等级保护三级信息系统安全设计

1. 概述

《计算机信息系统安全保护等级划分准则 （GB 17859-1999）》中“第三级：安全标记保护级“”是等级保护实施过程中最常见的项目，本文就三级信息系统各部分结构的安全设计做简要概述。

2. 总体结构

可将三级信息系统分为7个子系统，如下图所示：

3. 网络通讯安全子系统

网络通讯安全子系统负责安全域间的信息流进行封装，确保信息在传输过程中的完整性和保密性，这主要由VPN来实现，而VPN的功能模块主要包括：安全标记、访问控制、接入控制、安全审计、身份鉴别、机密性保护、完整性保护等。

4. 区域边界安全子系统

安全域子系统实现基于主体客体标识的访问控制，其主要目标为：以主体客体安全级为基础，实施网络边界的强制访问控制。

区域边界的控制点往往与网络通讯的控制点相同，它们的区别在于，边界控制的主要目的是网络边界的划分，而网络通讯的主要目的是数据在飞地间的传输安全。通常项目中常用防火墙来实现边界安全，根据项目不同和部署位置不同，还会配置应用网关等设备。

主要功能：

1. 包过滤：基于安全策略的数据包过滤。

2. 内容过滤：基于安全标记的数据内容过滤。

3. 流量统计与控制。

4. 网络审计。

5. 网络地址转换：实现NAT等网络地址转换。

5. 计算节点子系统

计算节点子系统主要由终端和服务器组成，使其支持强制访问控制。确保本系统有效是TCB的基础。

主要功能：

1. 强制访问控制：操作系统需支持强制访问控制策略。应用发出请求后，系统拦截请求，并对其进行策略符合性检查。

2. 标记：对主体、客体、临时客体等进行标记，这些标记存储在标记库中以备调用。

3. 身份鉴别：应有可信的身份鉴别机制与策略。三级需同时使用两种身份鉴别方式进行鉴别，常见的事口令+USBKEY结合的方式进行鉴别。

4. 审计：所有操作均有记录可被审计。审计模块收到安全功能模块发出的信息后，根据审计策略，进行相应的审计记录，形成审计日志。

5. 数据完整性：可阻止非授权修改和敏感信息泄露。

6. 应用访问控制子系统与应用子系统

应用系统应满足主体客体（含资源）标记、强制访问控制、标记管理、两种形式的身份认证、安全传输、安全存储、安全审计等功能。

7. 安全审计子系统

对三级信息系统进行审计管理。

主要功能：

1. 强制访问控制审计

2. 网络数据流审计

3. 系统操作审计

4. 审计日志分析

5. 审计日志保护

6. 告警

8. 安全管理子系统

安全管理子系统对信息系统中的终端节点、边界控制、网络传输安全等实施集中管理。主要包括3个模块：授权管理模块、安全标记管理模块、策略管理模块。

主要功能：

1. 授权管理模块：对数据进行授权管理。

2. 安全标记管理模块：在主体通过认证后，分配其一个唯一的安全标记。

3. 策略管理模块：主要制定访问控制策略。