信息系统等级保护建设方案设计

  • 格式:doc
  • 大小:1.48 MB
  • 文档页数:27

实用文档 边界接入平台终端安全保护系统 建设方案

2009年6月5日 2

文件修改记录 修改日期 版本号 修改内容 修改人 审核人 批准人/日期 3 目 录

1 项目建设的必要性 ............................................... 5 1.1 政策必要性 .............................................................. 5 1.2 整体安全需要 ............................................................ 5 1.3 合规性需要 .............................................................. 6 2 法规、政策和技术依据 ........................................... 7 2.1 信息安全等级保护有关法规、政策、文件 ..................................... 7 2.1.1 《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令) ........... 7 2.1.2 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) . 7 2.1.3 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) ............... 8 2.1.4 《信息安全等级保护管理办法》(公通字[2007]43号) ......................... 9 2.1.5 信息安全等级保护技术标准体系及其关系 .................................. 9

3 终端安全防护系统功能介绍 ...................................... 14 3.1 终端安全防护系统(前置服务器版)功能介绍 ................................ 14 3.1.1 强身份认证功能 ....................................................... 14 3.1.2 多用户强制访问控制 ................................................... 14 图3.1.3 用户权限控制示意图 ................................................... 15 3.1.3 应用系统安全封装 ..................................................... 17 3.1.4 自主访问控制 ......................................................... 17 图3.1.4 文件保密柜示意图 ..................................................... 17 3.1.5 数据保密性保护 ....................................................... 17 3.1.6 系统完整性保护 ....................................................... 18 3.1.7 行为审计监控 ......................................................... 18 3.1.8 边界保护控制 ......................................................... 18

3.2 终端安全防护系统(PC版)功能介绍 ....................................... 19 3.2.1 强身份认证功能 ....................................................... 19 3.2.2 强制访问控制 ......................................................... 20 图3.2.2 用户权限控制示意图 ................................................... 21 3.2.3 自主访问控制 ......................................................... 22 图3.2.3 文件保密柜示意图 ..................................................... 22 3.2.4 数据保密性保护 ....................................................... 23 3.2.5 系统完整性保护 ....................................................... 23 3.2.6 行为审计监控 ......................................................... 23 3.2.7 边界保护控制 ......................................................... 24 4

4 边界接入平台终端安全保护系统实施计划 .......................... 25 4.1 统一规划,分步实施 ..................................................... 25 4.2 实施产品列表 ........................................................... 25 4.3 项目实施拓扑示意图 ..................................................... 25 5 1 项目建设的必要性

1.1 政策必要性

随着全球信息化进程的不断推进,我国政府及各行各业也在进行大量的信息系统的建设,这些信息系统已经成为国家重要的基础设施,因此,信息系统安全问题已经被提升到关系国家安全和国家主权的战略性高度,已引起党和国家领导以及社会各界的关注。随着政府上网、电子商务、电子军事等信息化建设和发展,作为现代信息社会重要基础设施的信息系统,其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。能否有效的保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,没有完整意义上的国家安全。 随着国家信息化的不断推进与当前电子政务的大力建设,信息已经成为最能代表综合国力的战略资源,因此,信息资源的保护、信息化进程的健康是关乎国家安危、民族兴旺的大事;信息安全是保障国家主权、政治、经济、国防、社会安全和公民合法权益的重要保证。经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。对信息系统实行等级保护是我国的法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。

1.2 整体安全需要

信息安全遵循“木桶原理”,任何一个不完善的环节都可能成为危及整个系统安全的“短板”。在信息通信网边界接入平台中数据交换业务前置机和社区警务室终端是边界接入平台的重要组成部分,终端的安全将直接影响整个信息系统的安全。终端既可能是安全事件的源头,又可能是安全事件的目标。从有关安全权威单位得知,绝大多数的攻击事件都是从终端发起的,也就是说安全事件往往都是终端体系结构和操作系统的不安全所引起的。因此,必须从终端操作系统平6

台实施安全防范,将不安全因素从终端源头被控制,只有这样才能保证信息系统的整体安全。

1.3 合规性需要

XX信息通信网边界接入平台将按照等级保护3级的要求对信息系统进行安全建设和加固。等级保护3级和4级标准均对操作系统的身份鉴别、访问控制、安全审计、恶意代码防范、入侵检测等提出了明确要求,而目前边界接入平台数据交换业务前置机和社区警务室计算机终端操作系统同以上要求相比尚有不少差距。为达到等级保护要求,必须对终端进行安全加固。 7

2 法规、政策和技术依据

国家高度重视信息安全保护工作,为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。 国家针对等级保护制定了一系列的法规和标准,这些法规和标准是建设等级保护系统的依据。制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息安全技术操作系统安全评估准则》(GB/T20009-2005)、《信息安全技术信息系统安全管理要求》(GB/T20269-2006)等50多个国标、行标以及已报批标准,初步形成了信息安全等级保护标准体系。 2.1 信息安全等级保护有关法规、政策、文件

2.1.1 《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令) 1994年国务院颁布了第147号令《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》),是最早提及信息安全等级保护的法规。 《条例》明确了实行信息安全等级保护制度的有关规定,提出了从整体上、根本上解决国家信息安全问题的办法,进一步确定了信息安全发展主线、中心任务,提出了总要求。《条例》指出对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。 《条例》指明“信息系统安全等级的划分标准和安全等级保护的具体办法由XX部会同有关部门制定”;指明了等级保护是计算机信息系统安全保护的一项制度;明确规定由XX部会同有关部门制定信息系统等级保护配套的规章和技术标准。 2.1.2 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)