó)防、社會(huì)安全和公民合法權(quán)益的重要保證。經(jīng)黨中央和國(guó)務(wù)院批準(zhǔn)，國(guó)家信息化領(lǐng)導(dǎo)小組決定加強(qiáng)信息安全保障工作，實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，要抓緊信息安全等級(jí)保護(hù)制度的建設(shè)。對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是我國(guó)的法定制度和基本國(guó)策法定

7、制度和基本國(guó)策，是開(kāi)展信息安全保護(hù)工作的有效辦法，是信息安全保護(hù)工作的發(fā)展方向。實(shí)行信息安全等級(jí)保護(hù)的決定具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。1.2整體安全需要整體安全需要信息安全遵循“木桶原理” ，任何一個(gè)不完善的環(huán)節(jié)都可能成為危及整個(gè)系統(tǒng)安全的“短板” 。在信息通信網(wǎng)邊界接入平臺(tái)中數(shù)據(jù)交換業(yè)務(wù)前置機(jī)和社區(qū)警務(wù)室終端是邊界接入平臺(tái)的重要組成部分，終端的安全將直接影響整個(gè)信息系統(tǒng)的安全。終端既可能是安全事件的源頭，又可能是安全事件的目標(biāo)。從有關(guān)安全權(quán)威單位得知，絕大多數(shù)的攻擊事件都是從終端發(fā)起的，也就是說(shuō)安全事件往往都是終端體系結(jié)構(gòu)和操作系統(tǒng)的不安全所引起的。因此，必須從終端操作系統(tǒng)平臺(tái)實(shí)施安全防范，將

8、不安全因素從終端源頭被控制，只有這樣才能保證信息系統(tǒng)的整體安全。61.3合規(guī)性需要合規(guī)性需要XX 信息通信網(wǎng)邊界接入平臺(tái)將按照等級(jí)保護(hù) 3 級(jí)的要求對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和加固。等級(jí)保護(hù) 3 級(jí)和 4 級(jí)標(biāo)準(zhǔn)均對(duì)操作系統(tǒng)的身份鑒別、訪問(wèn)控制、安全審計(jì)、惡意代碼防范、入侵檢測(cè)等提出了明確要求，而目前邊界接入平臺(tái)數(shù)據(jù)交換業(yè)務(wù)前置機(jī)和社區(qū)警務(wù)室計(jì)算機(jī)終端操作系統(tǒng)同以上要求相比尚有不少差距。為達(dá)到等級(jí)保護(hù)要求，必須對(duì)終端進(jìn)行安全加固。72法規(guī)、政策和技術(shù)依據(jù)法規(guī)、政策和技術(shù)依據(jù)國(guó)家高度重視信息安全保護(hù)工作，為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平。經(jīng)黨中央和國(guó)務(wù)院批準(zhǔn)，國(guó)家信息化領(lǐng)導(dǎo)小組決定加強(qiáng)信息

9、安全保障工作，實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，要抓緊信息安全等級(jí)保護(hù)制度的建設(shè)。國(guó)家針對(duì)等級(jí)保護(hù)制定了一系列的法規(guī)和標(biāo)準(zhǔn)，這些法規(guī)和標(biāo)準(zhǔn)是建設(shè)等級(jí)保護(hù)系統(tǒng)的依據(jù)。制定了包括計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999） 、 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008)、信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T22239-2008)、 信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則 （GB/T20009-2005） 、 信息安全技術(shù)信息系統(tǒng)安全管理要求（GB/T20269-2006）等 50 多個(gè)國(guó)標(biāo)、行標(biāo)以及已報(bào)批標(biāo)準(zhǔn)，初步形成了信息安全等級(jí)保護(hù)

10、標(biāo)準(zhǔn)體系。2.1信息安全等級(jí)保護(hù)有關(guān)法規(guī)信息安全等級(jí)保護(hù)有關(guān)法規(guī)、政策、文件、政策、文件2.1.1中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （國(guó)務(wù)院（國(guó)務(wù)院 147 號(hào)令）號(hào)令）1994 年國(guó)務(wù)院頒布了第 147 號(hào)令中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 （以下簡(jiǎn)稱條例 ） ，是最早提及信息安全等級(jí)保護(hù)的法規(guī)。條例明確了實(shí)行信息安全等級(jí)保護(hù)制度的有關(guān)規(guī)定，提出了從整體上、根本上解決國(guó)家信息安全問(wèn)題的辦法，進(jìn)一步確定了信息安全發(fā)展主線、中心任務(wù)，提出了總要求。 條例指出對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)是國(guó)家法定制度和基本國(guó)策，是開(kāi)展信息安全保護(hù)工作的有效辦法，是

11、信息安全保護(hù)工作的發(fā)展方向。實(shí)行信息安全等級(jí)保護(hù)的決定具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。條例指明“信息系統(tǒng)安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法由 XX 部會(huì)同有關(guān)部門制定” ；指明了等級(jí)保護(hù)是計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度；明確規(guī)定由 XX 部會(huì)同有關(guān)部門制定信息系統(tǒng)等級(jí)保護(hù)配套的規(guī)章和技術(shù)標(biāo)準(zhǔn)。2.1.2國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) （中辦發(fā)（中辦發(fā)200327 號(hào)）號(hào)）8國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) （中辦發(fā)200327 號(hào)） （以下簡(jiǎn)稱27 號(hào)文件 ）明確指出要“實(shí)行信息安全等級(jí)保護(hù)” 。 “要重點(diǎn)保

12、護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南” 。標(biāo)志著等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障一項(xiàng)基本制度。同時(shí)， 27 號(hào)文件明確了各級(jí)黨委和政府在信息安全保障工作中的領(lǐng)導(dǎo)地位，以及“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的信息安全保障責(zé)任制。27 號(hào)文件針對(duì)等級(jí)保護(hù)提出了明確的三方面要求：1）要從實(shí)際出發(fā)，優(yōu)化信息安全資源的配置，建立信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)信息基礎(chǔ)網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的信息系統(tǒng)，這就是提到的關(guān)鍵技術(shù)；2）要重視安全信息覆蓋評(píng)估工作，對(duì)網(wǎng)絡(luò)

13、與信息系統(tǒng)，對(duì)信息安全等級(jí)因素進(jìn)行相應(yīng)的建設(shè)，落腳點(diǎn)還是信息安全方面；3）對(duì)涉及國(guó)家秘密的信息系統(tǒng)要按照國(guó)家要求進(jìn)行保護(hù)。2.1.3關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) （公通字（公通字200466 號(hào)）號(hào)）2004 年， 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) （公通字200466 號(hào)）（以下簡(jiǎn)稱實(shí)施意見(jiàn) ）發(fā)布。 實(shí)施意見(jiàn)明確指出“信息安全等級(jí)保護(hù)工作是個(gè)龐大的系統(tǒng)工程，關(guān)系到國(guó)家信息化建設(shè)的方方面面，這就決定了這項(xiàng)工作的開(kāi)展必須分步驟、分階段、有計(jì)劃的實(shí)施，信息安全等級(jí)保護(hù)制度計(jì)劃用三年左右的時(shí)間在全國(guó)范圍內(nèi)分三個(gè)階段實(shí)施。 ”信息安全等級(jí)保護(hù)工作第一階段為準(zhǔn)

14、備階段，準(zhǔn)備階段中重要工作之一是“加快制定、完善管理規(guī)范和技術(shù)標(biāo)準(zhǔn)體系” 。實(shí)施意見(jiàn)中進(jìn)一步明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容：1）根據(jù)信息和信息系統(tǒng)在國(guó)家安全、社會(huì)秩序、公共利益、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，確定信息和信息系統(tǒng)的安全保護(hù)等級(jí)，共分五級(jí)。92）國(guó)家通過(guò)制定統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織行政機(jī)關(guān)、公民、法人和其他組織根據(jù)信息和信息系統(tǒng)的不同重要程度開(kāi)展有針對(duì)性的保護(hù)工作。國(guó)家對(duì)不同安全保護(hù)級(jí)別的信息和信息系統(tǒng)實(shí)行不同強(qiáng)

15、度的監(jiān)督管理。3） 國(guó)家對(duì)信息安全產(chǎn)品的使用實(shí)行分級(jí)管理。4）信息安全事件實(shí)行分等級(jí)響應(yīng)、處置的制度。2.1.4信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法 （公通字（公通字200743 號(hào)）號(hào)）2007 年 6 月 22 日，XX 部與國(guó)家保密局、密碼管理局、國(guó)務(wù)院信息辦聯(lián)合會(huì)簽并印發(fā)了信息安全等級(jí)保護(hù)管理辦法 （公通字200743 號(hào)） （以下簡(jiǎn)稱管理辦法 ） ， 管理辦法為 XX、保密、密碼部門履行職責(zé)，監(jiān)督、檢查、指導(dǎo)定級(jí)工作提供了政策依據(jù)。管理辦法規(guī)定，根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的

16、合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，信息和信息系統(tǒng)的安全保護(hù)等級(jí)共分五級(jí)。管理辦法中明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求，明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。管理辦法對(duì)信息安全等級(jí)保護(hù)體系設(shè)計(jì)、實(shí)施、管理、制度、評(píng)測(cè)等各方面所需遵循的標(biāo)準(zhǔn)文件進(jìn)行了明確說(shuō)明。2.1.5 信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)體系及其關(guān)系國(guó)家針對(duì)等級(jí)保護(hù)制定了一系列的法規(guī)和標(biāo)準(zhǔn)，這些法規(guī)和標(biāo)準(zhǔn)是建設(shè)等級(jí)保護(hù)系統(tǒng)的依據(jù)。目

17、前，我國(guó)共制定了和發(fā)布了約 50 余個(gè)國(guó)標(biāo)、行標(biāo)以及已報(bào)批標(biāo)準(zhǔn)，初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。這些標(biāo)準(zhǔn)分別從基礎(chǔ)、設(shè)計(jì)、實(shí)施、管理、制度等各個(gè)方面對(duì)信息系統(tǒng)等級(jí)保護(hù)提出了要求和建議，為信息系統(tǒng)的使用者、設(shè)計(jì)者、建設(shè)者提供了管理規(guī)范和技術(shù)標(biāo)準(zhǔn)?；A(chǔ)標(biāo)準(zhǔn)基礎(chǔ)標(biāo)準(zhǔn)1999 年制定的 GB17859-1999 是第一個(gè)信息系統(tǒng)等級(jí)保護(hù)技術(shù)類標(biāo)準(zhǔn)，是國(guó)家強(qiáng)制性標(biāo)準(zhǔn)。GB17859-1999 是等級(jí)保護(hù)標(biāo)準(zhǔn)體系中的基礎(chǔ)性標(biāo)準(zhǔn)，其后10陸續(xù)推出的許多技術(shù)類標(biāo)準(zhǔn)都是 GB17859-1999 的延伸和細(xì)化。定級(jí)標(biāo)準(zhǔn)定級(jí)標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008)是信息系統(tǒng)安全保護(hù)等

18、級(jí)確定標(biāo)準(zhǔn)，屬于管理規(guī)范，規(guī)范了信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)方法。整改與建設(shè)整改與建設(shè)基本要求是以 GB17859 為基礎(chǔ)的分等級(jí)信息系統(tǒng)的安全建設(shè)和管理系列標(biāo)準(zhǔn)之一，是現(xiàn)階段五個(gè)級(jí)別的信息系統(tǒng)的基本安全保護(hù)技術(shù)和管理要求，提出了各級(jí)信息系統(tǒng)應(yīng)當(dāng)具備的基本安全保護(hù)能力以及技術(shù)與管理措施，該標(biāo)準(zhǔn)需與設(shè)計(jì)技術(shù)要求 、 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006） 、 信息安全技術(shù) 系統(tǒng)安全等級(jí)保護(hù)通用安全技術(shù)要求（GB/T20271-2006） 、 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 （GB/T20272-2006） 、 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 （GB/T20

19、273-2006） 、信息安全技術(shù) 操作系統(tǒng)安全評(píng)估準(zhǔn)則 （GB/T20009-2005）等安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)配合使用，規(guī)范、指導(dǎo)信息系統(tǒng)安全等級(jí)保護(hù)整改建設(shè)工作。信息安全技術(shù)服務(wù)器技術(shù)要求 （GA/T671-2006）和信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)技術(shù)要求 （GA/T672-2006）是信息系統(tǒng)關(guān)鍵設(shè)備安全等級(jí)保護(hù)標(biāo)準(zhǔn)，規(guī)范和解決信息系統(tǒng)主機(jī)和終端安全等級(jí)保護(hù)問(wèn)題。系統(tǒng)實(shí)施系統(tǒng)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南是信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的過(guò)程控制標(biāo)準(zhǔn)，規(guī)范了信息系統(tǒng)安全等級(jí)保護(hù)的實(shí)施各階段內(nèi)容和過(guò)程控制問(wèn)題。安全管理安全管理信息安全技術(shù) 信息系統(tǒng)安全工程管理要求 （GB/T20282-200

20、6）是信息系統(tǒng)安全等級(jí)保護(hù)管理標(biāo)準(zhǔn)之一，規(guī)范信息系統(tǒng)安全等級(jí)保護(hù)方案技術(shù)集成和工程實(shí)施過(guò)程控制問(wèn)題。 信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）是信息系統(tǒng)安全等級(jí)保護(hù)管理標(biāo)準(zhǔn)，規(guī)范信息系統(tǒng)生命周期的安全等級(jí)保護(hù)技術(shù)和相關(guān)人員問(wèn)題的管理工作。11表表 2.1.5 部分等級(jí)保護(hù)工作相關(guān)依據(jù)政策與標(biāo)準(zhǔn)部分等級(jí)保護(hù)工作相關(guān)依據(jù)政策與標(biāo)準(zhǔn)相關(guān)法規(guī)國(guó)務(wù)院 147 號(hào)令中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 中辦200327 號(hào)文件（關(guān)于轉(zhuǎn)發(fā)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)的通知）公通字200466 號(hào)文件（關(guān)于印發(fā)信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)的通知）政策文件公通

21、字200743 號(hào)文件（關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知）基礎(chǔ)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）定級(jí)標(biāo)準(zhǔn)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2008）整改與建設(shè)信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T 20270-2006）信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T 20271-2006）信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T 20272-2006）信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)通用安全技術(shù)要求（GB/T 20273-2006）信息安全技術(shù) 操作系

22、統(tǒng)安全評(píng)估準(zhǔn)則（GB/T20009-2005）信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T22239-2008）信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 （已送批）信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本模型（GA/T 709-2007）其他相關(guān)標(biāo)準(zhǔn)等信息安全技術(shù) 服務(wù)器技術(shù)要求（GA/T671-2006）信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T672-2006）其他相關(guān)標(biāo)準(zhǔn)等系統(tǒng)實(shí)施信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南其他相關(guān)標(biāo)準(zhǔn)等技術(shù)標(biāo)準(zhǔn)安全管理信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）其他相關(guān)標(biāo)準(zhǔn)等2.1.5.1計(jì)算機(jī)信息系統(tǒng)安

23、全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 （GB17859-1999）GB17859-1999 在一定程度上體現(xiàn)出了信息系統(tǒng)的概念，是我國(guó)制定的一種強(qiáng)制性信息系統(tǒng)安全的國(guó)家標(biāo)準(zhǔn)。它按照安全性由低到高的順序，規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)，即：第一級(jí)：用戶自主保護(hù)級(jí)；第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí)：安全標(biāo)記保護(hù)級(jí)；第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)；12第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)。GB17859-1999 不僅從操作系統(tǒng)的角度提出評(píng)估標(biāo)準(zhǔn)，還從整個(gè)信息系統(tǒng)的角度提出了安全功能和安全保障的評(píng)估要求。另外，GB17859-1999 在每個(gè)級(jí)別都提出了一些完整性的要求，但這些完整性要求與保密性要求相

24、比還是相對(duì)薄弱。因此，在 GB17859-1999 的基礎(chǔ)上，國(guó)內(nèi)先后提出了 GB/T 20270-2006、GB/T 20271-2006、GB/T 20272-2006 等 GB/T 系列標(biāo)準(zhǔn)作為補(bǔ)充。這些標(biāo)準(zhǔn)從技術(shù)和管理方面，對(duì)安全信息系統(tǒng)以及安全產(chǎn)品的評(píng)估提出了具體的指導(dǎo)和評(píng)判原則，為不同安全級(jí)別的產(chǎn)品提供了一些具體的技術(shù)指標(biāo)，可以作為等級(jí)保護(hù)產(chǎn)品評(píng)估的參考。GB17859-1999 是等級(jí)保護(hù)相關(guān)技術(shù)標(biāo)準(zhǔn)的基礎(chǔ)。該標(biāo)準(zhǔn)采取了宜粗不宜細(xì)是等級(jí)保護(hù)相關(guān)技術(shù)標(biāo)準(zhǔn)的基礎(chǔ)。該標(biāo)準(zhǔn)采取了宜粗不宜細(xì)的制定方法，目的是為安全產(chǎn)品的開(kāi)發(fā)、具體標(biāo)準(zhǔn)的制定、安全系統(tǒng)的建設(shè)與的制定方法，目的是為安全產(chǎn)品的開(kāi)

25、發(fā)、具體標(biāo)準(zhǔn)的制定、安全系統(tǒng)的建設(shè)與管理、相關(guān)法律法規(guī)及其執(zhí)法提供技術(shù)指導(dǎo)和基礎(chǔ)。管理、相關(guān)法律法規(guī)及其執(zhí)法提供技術(shù)指導(dǎo)和基礎(chǔ)。針對(duì)于在我國(guó)的等級(jí)保護(hù)標(biāo)準(zhǔn)體系中，GB17859-1999、GB/T20271-2006、GB/T 20272-2006 等一系列標(biāo)準(zhǔn)均是面向評(píng)估者的標(biāo)準(zhǔn)，2008 年，我國(guó)又制定了面向等級(jí)保護(hù)建設(shè)者的標(biāo)準(zhǔn)基本要求以及設(shè)計(jì)技術(shù)要求 ，用于指導(dǎo)建設(shè)者部署符合等級(jí)保護(hù)要求的安全防護(hù)措施。2.1.5.2信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T22239-2008)基本要求基本要求是針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求，是針對(duì)每個(gè)等級(jí)的信息系統(tǒng)

26、提出相應(yīng)安全保護(hù)要求， “基本基本”意味著這些要求是針對(duì)該等級(jí)的信息系統(tǒng)達(dá)到基本保護(hù)能力而提出的，也就是意味著這些要求是針對(duì)該等級(jí)的信息系統(tǒng)達(dá)到基本保護(hù)能力而提出的，也就是說(shuō)，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力。說(shuō)，這些要求的實(shí)現(xiàn)能夠保證系統(tǒng)達(dá)到相應(yīng)等級(jí)的基本保護(hù)能力?；疽髮?duì)等級(jí)保護(hù)工作中的安全控制選擇、調(diào)整、實(shí)施等提出規(guī)范性要求，根據(jù)使用對(duì)象不同，其主要作用分為三種：1）為信息系統(tǒng)建設(shè)單位和運(yùn)營(yíng)、使用單位提供技術(shù)指導(dǎo)2）為測(cè)評(píng)機(jī)構(gòu)提供評(píng)估依據(jù)3）為職能監(jiān)管部門提供監(jiān)督檢查依據(jù)基本要求的技術(shù)部分吸收和借鑒了 GB17859-1999 標(biāo)準(zhǔn)，采納其中的身份鑒別、數(shù)據(jù)完整性、

27、自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制、審計(jì)、客體重用（改為剩余信息保護(hù)） 、標(biāo)記、可信路徑等 8 個(gè)安全機(jī)制的部分或全部?jī)?nèi)容，并將這些機(jī)制擴(kuò)展到網(wǎng)絡(luò)層、主機(jī)系統(tǒng)層、應(yīng)用層和數(shù)據(jù)層，這些概念與設(shè)計(jì)技術(shù)13要求所強(qiáng)調(diào)的以控制為核心理念相吻合，即通過(guò)對(duì)相應(yīng)主客體的安全標(biāo)記，實(shí)現(xiàn)對(duì)所有訪問(wèn)行為進(jìn)行強(qiáng)制性的訪問(wèn)控制。2.1.5.3信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求設(shè)計(jì)技術(shù)要求設(shè)計(jì)技術(shù)要求是針對(duì)是針對(duì) GB 17859-1999 的技術(shù)部分進(jìn)行的進(jìn)一步細(xì)化形的技術(shù)部分進(jìn)行的進(jìn)一步細(xì)化形成的等級(jí)保護(hù)各級(jí)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)技術(shù)框架，是對(duì)成的等級(jí)保護(hù)各級(jí)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)技術(shù)框架，是對(duì)基本要求基本要

28、求的進(jìn)一步補(bǔ)充的進(jìn)一步補(bǔ)充和擴(kuò)充。和擴(kuò)充。設(shè)計(jì)技術(shù)要求以訪問(wèn)控制為核心，將整個(gè)安全環(huán)境劃分為安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心四部分，并分別對(duì)每部分提出了相應(yīng)的技術(shù)標(biāo)準(zhǔn)進(jìn)行約束和指導(dǎo)。 設(shè)計(jì)技術(shù)要求要求各級(jí)安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)在安全管理中心的統(tǒng)一管控下運(yùn)行，各司其職、相互配合，共同構(gòu)成該級(jí)信息系統(tǒng)的安全保護(hù)環(huán)境，確保信息的存儲(chǔ)、處理和傳輸?shù)陌踩?，并在跨域安全管理中心的全系統(tǒng)統(tǒng)一安全策略控制下，實(shí)現(xiàn)不同系統(tǒng)的安全互操作和信息安全交換，從技術(shù)上規(guī)范了信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求。總體來(lái)說(shuō)， 基本要求根據(jù)現(xiàn)有技術(shù)的發(fā)展水平，提出和規(guī)定了不同安全等級(jí)信息系

29、統(tǒng)的最低保護(hù)要求，即基本安全要求，而設(shè)計(jì)技術(shù)要求則是在基本要求的基礎(chǔ)上，對(duì)等級(jí)保護(hù)信息系統(tǒng)的技術(shù)設(shè)計(jì)方案和實(shí)施方法提供了更為具體的指導(dǎo)。143終端安全防護(hù)系統(tǒng)功能介紹終端安全防護(hù)系統(tǒng)功能介紹終端安全防護(hù)系統(tǒng)（前置服務(wù)器版、PC 版）在現(xiàn)有 Windows、Linux 操作系統(tǒng)基礎(chǔ)上，強(qiáng)化了其身份鑒別、數(shù)據(jù)保密性保護(hù)、系統(tǒng)完整性保護(hù)以及行為審計(jì)機(jī)制，增加了強(qiáng)制訪問(wèn)控制、邊界保護(hù)機(jī)制，為全面防內(nèi)提供了基礎(chǔ)。3.1終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）功能介紹終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）功能介紹3.1.1強(qiáng)身份認(rèn)證功能強(qiáng)身份認(rèn)證功能終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）能夠?yàn)?Windows、Linux 服

30、務(wù)器操作系統(tǒng)版本提供強(qiáng)身份認(rèn)證功能。終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）采用硬件令牌作為用戶標(biāo)識(shí)，在用戶登錄服務(wù)器時(shí)，采用受安全管理中心控制的口令、令牌、數(shù)字證書的組合機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）支持有 USB-key 和無(wú) USB-Key 兩種認(rèn)證模式，支持遠(yuǎn)程用戶身份鑒別、登錄功能?，F(xiàn)有的 Windows、Linux 操作系統(tǒng)采用口令認(rèn)證方式對(duì)用戶身份進(jìn)行鑒別，容易受到字典攻擊。在終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）中，硬件令牌為用戶身份的唯一標(biāo)識(shí)，當(dāng)用戶登錄系統(tǒng)時(shí)，需要插入 USB-KEY，然后系統(tǒng)對(duì)用戶進(jìn)行雙因子身份認(rèn)證，只有用戶擁

31、有合法的 USB-KEY，并且輸入正確的WINDOWS + USB-KEY 口令，用戶才能登錄系統(tǒng)。登錄成功后，如果用戶需要臨時(shí)離開(kāi)終端，可以拔除 USB-KEY，這樣安全內(nèi)核會(huì)自動(dòng)保存用戶的工作環(huán)境，并且鎖定終端，除了持有原 USB-KEY 的用戶外，任何人都不能進(jìn)入終端環(huán)境。可見(jiàn)，終端安全防護(hù)系統(tǒng)通過(guò)系統(tǒng)登錄與硬件 USB-KEY 緊密捆綁，實(shí)現(xiàn)了非法用戶“進(jìn)不來(lái)”終端環(huán)境。另外，終端在進(jìn)行相互網(wǎng)絡(luò)通信時(shí)，安全內(nèi)核首先攔截該請(qǐng)求，并且主動(dòng)驗(yàn)證對(duì)方終端的平臺(tái)身份及安全狀態(tài)，從而決定是否允許該通信請(qǐng)求。這樣將非法接入內(nèi)部網(wǎng)絡(luò)的終端或內(nèi)部網(wǎng)絡(luò)上不安全的終端孤立起來(lái)，實(shí)現(xiàn)了非法終端“進(jìn)不來(lái)”系統(tǒng)環(huán)

32、境，從而確保重要信息不會(huì)從這些終端泄露出去，這些終端也不會(huì)破壞信息系統(tǒng)的安全。3.1.2多用戶強(qiáng)制訪問(wèn)控制多用戶強(qiáng)制訪問(wèn)控制現(xiàn)有的 Windows、Linux 操作系統(tǒng)采用自主訪問(wèn)控制模式來(lái)限制用戶權(quán)限，15以達(dá)到保護(hù)系統(tǒng)資源安全的目的。但是在自主訪問(wèn)控制體系中，資源屬主可以任意授權(quán)，并且權(quán)限可以傳遞，這樣不利于信息系統(tǒng)的安全。終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）提供了強(qiáng)制訪問(wèn)控制功能，由安全管理中心對(duì)系統(tǒng)中的主體（用戶、進(jìn)程）及客體（文件、執(zhí)行程序、外部設(shè)備等）進(jìn)行安全標(biāo)識(shí)，根據(jù)客體類型的不同，分別制定了不同的訪問(wèn)控制規(guī)則，從而全方位地確保重要信息“拿不走”，保護(hù)信息系統(tǒng)的機(jī)密性。 由安全管理員

33、通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記，通過(guò)安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制。強(qiáng)制訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件級(jí)。應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同強(qiáng)制的訪問(wèn)控制規(guī)則。終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）支持多用戶的強(qiáng)制訪問(wèn)控制功能。用戶權(quán)限控制用戶權(quán)限控制終端安全防護(hù)系統(tǒng)通過(guò)分級(jí)訪問(wèn)控制的方式對(duì)用戶權(quán)限進(jìn)行控制。安全管理員通過(guò)安全管理中心規(guī)定用戶以及各終端上客體（文件、執(zhí)行程序、外設(shè)、移動(dòng)存儲(chǔ)設(shè)備）的安全級(jí)，強(qiáng)制終端采用如下原則限制用戶的權(quán)限：低安全級(jí)的用戶無(wú)法訪問(wèn)高安全級(jí)的客體，如圖 3.1.3。 圖圖 3.1.3 用戶

34、權(quán)限控制示意圖用戶權(quán)限控制示意圖通過(guò)上述訪問(wèn)控制規(guī)則，安全管理員不僅可以規(guī)定用戶的權(quán)限，而且可以依據(jù)系統(tǒng)中數(shù)據(jù)的重要性來(lái)規(guī)定其安全級(jí)，從而確保重要信息只掌握在少數(shù)人手里，以降低重要信息安全性被破壞的風(fēng)險(xiǎn)。另外隨著計(jì)算機(jī)信息技術(shù)的飛速16發(fā)展，計(jì)算機(jī)上的外部接口設(shè)備也越來(lái)越豐富，這在給信息處理和傳播帶來(lái)方便性的同時(shí)，也給信息系統(tǒng)的安全造成了極大威脅，比如惡意用戶可以通過(guò)紅外、藍(lán)牙等設(shè)備泄露重要信息，可以通過(guò)打印泄露重要信息。于是終端安全防護(hù)系統(tǒng)通過(guò)上述訪問(wèn)控制規(guī)則簡(jiǎn)化了系統(tǒng)對(duì)外部設(shè)備的管理，降低了用戶因?yàn)E用或誤用外部設(shè)備而帶來(lái)的風(fēng)險(xiǎn)。最后安全管理員可以通過(guò)上述訪問(wèn)控制規(guī)則，規(guī)定用戶可以執(zhí)行什么樣

35、的程序，確保只有經(jīng)過(guò)系統(tǒng)安全性檢查并且得到授權(quán)的應(yīng)用程序才能被用戶使用，這樣就降低了惡意程序感染并破壞信息系統(tǒng)安全的可能性。而且通過(guò)上述規(guī)則，限制了普通用戶安裝新的應(yīng)用程序的能力，從而可以有效防止內(nèi)部精通業(yè)務(wù)、懂技術(shù)、會(huì)編程的專業(yè)人士對(duì)信息系統(tǒng)安全的威脅。執(zhí)行程序最小權(quán)限控制執(zhí)行程序最小權(quán)限控制現(xiàn)有操作系統(tǒng)中的應(yīng)用程序繼承用戶權(quán)限，不滿足最小權(quán)限原則，從而給病毒等惡意程序留下了破壞系統(tǒng)安全的空間。因此終端安全防護(hù)系統(tǒng)允許安全管理員規(guī)定執(zhí)行程序權(quán)限，使其在滿足用戶權(quán)限訪問(wèn)控制規(guī)則的前提下，只擁有正常完成任務(wù)的最小權(quán)限。以 IEXLPOER.EXE 為例，安全管理員可以配置其只能讀那些文件或?qū)懩切?/p>

36、文件，不允許其訪問(wèn)系統(tǒng)內(nèi)的重要信息、不允許其修改系統(tǒng)內(nèi)的關(guān)鍵配置文件，那么即使系統(tǒng)被惡意腳本所攻擊，重要信息的安全性也不會(huì)受到威脅，系統(tǒng)本身的完整性也不會(huì)受到破壞。上述權(quán)限主要分為兩類：對(duì)文件的訪問(wèn)權(quán)限以及對(duì)網(wǎng)絡(luò)的使用權(quán)限。通過(guò)限制程序?qū)ξ募脑L問(wèn)權(quán)限，可以有效防止惡意腳本對(duì)系統(tǒng)安全的攻擊，減小其破壞范圍。通過(guò)限制應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的能力，可以有效防止蠕蟲(chóng)等惡意代碼對(duì)信息系統(tǒng)可用性的破壞，防止病毒、木馬程序在用戶不知情的情況下，將系統(tǒng)中的重要信息泄漏出去。職責(zé)分離管理職責(zé)分離管理為了方便權(quán)限管理，終端安全防護(hù)系統(tǒng)引入以下三個(gè)角色：安全管理員、安全審計(jì)員、系統(tǒng)操作員。根據(jù)最小權(quán)限原則，系統(tǒng)只賦予每

37、個(gè)角色完成任務(wù)所需的最小權(quán)限。如安全管理員只有完成安全管理任務(wù)的權(quán)限，即配置系統(tǒng)安全策略等，無(wú)法登錄系統(tǒng)終端，并且安全管理員的一切操作行為都被記入審計(jì)日志。17安全審計(jì)員只負(fù)責(zé)審計(jì)日志的存取控制，不具有安全管理員和系統(tǒng)操作員的權(quán)限。系統(tǒng)操作員具有對(duì)終端進(jìn)行日常維護(hù)的權(quán)限。其操作權(quán)限由安全管理員制定，其行為由系統(tǒng)審計(jì)策略監(jiān)控。系統(tǒng)操作員不能修改訪問(wèn)控制和審計(jì)策略，也不能訪問(wèn)甚至刪除審計(jì)日志。終端安全防護(hù)系統(tǒng)正是通過(guò)上述“三權(quán)分立”的機(jī)制，使得系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個(gè)用戶各司其職，共同保障信息系統(tǒng)的安全。3.1.3應(yīng)用系統(tǒng)安全封裝應(yīng)用系統(tǒng)安全封裝終端安全防護(hù)系統(tǒng)（前置服務(wù)器版）提供

38、對(duì)應(yīng)用的安全封裝功能。通過(guò)對(duì)應(yīng)用的安全封裝實(shí)現(xiàn)對(duì)應(yīng)用服務(wù)的訪問(wèn)控制。應(yīng)用服務(wù)的安全封裝主要由可信計(jì)算環(huán)境、資源隔離和輸入輸出安全檢查來(lái)實(shí)現(xiàn)。通過(guò)可信計(jì)算的基礎(chǔ)保障機(jī)制建立可信應(yīng)用環(huán)境，通過(guò)資源隔離限制特定進(jìn)程對(duì)特定文件的訪問(wèn)權(quán)限，從而將應(yīng)用服務(wù)隔離在一個(gè)受保護(hù)的環(huán)境中，不受外界的干擾，確保應(yīng)用服務(wù)相關(guān)的客體資源不會(huì)被非授權(quán)用戶訪問(wèn)。輸入輸出安全檢查截獲并分析用戶和應(yīng)用服務(wù)之間的交互請(qǐng)求，防范非法的輸入和輸出。3.1.4自主訪問(wèn)控制自主訪問(wèn)控制在 WINDOWS 操作系統(tǒng)中，合法用戶可以訪問(wèn)系統(tǒng)中的任何文件，用戶很難保戶自己的隱私。但是安裝了終端安全防護(hù)系統(tǒng)后，用戶可以擁有自己的私有目錄，稱為文

39、件保密柜，系統(tǒng)禁止本用戶以外的其它用戶訪問(wèn)保密柜中的文件，從而有效保護(hù)用戶的私有信息。用戶1用戶n用戶2文件保密柜1文件保密柜n文件保密柜2允許允許允許禁止禁止禁止禁止禁止禁止圖圖 3.1.4 文件保密柜示意圖文件保密柜示意圖3.1.5數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù)數(shù)據(jù)存儲(chǔ)與傳輸保護(hù)是防止信息泄露最有效的手段，終端安全防護(hù)系統(tǒng)支持對(duì)硬盤數(shù)據(jù)透明加解密、對(duì)移動(dòng)存儲(chǔ)透明加解密以及對(duì)網(wǎng)絡(luò)傳輸透明加解密，達(dá)到了重要信息即使被盜取，信息盜取者也“看不懂”的效果。所謂透明加解密是指該加解密過(guò)程對(duì)用戶是透明的，這一過(guò)程在操作系統(tǒng)18層實(shí)現(xiàn)，對(duì)上層應(yīng)用透明，用戶感覺(jué)不到它的存在。這一特性可以保證信息系統(tǒng)中的重要

40、信息在存儲(chǔ)和傳播過(guò)程中都以密文的形式存在，即使意外斷電，也不會(huì)導(dǎo)致明文信息的外泄。在終端安全防護(hù)系統(tǒng)中，安全管理員可以根據(jù)客體的不同安全級(jí)制定不同的數(shù)據(jù)保護(hù)策略，方便信息系統(tǒng)和外界進(jìn)行數(shù)據(jù)交換。3.1.6系統(tǒng)完整性保護(hù)系統(tǒng)完整性保護(hù)終端安全防護(hù)系統(tǒng)提供執(zhí)行程序只讀保護(hù)和一致性校驗(yàn)功能。執(zhí)行程序只讀保護(hù)可以確保系統(tǒng)中的執(zhí)行程序免受非授權(quán)修改，從而保護(hù)其完整性。執(zhí)行程序一致性校驗(yàn)機(jī)制用來(lái)保證系統(tǒng)所啟動(dòng)的進(jìn)程都是可信的。各終端上的執(zhí)行程序經(jīng)過(guò)安全管理員的安全性檢查后，其正常啟動(dòng)所依賴相關(guān)模塊的摘要值被記錄在系統(tǒng)策略文件中，由安全管理中心統(tǒng)一管理與分發(fā)。執(zhí)行程序啟動(dòng)前，終端安全防護(hù)系統(tǒng)會(huì)度量該程序相關(guān)

41、模塊的完整性，只有在度量結(jié)果和預(yù)存值一致的前提下，該程序才被認(rèn)為是可信的，從而允許啟動(dòng)，否則拒絕其執(zhí)行（對(duì)系統(tǒng)中的重要程序會(huì)啟動(dòng)可信的備份程序）。因此即使系統(tǒng)中的某一執(zhí)行程序被病毒或木馬感染，由于其不再可信，終端安全防護(hù)系統(tǒng)禁止其執(zhí)行，從而阻止了惡意代碼繼續(xù)傳播和破壞，降低了系統(tǒng)完整性被破壞的風(fēng)險(xiǎn)。正是由于上述安全機(jī)制，終端安全防護(hù)系統(tǒng)可以做到執(zhí)行程序病毒自免疫。3.1.7行為審計(jì)監(jiān)控行為審計(jì)監(jiān)控從“三權(quán)分立”的角度來(lái)看，安全審計(jì)員主要起監(jiān)督作用，監(jiān)督系統(tǒng)中于安全相關(guān)的行為，尤其是安全管理員對(duì)安全策略的制定、修改以及授權(quán)用戶違反安全策略的行為，達(dá)到非法行為“賴不掉”的效果。具體包括用戶對(duì)重要信

42、息的操作甚至降級(jí)行為、對(duì)外部設(shè)備的使用行為、對(duì)網(wǎng)絡(luò)傳輸?shù)氖褂眯袨?、不可信?yīng)用的啟動(dòng)行為、應(yīng)用的越權(quán)訪問(wèn)行為、安全管理員對(duì)策略的制定和修改行為、安全操作員對(duì)系統(tǒng)的維護(hù)行為等。另外只有安全審計(jì)員可以修改或者刪除審計(jì)日志，于是只要惡意用戶試圖去破壞系統(tǒng)的安全性，其行為就必然會(huì)被審計(jì)記錄，給日后追查留下證據(jù)。3.1.8邊界保護(hù)控制邊界保護(hù)控制終端安全防護(hù)系統(tǒng)通過(guò)邊界保護(hù)控制機(jī)制增強(qiáng)了對(duì)應(yīng)用環(huán)境邊界的保護(hù)，防止非法終端接入內(nèi)部網(wǎng)絡(luò)，防止內(nèi)部用戶非法連接外網(wǎng)。非法內(nèi)聯(lián)控制非法內(nèi)聯(lián)控制19在常見(jiàn)的非法內(nèi)聯(lián)控制系統(tǒng)中，使用的是“發(fā)現(xiàn)阻斷”的控制技術(shù)，使用此項(xiàng)技術(shù)往往存在漏發(fā)現(xiàn)和阻斷延遲問(wèn)題，特別是在入侵終端開(kāi)

43、啟了個(gè)人防火墻或采取靜默接入方式時(shí)，系統(tǒng)往往不能發(fā)現(xiàn)非法接入終端。在終端安全防護(hù)系統(tǒng)中，安全管理員規(guī)定那個(gè)終端可以接入系統(tǒng)，終端運(yùn)行狀態(tài)滿足什么樣的條件后才能接入系統(tǒng)。因此在終端嘗試接入系統(tǒng)時(shí)，需要到邊界控制服務(wù)器進(jìn)行認(rèn)證，邊界控制服務(wù)器檢查該終端的平臺(tái)身份和安全狀態(tài)，只有檢驗(yàn)通過(guò)后，終端方能接入網(wǎng)絡(luò)與其他終端進(jìn)行網(wǎng)絡(luò)通信，否則它無(wú)法使用任何網(wǎng)絡(luò)資源。非法外聯(lián)控制非法外聯(lián)控制目前，我國(guó)主管部門規(guī)定重要信息系統(tǒng)必須和其他公共網(wǎng)絡(luò)進(jìn)行物理隔離，但是在實(shí)際信息系統(tǒng)中，惡意用戶仍可以通過(guò)撥號(hào)、內(nèi)外網(wǎng)切換等方式有意避開(kāi)這一管理規(guī)定，連接上公共網(wǎng)絡(luò)，將重要信息泄露出去，從而對(duì)重要信息系統(tǒng)安全造成威脅。終端

44、安全防護(hù)系統(tǒng)可以在操作系統(tǒng)層對(duì)網(wǎng)絡(luò)協(xié)議棧進(jìn)行監(jiān)控和過(guò)濾，禁止任何試圖連接公共網(wǎng)絡(luò)的操作，確保用戶無(wú)法連接到公共網(wǎng)上，從而在技術(shù)上實(shí)現(xiàn)了真正的物理隔離。3.2終端安全防護(hù)系統(tǒng)（終端安全防護(hù)系統(tǒng)（PCPC 版）功能介紹版）功能介紹3.2.1強(qiáng)身份認(rèn)證功能強(qiáng)身份認(rèn)證功能終端安全防護(hù)系統(tǒng)（PC 版）能夠?yàn)椴僮飨到y(tǒng)版本提供強(qiáng)身份認(rèn)證功能。終端安全防護(hù)系統(tǒng)（PC 版）采用 USB-Key 硬件令牌作為用戶標(biāo)識(shí)，在用戶登錄時(shí)，采用受安全管理中心控制的口令、令牌、數(shù)字證書的組合機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。現(xiàn)有的 Windows、Linux 操作系統(tǒng)采用口令認(rèn)證方式對(duì)用戶身份進(jìn)行鑒

45、別，容易受到字典攻擊。在終端安全防護(hù)系統(tǒng)（PC 版）中，USB-KEY 為用戶身份的唯一標(biāo)識(shí)，當(dāng)用戶登錄系統(tǒng)時(shí)，需要插入 USB-KEY，然后系統(tǒng)對(duì)用戶進(jìn)行雙因子身份認(rèn)證，只有用戶擁有合法的 USB-KEY，并且輸入正確的 WINDOWS + USB-KEY 口令，用戶才能登錄系統(tǒng)。登錄成功后，如果用戶需要臨時(shí)離開(kāi)終端，可以拔除 USB-KEY，這樣安全內(nèi)核會(huì)自動(dòng)保存用戶的工作環(huán)境，并且鎖定終端，除了持有原 USB-KEY 的用20戶外，任何人都不能進(jìn)入終端環(huán)境?？梢?jiàn)，終端安全防護(hù)系統(tǒng)通過(guò)系統(tǒng)登錄與硬件 USB-KEY 緊密捆綁，實(shí)現(xiàn)了非法用戶“進(jìn)不來(lái)”終端環(huán)境。另外，終端在進(jìn)行相互網(wǎng)絡(luò)通信時(shí)

46、，安全內(nèi)核首先攔截該請(qǐng)求，并且主動(dòng)驗(yàn)證對(duì)方終端的平臺(tái)身份及安全狀態(tài)，從而決定是否允許該通信請(qǐng)求。這樣將非法接入內(nèi)部網(wǎng)絡(luò)的終端或內(nèi)部網(wǎng)絡(luò)上不安全的終端孤立起來(lái)，實(shí)現(xiàn)了非法終端“進(jìn)不來(lái)”系統(tǒng)環(huán)境，從而確保重要信息不會(huì)從這些終端泄露出去，這些終端也不會(huì)破壞信息系統(tǒng)的安全。3.2.2強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制現(xiàn)有的終端操作系統(tǒng)采用自主訪問(wèn)控制模式來(lái)限制用戶權(quán)限，以達(dá)到保護(hù)系統(tǒng)資源安全的目的。但是在自主訪問(wèn)控制體系中，資源屬主可以任意授權(quán)，并且權(quán)限可以傳遞，這樣不利于信息系統(tǒng)的安全。終端安全防護(hù)系統(tǒng)（PC 版）提供了強(qiáng)制訪問(wèn)控制功能，由安全管理中心對(duì)系統(tǒng)中的主體（用戶、進(jìn)程）及客體（文件、執(zhí)行程序、外部設(shè)

47、備等）進(jìn)行安全標(biāo)識(shí)，根據(jù)客體類型的不同，分別制定了不同的訪問(wèn)控制規(guī)則，從而全方位地確保重要信息“拿不走”，保護(hù)信息系統(tǒng)的機(jī)密性。 由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記，通過(guò)安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制。強(qiáng)制訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件級(jí)。應(yīng)確保安全計(jì)算環(huán)境內(nèi)的所有主、客體具有一致的標(biāo)記信息，并實(shí)施相同強(qiáng)制的訪問(wèn)控制規(guī)則。用戶權(quán)限控制用戶權(quán)限控制終端安全防護(hù)系統(tǒng)通過(guò)分級(jí)訪問(wèn)控制的方式對(duì)用戶權(quán)限進(jìn)行控制。安全管理員通過(guò)安全管理中心規(guī)定用戶以及各終端上客體（文件、執(zhí)行程序、外設(shè)、移動(dòng)存儲(chǔ)設(shè)備）的安全級(jí)，強(qiáng)制終端采用如下原則限制用戶的權(quán)限：

48、低安全級(jí)的用戶無(wú)法訪問(wèn)高安全級(jí)的客體，如圖 3.2.2。 21圖圖 3.2.2 用戶權(quán)限控制示意圖用戶權(quán)限控制示意圖通過(guò)上述訪問(wèn)控制規(guī)則，安全管理員不僅可以規(guī)定用戶的權(quán)限，而且可以依據(jù)系統(tǒng)中數(shù)據(jù)的重要性來(lái)規(guī)定其安全級(jí)，從而確保重要信息只掌握在少數(shù)人手里，以降低重要信息安全性被破壞的風(fēng)險(xiǎn)。另外隨著計(jì)算機(jī)信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)上的外部接口設(shè)備也越來(lái)越豐富，這在給信息處理和傳播帶來(lái)方便性的同時(shí)，也給信息系統(tǒng)的安全造成了極大威脅，比如惡意用戶可以通過(guò)紅外、藍(lán)牙等設(shè)備泄露重要信息，可以通過(guò)打印泄露重要信息。于是終端安全防護(hù)系統(tǒng)通過(guò)上述訪問(wèn)控制規(guī)則簡(jiǎn)化了系統(tǒng)對(duì)外部設(shè)備的管理，降低了用戶因?yàn)E用或誤用外部

49、設(shè)備而帶來(lái)的風(fēng)險(xiǎn)。最后安全管理員可以通過(guò)上述訪問(wèn)控制規(guī)則，規(guī)定用戶可以執(zhí)行什么樣的程序，確保只有經(jīng)過(guò)系統(tǒng)安全性檢查并且得到授權(quán)的應(yīng)用程序才能被用戶使用，這樣就降低了惡意程序感染并破壞信息系統(tǒng)安全的可能性。而且通過(guò)上述規(guī)則，限制了普通用戶安裝新的應(yīng)用程序的能力，從而可以有效防止內(nèi)部精通業(yè)務(wù)、懂技術(shù)、會(huì)編程的專業(yè)人士對(duì)信息系統(tǒng)安全的威脅。執(zhí)行程序最小權(quán)限控制執(zhí)行程序最小權(quán)限控制現(xiàn)有操作系統(tǒng)中的應(yīng)用程序繼承用戶權(quán)限，不滿足最小權(quán)限原則，從而給病毒等惡意程序留下了破壞系統(tǒng)安全的空間。因此終端安全防護(hù)系統(tǒng)允許安全管理員規(guī)定執(zhí)行程序權(quán)限，使其在滿足用戶權(quán)限訪問(wèn)控制規(guī)則的前提下，只擁有正常完成任務(wù)的最小權(quán)限

50、。以 IEXLPOER.EXE 為例，安全管理員可以配置其只能讀那些文件或?qū)懩切┪募?，不允許其訪問(wèn)系統(tǒng)內(nèi)的重要信息、不允許其修22改系統(tǒng)內(nèi)的關(guān)鍵配置文件，那么即使系統(tǒng)被惡意腳本所攻擊，重要信息的安全性也不會(huì)受到威脅，系統(tǒng)本身的完整性也不會(huì)受到破壞。上述權(quán)限主要分為兩類：對(duì)文件的訪問(wèn)權(quán)限以及對(duì)網(wǎng)絡(luò)的使用權(quán)限。通過(guò)限制程序?qū)ξ募脑L問(wèn)權(quán)限，可以有效防止惡意腳本對(duì)系統(tǒng)安全的攻擊，減小其破壞范圍。通過(guò)限制應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的能力，可以有效防止蠕蟲(chóng)等惡意代碼對(duì)信息系統(tǒng)可用性的破壞，防止病毒、木馬程序在用戶不知情的情況下，將系統(tǒng)中的重要信息泄漏出去。職責(zé)分離管理職責(zé)分離管理為了方便權(quán)限管理，終端安全防護(hù)系統(tǒng)

51、引入以下三個(gè)角色：安全管理員、安全審計(jì)員、系統(tǒng)操作員。根據(jù)最小權(quán)限原則，系統(tǒng)只賦予每個(gè)角色完成任務(wù)所需的最小權(quán)限。如安全管理員只有完成安全管理任務(wù)的權(quán)限，即配置系統(tǒng)安全策略等，無(wú)法登錄系統(tǒng)終端，并且安全管理員的一切操作行為都被記入審計(jì)日志。安全審計(jì)員只負(fù)責(zé)審計(jì)日志的存取控制，不具有安全管理員和系統(tǒng)操作員的權(quán)限。系統(tǒng)操作員具有對(duì)終端進(jìn)行日常維護(hù)的權(quán)限。其操作權(quán)限由安全管理員制定，其行為由系統(tǒng)審計(jì)策略監(jiān)控。系統(tǒng)操作員不能修改訪問(wèn)控制和審計(jì)策略，也不能訪問(wèn)甚至刪除審計(jì)日志。終端安全防護(hù)系統(tǒng)正是通過(guò)上述“三權(quán)分立”的機(jī)制，使得系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個(gè)用戶各司其職，共同保障信息系統(tǒng)的安全

52、。3.2.3自主訪問(wèn)控制自主訪問(wèn)控制在 WINDOWS 操作系統(tǒng)中，合法用戶可以訪問(wèn)系統(tǒng)中的任何文件，用戶很難保戶自己的隱私。但是安裝了終端安全防護(hù)系統(tǒng)后，用戶可以擁有自己的私有目錄，稱為文件保密柜，系統(tǒng)禁止本用戶以外的其它用戶訪問(wèn)保密柜中的文件，從而有效保護(hù)用戶的私有信息。用戶1用戶n用戶2文件保密柜1文件保密柜n文件保密柜2允許允許允許禁止禁止禁止禁止禁止禁止23圖圖 3.2.3 文件保密柜示意圖文件保密柜示意圖3.2.4數(shù)據(jù)保密性保護(hù)數(shù)據(jù)保密性保護(hù)數(shù)據(jù)存儲(chǔ)與傳輸保護(hù)是防止信息泄露最有效的手段，終端安全防護(hù)系統(tǒng)支持對(duì)硬盤數(shù)據(jù)透明加解密、對(duì)移動(dòng)存儲(chǔ)透明加解密以及對(duì)網(wǎng)絡(luò)傳輸透明加解密，達(dá)到了重

53、要信息即使被盜取，信息盜取者也“看不懂”的效果。所謂透明加解密是指該加解密過(guò)程對(duì)用戶是透明的，這一過(guò)程在操作系統(tǒng)層實(shí)現(xiàn)，對(duì)上層應(yīng)用透明，用戶感覺(jué)不到它的存在。這一特性可以保證信息系統(tǒng)中的重要信息在存儲(chǔ)和傳播過(guò)程中都以密文的形式存在，即使意外斷電，也不會(huì)導(dǎo)致明文信息的外泄。在終端安全防護(hù)系統(tǒng)中，安全管理員可以根據(jù)客體的不同安全級(jí)制定不同的數(shù)據(jù)保護(hù)策略，方便信息系統(tǒng)和外界進(jìn)行數(shù)據(jù)交換。3.2.5系統(tǒng)完整性保護(hù)系統(tǒng)完整性保護(hù)終端安全防護(hù)系統(tǒng)提供執(zhí)行程序只讀保護(hù)和一致性校驗(yàn)功能。執(zhí)行程序只讀保護(hù)可以確保系統(tǒng)中的執(zhí)行程序免受非授權(quán)修改，從而保護(hù)其完整性。執(zhí)行程序一致性校驗(yàn)機(jī)制用來(lái)保證系統(tǒng)所啟動(dòng)的進(jìn)程都是可信的。各終端上的執(zhí)行程序經(jīng)過(guò)安全管理員的安全性檢查后，其正常啟動(dòng)所依賴相關(guān)模塊的摘要值被記錄在系統(tǒng)策略文件中，由安全管理中心統(tǒng)一管理與分發(fā)。執(zhí)行程序啟動(dòng)前，終端安全防護(hù)系統(tǒng)會(huì)度量該程序相關(guān)模塊的完整性，只有在度量結(jié)果和預(yù)存值一致的