信息安全技术网络安全等级保护-安全设计技术要求 .pdf

《信息安全技术网络安全等级保护-安全设计技术要求 .pdf》由会员分享，可在线阅读，更多相关《信息安全技术网络安全等级保护-安全设计技术要求 .pdf（40页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、信息安全技术网络安全等级保护安全设计技术要求1 范围本标准规定了网络安全等级保护第一级到第四级等级保护对象的安全设计技术要求，对第五级等级保护对象的安全设计技术要求不在本标准中描述。本标准适用于指导运营使用单位、网络安全企业、 网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施，也可作为网络安全职能部门进行监督、检查和指导的依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB 178591999 计算机信息系统安全保护等级划分准则GB/T 2224020

2、08 信息安全技术信息系统安全等级保护定级指南GB/T 250692010 信息安全技术术语GB/T 311672014 信息安全技术云计算服务安全指南GB/T 311682014 信息安全技术云计算服务安全能力要求GB/T 329192016 信息安全技术工业控制系统安全控制应用指南GB/T 222392018 信息安全技术网络安全等级保护基本要求3 术语和定义GB 17859-1999 、GB/T 22240-2008 、GB/T 25069-2010 、GB/T 31167 2014、GB/T 31168 2014和GB/T 329192016界定的以及下列术语和定义适用于本文件。为了便

3、于使用， 以下重复列出了GB/T 311672014中的某些术语和定义。3.1 网络安全 cybersecurity 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。GB/T 22239 2018, 定义 3.1 3.2 定级系统classified system 已确定安全保护等级的系统。定级系统分为第一级、第二级、第三级、第四级和第五级系统。3.3 定级系统安全保护环境security environment of classified system 由安全计算环境、安全区域边界、安全

4、通信网络和（或） 安全管理中心构成的对定级系统进行安全保护的环境。3.4 安全计算环境security computing environment 对定级系统的信息进行存储、处理及实施安全策略的相关部件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 40 页 - - - - - - - - - 3.5 安全区域边界 security area boundary 对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。3.6 安全

5、通信网络security communication network 对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。3.7 安全管理中心security management center 对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。3.8 跨定级系统安全管理中心security management center for cross classified system 对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台或区域。3.9 定级系统互联classified system

6、interconnection 通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。3.10 云计算cloud computing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。注： 资源包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 32400 2015，定义 3.2.5 3.11 云计算平台cloud computing platform 云服务商提供的云计算基础设施及其上的服务层软件的集合。GB/T 31167 2014，定义 3.7 3.12 云计算环境cloud computing en

7、vironment 云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。GB/T 31167 2014，定义 3.8 3.13 移动互联系统mobile interconnection system 采用了移动互联技术，以移动应用为主要发布形式，用户通过mobile internet system 移动终端获取业务和服务的信息系统。3.14 物联网internet of things IoT 将感知节点设备通过互联网等网络连接起来构成的系统。GB/T 22239 2018, 定义 3.15 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

8、- - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 40 页 - - - - - - - - - 3.15 网关节点设备sensor layer gateway 将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。3.16 感知节点设备sensor node 对物或环境进行信息采集和/ 或执行操作，并能联网进行通信的装置。3.17 数据新鲜性data freshness 对所接收的历史数据或超出时限的数据进行识别的特性。3.18 现场设备field device 连接到 ICS现场的设备，现场设备的类型包括RTU 、PLC 、传感器、执行

9、器、人机界面以及相关的通讯设备等。3.19 现场总线fieldbus 一种处于工业现场底层设备（如传感器、执行器、 控制器和控制室设备等）之间的数字串行多点双向数据总线或通信链路。利用现场总线技术不需要在控制器和每个现场设备之间点对点布线。总线协议是用来定义现场总线网络上的消息，每个消息标识了网络上特定的传感器。3.20 可信保障trusted assurance 在信息系统的整个生命周期中，基于可信计算技术，实现在运算的同时进行安全防护，使计算结果总是与预期一致，从而确保信息系统对病毒、入侵的主动免疫。4 缩略语下列缩略语适用于本标准。3G：第三代移动通信技术（3rd Generation

10、mobile communication technology）4G：第四代移动通信技术（4th Generation mobile communication technology）API：应用程序编程接口（Application Programming Interface）BIOS：基本输入输出系统（Basic Input Output System）CPU ：中央处理器（ Central Processing Unit）DMZ ：隔离区（ Demilitarized Zone）GPS ：全球定位系统（Global Positioning System）ICS：工业控制系统（Industr

11、ial Control System）IoT ：物联网（ Internet of Things）NFC ：近场通信 / 近距离无线通信技术（Near Field Communication）OLE ：对象连接与嵌入（Object Linking and Embedding）OPC ：用于过程控制的OLE （OLE for Process Control）PLC ：可编程逻辑控制器（Programmable Logic Controller）RTU ：远程终端单元（Remote Terminal Units）VPDN ：虚拟专用拨号网（Virtual Private Dial-up Networ

12、ks）SIM：用户身份识别模块（Subscriber Identification Module）WiFi ：无线保真（ Wireless Fidelity）5 网络安全等级保护安全技术设计概述名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 40 页 - - - - - - - - - 5.1 通用等级保护安全技术设计框架网络安全等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计，如图1所示。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安

13、全通信网络和（或）安全管理中心组成。定级系统互联由安全互联部件和跨定级系统安全管理中心组成。第一级系统安全保护环境第一级安全通信网络第一级安全区域边界第一级安全计算环境第二级系统安全保护环境第二级安全管理中心第二级安全通信网络第二级安全区域边界第二级安全计算环境第三级系统安全保护环境第三级安全管理中心第三级安全通信网络第三级安全区域边界第三级安全计算环境第四级系统安全保护环境第四级安全管理中心第四级安全通信网络第四级安全区域边界第四级安全计算环境第五级系统安全保护环境第五级安全管理中心第五级安全通信网络第五级安全区域边界第五级安全计算环境定级系统互联跨定级系统安全管理中心/安全互联部件图1 网

14、络安全等级保护安全技术设计框架本标准第 5章节以下， 对图 1各个部分提出了相应的设计技术要求（第五级网络安全保护环境的设计要求除外）。附录A给出了访问控制机制设计，附录B给出了第三级系统安全保护环境设计示例。在对定级系统进行等级保护安全保护环境设计时，可以结合系统自身业务需求，将定级系统进一步细化成不同的子系统，确定每个子系统的等级，对子系统进行安全保护环境的设计。5.2 云计算等级保护安全技术设计框架结合云计算功能分层框架和云计算安全特点，构建云计算安全设计防护技术框架，包括云用户层、访问层、服务层、资源层、硬件设施层和管理层（跨层功能）。其中一个中心指安全管理中心，三重防护包括安全计算环

15、境、安全区域边界和安全通信网络，具体如图2所示：图2 云计算等级保护安全技术设计框架名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 40 页 - - - - - - - - - 用户通过安全的通信网络以网络直接访问、API接口访问和 WEB 服务访问等方式安全地访问云服务商提供的安全计算环境，其中用户终端自身的安全保障不在本部分范畴内。安全计算环境包括资源层安全和服务层安全。 其中， 资源层分为物理资源和虚拟资源，需要明确物理资源安全设计技术要求和虚拟资源安全设计要求，其

16、中物理与环境安全不在本部分范畴内。服务层是对云服务商所提供服务的实现，包含实现服务所需的软件组件，根据服务模式不同，云服务商和云租户承担的安全责任不同。服务层安全设计需要明确云服务商控制的资源范围内的安全设计技术要求，并且云服务商可以通过提供安全接口和安全服务为云租户提供安全技术和安全防护能力。云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。结合本框架对不同等级的云计算环境进行安全技术设计，同时通过服务层安全支持对不同等级云租户端（业务系统）的安全设计。5.3 移动互联等级保护安全技术设计框架移动互联系统安全防护参考架构如图3，其中安全计算环境由核心业务域、DMZ 域和远程接入

17、域三个安全域组成，安全区域边界由移动互联系统区域边界、移动终端区域边界、传统计算终端区域边界、核心服务器区域边界、DMZ 区域边界组成，安全通信网络由移动运营商或用户自己搭建的无线网络组成。a)核心业务域核心业务域是移动互联系统的核心区域，该区域由移动终端、传统计算终端和服务器构成，完成对移动互联业务的处理、维护等。 核心业务域应重点保障该域内服务器、计算终端和移动终端的操作系统安全、应用安全、网络通信安全、设备接入安全。b)DMZ域DMZ 域是移动互联系统的对外服务区域，部署对外服务的服务器及应用，如Web 服务器、数据库服务器等， 该区域和互联网相联，来自互联网的访问请求必须经过该区域中转

18、才能访问核心业务域。 DMZ 域应重点保障服务器操作系统及应用安全。安全管理中心移动互联系统安全计算环境DMZ域移动互联系统安全区域边界移动互联系统安全通信网络移动终端区域边界传统计算终端区域边界核心服务器区域边界DMZ 域边界远程接入域移动终端区传统计算终端区核心服务器区核心业务域图3 移动互联等级保护安全技术设计框架c)远程接入域远程接入域由移动互联系统运营使用单位可控的，通过VPN 等技术手段远程接入移动互联系统运营使用单位网络的移动终端组成，完成远程办公、 应用系统管控等业务。远程接入域应重点保障远程移动终端自身运行安全、接入移动互联应用系统安全和通信网络安全。本标准将移动互联系统中的

19、计算节点分为两类：移动计算节点和传统计算节点。移动计算节点主要包括远程接入域和核心业务域中的移动终端，传统计算节点主要包括核心业务域中的传统计算终端和服名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 40 页 - - - - - - - - - 务器等。 传统计算节点及其边界安全设计可参考通用安全设计要求，下文提到的移动互联计算环境、区域边界、通信网络的安全设计都是特指移动计算节点而言的。5.4 物联网等级保护安全技术设计框架结合物联网系统的特点，构建在安全管理中心支持下

20、的安全计算环境、安全区域边界、 安全通信网络三重防御体系。安全管理中心支持下的物联网系统安全保护设计框架如图4所示，物联网感知层和应用层都由完成计算任务的计算环境和连接网络通信域的区域边界组成。安全计算环境（应用层）安全计算环境（感知层）物体对象计算节点传感控制安全通信网络安全区域边界（前置处理）安全区域边界（网关接入）系统管理安全管理审计管理安全管理中心应用服务智能电网智能物流计算资源计算节点基础设施图4 物联网系统 等级保护 安全技术设计框架a)安全计算环境包括物联网系统感知层和应用层中对定级系统的信息进行存储、处理及实施安全策略的相关部件， 如感知层中的物体对象、计算节点、传感控制设备，

21、以及应用层中的计算资源及应用服务等。b)安全区域边界包括物联网系统安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件，如感知层和网络层之间的边界、网络层和应用层之间的边界等。c)安全通信网络包括物联网系统安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件，如网络层的通信网络以及感知层和应用层内部安全计算环境之间的通信网络等。d)安全管理中心包括对物联网系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台，包括系统管理、 安全管理和审计管理三部分，只有第二级及第二级以上的安全保护环境设计有安全管理中心。5.5 工业控

22、制等级保护安全技术设计框架对于工业控制系统根据被保护对象业务性质分区，针对功能层次技术特点实施的网络安全等级保护设计， 工业控制系统等级保护安全技术设计构建在安全管理中心支持下的计算环境、区域边界、 通信网络三重防御体系，采用分层、分区的架构，结合工业控制系统总线协议复杂多样、实时性要求强、节点计算资源有限、 设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计，以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。工业控制系统分为4 层，即第03 层为工业控制系统等级保护的范畴，为设计框架覆盖的区域；横向上对工业控制系统进行安全区域的划分，根据工业控制系统中

23、业务的重要性、实时性、 业务的关联性、对现场受控设备的影响程度以及功能范围、资产属性等，形成不同的安全防护区域，系统都必须置于相应的安全区域内，具体分区以工业现场实际情况为准（分区方式包括但不限于：第02 层组成一个安全区域、第01 层组成一个安全区域、同层中有不同的安全区域等）。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 40 页 - - - - - - - - - 分区原则根据业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、

24、广域网通信方式以及对工业控制系统的影响程度等。对于额外的安全性和可靠性要求，在主要的安全区还可以根据操作功能进一步划分成子区，将设备划分成不同的区域可以有效地建立“纵深防御” 策略。 将具备相同功能和安全要求的各系统的控制功能划分成不同的安全区域，并按照方便管理和控制为原则为各安全功能区域分配网段地址。设计框架逐级增强，但防护类别相同，只是安全保护设计的强度不同。防护类别包括： 安全计算环境，包括工业控制系统03 层中的信息进行存储、处理及实施安全策略的相关部件；安全区域边界，包括安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件；安全通信网络， 包括安全计算

25、环境和网络安全区域之间进行信息传输及实施安全策略的相关部件；安全管理中心， 包括对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台，包括系统管理、安全管理和审计管理三部分。第2层 计算环境第3层 计算环境第4层 企业资源层信息安全区域A第3层和第4层之间通信网络第2层和第3层之间通信网络参见通用等级保护安全设计技术要求复杂工业控制系统等级保护第1层和第2层之间通信网络信息安全区域B第3层 边界防护第2层 边界防护第1层 计算环境第1层 边界防护第0层 计算环境第0层 边界防护第0层和第1层之间通信网络第2层 计算环境第2层 边界防护安全管理中心系统管理

26、安全管理审计管理第1层和第2层之间通信网络注：（a）参照IEC 62443-1-1 工业控制系统按照功能层次划分为第0层：现场设备层，第1层：现场控制层，第2层：过程监控层，第3层：生产管理层，第4层：企业资源层；（b）一个信息安全区域可以包括多个不同等级的子区域；（c）纵向上分区以工业现场实际情况为准（图中分区为示例性分区），分区方式包括但不限于：第02层组成一个安全区域、第01层组成一个安全区域等。第1层计算环境第1层边界防护第0层计算环境第0层边界防护信息安全区域B1第1层计算环境第1层边界防护第0层计算环境第0层边界防护信息安全区域B2区域边界防护区域边界防护区域边界防护区域边界防护信

27、息安全区域之间通信网络信息安全区域之间通信网络第0层和第1层之间通信网络第0层和第1层之间通信网络安全管理中心边界防护图5 工业控制系统 等级保护 安全技术设计框架6 第一级系统安全保护环境设计6.1 设计目标第一级系统安全保护环境的设计目标是：按照GB 178591999对第一级系统的安全保护要求，实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。6.2 设计策略第一级系统安全保护环境的设计策略是：遵循GB 178591999的4.1 中相关要求，以身份鉴别为基础，提供用户和（或）用户组对文件及数据库表的自主访问控制，以实现用户与数据的隔离，使用户具备自主安全保护的能力；

28、以包过滤手段提供区域边界保护；以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 40 页 - - - - - - - - - 第一级系统安全保护环境的设计通过第一级的安全计算环境、安全区域边界以及安全通信网络的设计加以实现。计算节点都应基于可信根实现开机到操作系统启动的可信验证。6.3 设计技术要求6.3.1 安全计算环境设计技术要求6.3.1.1 通用安全计算环境设计技术要求本项要求包括：a)用户身份鉴别应支持用户

29、标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份； 在每次用户登录系统时，采用口令鉴别机制进行用户身份鉴别，并对口令数据进行保护。b)自主访问控制应在安全策略控制范围内，使用户/ 用户组对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户/ 用户组。 访问控制主体的粒度为用户/用户组级， 客体的粒度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c)用户数据完整性保护可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。d)恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级

30、和更新，以防范和清除恶意代码。e)可信验证可基于可信根对计算节点的BIOS、引导程序、操作系统内核等进行可信验证，并在检测到其可信性受到破坏后进行报警。6.3.1.2 云安全计算环境设计技术要求本项要求包括：a)用户账号保护应支持建立云租户账号体系，实现主体与对虚拟机、云数据库、云网络、云存储等客体的访问授权。b)虚拟化安全应禁止虚拟机对宿主机物理资源的直接访问；应支持不同云租户虚拟化网络之间安全隔离。c)恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范。6.3.1.3 移动互联安全计算环境设计技术要求本项要求包括：a)用户身份鉴别应采用口令、解锁图案以及其它具有相

31、应安全强度的机制进行用户身份鉴别。b)应用管控应提供应用程序签名认证机制，拒绝未经过认证签名的应用软件安装和执行。6.3.1.4 物联网系统安全计算环境设计技术要求本项要求包括：a)感知层设备身份鉴别应采用常规鉴别机制对感知设备身份进行鉴别，确保数据来源于正确的感知设备。b)感知层设备访问控制应通过制定安全策略如访问控制列表，实现对感知设备的访问控制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 40 页 - - - - - - - - - 6.3.1.5 工业控制系统

32、安全计算环境设计技术要求本项要求包括：a)工业控制身份鉴别现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证，保证鉴别认证与功能完整性状态随时能得到实时验证与确认。在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理。b)现场设备访问控制应对通过身份鉴别的用户实施基于角色的访问控制策略，现场设备收到操作命令后，应检验该用户绑定的角色是否拥有执行该操作的权限，拥有权限的该用户获得授权，用户未获授权应向上层发出报警信息。c)控制过程完整性保护应在规定的时间内完成规定的任务，数据应以授权方式进行处理，确保数据不被非法篡改、不丢失、不延误，确保及时响应和处理事件。6.3.2 安

33、全区域边界设计技术要求6.3.2.1 通用安全区域边界设计技术要求本项要求包括：a)区域边界包过滤可根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。b)区域边界恶意代码防范可在安全区域边界设置防恶意代码软件，并定期进行升级和更新，以防止恶意代码入侵。c)可信验证可基于可信根对区域边界计算节点的BIOS、引导程序、操作系统内核等进行可信验证，并在检测到其可信性受到破坏后进行报警。6.3.2.2 云安全区域边界设计技术要求本项要求包括：a)区域边界结构安全应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文，

34、同时限制广播攻击。b)区域边界访问控制应保证当虚拟机迁移时，访问控制策略随其迁移。6.3.2.3 移动互联安全区域边界设计技术要求应遵守 6.3.2.1。6.3.2.4 物联网系统安全区域边界设计技术要求应遵守 6.3.2.1。6.3.2.5 工业控制系统区域边界设计技术要求应遵守 6.3.2.1。6.3.3 安全通信网络设计技术要求6.3.3.1 通用安全通信网络设计技术要求本项要求包括：a)通信网络数据传输完整性保护名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 40

35、 页 - - - - - - - - - 可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护。b)可信连接验证通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品，在设备连接网络时，对源和目标平台身份进行可信验证。6.3.3.2 云安全通信网络设计技术要求应遵守 6.3.3.1。6.3.3.3 移动互联安全通信网络设计技术要求应遵守 6.3.3.1。6.3.3.4 物联网系统安全通信网络设计技术要求应遵守 6.3.3.1。6.3.3.5 工业控制系统安全通信网络设计技术要求应遵守 6.3.3.1。7 第二级系统安全保护环境设计7.1 设计目标第二级系

36、统安全保护环境的设计目标是：按照GB 178591999对第二级系统的安全保护要求，在第一级系统安全保护环境的基础上，增加系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力，并保障基础计算资源和应用程序可信。7.2 设计策略第二级系统安全保护环境的设计策略是：遵循GB 178591999 的 4.2 中相关要求，以身份鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表等的自主访问控制；以包过滤手段提供区域边界保护； 以数据校验和恶意代码防范等手段，同时通过增加系统安全审计、客体安全重用等功能，使用户对自己的行为负责，提供用户数据保密

37、性和完整性保护，以增强系统的安全保护能力。第二级系统安全保护环境在使用密码技术设计时，应支持国家密码管理主管部门批准使用的密码算法，使用国家密码管理主管部门认证核准的密码产品，遵循相关密码国家标准和行业标准。第二级系统安全保护环境的设计通过第二级的安全计算环境、安全区域边界、 安全通信网络以及安全管理中心的设计加以实现。计算节点都应基于可信根实现开机到操作系统启动，再到应用程序启动的可信验证。并将验证结果形成审计记录。7.3 设计技术要求7.3.1 安全计算环境设计技术要求7.3.1.1 通用安全计算环境设计技术要求本项要求包括：a)用户身份鉴别应支持用户标识和用户鉴别。在每一个用户注册到系统

38、时，采用用户名和用户标识符标识用户身份， 并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别，并使用密码技术对鉴别数据进行保密性和完整性保护。b)自主访问控制名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 40 页 - - - - - - - - - 应在安全策略控制范围内，使用户 对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户 。 访问控制主体的粒度为用户级，客体的粒

39、度为文件或数据库表级。访问操作包括对客体的创建、读、写、修改和删除等。c)系统安全审计应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。该机制应提供审计记录查询、分类和存储保护，并可由安全管理中心管理。d)用户数据完整性保护可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。e)用户数据保密性保护可采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密性保护。f)客体安全重用应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资源，在这些客体资源重新分配前，对其原

40、使用者的信息进行清除，以确保信息不被泄露。g)恶意代码防范应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码。h)可信验证可基于可信根对计算节点的BIOS、引导程序、操作系统内核、应用程序 等进行可信验证，并在检测到其可信性受到破坏后进行报警。并将验证结果形成审计记录。7.3.1.2 云安全计算环境设计技术要求本项要求包括：a)用户身份鉴别应支持注册到云计算服务的云租户建立主子账号，并采用用户名和用户标识符标识主子账号用户身份。b)用户账号保护应支持建立云租户账号体系，实现主体与对虚拟机、云数据库、云网络、云存储等客体的访问授权。c)安全审计应支持

41、云服务商和云租户远程管理时执行特权命令进行审计。应支持租户收集和查看与本租户资源相关的审计信息，保证云服务商对云租户系统和数据的访问操作可被租户审计。d)入侵防范应能检测到虚拟机对宿主机物理资源的异常访问。e)数据备份与恢复应采取冗余架构或分布式架构设计；应支持数据多副本存储方式；应支持通用接口确保云租户可以将业务系统及数据迁移到其他云计算平台和本地系统，保证可移植性。f)虚拟化安全应实现虚拟机之间的CPU 、内存和存储空间安全隔离；应禁止虚拟机对宿主机物理资源的直接访问；应支持不同云租户虚拟化网络之间安全隔离。g)恶意代码防范物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范；

42、虚拟机应安装经过安全加固的操作系统或进行主机恶意代码防范；应支持对 Web 应用恶意代码检测和防护的能力。h)镜像和快照安全名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 40 页 - - - - - - - - - 应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护；防止虚拟机镜像、快照中可能存在的敏感资源被非授权访问；针对重要业务系统提供安全加固的操作系统镜像或支持对操作系统镜像进行自加固。7.3.1.3 移动互联安全计算环境设计技术要求本项要求包括：a)用户身

43、份鉴别应采用口令、解锁图案以及其它具有相应安全强度的机制进行用户身份鉴别。b)应用管控应提供应用程序签名认证机制，拒绝未经过认证签名的应用软件安装和执行。c)安全域隔离应能够为重要应用提供应用级隔离的运行环境，保证应用的输入、输出、存储信息不被非法获取。d)数据保密性保护应采取加密、混淆等措施，对移动应用程序进行保密性保护，防止被反编译。e)可信验证应能对移动终端的操作系统、应用等程序的可信性进行验证，阻止非可信程序的执行。7.3.1.4 物联网系统安全计算环境设计技术要求本项要求包括：a)感知层设备身份鉴别应采用常规鉴别机制对感知设备身份进行鉴别，确保数据来源于正确的感知设备；应对感知设备和

44、感知层网关进行统一入网标识管理和维护，并确保在整个生存周期设备标识的唯一性。b)感知层设备访问控制应通过制定安全策略如访问控制列表，实现对感知设备的访问控制；感知设备和其他设备（感知层网关、其他感知设备）通信时，应根据安全策略对其他设备进行权限检查。7.3.1.5 工业控制系统安全计算环境设计技术要求本项要求包括：a)工业控制身份鉴别现场控制层设备及过程监控层设备应实施唯一性的标志、鉴别与认证，保证鉴别认证与功能完整性状态随时能得到实时验证与确认。在控制设备及监控设备上运行的程序、相应的数据集合应有唯一性标识管理。b)现场设备访问控制应对通过身份鉴别的用户实施基于角色的访问控制策略，现场设备收

45、到操作命令后，应检验该用户绑定的角色是否拥有执行该操作的权限，拥有权限的该用户获得授权，用户未获授权应向上层发出报警信息。c)现场设备数据保密性保护可采用密码技术支持的保密性保护机制或可采用物理保护机制，对现场设备层设备及连接到现场控制层的现场总线设备内存储的有保密需要的数据、程序、配置信息等进行保密性保护。d)控制过程完整性保护应在规定的时间内完成规定的任务，数据应以授权方式进行处理，确保数据不被非法篡改、不丢失、不延误，确保及时响应和处理事件，保护系统的同步机制、校时机制，保持控制周期稳定、现场总线轮询周期稳定。7.3.2 安全区域边界设计技术要求7.3.2.1 通用安全区域边界设计技术要

46、求名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 40 页 - - - - - - - - - 本项要求包括：a)区域边界包过滤应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。b)区域边界安全审计应在安全区域边界设置审计机制，并由安全管理中心统一管理。c)区域边界恶意代码防范可在安全区域边界设置防恶意代码网关，由安全管理中心管理。d)区域边界完整性保护应在区域边界设置探测器，探测非法外联等行为，

47、并及时报告安全管理中心。e)可信验证可基于可信根对区域边界计算节点的BIOS、引导程序、操作系统内核、区域边界安全管控程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。并将验证结果形成审计记录。7.3.2.2 云安全区域边界设计技术要求本项要求包括：a)区域边界结构安全应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文，同时限制广播攻击。b)区域边界访问控制应保证当虚拟机迁移时，访问控制策略随其迁移；应允许云租户设置不同虚拟机之间的访问控制策略；应建立租户私有网络实现不同租户之间的安全隔离。7.3.2.3 移动互联安全区域边界设计技术要求本项要求包括：a)区域边界访问

48、控制应能限制移动设备在不同工作场景下对WiFi 、3G 、4G 等网络的访问能力。b)区域边界完整性保护应具备无线接入设备检测功能，对于非法无线接入设备进行报警。7.3.2.4 物联网系统安全区域边界设计技术要求本项要求包括：a)区域边界准入控制应在安全区域边界设置准入控制机制，能够对设备进行认证。b)区域边界协议过滤与控制应在安全区域边界设置协议检查，对通信报文进行合规检查。7.3.2.5 工业控制系统安全区域边界设计技术要求应遵守 7.3.2.1。7.3.3 安全通信网络设计技术要求7.3.3.1 通用安全通信网络设计技术要求本项要求包括：a)通信网络安全审计应在安全通信网络设置审计机制，

49、由安全管理中心管理。b)通信网络数据传输完整性保护可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 40 页 - - - - - - - - - c)通信网络数据传输保密性保护可采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。d)可信连接验证通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品，在设备连接网络时，对源和目标平台身份、执行程序进行可信验证。

50、并将验证结果形成审计记录。7.3.3.2 云安全通信网络设计技术要求本项要求包括：a)通信网络数据传输保密性可支持云租户远程通信数据保密性保护。b)通信网络安全审计应支持租户收集和查看与本租户资源相关的审计信息；应保证云服务商对云租户通信网络的访问操作可被租户审计。7.3.3.3 移动互联安全通信网络设计技术要求应遵守 7.3.3.1。7.3.3.4 物联网系统安全通信网络设计技术要求本项要求包括：a)异构网安全接入保护应采用接入认证等技术建立异构网络的接入认证系统，保障控制信息的安全传输。7.3.3.5 工业控制系统安全通信网络设计技术要求本项要求包括：a)现场总线网络数据传输完整性保护可采