网络安全-等级保护(等保) 2-5-1 GB/T 25070—2019 附录B (资料性附录)第三级系统安全保护环境设计示例

################################################################################

文档标记说明：

淡蓝色：时间顺序标记。

橙色：为网络安全标准要点。

引用斜体：为非本文件内容，个人注解说明。

加粗标记：以动词为主，根据政策要求动作去分解政策要求。

################################################################################

附录B (资料性附录)第三级系统安全保护环境设计示例

B.1 概 述

• 根据“一个中心”管理下的“三重防护”体系框架，构建安全机制和策略，形成定级系统的安全保护环境。
  • 该环境分为如下四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。
  • 每个部分由 1个或若干个子系统(安全保护部件)组成，子系统具有安全保护功能独立完整、调用接口简洁、与安全产品相对应和易于管理等特征。
  • 安全计算环境可细分为节点子系统和典型应用支撑子系统；
  • 安全管理中心可细分为系统管理子系统、安全管理子系统和审计子系统。

以上各子系统之间的逻辑关系如图B.1所示。

B.2 各子系统主要功能

•  第三级系统安全保护环境各子系统的主要功能如下：

• a) 节点子系统

  • 节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制，形成防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性，为典型应用支撑子系统的正常运行和免遭恶意破坏提供支撑和保障。

• b) 典型应用支撑子系统

  • 典型应用支撑子系统是系统安全保护环境中为应用系统提供安全支撑服务的接口。
  • 通过接口平台使应用系统的主客体与保护环境的主客体相对应，达到访问控制策略实现的一致性。

• c) 区域边界子系统

  • 区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查，确保不会有违反系统安全策略的信息流经过边界。

• d) 通信网络子系统

  • 通信网络子系统通过对通信数据包的保密性和完整性的保护，确保其在传输过程中不会被非授权窃听和篡改，以保障数据在传输过程中的安全。

• e) 系统管理子系统

  • 系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护，包括用户身份管理、资源配置和可信库管理、异常情况处理等。

• f) 安全管理子系统

  • 安全管理子系统是系统的安全控制中枢，主要实施标记管理、授权管理及可信管理等。
  • 安全管理子系统通过制定相应的系统安全策略，并要求节点子系统、区域边界子系统和通信网络子系统强制执行，从而实现对整个信息系统的集中管理。

• g) 审计子系统

  • 审计子系统是系统的监督中枢。安全审计员通过制定审计策略，并要求节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统强制执行，实现对整个信息系统的行为审计，确保用户无法抵赖违反系统安全策略的行为，同时为应急处理提供依据。

B.3 各子系统主要流程

• 第三级系统安全保护环境的结构与流程可以分为安全管理流程与访问控制流程。
  • 安全管理流程主要 由安全管理员、系统管理员和安全审计员通过安全管理中心执行，分别实施系统维护、安全策略制定和部署、审计记录分析和结果响应等。
  • 访问控制流程则在系统运行时执行，实施自主访问控制、强制访问控制等。

• a) 策略初始化流程

  • 节点子系统在运行之前，首先由安全管理员、系统管理员和安全审计员通过安全管理中心为其部署相应的安全策略。
  • 其中，系统管理员首先需要为定级系统中的所有用户实施身份管理，即确定所有用户的身份、工作密钥、证书等。
  • 同时需要为定级系统实施资源管理，以确定业务系统正常运行需要使用的执行程序等。
  • 安全管理员需要通过安全管理中心为定级系统中所有主、客体实施标记管理，即根据业务系统的需要，结合客体资源的重要程度，确定其安全级，生成全局客体安全标记列表。
  • 同时根据用户在业务系统中的权限和角色确定其安全标记，生成全局主体安全标记列表。
  • 在此基础上，安全管理员需要根据系统需求和安全状况，为主体实施授权管理，即授予用户访问客体资源的权限，生成强制访问控制列表和级别调整策略列表。
  • 除此之外，安全审计员 需要通过安全管理中心中的审计子系统制定系统审计策略，实施系统的审核管理。
  • 如果定级系统需要和其他系统进行互联，则上述初始化流程需要结合跨定级系统安全管理中心制定的策略执行。

• b) 计算节点启动流程

  • 策略初始化完成后，授权用户才可以启动并使用计算节点访问定级系统中的客体资源。
  • 为了确保计算节点的系统完整性，节点子系统在启动时需要对所装载的可执行代码进行可信验证，确保其在可执行代码预期值列表中，并且程序完整性没有遭到破坏。
  • 计算节点启动后，用户便可以安全地登录系统。
  • 在此过程中，系统首先装载代表用户身份唯一标识的硬件令牌，然后获取其中的用户信息，进而验证登录用户是否是该节点上的授权用户。
  • 如果检查通过，系统将请求策略服务器下载与该用户相关的系统安全策略。
  • 下载成功后，系统可信计算基将确定执行主体的数据结构，并初始化用户工作空间。
  • 此后，该用户便可以通过启动应用访问定级系统中的客体资源。

• c) 计算节点访问控制流程

  • 用户启动应用形成执行主体后，执行主体将代表用户发出访问本地或网络资源的请求，该请求将被操作系统访问控制模块截获。
  • 访问控制模块首先依据自主访问控制策略对其执行策略符合性检查。
  • 如果自主访问控制策略符合性检查通过，则该请求允许被执行；否则，访问控制模块依据强制访问控制策略对该请求执行策略符合性检查。
  • 如果强制访问策略符合性检查通过，那么该请求允许被执行；否则，系统对其进行级别调整检查。
  • 即依照级别调整检查策略，判断发出该请求的主体是否有权访问该客体。
  • 如果通过，该请求同样允许被执行；否则，该请求被拒绝执行。
  • 系统访问控制机制在安全决策过程中，需要根据安全审计员制定的审计策略，对用户的请求及决策结果进行审计，并且将生成的审计记录发送到审计服务器存储，供安全审计员检查和处理。

• d) 跨计算节点访问控制流程

  • 如果主体和其所请求访问的客体资源不在同一个计算节点，则该请求会被可信接入模块截获，用来判断该请求是否会破坏系统安全。
  • 在进行接入检查前，模块首先通知系统安全代理获取对方计算节点的身份，并检验其安全性。
  • 如果检验结果是不安全的，则系统拒绝该请求；否则，系统将依据强制访问控制策略，判断该主体是否允许访问相应端口。
  • 如果检查通过，该请求被放行；否 则，该请求被拒绝。

• e) 跨边界访问控制流程

  • 如果主体和其所请求访问的客体资源不在同一个安全保护环境内，那么该请求将会被区域边界控制设备截获并且进行安全性检查，检查过程类似于跨计算节点访问控制流程。

B.4 第三级系统可信验证实现机制

•  可信验证是基于可信根，构建信任链，一级度量一级，一级信任一级，把信任关系扩大到整个计算节点，从而确保计算节点可信的过程，可信验证实现框架如图B.2 所示。

可信根内部有密码算法引擎、可信裁决逻辑、可信存储寄存器等部件，可以向节点提供可信度量、可信存储、可信报告等可信功能，是节点信任链的起点。

可信固件内嵌在BIOS 之中，用来验证操作系统引导程序的可信性。

可信基础软件由基本信任基、可信支撑机制、可信基准库和主动监控机制组成。

• 其中基本信任基内嵌在引导程序之中，在节点启动时从BIOS 中接过控制权，验证操作系统内核的可信性。
• 可信支撑机制向应用程序传递可信硬件和可信基础软件的可信支撑功能，并将可信管理信息传送给可信基础软件。
• 可信基准库存放节点各对象的可信基准值和预定控制策略。
• 主动监控机制实现对应用程序的行为监测， 判断应用程序的可信状态，根据可信状态确定并调度安全应对措施。
• 主动监控机制根据其功能可以分成控制机制、度量机制和决策机制。
  • 控制机制主动截获应用程序发出的系统调用，既可以在截获点提取监测信息提交可信度量机制，也可以依据判定机制的决策，在截获点实施控制措施。
  • 度量机制依据可信基础库度量可信基础软件、安全机制和监测行为，确定其可信状态。
  • 可信判定机制依据度量结果和预设策略确定当前的安全应对措施，并调用不同的安全机制实施这些措施。

###################################################################################

对于安全保护环境设计其中涉及很多系统初始化流程、控制流程、BIOS内的操作，说实话博主没太看不懂，是后台具体的业务流程。所以GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》这个标准是给安全产品设计过程中产品经理和研发看的。

愿各位在进步中安心。

2025.05.16 禾木

###################################################################################