求索

在路上

建立基于安全域的涉密信息系统

认识安全域
  随着计算机信息系统在办公、科研、设计、生产等工作中越来越广泛、深入的运用,给工作带来便利的同时,也给安全保密工作带来了新的问题,防止计算机信息系统的泄密,已成为保密工作中一项重要任务与挑战。国家对于涉密信息系统的建设非常重视,相关部委也发文对涉密信息系统的建设明确指出涉密信息系统实行分级保护制度。
  涉密信息系统的建设过程中。所遵循的标准中有两个是很重要的:涉及国家秘密的信息系统分级保护技术要求》和《涉及国家秘密的信息系统分级保护管理规范》。在围绕着涉密信息系统展开的活动中,如何体现分级保护是一个关键,笔者以为在2个层次上都应体现分级保护的理念。在信息系统层面上,应首先确定系统的整体安全等级,而在一个信息系统内可以划分不同等级的安全域。确定一个信息系统的整体安全等级工作往往先行,等到设计一个涉密信息系统的时候,系统等级已经确立了。那么,在设计时的一个首要问题就是如何确定系统内的安全域。
  在《涉及国家秘密的信息系统分级保护技术要求》中指出“在涉密信息系统可根据信息密级、系统重要性和安全策略划分不同的安全域。不同的安全域可单独确定等级,并应按照相应等级的保护要求进行保护。同一等级的不同安全域可根据风险分析的结果和实际安全需求,选择采用不同的保护要求进行保护。”
  分级保护思想在实现过程中,划分安全城是一个基本但很重要的策略,通过明确划分安全域可以为实现访问控制、边界防护提供直接的依据,为不同等级的涉密信息安全保密防护提供了技术基础。本文从划分安全城、针对安全域采取不同等级的安全策略、安全域之间的访问控制,以及如何管理安全域等方面出发,谈谈对建设涉密信息系统的认识。
  安全域有关的技术实现
  1. 根据密级划分安全城
  一个涉密信息系统,往往存在着不同级别的设备、用户、应用。以一个机密级的涉密系统为例,并不代表所有的信息设备、用户、应用都按照机密级要求实施防护,根据不同密级、功能划分为不同的安全域。
  用户分级。系统内用户按照涉密程度不间,划分为内部非涉密用户、秘密级用户、机密级用户。用户级别的划分按照其接触到的最高密级确定本人涉密等级。所有的非涉密用户划分到一个规定范围的VLAN群肉,所有秘密级用户划分到一个VLAN群内。所有机密级用户划分到一个VLAN群内。根据实际需要,一个VLAN群可以包含一个或多个VLAN。
  网络服务及应用分级。系统内应用按照涉密程度以及提供的网络功能不同,划分为内部、秘密级、机密级三个级别,根据这种指导思想,网络服务及应用可划分为:非涉密应用区、秘密级应用区、机密级应用区、网络管理区(机分级保护思想在实现过程中,划分安全城是一个基本但很重要的策略, 通过明确划分安全域可以为实现访问控制、边界防护提供直接的依据,为不同等级的涉密信息安全保密防护提供了技术基础。本文从划分安全城、针对安全域采取不同等级的安全策略、安全域之间的访问控制,以及如何管理安全域等方面出发,谈谈对建设涉密信息系统的认识。
  安全域的划分及访问原则如下表所示:

安全域


  2. 实现安全域之间的隔离
  用户群的隔离。因为所有的用户都是通过网络交换机接入的,不同级别的用户VLAN群之间通过在交换机上划分VLAN实现用户群之间的隔离,不同级别的VLAN群之间禁止互通,同一VLAN群的不同VLAN之间可以实现有限制的连通。VLAN之间的连通与隔断通过在交换机上配置访问控制列表实现。目前流行的主流交换机基本都可以实现VLAN级别的访问控制,技术实现难度不大。
  服务器区的隔离。不同级别的服务器区之间、服务器区与用户区之间的隔离用防火墙来实现。防火墙是一种传统的安全设备,很方便实现不同安全区域之间的网络访问控制。
  网络管理区域的隔离。网络管理区域是一个特殊的区域,困为网络维护管理工作需要通过此区域内设备完成,需要很多特殊权限,因此此区域的用户、设备访问权限比较大,应运义为机密级,应通过防火墙与其它区域隔离。通过实施安全访问控制规则,可方便实现“禁止高密级信息由高等级安全域流向低等级安全域”。
  3. 针对不同安全域实施安全策略
  物理安全。涉密信息系统的物理安全应从中心机房建设、区域安全控制、设备安全、介质安全几方面着手。中心机房是系统中最为关键之处,中心机房的选址、建设标准应按照BMB17 、BMB20 中规定执行。对于信息系统中重点部位应采取更为严格的区域控制、监控措施,如要害部门、部位的物理防护措施、管理措施就应区别于其它的部位;对于不同密级的设备、介质采取的安全防护技术与管理措施应有所区别,密级越高,采取的技术手段越多,管理越要细致、规范,这些方面都应体现出积极防范,突出重点的思
  (1)身份鉴别
  身份鉴别在涉密系统中有着举足轻重的地位,实现身份鉴别的方式很多。目前国内已有专门针对涉密系统开发的身份鉴别系统,但笔者认为也可以借助其它方式实现身份鉴别。如在网络中实施Windows server活动目录就是一个可行的方法。实施windows活动目录,对于用户的现实意义在于可以充分利用活动目录的优点。主要体现在:
  安装活动目录后,Windows系统的安全性完全与活动目录集成,用户授权管理和目录进入控制已经整合在活动目录当中了(包括用户的访问和登录权限等)。通过实施安全策略,实现系统内用户登录身份认证,集中控制用户授权。
  引入基于策略的管理。活动目录服务通过设置组策略把相应各种策略(包括安全策略)实施到组策略对象中,组策略对象可以是域、组织单元。组策略对象设置决定目录对象和域资源的进入权限,什么样的域、可以被用户使用,以及这些域资源怎样使用等。
  具备智能信息复制能力,活动目录使用多主机复制,允许在任何域控制器上而不是单个主域控制器上同步更新目录,不仅具有容错的优点,同时可保证目录信息是最新的。
  (2)身份鉴别策略实现
  涉密信息系统内,由系统管理员为每一位合法用户设定用户名,普通用户只能以域用户身份登录计算机,在登录时必需输入指定的用户名和私人口令。通过组策略指定不同级别用户口令的复杂性、长度、使用周期、锁定策略,可以指定每一个用户可登录的机器、可以安装的软件以及其它诸多权限控制。可以说通过windows域的安全策略同时实现了身份鉴别与权限分配的功能。
  在实际应用中,完全可以把硬件的USB-KEY令牌与域用户登录过程结合使用,可以大大增强身份鉴别的安全性。对网络设备、安全设备、安全软件系统的访问采取用户名/口令的方式进行身份鉴别。对于网络设备的访问用户,定义不同安全级别的用户,分别提供查看、配置的权利,网络设备的运行日志由审计员审计。对于防火墙、IDS ,防水墙、漏洞扫描等安全类设备及软件,按照分权的原则分别定义系统管理员、安全员、审计员。
  (3)访问控制
  物理层访问控制。在物理层面限制用户非法接入网络。主要措施:关闭空闲的交换机端口,避免非法用户接入;在交换机上配置IP+ MAC+ PORT 绑定策略,有条件的单位甚至可以启用802.1x 认证,防止合法用户的网络槛用,共同强化网络准入限制。在每一个计算机内设置CMOS 密码、屏幕保护密码防止对计算机的非法访问。
  网络层访问控制。网络层实施的访问控制措施主要有:VLAN间访问控制、防火墙安全策略、在服务器上配置访问规则等,在本文前面已有说明。
  应用层访问控制。应用层访问控制相对比较复杂,和每一个应用系统有密切的联系。按照保密要求,涉密信息和重要信息的访问控制,主体应控制到单个用户,客体应控制到信息类别。涉密系统中应用建议实现单点登录,更利于用户的权限分配与访问控制。
  一个典型的应用层访问控制的案例就是网络文件服务。通过windows 活动目录,可以为每一位登录域的用户重新定向用户的“桌面”、“我的文挡”到相应级别的文件服务器,用户的个人重要文档可以存放在“我的文档”文件夹内, windows 系统会自动利用NTFS 权限、共享权限限制用户无权访问他人的私有文档,即使系统管理员可以集中备份文件服务器内的用户文档,却没有权限查看用户的私有文档。再通过启用文件服务器的审计策略,限制系统管理员通过取得文件夹的“所有权”去访问其它用户的私有文档。这样即可实现不同用户之间的访问权限控制,同时又限制了系统管理员的权限。
  对于使用数据库的应用系统,在系统实现时,须能实现用户的访问权限控制,防止信息泄漏。这对涉密系统中的应用系统的选型、开发都提出更为严格的要求。
  其它安全技术措施。在涉密系统建设过程中,还需要采取的安全技术措施有:补丁系统、防病毒系统、终端监控、安全审计、非法外联监控、数据存储、系统及数据的备份与恢复、入侵监控、电磁泄漏防护、安全评估与加固等,均是涉密系统重要组成部分。
  4. 安全管理
  安全管理在涉密系统建设过程中,起着极重要的作用。一般应从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理、信息保密管理几方面入手,采取必要的管理措施,保证系统的运行与信息保密性。
  在实践中,涉密系统既要保证使用的方便性,又要在系统中实施各种安全策略,对系统管理而言是一个挑战。笔者根据实际经验,列举几个易忽视的问题:
  系统管理人员权限过大的问题。系统管理员是一个特殊的群体,既要维护系统运行,行使管理职能,如果在系统运行时不采取措施,系统管理可以拥在控制系统的权利,可以访问系统中任何信息,这对涉密系统而言是不可接受的。所以,在实现时应限制系统管理员无权访问用户私有信息,同时通过审计制度,用审计工作来制约管理员的行为。
  窜计内容不全面的问题。涉密系统中的审计措施,不仅仅是对普通用户行为的审计,还应针对系统管理员、安全员的行为进行审计。为此,除了常用的用户行为审计、网络访问审计之外。还应对网络设备、安全设备、操作系统、应用系统设置日志系统,以监督系统管理员、安全员的行为。
  涉密载体管理问题。涉密载体包括磁介质、光碟、纸质介质,因为这些信息载体往往不受物理空间限制,使用人员复杂,采取的技术手段往往难以防范,更加依靠管理手段实现人员的访问限制,所以在实际操作中,应制定切实可行的流程,指定每一个环节的责任人,做好载体交接工作,确保每一个环节有据可查。尤其是电子化载体应有技术处理手段,避免交叉使用中的信息恢复产生的信息世漏。
  设备的登录密码长期不变。系统中用户的口令与密钥可以做到按照规定的周期、复杂度进行更换,却容易忽视网络中设备的访问口令管理,在系统实施完毕,要么是管理人员疏于管理,要么是不会操作,使得网络中交换机、路由器、防火墙、IDS 等设备的口令长期不变,时间长了容易造成口令不再具备私密性,威胁到网络的安全。
  结束语
  本文主要从涉密系统中安全域划分的角度出发,粗略的谈了笔者对涉密系统建设中安全域划分、身份鉴别、访问控制的认识。涉密系统建设是一个系统工程,本人水平有限,认识上难免有不足之处,本文仅作为涉密系统设计、实施、管理人员的参考。

阅读更多
想对作者说点什么? 我来说一句

<em>信息系统安全</em>

2017年08月08日 0B 下载

涉密网络建设方案

2013年07月19日 3.26MB 下载

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭