专网安全防护系统实现
通过对专网涉密信息系统的分析研究,从网络运行安全、信息安全和安全保密管理等方面综合考虑。依照等级化保护进行安全防护体系设计与实现,保证涉密网中传输数据信息的安全性、完整性、真实性及抗抵赖性,形成事前防护,事中安全检测,事后审计取证于一体的安全防护体系,达到实体安全、应用安全、系统安全、管理安全,以满足专网涉密信息系统安全防护要求。
1安全防护系统功能与要求
专用网络安全防护系统的主要功能是保证专用网络达到机密级防护要求。
①从网络安全角度考虑应具备功能:与其他网络实施物理隔离,不同部门之间应根据需要实施逻辑隔离措施,对用户进行访问控制;具有网络防病毒措施,能通过网络实时更新病毒库;具有网上事件审计记录能力;具有对违规事件进行监视、报警和控制处理的措施;向控制区域外传输信息应具有网络加密措施防止信息的非法窃取和篡改;全网建立统一的身份认证体系;设立网络安全管理中心,能够对网络的安全设备等资源进行管理,对用户违规行为进行监控:交换机的端口、用户计算机的MAC地址和IP地址三者绑定。
②从用户安全角度考虑要求应具备功能:涉密网用户采用专用部件认证;用户计算机应安装防病毒软件并及时升级;用户计算机的操作系统应及时安装补丁程序;用户计算机应关闭不需要的系统服务:用户应有互不相同的用户名和操作口令,保证身份唯一性;涉密网计算机禁止安装无关应用软件。
③从应用安全角度考虑要求应具备功能:应用系统软件应及时安装补丁程序;涉密信息的应用系统应具有对用户进行身份认证、对信息进行细粒度授权访问控制功能;公共信息服务器与涉密信息服务器分设,只提供专用服务;文电、业务处理等应用系统应具有签名验证、密级标识等功能:提供信息服务的WWW服务器具有网页防篡改措施,防止对信息内容非法修改。
2系统组成
专网安全防护系统由防火墙、入侵检测、网络审计、漏洞扫描、内网安全管理与审计、认证/授权/访问控制、安全设备管理平台、整盘保护、文档加密、防病毒等系统设备组成。拓扑示意图如图1所示。
在非密、秘密、机密级安全域和服务器安全域等特定应用安全域利用分别配置防火墙设备进行边界防护,设定严格访问控制策略,对区域间通信进行审计,将日志信息及时传递给安全管理中心。
责编:孔维维
微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友