引言

    對于政府機(jī)關(guān)、科研單位、企業(yè)、軍隊(duì)等單位，目前一般擁有自己的專用網(wǎng)絡(luò)，涉及的網(wǎng)絡(luò)業(yè)務(wù)信息類型往往包括公開非密、秘密（或商業(yè)秘密）、機(jī)密（或商業(yè)機(jī)密）等。不同的業(yè)務(wù)信息允許在不同的網(wǎng)絡(luò)環(huán)境下共享與交互，公開非密信息一般允許在因特網(wǎng)上交互，秘密和機(jī)密信息只能在獨(dú)立的自有局域網(wǎng)上交互，大部分單位涉及的秘密和機(jī)密信息也必須分開不同網(wǎng)絡(luò)運(yùn)行。有的單位建設(shè)了幾套網(wǎng)絡(luò)同時運(yùn)行，每個用戶會因業(yè)務(wù)信息密級不同配置2臺以上計(jì)算機(jī)來適應(yīng)多套不同密級專用網(wǎng)絡(luò)使用。這種情況的出現(xiàn)勢必會造成網(wǎng)絡(luò)設(shè)備、光纖纖芯、服務(wù)器、用戶計(jì)算機(jī)等設(shè)備和資源的重復(fù)建設(shè)。因此，我們提出在多網(wǎng)合一基礎(chǔ)上來規(guī)劃不同級別的安全防護(hù)體系，實(shí)現(xiàn)同一網(wǎng)絡(luò)運(yùn)行多密級網(wǎng)絡(luò)信息按需交互或隔離的規(guī)劃思路，并配置多密級的網(wǎng)絡(luò)安全設(shè)備，構(gòu)建專網(wǎng)的安全防護(hù)系統(tǒng)。

1 規(guī)劃設(shè)計(jì)原則

    安全防護(hù)系統(tǒng)規(guī)劃設(shè)計(jì)過程中遵循以下原則：物 理隔離原則，即不得直接或間接連入因特網(wǎng)和絕密級網(wǎng)絡(luò)，必須實(shí)行物理隔離；分級管理原則，對網(wǎng)絡(luò)中處理、傳輸?shù)男畔⑦M(jìn)行分級保護(hù)，高密級信息不得流向低密級區(qū)域，低密級用戶不得訪問高密級信息：整體性原則，網(wǎng)絡(luò)安全防護(hù)體系規(guī)劃必須采取技術(shù)和管理相結(jié)合的安全保密措施，堅(jiān)持思想教育、制度約束和技術(shù)管控“三管齊下”；動態(tài)性原則，網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，必須及時完善安全保密措施，對技術(shù)和設(shè)備的升級換代。

2 安全系統(tǒng)規(guī)劃

    網(wǎng)絡(luò)信息系統(tǒng)安全框架分為安全技術(shù)體系和安全管理體系兩個部分，這兩部分既相對獨(dú)立，又有機(jī)結(jié)合，形成整體安全框架。采用此框架體系，做到管理與技術(shù)結(jié)合，形成有機(jī)的安全體系。

    2.1安全技術(shù)體系規(guī)劃

    根據(jù)分域保護(hù)安全策略來規(guī)劃設(shè)計(jì)專網(wǎng)涉密安全體系，將其整個涉密信息系統(tǒng)劃分為多個安全域，對每個安全域分別采用相應(yīng)的安全保護(hù)措施加以保護(hù)。在滿足業(yè)務(wù)、功能和地域等特性的同時，保證整體運(yùn)行的可用性、保密性和完整性的基礎(chǔ)上，將專網(wǎng)涉密系統(tǒng)網(wǎng)絡(luò)劃分為服務(wù)區(qū)、非密級用戶區(qū)、秘密級用戶區(qū)、機(jī)密級用戶區(qū)等四大安全區(qū)域，服務(wù)區(qū)安全域分為公共服務(wù)區(qū)、秘密級應(yīng)用服務(wù)區(qū)和機(jī)密級核心服務(wù)區(qū)。專網(wǎng)安全防護(hù)系統(tǒng)使用邏輯隔離方法進(jìn)行信息定級，密業(yè)務(wù)由密子網(wǎng)承載，非涉密業(yè)務(wù)由明子網(wǎng)承載。非涉密業(yè)務(wù)指不涉密的公共信息服務(wù)或其它業(yè)務(wù)，應(yīng)達(dá)到二級防護(hù)標(biāo)準(zhǔn)；涉密業(yè)務(wù)包括秘密和機(jī)密，秘密網(wǎng)應(yīng)達(dá)到三級防護(hù)標(biāo)準(zhǔn)，機(jī)密網(wǎng)應(yīng)達(dá)到四級防護(hù)標(biāo)準(zhǔn)。安全域定級為：公共服務(wù)區(qū)和非密用戶區(qū)定為非密；秘密級應(yīng)用服務(wù)區(qū)和秘密級用戶區(qū)定為秘密：機(jī)密級核心服務(wù)區(qū)和機(jī)密級用戶區(qū)定為機(jī)密。

    2.2安全管理體系規(guī)劃

    根據(jù)GJB5612-2006《軍隊(duì)計(jì)算機(jī)信息系統(tǒng)安全保密防護(hù)要求及檢測評估方法》，建立一個完善的安全管理體系，安全管理體系包括組織機(jī)構(gòu)、制度管理和人員管理三方面：組織機(jī)構(gòu)下屬保密委員會、執(zhí)行層，執(zhí)行層下屬業(yè)務(wù)部門、安全保密領(lǐng)導(dǎo)小組和網(wǎng)絡(luò)管理中心；制度管理下屬人員職責(zé)、物理環(huán)境與設(shè)施安全管理、設(shè)備與介質(zhì)管理、運(yùn)行與開發(fā)安全管理、信息安全保密管理和獎懲培訓(xùn)等相關(guān)制度管理；人員管理下屬保密教育、人員培訓(xùn)、人員審查、簽定保密協(xié)議、崗位設(shè)置、人員考核和人員調(diào)離。它規(guī)定對信息安全系統(tǒng)進(jìn)行管理的諸多方面內(nèi)容，為信息安全提供管理方面的指導(dǎo)和支持。

3 專網(wǎng)安全防護(hù)系統(tǒng)實(shí)現(xiàn)

    通過對專網(wǎng)涉密信息系統(tǒng)的分析研究，從網(wǎng)絡(luò)運(yùn)行安全、信息安全和安全保密管理等方面綜合考慮．依照等級化保護(hù)進(jìn)行安全防護(hù)體系設(shè)計(jì)與實(shí)現(xiàn)，保證涉密網(wǎng)中傳輸數(shù)據(jù)信息的安全性、完整性、真實(shí)性及抗抵賴性，形成事前防護(hù)，事中安全檢測，事后審計(jì)取證于一體的安全防護(hù)體系，達(dá)到實(shí)體安全、應(yīng)用安全、系統(tǒng)安全、管理安全，以滿足專網(wǎng)涉密信息系統(tǒng)安全防護(hù)要求。

    3.1安全防護(hù)系統(tǒng)功能與要求

    專用網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的主要功能是保證專用網(wǎng)絡(luò)達(dá)到機(jī)密級防護(hù)要求。

    ①從網(wǎng)絡(luò)安全角度考慮應(yīng)具備功能：與其他網(wǎng)絡(luò)實(shí)施物理隔離，不同部門之間應(yīng)根據(jù)需要實(shí)施邏輯隔離措施，對用戶進(jìn)行訪問控制；具有網(wǎng)絡(luò)防病毒措施，能通過網(wǎng)絡(luò)實(shí)時更新病毒庫；具有網(wǎng)上事件審計(jì)記錄能力；具有對違規(guī)事件進(jìn)行監(jiān)視、報警和控制處理的措施；向控制區(qū)域外傳輸信息應(yīng)具有網(wǎng)絡(luò)加密措施防止信息的非法竊取和篡改；全網(wǎng)建立統(tǒng)一的身份認(rèn)證體系；設(shè)立網(wǎng)絡(luò)安全管理中心，能夠?qū)�網(wǎng)絡(luò)的安全設(shè)備等資源進(jìn)行管理，對用戶違規(guī)行為進(jìn)行監(jiān)控：交換機(jī)的端口、用戶計(jì)算機(jī)的MAC地址和IP地址三者綁定。

    ②從用戶安全角度考慮要求應(yīng)具備功能：涉密網(wǎng)用戶采用專用部件認(rèn)證；用戶計(jì)算機(jī)應(yīng)安裝防病毒軟件并及時升級；用戶計(jì)算機(jī)的操作系統(tǒng)應(yīng)及時安裝補(bǔ)丁程序；用戶計(jì)算機(jī)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)：用戶應(yīng)有互不相同的用戶名和操作口令，保證身份唯一性；涉密網(wǎng)計(jì)算機(jī)禁止安裝無關(guān)應(yīng)用軟件。

    ③從應(yīng)用安全角度考慮要求應(yīng)具備功能：應(yīng)用系統(tǒng)軟件應(yīng)及時安裝補(bǔ)丁程序；涉密信息的應(yīng)用系統(tǒng)應(yīng)具有對用戶進(jìn)行身份認(rèn)證、對信息進(jìn)行細(xì)粒度授權(quán)訪問控制功能；公共信息服務(wù)器與涉密信息服務(wù)器分設(shè)，只提供專用服務(wù)；文電、業(yè)務(wù)處理等應(yīng)用系統(tǒng)應(yīng)具有簽名驗(yàn)證、密級標(biāo)識等功能：提供信息服務(wù)的WWW服務(wù)器具有網(wǎng)頁防篡改措施，防止對信息內(nèi)容非法修改。

    3.2系統(tǒng)組成

    專網(wǎng)安全防護(hù)系統(tǒng)由防火墻、入侵檢測、網(wǎng)絡(luò)審計(jì)、漏洞掃描、內(nèi)網(wǎng)安全管理與審計(jì)、認(rèn)證/授權(quán)/訪問控制、安全設(shè)備管理平臺、整盤保護(hù)、文檔加密、防病毒等系統(tǒng)設(shè)備組成。拓?fù)涫疽鈭D如圖1所示。

    在非密、秘密、機(jī)密級安全域和服務(wù)器安全域等特定應(yīng)用安全域利用分別配置防火墻設(shè)備進(jìn)行邊界防護(hù)，設(shè)定嚴(yán)格訪問控制策略，對區(qū)域間通信進(jìn)行審計(jì)，將日志信息及時傳遞給安全管理中心。

    入侵檢測系統(tǒng)對訪問應(yīng)用服務(wù)器的連接進(jìn)行深層檢測：對各級安全域的訪問會話進(jìn)行監(jiān)控，記錄訪問者的操作行為；與防火墻系統(tǒng)進(jìn)行聯(lián)動，對非授權(quán)行為或攻擊事件進(jìn)行自動阻斷，并進(jìn)行記錄；將安全事件匯總給安全管理中心，支持全局統(tǒng)一審計(jì)要求。在核心和匯聚交換設(shè)備上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對圖1 專網(wǎng)安全防護(hù)拓?fù)鋱D網(wǎng)絡(luò)行為進(jìn)行審計(jì)，從網(wǎng)絡(luò)層進(jìn)行流量審計(jì)、入侵審計(jì)、數(shù)據(jù)庫審計(jì)，監(jiān)控網(wǎng)絡(luò)平臺正常運(yùn)行，將安全事件匯總給安全管理中心。

圖1 專網(wǎng)安全防護(hù)拓?fù)鋱D

    漏洞掃描系統(tǒng)對操作系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、數(shù)據(jù)庫和服務(wù)器進(jìn)行漏洞檢測和漏洞分析。對安全產(chǎn)品漏洞檢測，防止安全產(chǎn)品自身存在安全隱患，防止黑客利用這些漏洞進(jìn)入內(nèi)部網(wǎng)或重要安全區(qū)域，對交換機(jī)、路由器設(shè)備進(jìn)行漏洞掃描；對內(nèi)部網(wǎng)服務(wù)器進(jìn)行定期掃描，及時了解新的系統(tǒng)漏洞；對內(nèi)部網(wǎng)的客戶端進(jìn)行漏洞掃描，防止內(nèi)部網(wǎng)出現(xiàn)蠕蟲病毒或其它利用系統(tǒng)漏洞的木馬程序。

    配置關(guān)鍵主機(jī)及涉密終端安全防護(hù)設(shè)備，即內(nèi)網(wǎng)安全管理與審計(jì)系統(tǒng)，進(jìn)行防病毒管理、桌面聯(lián)網(wǎng)監(jiān)控、客戶端狀態(tài)管理、設(shè)備注冊、桌面安全審計(jì)、桌面補(bǔ)丁分發(fā)管理、桌面應(yīng)用資源控制以及遠(yuǎn)程協(xié)助管理等安全控管。對客戶端的注冊表、進(jìn)程、USB接口、串，并口、光驅(qū)、軟驅(qū)等進(jìn)行了控制，實(shí)現(xiàn)移動介質(zhì)管理，非法外聯(lián)、非法接入阻斷等；對終端進(jìn)行IP與MAC地址的綁定。

    認(rèn)證／授權(quán)／訪問控制系統(tǒng)包括授權(quán)管理系統(tǒng)、應(yīng)用訪問控制系統(tǒng)、CA、RA和USBkey證書系統(tǒng)等，在專網(wǎng)中建立應(yīng)用層整體的強(qiáng)身份認(rèn)證體系，建立統(tǒng)一的、可控的用戶管理機(jī)制，完成對信息的安全身份鑒別式訪問。

    安全設(shè)備管理平臺是一種分布式、跨平臺的安全防護(hù)設(shè)備的統(tǒng)一集中管理平臺，它通過對網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、服務(wù)器主機(jī)、數(shù)據(jù)庫、Web服務(wù)等通用應(yīng)用服務(wù)系統(tǒng)在運(yùn)行過程中產(chǎn)生的日志、消息、狀態(tài)等信息的實(shí)時采集以及收集管理員對主機(jī)的操作日志，在實(shí)時分析的基礎(chǔ)上，發(fā)現(xiàn)各種異常行為并發(fā)出實(shí)時告警，并提供對存儲的歷史日志數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，通過可視化的界面和報表向管理人員提供準(zhǔn)確、詳盡的統(tǒng)計(jì)分析數(shù)據(jù)和異常分析報告，協(xié)助管理人員及時發(fā)現(xiàn)安全漏洞，采取有效措施，提高安全等級。

    信息系統(tǒng)各類服務(wù)器、客戶端、郵件系統(tǒng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)全方位、多層次的病毒防護(hù)體系，做到病毒代碼庫統(tǒng)一升級。實(shí)現(xiàn)對病毒和惡意代碼的侵入行為的有效防護(hù)。將病毒和惡意代碼的查殺日志匯總給安全管理中心。

    針對內(nèi)部移動辦公筆記本安裝整盤保護(hù)系統(tǒng)，將安全登錄與整盤保護(hù)系統(tǒng)與個人文件保險柜的配合使用，保證計(jì)算機(jī)運(yùn)行全階段的數(shù)據(jù)存儲安全。加強(qiáng)對涉密文檔控制管理，完善審批流程，實(shí)行分級使用管理，防止信息泄密，配置文檔加密系統(tǒng)。

4 結(jié)束語

    專網(wǎng)安全防護(hù)系統(tǒng)的規(guī)劃設(shè)計(jì)中改變多個網(wǎng)絡(luò)孤立運(yùn)行模式為一網(wǎng)整體防護(hù)運(yùn)行模式，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，節(jié)省多網(wǎng)重復(fù)建設(shè)投資，實(shí)現(xiàn)按權(quán)限登陸不同密級網(wǎng)絡(luò)，按權(quán)限訪問、控制與管理網(wǎng)絡(luò)信息，保證機(jī)密級用戶可以訪問專網(wǎng)所有信息，秘密級用戶可以訪問專網(wǎng)除機(jī)密信息外的所有信息，非密用戶只能訪問非密的公共服務(wù)信息。安全防護(hù)規(guī)劃還必須緊密結(jié)合網(wǎng)絡(luò)建設(shè)規(guī)模、技術(shù)體制、通信安全協(xié)議、信息分析與監(jiān)控等具體實(shí)際適時調(diào)整策略，沒有固定應(yīng)用模式，安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)應(yīng)不斷地發(fā)展變化。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/

本文標(biāo)題：專網(wǎng)安全防護(hù)系統(tǒng)規(guī)劃設(shè)計(jì)

本文網(wǎng)址：http://www.vmgcyvh.cn/html/consultation/1083956137.html