通過對專網涉密信息系統的分析研究,從網絡運行安全、信息安全和 安全保密管理等方面綜合考慮。依照等級化保護進行安全防護體系設計與實現,保證涉密網中傳輸數據信息的安全性、完整性、真實性及抗抵賴性,形成事前防護, 事中安全檢測,事後審計取證於一體的安全防護體系,達到實體安全、應用安全、系統安全、管理安全,以滿足專網涉密信息系統安全防護要求。
一、安全防護系統功能與要求
專網安全防護系統的主要功能是保證專用網絡達到機密級防護要求。
①從網絡安全角度考慮應具備功能:與其他網絡實施物理隔離,不同部門之間應根據需要實施邏輯隔離措施,對用戶進行訪問控制;具有網絡防病毒措施,能通過網 絡實時更新病毒庫;具有網上事件審計記錄能力;具有對違規事件進行監視、報警和控制處理的措施;向控制區域外傳輸信息應具有網絡加密措施防止信息的非法竊 取和篡改;全網建立統一的身份認證體系;設立網絡安全管理中心,能夠對網絡的安全設備等資源進行管理,對用戶違規行為進行監控:交換機的端口、用戶計算機的MAC地址和IP地址三者綁定。
②從用戶安全角度考慮要求應具備功能:涉密網用戶采用專用部件認證;用戶計算機應安裝防病毒軟件並及時升級;用戶計算機的操作系統應及時安裝補丁程序;用 戶計算機應關閉不需要的系統服務:用戶應有互不相同的用戶名和操作口令,保證身份唯一性;涉密網計算機禁止安裝無關應用軟件。
③從應用安全角度考慮要求應具備功能:應用系統軟件應及時安裝補丁程序;涉密信息的應用系統應具有對用戶進行身份認證、對信息進行細粒度授權訪問控制功能;公共信息服務器與涉密信息服務器分設,只提供專用服務;文電、業務處理等應用系統應具有簽名驗證、密級標識等功能:提供信息服務的WWW服務器具有網頁防篡改措施,防止對信息內容非法修改。
二、系統組成
專網安全防護系統由防火牆、入侵檢測、網絡審計、漏洞掃描、內網安全管理與審計、認證/授權/訪問控制、安全設備管理平台、整盤保護、文檔加密、防病毒等系統設備組成。拓撲示意圖如圖1所示。
在非密、秘密、機密級安全域和服務器安全域等特定應用安全域利用分別配置防火牆設備進行邊界防護,設定嚴格訪問控制策略,對區域間通信進行審計,將日志信息及時傳遞給安全管理中心。
入侵檢測系統對訪問應用服務器的連接進行深層檢測:對各級安全域的訪問會話進行監控,記錄訪問者的操作行為;與防火牆系統進行聯動,對非授權行為或攻擊事件進行自動阻斷,並進行記錄;將安全事件匯總給安全管理中心,支持全局統一審計要求。