新建系统的安全等级保护规划与建设

6.2.1　新建系统的安全等级保护规划与建设

1.总体安全设计方法

总体安全设计并非安全等级保护实施过程中必需的执行过程，对于规模较小、构成内容简单的信息系统，在通过安全需求分析确定了其安全需求后，可以直接进入安全详细设计。对于有一定规模的信息系统，实施总体安全设计过程。总体安全设计可以按以下步骤实施。

（1）局域网内部抽象处理

一个局域网可能由多个不同等级系统构成，无论局域网内部等级系统有多少，可以将等级相同、安全需求类相同、安全策略一致的系统合并为一个安全域，并将其抽象为一个模型要素，可将之称为某级安全域。通过抽象处理后，局域网模型可能是由多个级别的安全域互联构成的模型。

（2）局域网内部安全域之间互联的抽象处理

局域网内部安全域之间互联的抽象处理根据局域网内部的业务流程、数据交换要求、用户访问要求等确定不同级别安全域之间的网络连接要求，从而对安全域边界提出安全策略要求和安全措施要求，以实现对安全域边界的安全保护。

如果任意两个不同级别的子系统之间有业务流程数据交换要求、用户访问要求等的需要，则认为两个模型要素之间有连接。通过分析和抽象处理后，局域网内部子系统之间互联模型如图6-1所示。

图6-1　局域网内部安全域之间互联抽象图

（3）局域网之间安全域互联的抽象处理

根据局域网之间的业务流程、数据交换要求、用户访问要求等确定局域网之间通过骨干网/城域网的分隔的同级、或不同级别安全域之间的网络连接要求。

例如，任意两个级别的安全域之间有业务流程、数据交换要求、用户访问要求等的需要，则认为两个局域网的安全域之间有连接。通过分析和抽象处理后，局域网之间安全域互联模型如图6-2所示。

图6-2　局域网之间安全域互联的抽象图

（4）局域网安全域与外部单位互联的抽象处理

对于与国际互联网或外部机构/单位有连接或数据交换的信息系统，需要分析这种网络的连接要求，并进行模型化处理。例如，任意一个级别的安全域，如果这个安全域与外部机构/单位或国际互联网之间有业务访问、数据交换等的需要，则认为这个级别的安全域与外部机构/单位或国际互联网之间有连接。通过分析和抽象处理后，局域网安全域与外部机构/单位或国际互联网之间互联模型如图6-3所示。

（5）安全域内部抽象处理

局域网中不同级别的安全域的规模和复杂程度可能不同，但是每个级别的安全域的构成要素基本一致，即由服务器、工作站和连接它们的网络设备构成。为了便于分析和处理，将安全域内部抽象为服务器设备（包括存储设备）、工作站设备和网络设备这些要素，通过对安全域内部的模型化处理后，对每个安全域内部的关注点将放在服务器设备、工作站设备和网络设备上，通过对不同级别的安全域中的服务器设备、工作站设备和网络设备提出安全策略要求和安全措施要求，实现安全域内部的安全保护。通过抽象处理后，每个安全域模型如图6-4所示。

图6-3　局域网安全域与外部单位互联的抽象图

图6-4　安全域内部抽象图

（6）形成信息系统抽象模型

通过对信息系统的分析和抽象处理，最终应形成被分析的信息系统的抽象模型。信息系统抽象模型的表达应包括以下内容：单位的不同局域网络如何通过骨干网、城域网互联；每个局域网内最多包含几个不同级别的安全域；局域网内部不同级别的安全域之间如何连接；不同局域网之间的安全域之间如何连接；局域网内部安全域是否与外部机构/单位或国际互联网有互联，等等。

（7）制定总体安全策略

最重要的是制定安全域互连策略，通过限制多点外联、统一出口既可以达到保护重点、优化配置，也体现了纵深防御的策略思想。

（8）关于等级边界进行安全控制的规定

针对信息系统等级化抽象模型，根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求，提出不同级别安全域边界的安全保护策略和安全技术措施。

安全域边界安全保护策略和安全技术措施提出时要考虑边界设备共享的情况，如果不同级别的安全域通过同一设备进行边界保护，这个边界设备的安全保护策略和安全技术措施要满足最高级安全域的等级保护要求。

（9）关于各安全域内部的安全控制要求

提出针对信息系统等级化抽象模型，根据机构总体安全策略、等级保护基本要求和系统的特殊安全需求，提出不同级别安全域内部网络平台、系统平台和业务应用的安全保护策略和安全技术措施。

（10）关于等级安全域的管理策略

从全局角度出发，提出单位的总体安全管理框架和总体安全管理策略，对每个等级安全域提出各自的安全管理策略，安全域管理策略继承单位的总体安全策略。

2.总体安全设计方案大纲

最后形成的总体方案大纲包括以下内容：信息系统概述；单位信息系统安全保护等级状况;各等级信息系统的安全需求；信息系统的安全等级保护模型抽象；总体安全策略；信息系统的边界安全防护策略；信息系统的等级安全域防护策略；信息系统安全管理与安全保障策略。

3.设计实施方案

实施方案不同于设计方案，实施方案需要根据阶段性的建设目标和建设内容将信息系统安全总体设计方案中要求实现的安全策略、安全技术体系结构、安全措施落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档，使得在信息安全产品采购和安全控制开发阶段具有依据。实施方案过程如下：

（1）结构框架设计

依据实施项目的建设内容和信息系统的实际情况，给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架，内容包括安全防护的层次、信息安全产品的选择和使用、等级系统安全域的划分和IP地址规划等。

（2）功能要求设计

对安全实现技术框架中使用到的相关信息安全产品，如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒、PKI等提出功能指标要求；对需要开发的安全控制组件，提出功能指标要求。

（3）性能要求设计

对安全实现技术框架中使用到的相关信息安全产品，如防火墙、VPN、网闸、认证网关、代理服务器、网络防病毒和PKI等提出性能指标要求；对需要开发的安全控制组件，提出性能指标要求。

（4）部署方案设计

结合信息系统网络拓扑，以图示的方式给出安全技术实现框架的实现方式，包括信息安全产品或安全组件的部署位置、连接方式和IP地址分配等；对于需对原有网络进行调整的，给出网络调整的图示方案等。

（5）制定安全策略实现计划

依据信息系统安全总体方案中提出的安全策略的要求，制定设计和设置信息安全产品或安全组件的安全策略实现计划。

（6）管理措施实现内容设计

结合系统实际安全管理需要和本次技术建设内容，确定本次安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套和人员安全管理技能的配套等。

（7）形成系统建设的安全实施方案

最后形成的系统建设的安全实施方案应包含以下内容：系统建设目标和建设内容、技术实现框架、信息安全产品或组件功能及性能、信息安全产品或组件部署；安全策略和配置；配套的安全管理建设内容；工程实施计划；项目投资概算。