作为国家信息安全建设的基本要求和方法，等级保护的相关政策和标准日益成熟。近期，公安部已陆续发布了基于等级保护建设思想的整改办法和建设依据，以及衡量等级保护建设成果的基本要求和等级保护建设过程的天融信信息安全等级实施指南，还有等级保护方案设计所参考的设计技术要求等。本文以设计技术要求和基本要求为主要参考对象，根据一个特定的案例-证件管理系统，以“一个中心下的三重防护”为目标，以整合为手段，进行了全面的规划，形成了相关的技术解决方案。

　　信息安全等级保护是实施国家信息安全战略的重大举措，也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据，在实行安全防护系统建设的过程中，应当按照等级保护的思想和基本要求进行建设，本方案根据《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术 信息系统等级保护基本要求》，结合天融信在等级保护试点的建设经验，根据分级、分域、分系统进行安全建设的思路，针对一个特定的信息系统-证件管理系统为例，提出全面的等级保护技术建设方案，希望能够为用户的等级保护建设提出参考。

　　方案背景

　　证件管理系统是用户建设和运营期间，证件管理工作的业务管理支撑系统。证件管理系统和与之协同工作的证件查验终端系统、证件制作系统组成了用户证件管理的工作平台。管理系统平台整体框架结构可参考下图：

证件管理系统整体框架示意图

　　根据证件业务的结构关系和业务流程，支撑证件管理系统的网络环境从总体上可分为相关子系统部分、证件管理系统部门以及背景审查系统部门，其网络环境表示如下：

证件管理系统网络环境示意图

　　安全需求

　　目前，证件管理系统已经完成定级备案工作，在定级阶段中对该系统受到安全威胁或破坏时所影响到的客体，及对客体影响程度的分析，最终确定证件管理系统的安全性等级为三级，且对应等级保护要求选择措施为：S3A3G3

　　设计思路

　　根据《信息安全技术 信息系统等级保护安全设计技术要求》，对系统进行安全防护系统规划的过程中，必须按照分级、分域的办法进行规划和设计，要划分具体的安全计算环境、安全区域边界、安全通信网络，并根据系统的等级来确定不同环节的保护等级，同时通过集中的安全管理中心，实现对计算环境、区域边界、通信网络实施集中的管理，并确保上述环节执行统一的安全防护策略。

　　针对证件管理系统，确认的保护对象以及分区、分域的划分方式如下：

　　证件管理系统区域划分示意图

　　划分内容汇总如下：

　　类型 划分内容 保护强度

　　计算环境 证件管理系统区域 证件管理应用服务器区域 三级安全计算环境

　　证件管理数据库服务器区域 三级安全计算环境

　　证件数据交换内部区域 三级安全计算环境

　　证件管理业务终端区域 终端安全计算环境

　　证件数据交换外部区域 三级安全计算环境

　　证件受理终端区域 终端安全计算环境

　　区域边界 证件管理系统区域边界 证件管理应用服务器区域边界 三级安全区域边界

　　证件管理数据库服务器区域边界 三级安全区域边界

　　证件数据交换内部区域对内边界 三级安全区域边界

　　证件数据交换内部区域对外边界 三级安全区域边界

　　证件管理业务终端区域边界 终端安全区域边界

　　证件数据交换外部区域对内边界 三级安全区域边界

　　证件数据交换外部区域对外边界 三级安全区域边界

　　证件受理终端区域边界 终端安全区域边界

　　通信网络 相关子系统的广域网通信网络 三级安全通信网络

　　证件管理系统区域的内部通信网络 三级安全通信网络

　　安全数据交换平台的内部通信网络 三级安全通信网络

　　安全数据交换平台与公安专网之间的通信网络 三级安全通信网络

　　方案设计

　　本方案针对证件管理系统，严格参考了《信息安全技术 信息系统等级保护安全设计技术要求》和《信息安全技术 信息系统等级保护基本要求》，根据分级、分域的原则，进行了安全保障体系的建设与规划，从保护计算环境、保护区域边界、保护通信网络以及搭建集中的安全管理中心，使安全保障体系全面保障证件管理系统的正常、安全运行，并通过引入PKI/CA认证平台，以及建立应急响应预案，进一步提升系统的可靠性和应用安全性。

　　根据区域划分的原则，对证件管理系统划分为6个计算环境、8个区域边界以及4个通信网络，并且考虑到证件管理系统定级为三级，并且保护等级按照 “A3S3G3”的标准来进行防护，除终端系统以外，其余环节均按照三级要求进行设计，形成如下图所描述的整体建设方案

　　部署措施

　　Ø 保护计算环境

　　n 针对三级计算环境的证件管理应用服务器、证件管理数据库服务器、安全数据交换服务器，采用安全操作系统，从而全面提升了操作系统的安全性，在身份认证、标记与强制访问控制、用户文件机密性/完整性保护、剩余信息保护实现有效的防护，弥补了商用操作系统在强访问控制、用户文件机密性/完整性保护、客体重用控制方面的不足。

　　n 也可采用操作系统核心加固系统，来弥补商用操作系统的不足，核心加固系统也能够实现包括双因素身份认证、标记与强制访问控制、客体重用控制等方面的内容;

　　n 针对数据库采用安全数据库管理系统，将有效弥补商用数据库在强制访问控制方面的不足，安全数据库管理系统支持强身份认证（双因素认证）、标记与强制访问控制、数据机密性/完整性保护、数据客体重用、数据库管理员的分权管理等安全机制，有效保障了证件管理信息系统的数据安全性;

　　n 也可采用购买数据库安全模块的方法，ORACLE 11G单独提供了实现安全机制的模块，通过模块也可实现强身份认证、标记与强制访问控制以及数据机密性/完整性保护，在配合数据库安全模块进行人工加固，也可实现三级计算环境所要求的内容，符合三级系统对数据安全和主机安全的一些要求;

　　n 此外，在各个服务器、数据库开启审计功能，在采用安全操作系统以及安全数据库后，系统从底层上就有措施来保护审计进程的有效性;如果采取操作系统内核加固以及数据库安全模块加固后，系统也可对审计进程进行保护;然后再通过集中的日志审计系统，来收集各个服务器及数据库的日志信息，进行集中存储，也有效防范了日志信息被非法篡改或删除;

　　n 此外，通过部署基于终端、服务器的防病毒软件，有效查杀感染到端点的病毒，防止病毒、木马、蠕虫等恶意代码对系统的破坏，并且通过部署的集中病毒管理服务器，实现对各个防病毒节点的病毒库统一升级，保持防病毒系统的有效性;