通过对专网涉密信息系统的分析研究,从网络运行安全、信息安全和安全保密管理等方面综合考虑。依照等级化保护进行安全防护体系设计与实现,保证涉密网中传输数据信息的安全性、完整性、真实性及抗抵赖性,形成事前防护,事中安全检测,事后审计取证于一体的安全防护体系,达到实体安全、应用安全、系统安全、管理安全,以满足专网涉密信息系统安全防护要求。
一、安全防护系统功能与要求
专网安全防护系统的主要功能是保证专用网络达到机密级防护要求。
①从网络安全角度考虑应具备功能:与其他网络实施物理隔离,不同部门之间应根据需要实施逻辑隔离措施,对用户进行访问控制;具有网络防病毒措施,能通过网络实时更新病毒库;具有网上事件审计记录能力;具有对违规事件进行监视、报警和控制处理的措施;向控制区域外传输信息应具有网络加密措施防止信息的非法窃取和篡改;全网建立统一的身份认证体系;设立网络安全管理中心,能够对网络的安全设备等资源进行管理,对用户违规行为进行监控:交换机的端口、用户计算机的MAC地址和IP地址三者绑定。
②从用户安全角度考虑要求应具备功能:涉密网用户采用专用部件认证;用户计算机应安装防病毒软件并及时升级;用户计算机的操作系统应及时安装补丁程序;用户计算机应关闭不需要的系统服务:用户应有互不相同的用户名和操作口令,保证身份唯一性;涉密网计算机禁止安装无关应用软件。
③从应用安全角度考虑要求应具备功能:应用系统软件应及时安装补丁程序;涉密信息的应用系统应具有对用户进行身份认证、对信息进行细粒度授权访问控制功能;公共信息服务器与涉密信息服务器分设,只提供专用服务;文电、业务处理等应用系统应具有签名验证、密级标识等功能:提供信息服务的WWW服务器具有网页防篡改措施,防止对信息内容非法修改。
二、系统组成
专网安全防护系统由防火墙、入侵检测、网络审计、漏洞扫描、内网安全管理与审计、认证/授权/访问控制、安全设备管理平台、整盘保护、文档加密、防病毒等系统设备组成。拓扑示意图如图1所示。
在非密、秘密、机密级安全域和服务器安全域等特定应用安全域利用分别配置防火墙设备进行边界防护,设定严格访问控制策略,对区域间通信进行审计,将日志信息及时传递给安全管理中心。
入侵检测系统对访问应用服务器的连接进行深层检测:对各级安全域的访问会话进行监控,记录访问者的操作行为;与防火墙系统进行联动,对非授权行为或攻击事件进行自动阻断,并进行记录;将安全事件汇总给安全管理中心,支持全局统一审计要求。
漏洞扫描系统对操作系统、网络产品、安全产品、数据库和服务器进行漏洞检测和漏洞分析。对安全产品漏洞检测,防止安全产品自身存在安全隐患,防止黑客利用这些漏洞进入内部网或重要安全区域,对交换机、路由器设备进行漏洞扫描;对内部网服务器进行定期扫描,及时了解新的系统漏洞;对内部网的客户端进行漏洞扫描,防止内部网出现蠕虫病毒或其它利用系统漏洞的木马程序。
配置关键主机及涉密终端安全防护设备,即内网安全管理与审计系统,进行防病毒管理、桌面联网监控、客户端状态管理、设备注册、桌面安全审计、桌面补丁分发管理、桌面应用资源控制以及远程协助管理等安全控管。对客户端的注册表、进程、USB接口、串,并口、光驱、软驱等进行了控制,实现移动介质管理,非法外联、非法接入阻断等;对终端进行IP与MAC地址的绑定。
认证/授权/访问控制系统包括授权管理系统、应用访问控制系统、CA、RA和USBkey证书系统等,在专网中建立应用层整体的强身份认证体系,建立统一的、可控的用户管理机制,完成对信息的安全身份鉴别式访问。
安全设备管理平台是一种分布式、跨平台的安全防护设备的统一集中管理平台,它通过对网络设备、安全产品、服务器主机、数据库、Web服务等通用应用服务系统在运行过程中产生的日志、消息、状态等信息的实时采集以及收集管理员对主机的操作日志,在实时分析的基础上,发现各种异常行为并发出实时告警,并提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高安全等级。
信息系统各类服务器、客户端、邮件系统部署网络防病毒系统,实现全方位、多层次的病毒防护体系,做到病毒代码库统一升级。实现对病毒和恶意代码的侵入行为的有效防护。将病毒和恶意代码的查杀日志汇总给安全管理中心。
针对内部移动办公笔记本安装整盘保护系统,将安全登录与整盘保护系统与个人文件保险柜的配合使用,保证计算机运行全阶段的数据存储安全。加强对涉密文档控制管理,完善审批流程,实行分级使用管理,防止信息泄密,配置文档加密系统。
