10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
首页 > 服务项目 > ISO27000认证咨询 > 第三级信息系统安全保护环境设计要求,ISO27000信息安全认证申请办理ISO27001:第三级信息系统安全保护环境设计要求,ISO27000信息安全认证申请办理
1、设计目标
第三级系统安全保护环境的设计目标是:按照GB 17859-1999对第三级系统的安全保护要求,在第二级系统安全保护环境的基础上,通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制,使系统具有在统一安全策略管控下,保护敏感资源的能力。
2、设计策略
第三级系统安全保护环境的设计策略是:在第二级系统安全保护环境的基础上,遵循GB17859-1999的4.3中相关要求,构造非形式化的安全策略模型,对主、客体进行安全标记,表明主、客体的级别分类和非级别分类的组合,以此为基础,按照强制访问控制规则实现对主体及其客体的访问控制。
第三级系统安全保护环境的设计通过第三级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。
.png)
3、设计技术要求
3.1安全计算环境设计技术要求
第三级安全计算环境应从以下方面进行安全设计:
a) 用户身份鉴别
应支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
b) 自主访问控制
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。
c)标记和强制访问控制
在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。
d)系统安全审计
应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护;确保对特定安全事件进行报警;确保审计记录不被破坏或非授权访问。应为安全管理中心提供接口;对不能由系统独立处理的安全事件,提供由授权主体调用的接口。
e)用户数据完整性保护
应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复。
f)用户数据保密性保护
应采用密码等技术支持的保密性保护机制,对在安全计算环境中存储和处理的用户数据进行保密性保护。
g)客体安全重用
应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品,对用户使用的客体资源,在这些客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。
h)程序可信执行保护
可构建从操作系统到上层应用的信任链,以实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复,例如采用可信计算等技术。
3.2安全区域边界设计技术要求
第三级安全区域边界应从以下方面进行安全设计:
a)区域边界访问控制
应在安全区域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问。
b)区域边界包过滤
应根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界。
c)区域边界安全审计
应在安全区域边界设置审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。
d)区域边界完整性保护
应在区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。
3.3安全通信网络设计技术要求
第三级安全通信网络应从以下方面进行安全设计:
a) 通信网络安全审计
应在安全通信网络设置审计机制,由安全管理中心集中管理,并对确认的违规行为进行报警。
b)通信网络数据传输完整性保护
应采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢复。
c)通信网络数据传输保密性保护
应采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
d)通信网络可信接入保护
可采用由密码等技术支持的可信网络连接机制,通过对连接到通信网络的设备进行可信检验,确保接入通信网络的设备真实可信,防止设备的非法接入。
3.4安全管理中心设计技术要求
(1)系统管理
应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和(或)异地灾难备份与恢复等。
应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
(2)安全管理
应通过安全管理员对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略。
应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
(3)审计管理
应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等。对审计记录应进行分析,并根据分析结果进行处理。
应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
