內容簡介
《信息安全等級保護基本要求》是目前在信息系統等級確定以後,對信息系統進行安全改造、改建、加固的依據,也是測評機構對信息系統進行安全測評及國家信息安全監管部門進行監督、檢查、指導的依據。本書對《信息安全等級保護基本要求》中所涉及的標準、安全模型、安全功能等知識進行了較為系統的分類介紹,並著重介紹了技術要求中的網路安全、主機安全、套用安全及數據安全方面的要求。而且對一些基本要求中的條款進行解釋和說明,有的地方還提出了應該採用技術的建議。
本書對國家標準《信息安全等級保護基本要求》進行了原理性分析,具有很高的實用價值,解決了目前絕大多數相關人員讀不懂標準的難題,是落實等級保護制度的必讀之作。本書適合從事信息保障的各類技術人員、管理人員及大專院校相關專業的師生閱讀。
序
隨著我國各行各業信息化的快速發展,人們的工作、生活和各項社會活動越來越多地依賴於網路和計算機系統,為信息化保駕護航的信息安全越來越受到普遍關注。我國正在實行的信息安全等級保護制度,對於信息化狀態下的國家安全、社會穩定、經濟發展和人民財產保護具有十分重要的意義和作用。
與國外普遍採用的以風險管理方法來控制信息系統的安全不同,我國採用等級管理方法來控制信息系統的安全。風險管理方法的基本思想是在信息系統生存周期的各個階段,採用風險分析的方法,分析和評估信息系統的風險,並根據風險情況對信息系統的安全措施進行相應調整,使其安全性達到所需的要求。等級管理方法的基本思想是在信息系統生存周期的不同階段,通過確定信息系統的安全保護等級,並按照確定的安全保護等級的要求進行信息系統安全的設計、實現、運行控制和維護,使其安全性達到確定安全保護等級的安全目標。我國當前實施的信息安全等級保護制度屬於等級管理方法,其出發點是“重點保護基礎信息網路和關係國家安全、經濟命脈、社會穩定等方面的重要信息系統”。
無論是採用風險管理方法還是採用等級管理方法控制信息系統安全,都需要相應的信息安全技術和產品提供支持。對信息安全技術和產品劃分安全等級對於信息安全技術和產品的研究、開發、管理以及選擇和使用具有重要的意義,既可以為等級管理方法提供支持,也可以為風險管理方法提供支持。正因為如此,從TCSEC開始到CC直至現在,國際、國外及我國的許多信息安全標準都從不同的角度對信息安全技術和產品進行了安全等級劃分。
然而,需要明確的是,就實現信息系統的安全保護而言,兩種控制方法有一些本質上的差別。風險管理方法是一種在國外使用多年且已經比較成熟的信息系統安全控制方法;我國正在實行的信息安全等級保護制度是一種適合我國國情的信息系統安全控制方法,需要一套相應的政策、法規、制度和標準來推進,就像目前正在做的。本書所解讀的《基本要求》就是被指定為在信息安全等級保護整改階段設計和實現信息系統安全主要依據的標準。
本書作者陸寶華,是長期工作在公安戰線的信息安全專家,主要對信息保障工作進行監督、檢查和指導,先後從事公安專用移動通信系統、電子信息、信息安全等方向技術的研究,在移動通信、信息安全等領域頗有建樹,積累了豐富的工作經驗,曾組織制定了大連市信息安全事件的應急回響預案,並多次現場指揮信息安全事件的救援工作,為許多單位挽回了大量的經濟損失,並消除了政治影響。在總結實踐經驗的基礎上,本書作者對國內外信息安全的發展進行了廣泛了解和深入研究,通過把理論和實踐相結合,編寫出版了《信息系統安全原理與套用》、《信息安全等級保護技術基礎培訓教程》等著作,深入淺出地對信息安全的相關概念和具體技術作了比較全面的介紹。
作者在對TCSEC、CC和IATF等相關資料進行深入研究和理解的基礎上,結合對我國信息安全等級保護一系列相關標準的理解,編寫了《信息安全等級保護基本要求培訓教程》,本書是對《基本要求》進行培訓的一本好書。本書集信息安全基本概念說明與信息安全技術套用於一身,對《基本要求》所涉及的相關標準、安全模型、安全功能等知識進行了較為系統的分類介紹;對《基本要求》中的一些條款進行了解釋和說明,對有些條款還提出了應該採用的相關技術的建議;對某些層面的一些專門要求,通過相應的獨立章節進行了說明。本書對於我國當前正在開展的信息安全等級保護整改階段的工作具有重要的參考作用。
從以下方面確立對信息安全的基本認識,對於理解本書的內容會有所幫助。這些基本認識包括:
正確區分信息技術與信息安全技術。信息技術是實現信息系統功能所採用的技術,信息安全技術是確保信息系統安全所採用的技術。理解上容易混淆的是在可用性方面。由信息技術所提供的可用性表現為信息系統對確定的業務套用提供足夠的存儲、傳輸和處理業務數據能力;信息安全技術所提供的可用性是指對信息系統遭受的攻擊和破壞應具有一定的事先防禦和事後處理能力,當信息系統受到攻擊和破壞時能夠使信息技術所提供的可用性保持原有水平或可接受的較低水平。
實現信息安全的基本技術是隔離和控制。隔離是控制的先決條件,控制是實現安全目標的基本方法,任何信息安全技術都可以歸結為隔離和控制技術的具體體現。典型的“訪問監控器”和“前端過濾器”就是隔離和控制結構的基本模型。
信息安全的核心技術是訪問控制。嚴格意義的訪問控制,即以傳統的訪問三要素(主體、客體和訪問操作)為基礎,對主體訪問客體的操作進行的控制;廣義的訪問控制則是對任何主體訪問客體行為的控制,包括對主體訪問網路的控制、對主體訪問伺服器的控制、對傳輸數據的加密保護等。
數據保護是信息安全保護的中心內容。業務數據是信息系統資源的主要表現,沒有業務數據的信息系統是毫無實際價值的,信息系統中的安全保護歸根結底是對業務數據的保護。從信息安全保護的角度,信息系統中的數據分為業務數據、系統數據和安全功能數據;業務數據保護是信息系統安全保護的出發點和歸宿,系統數據保護是確保信息系統各種系統功能(作業系統功能、資料庫管理系統功能、網路系統功能和套用軟體系統功能等)正確實現的重要保證,安全功能數據保護是確保全全子系統各安全功能模組正確實現其安全功能的保證。各類數據保護有共同的地方,也有各自的特殊要求。
信息系統的安全保護等級與信息技術和產品的安全等級是既有聯繫又有區別的兩個概念。前者是根據信息系統的安全保護需求確定的需要進行安全保護程度的表征,是與信息系統的資產及環境條件有關的;後者是根據信息技術及信息安全技術發展和套用的實際情況,對信息安全技術和產品所提供的安全性強度的表征,是與環境和條件無關的。對採用等級管理的方法進行信息系統安全控制的信息系統,需要選用相應安全等級的安全技術和產品使其達到確定安全保護等級的安全要求;對採用風險管理的方法進行信息系統安全控制的信息系統同樣可以根據信息安全技術和產品的安全等級,選擇合適的信息安全技術和產品對信息系統的安全性進行調整。同時,作為風險管理基本方法的風險分析和評估,同樣可以在等級管理方法的某些環節用來對信息系統的風險情況進行分析和評估,並對安全保護措施進行調整,使其更符合信息系統安全保護的實際需要。總之,方法是多種多樣的,目標只有一個,就是確保信息系統得到應有的安全保護。
前 言
2007年8月公安部等四部局辦,聯合下發了《信息安全等級保護管理辦法》(公通字[2007]第43號)。這一檔案的下發是信息安全等級保護工作在全國全面開展的重要標誌。國家安全標準委員會也相繼出台了多部國家標準的報批稿。《信息安全等級保護基本要求》就是在這樣的背景下出台的。
《信息安全等級保護基本要求》是目前在信息系統等級確定以後,對信息系統進行安全改造、改建、加固的依據,也是測評機構對信息系統進行安全測評及國家信息安全監管部門進行監督、檢查、指導的依據。理解《信息安全等級保護基本要求》對推進信息安全等級保護工作是極為重要的。筆者發現,相當多的從事信息系統維護工作和安全保護工作的人員對信息安全保障方面的知識還不是很熟悉,對許多的概念並不清楚,所以也就無法理解信息安全等級保護的基本要求了。有相當多的同志提出了這方面的問題,所以,筆者覺得有必要對《信息安全等級保護基本要求》所涉及的概念進行介紹,幫助大家學習並掌握《信息安全等級保護基本要求》。
為此,筆者撰寫了《〈信息安全等級保護基本要求〉培訓教程》一書,對《信息安全等級保護基本要求》中所涉及的標準、安全模型、安全功能等知識進行了較為系統的分類介紹。在書中,筆者著重介紹了技術要求中的網路安全、主機安全、套用安全及數據安全方面的要求。《信息安全等級保護基本要求》將基本要求分為兩大部分,一部分是技術要求,分為五個大類;另一部分是管理要求,也分為五個大類。技術要求中的五個大類,實際上是信息系統的五個層面,而不是相應技術體系中的“安全功能類”,所以在技術要求的解讀中,筆者沒有按《信息安全等級保護基本要求》中的“類”來寫,而是按技術體系通用的“安全功能類”進行介紹,同時給出了各層面上提出的這一功能類的基本要求,並根據一些同志的建議,對基本要求中的一些條款進行了解釋和說明,有些還提出了應該採用相關技術的建議。對某些層面的獨自要求,也採取了相應的獨立章節進行說明。
本書中的第5章“自主訪問控制”與第6章“標記與強制訪問控制(MAC)”原為一章,但是考慮到強制訪問控制對高安全等級的信息系統的重要性和實施了強制訪問控制後信息系統安全的可靠性,為了能引起讀者的重視和閱讀方便,故將標記與強制訪問控制劃分為單獨的一章。
本書中對管理要求,沒有做太多的說明,只是對信息安全管理體系(ISMS)進行了初步介紹。這是考慮到,管理要求是比較容易理解的,不必做太多的說明。物理安全的內容也沒有進行介紹,物理安全可以由專業的組織來實施,只要按照《信息安全等級保護基本要求》中的具體項目實施就行了,也不必做太多的說明。並且,會有專門介紹物理安全原理與實施的著作呈獻給讀者。
本書稿完成後,筆者將書稿分發給高賢民、趙然、佟立新、王曉宇、匡山、辛鵬、董立梅、李忠、連立洲十餘名同志進行閱讀,以檢驗本書的價值和難易程度。他們中有:從事多年計算機工作,但並不是很熟悉信息保障知識的同志;有一定的計算機工作經歷,對信息安全保障基本不了解的同志;剛從學校計算機相關專業走出來的大學生。現在看來,這本書很適合熟悉信息系統但對安全並不很清楚的讀者閱讀。對於有一定的計算機工作經歷,但不懂信息安全保障的同志來說,雖然他們可以看懂這些章節中的內容,但是仍不能建立起較為完整的信息保障的整體框架。建立起這樣的整體框架,並不是本書的任務,由陸寶華、王曉宇編著的另一本書《信息安全等級保護技術基礎培訓教程》和本書可以共同完成這一任務。
筆者並不是一位對信息系統安全理論精深的學者,而是一個長期工作在信息系統安全保障第一線的管理者,由於長期的認真學習,掌握了不少的信息系統安全保障的理論與技術,並且對基層的信息系統維護人員的需求有非常清楚的了解。筆者非常願意當好一個接口,將學者與專家的理論及思想,用儘量通俗的語言傳達給在基層工作的讀者。
由於筆者的水平有限,同時也不是標準的起草者,對信息安全保障理論知識的理解和對相關國家標準的理解可能存在著誤區,再加上文筆水平有缺失,所以錯誤和缺點是不可避免的,希望讀者在閱讀的過程中給予批評和指正。
本書成稿後,有幸得到了國家信息安全的大專家吉增瑞老師的指導,吉增瑞老師是一位在理論和技術上都非常精湛的專家,也是一位認真負責和嚴謹的長者,編寫了多部國家信息安全等級保護的標準,而這些標準更系統、更完備,恰恰是信息安全等級保護的目標要求(而不是基本要求)。吉增瑞老師不僅對書稿進行了審核,還進行了用心的修改。這使本書的價值有了一個大大的提升,對等級保護工作具有了指導意義。
感謝公安部網路安全保衛局的顧建國局長、趙林副局長多年來對筆者的指導;感謝信息安全界的專家趙戰生老師、吉增瑞老師、賈穎禾老師、崔書昆老師、卿斯漢老師多年來的指導與幫助;感謝大連市公安局網路警察支隊的前任支隊長梁明同志,正是在他的領導下,才能夠使筆者在工作中深入地學習和理解信息安全等級保護的理論與技術。
本書在成稿過程中和成稿後,得到了公安部信息網路安全監察局主管等級保護工作的郭啟全處長的直接指導、支持和幫助,對書稿的內容提出了具體的修改意見,並進行了審核。在此,筆者表示深深的感謝!
目 錄
第1章 等級保護基本要求概述 1
1.1 等級保護基本要求背景及作用 2
1.1.1 信息系統安全等級保護的基本內容 2
1.1.2 主要作用及特點 3
1.2 不同安全等級的安全保護能力 4
1.2.1 對抗能力 5
1.2.2 恢復能力 7
1.2.3 保護能力要求 8
1.3 基本要求的思想 9
1.3.1 逐級增強原則 10
1.3.2 控制點逐級增加 11
1.3.3 要求項逐級增加 12
1.3.4 控制強度逐級增強 13
1.4 與其他標準的關係 14
1.4.1 標準間的承接關係 14
1.4.2 技術標準 16
第2章 基本要求與安全保障模型 26
2.1 與PPDRR模型的關係 26
2.1.1 PPDRR模型介紹 26
2.1.2 等級保護基本要求與PPDRR模型的關係 30
2.2 基本要求與IATF的關係 31
2.2.1 IATF簡介 31
2.2.2 等級保護基本要求與IATF的關係 36
2.3 基本要求與能力成熟度模型(CMM)的關係 37
第3章 安全技術和安全管理基本要求 43
3.1 基本要求的框架結構 43
3.2 安全技術基本要求 45
3.2.1 安全技術基本要求的三種類型 45
3.2.2 標記說明 47
3.2.3 技術要求的分層描述 48
3.3 管理要求 55
3.3.1 安全管理制度 55
3.3.2 安全管理機構 56
3.3.3 人員安全管理 57
3.3.4 系統建設管理 58
3.3.5 系統運維管理 60
第4章 身份鑑別 62
4.1 身份鑑別機制 62
4.1.1 標識與鑑別的概念 62
4.1.2 鑑別技術 65
4.1.3 與鑑別有關的安全機制 68
4.1.4 CC的標識與鑑別要求 70
4.2 主機與套用安全中身份鑑別的基本要求 72
4.2.1 主機身份鑑別的要求 72
4.2.2 套用中的身份鑑別要求 75
4.3 網路設備身份鑑別要求 76
4.3.1 第一級網路設備防護要求(G1) 76
4.3.2 第二級信息系統的網路設備防護要求(G2) 77
4.3.3 第三級網路設備防護(G3) 77
4.3.4 第四級網路設備防護(G4) 77
第5章 自主訪問控制 78
5.1 訪問控制的一般概念 78
5.1.1 訪問控制的一般原理 82
5.1.2 訪問控制過程 87
5.1.3 訪問控制類型 90
5.1.4訪問控制信息92
5.1.5 訪問控制模型 95
5.2 自主訪問控制 100
5.2.1 保護位(Protection Bit)機制 101
5.2.2訪問控制表(ACL)機制 102
5.2.3 訪問許可權與訪問操作權 103
5.3 自主訪問控制要求 105
5.3.1 第一、第二級的主機訪問控制要求(S1)(S2) 105
5.3.2 第一、第二級套用安全的訪問控制要求(S1)(S2) 106
5.3.3 網路訪問控制(G1)(G2) 107
第6章 標記與強制訪問控制(MAC) 110
6.1 標記 110
6.1.1 標記的作用與要求 110
6.1.2 CC中的標記要求 112
6.2 強制訪問控制 116
6.2.1 MAC機制的實現方法 117
6.2.2 支持MAC的措施 118
6.3.1 RBAC的基本概念 121
6.3.2 RBAC 96模型 122
6.3.3 RBAC 97模型(Administration RBAC Model) 124
6.3.4 NIST RBAC建議標準 124
6.3.5 RBAC的特點 125
6.4 新型訪問控制 127
6.4.1 基於任務的訪問控制(TBAC) 128
6.4.2 基於對象的訪問控制(OBAC) 129
6.5 高等級信息系統的強制訪問控制要求 130
6.5.1 主機及套用安全第三、第四級的強制訪問控制要求 130
6.5.2 網路訪問控制 131
第7章 安全審計 134
7.1 安全審計的概念 134
7.1.1 定義 135
7.1.2 審計的目的與基本要求 136
7.1.3 審計事件 138
7.2 審計系統的實現 139
7.2.1 審計實現的一般方法 139
7.2.2 主機環境下審計的實現 145
7.2.3 分散式環境下的審計 149
7.3 審計信息的瀏覽 150
7.3.1 審計信息的瀏覽技術 151
7.3.2 審計信息的無害化處理 152
7.4 審計的基本要求 153
7.4.1 主機及應用程式的審計要求 154
7.4.2網路安全審計156
第8章 入侵防範 158
8.1 入侵行為概述 158
8.1.1 攻擊的分類 159
8.1.2 攻擊步驟 160
8.1.3 黑客攻擊的常用手段 162
8.1.4 攻擊的發展 164
8.2 IPv4協定的缺陷及導致的攻擊 165
8.2.1 網路層協定的缺陷與可能導致的攻擊 165
8.2.2 傳輸層存在的安全問題 172
8.2.3 高層協定的安全問題 177
8.3 主機系統及套用軟體脆弱性 181
8.3.1 系統漏洞簡介 182
8.3.2 作業系統的部分漏洞舉例 183
8.3.3 資料庫部分漏洞舉例 191
8.3.4 應用程式的漏洞 192
8.4 入侵防範的基本要求 196
8.4.1 網路的入侵防範 196
8.4.2 主機入侵防護基本要求 198
第9章惡意代碼防範199
9.1 惡意代碼介紹 199
9.1.1 計算機病毒 201
9.1.2 蠕蟲 205
9.1.3陷門207
9.1.4 特洛伊木馬 210
9.1.5 邏輯炸彈 213
9.1.6 流氓軟體 214
9.1.7 殭屍網路 215
9.2 惡意代碼防範的基本要求 216
9.2.1 網路惡意代碼防範 216
9.2.2 主機惡意代碼防範的基本要求 217
第10章 數據保護 219
10.1 用戶數據的保護 220
10.1.1 用戶數據的機密性保護 223
10.1.2 用戶數據的完整性保護 229
10.2tsf數據的保護 231
10.3 數據保護基本要求 233
10.3.1 數據的機密性保護要求 234
10.3.2 數據的完整性要求 236
10.3.3 可信路徑的意義與要求 238
10.4 抗抵賴 241
10.4.1 抗抵賴功能 241
10.4.2 抗抵賴要求 243
第11章 網路結構安全及邊界完整性 244
11.1 網路結構安全 244
11.1.1 安全域劃分 245
11.1.2 子系統劃分 249
11.1.3 網路結構安全基本要求 256
11.2網路邊界的完整性保護 258
11.2.1 邊界完整性保護要求 258
11.2.2 邊界完整性檢查方法與技術介紹 259
第12章 系統服務功能保護的基本要求 261
12.1 容錯、備份與恢復技術 261
12.1.1 檢驗技術原理 263
12.1.2 硬體容錯系統介紹 266
12.1.3軟體容錯系統介紹 269
12.1.4數據容錯270
12.1.5 可信恢復 273
12.1.6 容錯、備份與恢復的基本要求 276
12.2 資源控制 277
12.2.1 主機資源的控制基本要求 278
12.2.2 套用安全中的資源控制基本要求 279
第13章 信息安全管理體系 281
13.1 信息安全管理體系概述 282
13.2 信息安全管理體系原理 283
13.3 信息安全管理體系標準 295
第14章 管理要求 300
14.1 安全管理制度 300
14.1.1 管理制度 301
14.1.2 制定和發布 302
14.1.3 評審和修訂 303
14.2 安全管理機構 304
14.2.1 崗位設定 305
14.2.2 人員配備 306
14.2.3 授權和審批 307
14.2.4 溝通和合作 308
14.2.5 審核和檢查 309
14.3 人員安全管理 309
14.3.1 人員錄用 311
14.3.2 人員離崗 311
14.3.3 人員考核 312
14.3.4 安全意識教育和培訓 313
14.3.5 外部人員訪問管理 314
14.4 系統建設管理 315
14.4.1 系統定級 316
14.4.2 安全方案設計 317
14.4.3 產品採購 318
14.4.4 自行軟體開發 318
14.4.5 外包軟體開發 319
14.4.6 工程實施 320
14.4.7 測試驗收 320
14.4.8 系統交付 321
14.4.9 系統備案 322
14.4.10 等級測評 322
14.4.11 安全服務商選擇 323
14.5 系統運維管理 323
14.5.1 環境管理 325
14.5.2 資產管理 326
14.5.3 介質管理 327
14.5.4 設備管理 328
14.5.5 監控管理和安全管理中心 328
14.5.6 網路安全管理 329
14.5.7 系統安全管理 330
14.5.8 惡意代碼管理 331
14.5.9 密碼管理 331
14.5.10 變更管理 332
14.5.11 備份與恢復管理 333
14.5.12 安全事件處置 333
14.5.13 應急預案管理 334