等级保护三级信息系统安全设计
1. 概述
《计算机信息系统安全保护等级划分准则 (GB 17859-1999)》中“第三级:安全标记保护级“”是等级保护实施过程中最常见的项目,本文就三级信息系统各部分结构的安全设计做简要概述。
2. 总体结构
可将三级信息系统分为7个子系统,如下图所示:
3. 网络通讯安全子系统
网络通讯安全子系统负责安全域间的信息流进行封装,确保信息在传输过程中的完整性和保密性,这主要由VPN来实现,而VPN的功能模块主要包括:安全标记、访问控制、接入控制、安全审计、身份鉴别、机密性保护、完整性保护等。
4. 区域边界安全子系统
安全域子系统实现基于主体客体标识的访问控制,其主要目标为:以主体客体安全级为基础,实施网络边界的强制访问控制。
区域边界的控制点往往与网络通讯的控制点相同,它们的区别在于,边界控制的主要目的是网络边界的划分,而网络通讯的主要目的是数据在飞地间的传输安全。通常项目中常用防火墙来实现边界安全,根据项目不同和部署位置不同,还会配置应用网关等设备。
主要功能:
1. 包过滤:基于安全策略的数据包过滤。
2. 内容过滤:基于安全标记的数据内容过滤。
3. 流量统计与控制。
4. 网络审计。
5. 网络地址转换:实现NAT等网络地址转换。
5. 计算节点子系统
计算节点子系统主要由终端和服务器组成,使其支持强制访问控制。确保本系统有效是TCB的基础。
主要功能:
1. 强制访问控制:操作系统需支持强制访问控制策略。应用发出请求后,系统拦截请求,并对其进行策略符合性检查。
2. 标记:对主体、客体、临时客体等进行标记,这些标记存储在标记库中以备调用。
3. 身份鉴别:应有可信的身份鉴别机制与策略。三级需同时使用两种身份鉴别方式进行鉴别,常见的事口令+USBKEY结合的方式进行鉴别。
4. 审计:所有操作均有记录可被审计。审计模块收到安全功能模块发出的信息后,根据审计策略,进行相应的审计记录,形成审计日志。
5. 数据完整性:可阻止非授权修改和敏感信息泄露。
6. 应用访问控制子系统与应用子系统
应用系统应满足主体客体(含资源)标记、强制访问控制、标记管理、两种形式的身份认证、安全传输、安全存储、安全审计等功能。
7. 安全审计子系统
对三级信息系统进行审计管理。
主要功能:
1. 强制访问控制审计
2. 网络数据流审计
3. 系统操作审计
4. 审计日志分析
5. 审计日志保护
6. 告警
8. 安全管理子系统
安全管理子系统对信息系统中的终端节点、边界控制、网络传输安全等实施集中管理。主要包括3个模块:授权管理模块、安全标记管理模块、策略管理模块。
主要功能:
1. 授权管理模块:对数据进行授权管理。
2. 安全标记管理模块:在主体通过认证后,分配其一个唯一的安全标记。
3. 策略管理模块:主要制定访问控制策略。
等级保护三级信息系统安全设计相关推荐
- 云计算机房计算机等级保护三级,等级保护制度第三级要求
原标题:等级保护制度第三级要求 国家信息安全等级保护制度第三级要求 第三级基本要求 技术要求 物理安全 物理位置的选择(G3) 本项要求包括: 机房和办公场地应选择在具有防震.防风和防雨等能力的建筑内 ...
- 针对服务器操作系统安全,浅谈等级保护中的服务器操作系统安全
服务器操作系统加固 现在信息系统中服务器上运行的主流操作系统基本上都是弱访问控制,操作系统管理员一权独大,没有相关的审计措施与权限制约,不能满足等级保护安全标记保护级三级的要求.现在向大家介绍一种服务 ...
- 服务器上的安全数据没有此工作站信任关系的计算机账户_综合监控系统等级保护安全解决方案...
建设背景 综合监控系统(ISCS)必须保证与相关系统间信息迅速.准确.可靠的传送,必须保证实现被集成系统的全部功能.综合监控系统面向的对象为控制中心的电调.环调.维调和总调(值班主任)及车站的值班站长 ...
- 公安部等级保护基本要求,测评要求文件2.0参考
等级保护1.0信息安全技术信息系统安全等级保护基本要(GBT_22239-2008) 等级保护2.0GBT28448-2019信息安全技术网络安全等级保护测评要求 等级保护2.0GBT25070-20 ...
- 什么是等级保护?等保二级和三级的区别?
等级保护简称等保,全称网络安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作.等保总共分为五级,一至五级等级逐级增高,而我们最经常接触的就是等保二级和三级,那么安全等保二级和三级的 ...
- 计算机房安全等级标准,等级保护测评 【物理安全】 三级 详解测评要求项的测评判分标准:0分标准和满分标准...
原标题:等级保护测评 [物理安全] 三级 详解测评要求项的测评判分标准:0分标准和满分标准 等级保护[物理安全]测评: 详解[物理安全](三级):物理位置的选择.物理访问控制.防盗窃和防破坏.防雷击. ...
- 计算机等级保护2.0标准,等级保护2.0基本要求-二级三级对比表
<等级保护2.0基本要求-二级三级对比表>由会员分享,可在线阅读,更多相关<等级保护2.0基本要求-二级三级对比表(22页珍藏版)>请在人人文库网上搜索. 1.1一般技术要求1 ...
- 三级等级保护之安全建设管理
文章目录 通用要求 定级和备案 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 等级测评 服务供应商选择 云计算扩展要求 云服务商选择 供应链管理 移动互联安全 ...
- 网络安全之等级保护问题集
目录 问题清单 Q1. 什么是等级保护? Q2. 什么是等级保护2.0? Q3. "等保"与"分保"有什么区别? Q4."等保"与" ...
- 等级保护2.0常见问题集
最近几天,整理了一下客户和同事们关于等级保护的几个问题,同时也参考引用了网络上有关等级保护的常见问题解答,汇总分享如下,希望能对大家有帮助.先看一下问题清单吧. 问题清单 什么是等级保护? 什么是等级 ...
最新文章
- (转)Ubuntu10.04各文件夹的作用
- (笔记)Mysql命令select from:查询表中的数据(记录)
- 金融领域下的数据挖掘算法应用:逻辑回归模型
- 关于luoguU67856 数列一题
- ffmpeg个人翻译文档1-8转
- 怎么p出模糊的照片_36. 盲去卷积 - 更加实用的图像去模糊方法
- 陶哲轩实分析 定理 13.1.5
- java递归查询无限极分类_sqlserver实现树形结构递归查询(无限极分类)的方法
- 最详细的ECLIPSE Android SDK下载安装及配置教程
- oracle减法函数mius_Oracle常用函数及其用法
- 机器学习项目开发经验
- stm32变量放在flash_STM32 使用 Flash 存储数据时的一种管理办法
- GitLab Admin Area
- RT-Thread柿饼控件(5)-- ProgressBar
- oracle函数之NULLIF
- 持续集成、持续交付、持续部署
- 梦幻哪个服务器最多牛人,梦幻西游:盘点经久不衰的十大火区!你所在的服务器是否上榜?...
- Arduino提高篇11—烟雾传感器MQ-2
- 阿里云数据库MongoDB版助力吉比特《一念逍遥》游戏斩获千万玩家,运营效率成倍增长
- C语言学习笔记 | 进阶 | 文件操作详解(万字精心制作)