网络安全等级保护：信息系统安全等级保护基本技术

前言：

宋郭若虚《图画见闻志》有关阎立本的记载：唐阎立本至荆州，观张僧繇旧迹。

曰：‘定虚得名耳。’

明日又往，曰：‘犹是近代佳手？’

明日又往，曰：‘名下无虚士。’

坐卧观之，留宿其下，十余日不能去。

今天我们先简单概括性谈一下有关网络安全等级保护基本技术，等级保护工作是系统性、体系性的工作，其技术可以用庞大或庞杂来形容。如果你对安全知识体系有了一个真正的认知，那么你对其感觉是庞大而有条理的，但是如果你对安全知识体系一知半解，那么就变得庞大而杂乱，很多东西似是而非，总能找到不同的解答。

究其原因，就是对知识的把握不够全面，不够牢固造成的，这个是每一个人都可能经历的过程，不必为此而烦恼，做事秉持着当下最佳就行了。

下面我们概括性探讨一下等级保护用到的一些技术，有关这些技术的每一个方面的每一个部分都可以是一部大块头，甚至一部大块头都无法介绍清楚，需要系列性的书籍去展开，所以这里也只能做到抛砖而已。期望起到抛砖引玉的作用！

1 标识与鉴别技术

标识是区别实体身份的方法，用户标识通常由用户名和用户标识符（UID）表示，设备标识通常由设备名和设备号表示。用户标识确保系统中标识用户的唯一性，这种唯一性要求在信息系统的整个生存周期起作用，从而支持系统安全事件的可审计性；设备标识确保连接到系统中的设备的可管理性。鉴别是确认实体真实性的方法。用户鉴别用以确认试图进入系统的用户身份的真实性，防止攻击者假冒合法用户进入系统；设备鉴别用以确认接入系统的设备身份的真实性，防止设备的非法接入。

鉴别的主要特点是鉴别信息的不可见性和难以伪造。

常见的鉴别技术有：

a) 口令鉴别

口令鉴别是长期以来主要使用的用户身份鉴别方法。但简单的口令容易被猜测，复杂的口令用户又难以记忆。

b) 生物特征鉴别

主要用于用户身份真实性鉴别，包括以指纹特征信息为鉴别信息的用户身份鉴别，以虹膜特征信息为鉴别信息的用户身份鉴别，具有唯一性好和难以伪造等优点。

c) 数字证书鉴别

以数字形式表示的用于鉴别实体身份的证书信息，以一定的格式存放在证书载体之中，系统通过检验证书载体中的证书信息，实现对实体身份鉴别的目的。证书信息的不可见性通常是由密码支持的安全机制实现的，也可以由其它安全机制，如采用信息隐藏技术安全机制实现。数字证书鉴别既可以用于用户身份的真实性鉴别，也可以用于设备身份的真实性鉴别。

基于生物特征识别的移动智能终端身份鉴别技术架构

2 访问控制技术

访问控制是通过对信息系统中主、客体之间的访问关系进行控制，实现对主体行为进行限制、对客体安全性进行保护的技术。访问控制是以授权管理为基础实现的。由系统按照统一的规则进行授权管理所实现的访问控制称为强制访问控制；由用户按照个人意愿自主进行授权管理所实现的访问控制称为自主访问控制。其实，除了下面谈到的几种访问控制两大类，还有基于对象、基于任务等访问类型，这里主要谈两种最基础的类型，顺便提及基于角色的访问。

a) 自主访问控制

自主访问控制是一种提供由用户对自身所创建的客体的访问权限进行控制的安全机制。这些访问权限包括允许或拒绝其它用户对该用户所创建的客体进行读、写、执行、修改、删除操作，以及授权转移等。自主访问控制的主要特点是由用户自主进行授权管理。目前常见的实现自主访问控制的方法是各种形式的访问控制表（ACL），目录表访问控制、访问控制矩阵、能力表等。

b) 强制访问控制

强制访问控制是一种提供由系统按确定的规则对每一个用户所创建的客体的访问权限进行控制的安全机制。这种访问权限包括主体对客体的读、写、修改、删除等操作。强制访问控制的主要特点是由系统安全员统一进行授权管理。强制访问控制安全策略，通过对主体访问客体的访问操作的控制，实现对客体的保密性保护和完整性保护。目前常见的强制访问控制有基于多级安全模型的访问控制和基于角色的访问控制（BRAC）。在多级安全模型中，Bell-La Padula信息保密性模型是实现保密性保护的安全策略，Biba信息完整性模型是实现完整性保护安全策略。

c)基于角色的访问控制

基于角色的访问控制（BRAC）则是既可以实现保密性保护，也可以实现完整性保护的安全策略。强制访问控制通常需要按照最小授权原则，对系统管理员、系统安全员和系统审计员的权限进行合理的分配和严格的管理。

三种访问控制之间的关系

3 存储和传输数据的完整性保护技术

完整性保护是对因各种原因引起的数据信息和系统破坏进行对抗的安全保护技术，包括传输数据的完整性保护和存储数据的完整性保护。由于系统的破坏实际上是对系统中的软件和数据信息的破坏，所以系统破坏可以归结为是信息破坏。实现完整性保护的安全技术和机制包括一般的校验码机制（如奇偶校验、海明校验等）、密码系统支持的校验机制、隐藏信息技术支持的纠错机制等。访问控制、身份鉴别、边界隔离与防护等实际上也都是与完整性保护有关的安全技术和机制。

4 存储和传输数据的保密性保护技术

保密性保护是对因各种原因引起的信息和系统的非法泄露进行对抗的安全保护技术，包括数据传输的保密性保护、数据存储的保密性保护。由于系统的非法泄露实际上是对系统中的软件和数据信息的泄露，所以系统泄露同样可以归结为是信息泄露。实现保密性保护的安全技术和机制主要包括密码系统支持的加密机制、隐藏信息技术支持的信息保护机制等。访问控制、身份鉴别、边界隔离与防护等实际上也都是与保密性保护有关的安全技术和机制。

5 边界隔离与防护技术

边界隔离与防护是一种适用于信息系统边界（也称网络边界）安全防护的安全技术，主要包括防火墙、入侵检测、防病毒网关、非法外连检测、网闸、逻辑隔离、物理隔离、信息过滤等，用于阻止来自外部网络的各种攻击行为。使用边界隔离与防护技术进行安全防护首先要有明确的边界，包括整个信息系统的外部边界和信息系统中各个安全域的内部边界。

6 系统安全运行及可用性保护技术

为了确保信息系统的安全运行，确保信息系统中的信息及信息系统所提供的安全功能达到应有的可用性要求，除了上述信息安全保护技术和边界防护技术外，还应提供以下安全技术：

a) 安全审计技术

对信息安全系统运行过程中的每一个安全相关事件，应提供审计支持。审计机制应能及时发现并记录各种与安全事件有关的行为，成功的或失败的，并根据不同安全等级的要求，对发现的安全事件作出不同的处理。

b) 安全性检测分析技术

对运行中的信息系统，应定期或不定期进行信息系统安全性检测分析，发现存在的问题和漏洞。信息系统安全性检测分析机制应提供对信息系统的各个重要组成部分，如硬件系统、操作系统、数据库管理系统、应用软件系统、网络系统的各关键设备、设施，以及电磁泄露发射等，提供安全性检测分析功能。高安全等级的信息系统应由安全机制管理控制中心集中管理系统安全性检测分析功能。

c) 系统安全监控技术

对运行中的信息系统，应实时地进行安全监控，及时发现并处理各种攻击和入侵。信息系统安全监控机制应通过设置分布式探测机制监测并截获与攻击和入侵有关的信息，在信息系统安全机制管理控制中心设置安全监控集中管理机制，汇集由探测机制截获的信息，并在综合分析的基础上对攻击和入侵事件作出处理。

d) 信息系统容错备份与故障恢复技术

确保信息系统不间断运行和对故障的快速处理和恢复，是提供信息和信息系统功能可用性的基础和前提。信息系统容错、备份与故障恢复，要求对信息系统的各个重要组成部分应提供复算、热备份等容错机制，使可能出现的某些错误消除在内部，对上层应用透明；应提供信息备份与故障恢复、系统备份与故障恢复等机制，对出现的某些故障通过备份所提供的支持实现恢复。对于重要的信息系统，通过设置主机系统的异地备份，当主机系统发生灾难性故障中断运行时，能在较短时间内启动，替代主机系统工作，使系统不间断运行，以确保业务应用的连续性。

灾难恢复服务生命周期示意图

7 密码技术

应根据信息系统安全保护的要求配置国家批准的相应密码技术。密码技术包含对称密钥密码、非对称密钥密码和单向函数。密码技术可用于实现数据加密、数字签名、身份认证、权限验证、数据完整性验证等安全需求的场合。

电子文件密码应用技术框架

后记：有关阎立本的故事，我曾思考数日，思考着如何表述这段文字描述的故事义理。其中义理大部分人都一眼明了，人却都在其中。试看文字描述，我们发现阎立本同样一幅画，图画未变，三看三异三得，是我们的头脑发生一次次变化，次次都有新境界，而一幅画里就成就了三个阎立本，从自我到顶礼膜拜。故事在告诫我们自身的知识不稳定性和认知尚不圆满，需日日不断精进，故学习这事情需要保持空杯心态，苟日新、日日新！也就是马克思主义表达的相对真理的绝对真理对立统一关系吧。

等级保护这些基本技术，我个人自是都很熟悉，但却又不深入，也需要时时多读，做到“旧书重读添新味”，一次要比一次多得一些吧。