| 第三級網絡安全設計技術要求 | |
| 設計目标 | 第三級系統安全保護環境的設計目标是:按照GB17859-1999對第三級系統的安全保護要求,在第二級系統安全保護環境的基礎上,通過實作基于安全政策模型和标記的強制通路控制以及增強系統的審計機制,使系統具有在統一安全政策管控下,保護敏感資源的能力,并保障基礎計算資源和應用程式可信,確定關鍵執行環節可信。 |
| 設計政策 | 第三級系統安全保護環境的設計政策是:在第二級系統安全保護環境的基礎上,遵循GB17859—1999的4.3中相關要求,構造非形式化的安全政策模型,對主、客體進行安全标記,表明主、客體的級别分類和非級别分類的組合,以此為基礎,按照強制通路控制規則實作對主體及其客體的通路控制。第三級系統安全保護環境在使用密碼技術設計時,應支援國家密碼管理主管部門準許使用的密碼算法,使用國家密碼管理主管部門認證核準的密碼産品,遵循相關密碼國家标準和行業标準。 第三級系統安全保護環境的設計通過第三級的安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心的設計加以實作。計算節點都應基于可信根實作開機到作業系統啟動,再到應用程式啟動的可信驗證,并在應用程式的關鍵執行環節對其執行環境進行可信驗證,主動抵禦病毒入侵行為,并将驗證結果形成審計記錄,送至管理中心。 |
| 設計技術要求 | |
| 安全計算環境設計技術要求 | |
| 通用安全計算環境設計技術要求 | a)使用者身份鑒别 應支援使用者辨別和使用者鑒别。在對每一個使用者注冊到系統時,采用使用者名和使用者辨別符辨別使用者身份,并確定在系統整個生存周期使用者辨別的唯一性;在每次使用者登入系統時,采用受安全管理中心控制的密碼、令牌、基于生物特征、數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行使用者身份鑒别,并對鑒别資料進行保密性和完整性保護。 |
| b)自主通路控制 應在安全政策控制範圍内,使使用者對其建立的客體具有相應的通路操作權限,并能将這些權限的部分或全部授予其他使用者。自主通路控制主體的粒度為使用者級,客體的粒度為檔案或資料庫表級和(或)記錄或字段級。自主通路操作包括對客體的建立、讀、寫、修改和删除等。 | |
| c)标記和強制通路控制 在對安全管理者進行身份鑒别和權限控制的基礎上,應由安全管理者通過特定操作界面對主、客體進行安全标記;應按安全标記和強制通路控制規則,對确定主體通路客體的操作進行控制。強制通路控制主體的粒度為使用者級,客體的粒度為檔案或資料庫表級。應確定安全計算環境内的所有主、客體具有一緻的标記資訊,并實施相同的強制通路控制規則。 | |
| d)系統安全審計 應記錄系統的相關安全事件。審計記錄包括安全事件的主體、客體、時間、類型和結果等内容。應提供審計記錄查詢、分類、分析和存儲保護;確定對特定安全事件進行報警;確定審計記錄不被破壞或非授權通路。應為安全管理中心提供接口;對不能由系統獨立處理的安全事件,提供由授權主體調用的接口。 | |
| e)使用者資料完整性保護 應采用密碼等技術支援的完整性校驗機制,檢驗存儲和處理的使用者資料的完整性,以發現其完整性是否被破壞,且在其受到破壞時能對重要資料進行恢複。 | |
| f)使用者資料保密性保護 應采用密碼等技術支援的保密性保護機制,對在安全計算環境中存儲和處理的使用者資料進行保密性保護。 | |
| g)客體安全重用 應采用具有安全客體複用功能的系統軟體或具有相應功能的資訊技術産品,對使用者使用的客體資源,在這些客體資源重新配置設定前,對其原使用者的資訊進行清除,以確定資訊不被洩露。 | |
| h)可信驗證 可基于可信根對計算節點的BIOS、引導程式、作業系統核心、應用程式等進行可信驗證,并在應用程式的關鍵執行環節對系統調用的主體、客體、操作可信驗證,并對中斷、關鍵記憶體區域等執行資源進行可信驗證,并在檢測到其可信性受到破壞時采取措施恢複,并将驗證結果形成審計記錄,送至管理中心。 | |
| i)配置可信檢查 應将系統的安全配置資訊形成基準庫,實時監控或定期檢查配置資訊的修改行為,及時修複和基準庫中内容不符的配置資訊。 | |
| j)入侵檢測和惡意代碼防範 應通過主動免疫可信計算檢驗機制及時識别入侵和病毒行為,并将其有效阻斷。 | |
| 雲安全計算環境設計技術要求 | a)使用者身份鑒别 應支援注冊到雲計算服務的雲租戶建立主子賬号,并采用使用者名和使用者辨別符辨別主子賬号使用者身份。 |
| b)使用者賬号保護 應支援建立雲租戶賬号體系,實作主體對虛拟機、雲資料庫、雲網絡、雲存儲等客體的通路授權。 | |
| c)安全審計 應支援對雲服務商和雲租戶遠端管理時執行的特權指令進行審計。 應支援租戶收集和檢視與本租戶資源相關的審計資訊,保證雲服務商對雲租戶系統和資料的通路操作可被租戶審計。 | |
| d)入侵防範 應能檢測到虛拟機對主控端實體資源的異常通路。應支援對雲租戶進行行為監控,對雲租戶發起的惡意攻擊或惡意對外連接配接進行檢測和告警。 | |
| e)資料保密性保護 應提供重要業務資料加密服務,加密密鑰由租戶自行管理;應提供加密服務,保證虛拟機在遷移過程中重要資料的保密性。 | |
| f)資料備份與恢複 應采取備援架構或分布式架構設計;應支援資料多副本存儲方式;應支援通用接口確定雲租戶可以将業務系統及資料遷移到其他雲計算平台和本地系統,保證可移植性。 | |
| g)虛拟化安全 應實作虛拟機之間的CPU、記憶體和存儲空間安全隔離,能檢測到非授權管理虛拟機等情況,并進行告警;應禁止虛拟機對主控端實體資源的直接通路,應能對異常通路進行告警;應支援不同雲租戶虛拟化網絡之間安全隔離;應監控實體機、主控端、虛拟機的運作狀态。 | |
| h)惡意代碼防範 實體機和主控端應安裝經過安全加強的作業系統或進行主機惡意代碼防範;虛拟機應安裝經過安全加強的作業系統或進行主機惡意代碼防範;應支援對Web應用惡意代碼檢測和防護的能力。 | |
| i)鏡像和快照安全 應支援鏡像和快照提供對虛拟機鏡像和快照檔案的完整性保護;防止虛拟機鏡像、快照中可能存在的敏感資源被非授權通路;針對重要業務系統提供安全加強的作業系統鏡像或支援對作業系統鏡像進行自加強。 | |
| 移動互聯安全計算環境設計技術要求 | a) 使用者身份鑒别 應對移動終端使用者實作基于密碼或解鎖圖案、數字證書或動态密碼、生物特征等方式的兩種或兩種以上的組合機制進行使用者身份鑒别。 |
| b)标記和強制通路控制 應確定使用者或程序對移動終端系統資源的最小使用權限;應根據安全政策,控制移動終端接入通路外設,外設類型至少應包括擴充存儲卡、GPS等定位裝置、藍牙、NFC等通信外設,并記錄日志。 | |
| c) 應用管控 應具有軟體白名單功能,能根據白名單控制應用軟體安裝、運作;應提供應用程式簽名認證機制,拒絕未經過認證簽名的應用軟體安裝和執行。 | |
| d)安全域隔離 應能夠為重要應用提供基于容器、虛拟化等系統級隔離的運作環境,保證應用的輸入、輸出、存儲資訊不被非法擷取。 | |
| e)移動裝置管控 應基于移動裝置管理軟體,實行對移動裝置全生命周期管控,保證移動裝置丢失或被盜後,通過網絡定位搜尋裝置的位置、遠端鎖定裝置、遠端擦除裝置上的資料、使裝置發出警報音,確定在能夠定位和檢索的同時最大程度地保護資料。 | |
| f)資料保密性保護 應采取加密、混淆等措施,對移動應用程式進行保密性保護,防止被反編譯;應實作對擴充儲存設備的加密功能,確定資料存儲的安全。 | |
| g)可信驗證 應能對移動終端的引導程式、作業系統核心、應用程式等進行可信驗證,確定每個部件在加載前的真實性和完整性。 | |
| 物聯網系統安全計算環境設計技術要求 | a)感覺層裝置身份鑒别 應采用密碼技術支援的鑒别機制實作感覺層網關與感覺裝置之間的雙向身份鑒别,確定資料來源于正确的裝置;應對感覺裝置和感覺層網關進行統一入網辨別管理和維護,并確定在整個生存周期裝置辨別的唯一性;應采取措施對感覺裝置組成的組進行組認證以減少網絡擁塞。 |
| b)感覺層裝置通路控制 應通過制定安全政策如通路控制清單,實作對感覺裝置的通路控制;感覺裝置和其他裝置(感覺層網關、其他感覺裝置)通信時,根據安全政策對其他裝置進行權限檢查;感覺裝置進行更新配置時,根據安全政策對使用者進行權限檢查。 | |
| 工業控制系統安全計算環境設計技術要求 | a)工業控制身份鑒别 現場控制層裝置及過程監控層裝置應實施唯一性的标志、鑒别與認證,保證鑒别認證與功能完整性狀态随時能得到實時驗證與确認。在控制裝置及監控裝置上運作的程式、相應的資料實合應有唯一性辨別管理,防止未經授權的修改。 |
| b) 現場裝置通路控制 應對通過身份鑒别的使用者實施基于角色的通路控制政策,現場裝置收到操作指令後,應檢驗該使用者綁定的角色是否擁有執行該操作的權限,擁有權限的該使用者獲得授權,使用者未獲授權應向上層發出報警資訊。隻有獲得授權的使用者才能對現場裝置進行組态下裝、軟體更新、資料更新、參數設定等操作。 | |
| c)現場裝置安全審計 在有備援的重要應用環境,雙重或多重控制器可采用實時審計跟蹤技術,確定及時捕獲網絡安全事件資訊并報警。 | |
| d) 現場裝置資料完整性保護 應采用密碼技術或應采用實體保護機制保證現場控制層裝置和現場裝置層裝置之間通信會話完整性。 | |
| e) 現場裝置資料保密性保護 應采用密碼技術支援的保密性保護機制或應采用實體保護機制,對現場裝置層裝置及連接配接到現場控制層的現場總線裝置記憶體儲的有保密需要的資料、程式、配置資訊等進行保密性保護。 | |
| f) 控制過程完整性保護 應在規定的時間内完成規定的任務,資料應以授權方式進行處理,確定資料不被非法篡改、不丢失、不延誤,確定及時響應和處理事件,保護系統的同步機制、校時機制,保持控制周期穩定、現場總線輪詢周期穩定;現場裝置應能識别和防範破壞控制過程完整性的攻擊行為,應能識别和防止以合法身份、合法路徑幹擾控制器等裝置正常工作節奏的攻擊行為;在控制系統遭到攻擊無法保持正常運作時,應有故障隔離措施,應使系統導向預先定義好的安全的狀态,将危害控制到最小範圍。 | |
| 安全區域邊界設計技術要求 | |
| 通用安全區域邊界設計技術要求 | a)區域邊界通路控制 應在安全區域邊界設定自主和強制通路控制機制,應對源及目标計算節點的身份、位址、端口和應用協定等進行可信驗證,對進出安全區域邊界的資料資訊進行控制,阻止非授權通路。 |
| b)區域邊界包過濾 應根據區域邊界安全控制政策,通過檢查資料包的源位址、目的位址、傳輸層協定、請求的服務等,确定是否允許該資料包進出該區域邊界。 | |
| c) 區域邊界安全審計 應在安全區域邊界設定審計機制,由安全管理中心集中管理,并對确認的違規行為及時報警。 | |
| d)區域邊界完整性保護 應在區域邊界設定探測器,例如外接探測軟體,探測非法外聯和入侵行為,并及時報告安全管理中心。 | |
| e)可信驗證 可基于可信根對計算節點的BIOS、引導程式、作業系統核心、區域邊界安全管控程式等進行可信驗證,并在區域邊界裝置運作過程中定期對程式記憶體空間、作業系統核心關鍵記憶體區域等執行資源進行可信驗證,并在檢測到其可信性受到破壞時采取措施恢複,并将驗證結果形成審計記錄,送至管理中心。 | |
| 雲安全區域邊界設計技術要求 | a)區域邊界結構安全 應保證虛拟機隻能接收到目的位址包括自己位址的封包或業務需求的廣播封包,同時限制廣播攻擊;應實作不同租戶間虛拟網絡資源之間的隔離,并避免網絡資源過量占用;應保證雲計算平台管理流量與雲租戶業務流量分離。 應能夠識别、監控虛拟機之間、虛拟機與實體機之間的網絡流量;提供開放接口或開放性安全服務,允許雲租戶接入第三方安全産品或在雲平台選擇第三方安全服務。 |
| b)區域邊界通路控制 應保證當虛拟機遷移時,通路控制政策随其遷移;應允許雲租戶設定不同虛拟機之間的通路控制政策;應建立租戶私有網絡實作不同租戶之間的安全隔離;應在網絡邊界處部署監控機制,對進出網絡的流量實施有效監控。 | |
| c)區域邊界入侵防範 當虛拟機遷移時,入侵防範機制可應用于新的邊界處;應将區域邊界入侵防範機制納入安全管理中心統一管理。 應向雲租戶提供網際網路内容安全監測功能,對有害資訊進行實時檢測和告警。 | |
| d)區域邊界審計要求 根據雲服務商和雲租戶的職責劃分,收集各自控制部分的審計資料;根據雲服務商和雲租戶的職責劃分,實作各自控制部分的集中審計;當發生虛拟機遷移或虛拟資源變更時,安全審計機制可應用于新的邊界處;為安全審計資料的彙集提供接口,并可供第三方審計。 | |
| 移動互聯安全區域邊界設計技術要求 | 區域邊界通路控制 應對接入系統的移動終端,采取基于SIM卡、證書等資訊的強認證措施;應能限制移動裝置在不同工作場景下對WIFI、3G、4G等網絡的通路能力。 |
| 區域邊界完整性保護 移動終端區域邊界檢測裝置監控範圍應完整覆寫移動終端辦公區,并具備無線路由器裝置位置檢測功能,對于非法無線路由器裝置接入進行報警和阻斷。 | |
| 物聯網系統安全區域邊界設計技術要求 | a)區域邊界通路控制 應能根據資料的時間戳為資料流提供明确的允許/拒絕通路的能力;應提供網絡最大流量及網絡連接配接數限制機制;應能夠根據通信協定特性,控制不規範資料包的出入。 |
| b)區域邊界準入控制 應在安全區域邊界設定準入控制機制,能夠對裝置進行認證,保證合法裝置接入,拒絕惡意裝置接入;應根據感覺裝置特點收集感覺裝置的健康性相關資訊如固件版本、辨別、配置資訊校驗值等,并能夠對接入的感覺裝置進行健康性檢查。 | |
| c)區域邊界協定過濾與控制 應在安全區域邊界設定協定過濾,能夠對物聯網通信内容進行過濾,對通信封包進行合規檢查,根據協定特性,設定相對應控制機制。 | |
| 工業控制系統安全區域邊界設計技術要求 | a)工控通信協定資料過濾 對通過安全區域邊界的工控通信協定,應能識别其所承載的資料是否會對工控系統造成攻擊或破壞,應控制通信流量、幀數量頻度、變量的讀取頻度穩定且在正常範圍内,保護控制器的工作節奏,識别和過濾寫變量參數超出正常範圍的資料,該控制過濾處理元件可配置在區域邊界的網絡裝置上,也可配置在本安全區域内的工控通信協定的端點裝置上或唯一的通信鍊路裝置上。 |
| b)工控通信協定資訊洩露防護 應防止暴露本區域工控通信協定端點裝置的使用者名和登入密碼,采用過濾變換技術隐藏使用者名和登入密碼等關鍵資訊,将該端點裝置單獨分區過濾及其他具有相應防護功能的一種或一種以上組合機制進行防護。 | |
| c)工控區域邊界安全審計 應在安全區域邊界設定實時監測告警機制,通過安全管理中心集中管理,對确認的違規行為及時向安全管理中心和工控值守人員報警并做出相應處置。 | |
| 安全通信網絡設計技術要求 | |
| 通用安全通信網絡設計技術要求 | a)通信網絡安全審計 應在安全通信網絡設定審計機制,由安全管理中心集中管理,并對确認的違規行為進行報警。 |
| b)通信網絡資料傳輸完整性保護 應采用由密碼技術支援的完整性校驗機制,以實作通信網絡資料傳輸完整性保護,并在發現完整性被破壞時進行恢複。 | |
| c) 通信網絡資料傳輸保密性保護 應采用由密碼技術支援的保密性保護機制,以實作通信網絡資料傳輸保密性保護。 | |
| d) 可信連接配接驗證 通信節點應采用具有網絡可信連接配接保護功能的系統軟體或可信根支撐的資訊技術産品,在裝置連接配接網絡時,對源和目标平台身份、執行程式及其關鍵執行環節的執行資源進行可信驗證,并将驗證結果形成審計記錄,送至管理中心。 | |
| 雲安全通信網絡設計技術要求 | a)通信網絡資料傳輸保密性 應支援雲租戶遠端通信資料保密性保護。 應對網絡政策控制器和網絡裝置(或裝置代理)之間網絡通信進行加密。 |
| b) 通信網絡可信接入保護 應禁止通過網際網路直接通路雲計算平台實體網絡;應提供開放接口,允許接入可信的第三方安全産品。 | |
| c)通信網絡安全審計 應支援租戶收集和檢視與本租戶資源相關的審計資訊;應保證雲服務商對雲租戶通信網絡的通路操作可被租戶審計。 | |
| 移動互聯安全通信網絡設計技術要求 | a)通信網絡可信保護 應通過VPDN等技術實作基于密碼算法的可信網絡連接配接機制,通過對連接配接到通信網絡的裝置進行可信檢驗,確定接入通信網絡的裝置真實可信,防止裝置的非法接入。 |
| 物聯網系統安全通信網絡設計技術要求 | a)感覺層網絡資料新鮮性保護 應在感覺層網絡傳輸的資料中加入資料釋出的序列資訊如時間戳、計數器等,以實作感覺層網絡資料傳輸新鮮性保護。 |
| b)異構網安全接入保護 應采用接入認證等技術建立異構網絡的接入認證系統,保障控制資訊的安全傳輸;應根據各接入網的工作職能、重要性和所涉及資訊的重要程度等因素,劃分不同的子網或網段,并采取相應的防護措施。 | |
| 工業控制系統安全通信網絡設計技術要求 | a)現場總線網絡資料傳輸完整性保護 應采用适應現場總線特點的封包短、時延小的密碼技術支援的完整性校驗機制或應采用實體保護機制,實作現場總線網絡資料傳輸完整性保護。 |
| b)無線網絡資料傳輸完整性保護 應采用密碼技術支援的完整性校驗機制,以實作無線網絡資料傳輸完整性保護。 | |
| c)現場總線網絡資料傳輸保密性保護 應采用适應現場總線特點的封包短、時延小的密碼技術支援的保密性保護機制或應采用實體保護機制,實作現場總線網絡資料傳輸保密性保護。 | |
| d)無線網絡資料傳輸保密性保護 應采用由密碼技術支援的保密性保護機制,以實作無線網絡資料傳輸保密性保護。 | |
| e)工業控制網絡實時響應要求 對實時響應和操作要求高的場合,應把工業控制通信會話過程設計為三個階段:開始階段,應完成對主客體身份鑒别和授權;運作階段,應保證對工業控制系統的實時響應和操作,此階段應對主客體的安全狀态實時監測;結束階段,應以顯式的方式結束。在需要連續運作的場合,人員交接應不影響實時性,應保證通路控制機制的持續性。 | |
| f) 通信網絡異常監測 應對工業控制系統的通訊資料、通路異常、業務操作異常、網絡和裝置流量、工作周期、抖動值、運作模式、各站點狀态、備援機制等進行監測,發現異常進行報警;在有備援現場總線和表決器的應用場合,可充分監測各備援鍊路在同時刻的狀态,捕獲可能的惡意或入侵行為;應在相應的網關裝置上進行流量監測與管控,對超出最大PPS門檻值的通信進行控制并報警。 | |
| g)無線網絡攻擊的防護 應對通過無線網絡攻擊的潛在威脅和可能産生的後果進行風險分析,應對可能遭受無線攻擊的裝置的資訊發出(資訊外洩)和進入(非法操控)進行屏蔽,可綜合采用檢測和幹擾、電磁屏蔽、微波暗室吸收、實體保護等方法,在可能傳播的頻譜範圍将無線信号衰減到不能有效接收的程度。 | |
| 安全管理中心設計技術要求 | 可通過系統管理者對系統的資源和運作進行配置、控制和可信及密碼管理,包括使用者身份、可信證書及密鑰、可信基準庫、系統資源配置、系統加載和啟動、系統運作的異常處理、資料和裝置的備份與恢複等。 應對系統管理者進行身份鑒别,隻允許其通過特定的指令或操作界面進行系統管理操作,并對這些操作進行審計。 在進行雲計算平台安全設計時,安全管理應提供查詢雲租戶資料及備份存儲位置的方式;雲計算平台的運維應在中國境内,境外對境内雲計算平台實施運維操作應遵循國家相關規定。 在進行物聯網系統安全設計時,應通過系統管理者對感覺裝置、感覺網關等進行統一身份辨別管理;應通過系統管理者對感覺裝置狀态(電力供應情況、是否線上、位置等)進行統一監測和處理。 |
| 系統管理 | 應通過安全管理者對系統中的主體、客體進行統一标記,對主體進行授權,配置可信驗證政策,維護政策庫和路徑成本庫。 應對安全管理者進行身份鑒别,隻允許其通過特定的指令或操作界面進行安全管理操作,并進行審計。 在進行雲計算平台安全設計時,雲計算安全管理應具有對攻擊行為回溯分析以及對網絡安全事件進行預測和預警的能力;應具有對網絡安全态勢進行感覺、預測和預判的能力。 在進行物聯網系統安全設計時,應通過安全管理者對系統中所使用的密鑰進行統一管理,包括密鑰的生成、分發、更新、存儲、備份、銷毀等。 在進行工業控制系統安全設計時,應通過安全管理者對工業控制系統裝置的可用性和安全性進行實時監控,可以對監控名額設定告警門檻值,觸發告警并記錄;應通過安全管理者在安全管理中心呈現裝置間的通路關系,及時發現未定義的資訊通訊行為以及識别重要業務操作指令級的異常。 |
| 安全管理 | 應通過安全審計員對分布在系統各個組成部分的安全審計機制進行集中管理,包括根據安全審計政策對審計記錄進行分類;提供按時間段開啟和關閉相應類型的安全審計機制;對各類審計記錄進行存儲。管理和查詢等。對審計記錄應進行分析,并根據分析結果進行處理。 應對安全審計員進行身份鑒别,隻允許其通過特定的指令或操作界面進行安全審計操作。 在進行雲計算平台安全設計時,雲計算平台應對雲伺服器、雲資料庫、雲存儲等雲服務的建立、删除等操作行為進行審計;應通過運維審計系統對管理者的運維行為進行安全審計;應通過租戶隔離機制,確定審計資料隔離的有效性。 在進行工業控制系統安全設計時,應通過安全管理者對工業控制現場控制裝置、網絡安全裝置、網絡裝置伺服器操作站等裝置中主體和客體進行登記,并對各裝置的網絡安全監控和報警、網絡安全日志資訊進行集中管理。根據安全審計政策對各類安全資訊進行分類管理與查詢,并生成統一的審計報告系統對各類網絡安全報警和日志資訊進行關聯分析。 |
來源:鑄盾安全
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)