引言

    對于政府機關、科研單位、企業、軍隊等單位，目前一般擁有自己的專用網絡，涉及的網絡業務信息類型往往包括公開非密、秘密（或商業秘密）、機密（或商業機密）等。不同的業務信息允許在不同的網絡環境下共享與交互，公開非密信息一般允許在因特網上交互，秘密和機密信息只能在獨立的自有局域網上交互，大部分單位涉及的秘密和機密信息也必須分開不同網絡運行。有的單位建設了幾套網絡同時運行，每個用戶會因業務信息密級不同配置2臺以上計算機來適應多套不同密級專用網絡使用。這種情況的出現勢必會造成網絡設備、光纖纖芯、服務器、用戶計算機等設備和資源的重復建設。因此，我們提出在多網合一基礎上來規劃不同級別的安全防護體系，實現同一網絡運行多密級網絡信息按需交互或隔離的規劃思路，并配置多密級的網絡安全設備，構建專網的安全防護系統。

1 規劃設計原則

    安全防護系統規劃設計過程中遵循以下原則：物 理隔離原則，即不得直接或間接連入因特網和絕密級網絡，必須實行物理隔離；分級管理原則，對網絡中處理、傳輸的信息進行分級保護，高密級信息不得流向低密級區域，低密級用戶不得訪問高密級信息：整體性原則，網絡安全防護體系規劃必須采取技術和管理相結合的安全保密措施，堅持思想教育、制度約束和技術管控“三管齊下”；動態性原則，網絡脆弱性的改變和威脅攻擊技術的發展，必須及時完善安全保密措施，對技術和設備的升級換代。

2 安全系統規劃

    網絡信息系統安全框架分為安全技術體系和安全管理體系兩個部分，這兩部分既相對獨立，又有機結合，形成整體安全框架。采用此框架體系，做到管理與技術結合，形成有機的安全體系。

    2.1安全技術體系規劃

    根據分域保護安全策略來規劃設計專網涉密安全體系，將其整個涉密信息系統劃分為多個安全域，對每個安全域分別采用相應的安全保護措施加以保護。在滿足業務、功能和地域等特性的同時，保證整體運行的可用性、保密性和完整性的基礎上，將專網涉密系統網絡劃分為服務區、非密級用戶區、秘密級用戶區、機密級用戶區等四大安全區域，服務區安全域分為公共服務區、秘密級應用服務區和機密級核心服務區。專網安全防護系統使用邏輯隔離方法進行信息定級，密業務由密子網承載，非涉密業務由明子網承載。非涉密業務指不涉密的公共信息服務或其它業務，應達到二級防護標準；涉密業務包括秘密和機密，秘密網應達到三級防護標準，機密網應達到四級防護標準。安全域定級為：公共服務區和非密用戶區定為非密；秘密級應用服務區和秘密級用戶區定為秘密：機密級核心服務區和機密級用戶區定為機密。

    2.2安全管理體系規劃

    根據GJB5612-2006《軍隊計算機信息系統安全保密防護要求及檢測評估方法》，建立一個完善的安全管理體系，安全管理體系包括組織機構、制度管理和人員管理三方面：組織機構下屬保密委員會、執行層，執行層下屬業務部門、安全保密領導小組和網絡管理中心；制度管理下屬人員職責、物理環境與設施安全管理、設備與介質管理、運行與開發安全管理、信息安全保密管理和獎懲培訓等相關制度管理；人員管理下屬保密教育、人員培訓、人員審查、簽定保密協議、崗位設置、人員考核和人員調離。它規定對信息安全系統進行管理的諸多方面內容，為信息安全提供管理方面的指導和支持。

3 專網安全防護系統實現

    通過對專網涉密信息系統的分析研究，從網絡運行安全、信息安全和安全保密管理等方面綜合考慮．依照等級化保護進行安全防護體系設計與實現，保證涉密網中傳輸數據信息的安全性、完整性、真實性及抗抵賴性，形成事前防護，事中安全檢測，事后審計取證于一體的安全防護體系，達到實體安全、應用安全、系統安全、管理安全，以滿足專網涉密信息系統安全防護要求。

    3.1安全防護系統功能與要求

    專用網絡安全防護系統的主要功能是保證專用網絡達到機密級防護要求。

    ①從網絡安全角度考慮應具備功能：與其他網絡實施物理隔離，不同部門之間應根據需要實施邏輯隔離措施，對用戶進行訪問控制；具有網絡防病毒措施，能通過網絡實時更新病毒庫；具有網上事件審計記錄能力；具有對違規事件進行監視、報警和控制處理的措施；向控制區域外傳輸信息應具有網絡加密措施防止信息的非法竊取和篡改；全網建立統一的身份認證體系；設立網絡安全管理中心，能夠對網絡的安全設備等資源進行管理，對用戶違規行為進行監控：交換機的端口、用戶計算機的MAC地址和IP地址三者綁定。

    ②從用戶安全角度考慮要求應具備功能：涉密網用戶采用專用部件認證；用戶計算機應安裝防病毒軟件并及時升級；用戶計算機的操作系統應及時安裝補丁程序；用戶計算機應關閉不需要的系統服務：用戶應有互不相同的用戶名和操作口令，保證身份唯一性；涉密網計算機禁止安裝無關應用軟件。

    ③從應用安全角度考慮要求應具備功能：應用系統軟件應及時安裝補丁程序；涉密信息的應用系統應具有對用戶進行身份認證、對信息進行細粒度授權訪問控制功能；公共信息服務器與涉密信息服務器分設，只提供專用服務；文電、業務處理等應用系統應具有簽名驗證、密級標識等功能：提供信息服務的WWW服務器具有網頁防篡改措施，防止對信息內容非法修改。

    3.2系統組成

    專網安全防護系統由防火墻、入侵檢測、網絡審計、漏洞掃描、內網安全管理與審計、認證/授權/訪問控制、安全設備管理平臺、整盤保護、文檔加密、防病毒等系統設備組成。拓撲示意圖如圖1所示。

    在非密、秘密、機密級安全域和服務器安全域等特定應用安全域利用分別配置防火墻設備進行邊界防護，設定嚴格訪問控制策略，對區域間通信進行審計，將日志信息及時傳遞給安全管理中心。

    入侵檢測系統對訪問應用服務器的連接進行深層檢測：對各級安全域的訪問會話進行監控，記錄訪問者的操作行為；與防火墻系統進行聯動，對非授權行為或攻擊事件進行自動阻斷，并進行記錄；將安全事件匯總給安全管理中心，支持全局統一審計要求。在核心和匯聚交換設備上部署網絡審計系統，對圖1 專網安全防護拓撲圖網絡行為進行審計，從網絡層進行流量審計、入侵審計、數據庫審計，監控網絡平臺正常運行，將安全事件匯總給安全管理中心。

圖1 專網安全防護拓撲圖

    漏洞掃描系統對操作系統、網絡產品、安全產品、數據庫和服務器進行漏洞檢測和漏洞分析。對安全產品漏洞檢測，防止安全產品自身存在安全隱患，防止黑客利用這些漏洞進入內部網或重要安全區域，對交換機、路由器設備進行漏洞掃描；對內部網服務器進行定期掃描，及時了解新的系統漏洞；對內部網的客戶端進行漏洞掃描，防止內部網出現蠕蟲病毒或其它利用系統漏洞的木馬程序。

    配置關鍵主機及涉密終端安全防護設備，即內網安全管理與審計系統，進行防病毒管理、桌面聯網監控、客戶端狀態管理、設備注冊、桌面安全審計、桌面補丁分發管理、桌面應用資源控制以及遠程協助管理等安全控管。對客戶端的注冊表、進程、USB接口、串，并口、光驅、軟驅等進行了控制，實現移動介質管理，非法外聯、非法接入阻斷等；對終端進行IP與MAC地址的綁定。

    認證／授權／訪問控制系統包括授權管理系統、應用訪問控制系統、CA、RA和USBkey證書系統等，在專網中建立應用層整體的強身份認證體系，建立統一的、可控的用戶管理機制，完成對信息的安全身份鑒別式訪問。

    安全設備管理平臺是一種分布式、跨平臺的安全防護設備的統一集中管理平臺，它通過對網絡設備、安全產品、服務器主機、數據庫、Web服務等通用應用服務系統在運行過程中產生的日志、消息、狀態等信息的實時采集以及收集管理員對主機的操作日志，在實時分析的基礎上，發現各種異常行為并發出實時告警，并提供對存儲的歷史日志數據進行數據挖掘和關聯分析，通過可視化的界面和報表向管理人員提供準確、詳盡的統計分析數據和異常分析報告，協助管理人員及時發現安全漏洞，采取有效措施，提高安全等級。

    信息系統各類服務器、客戶端、郵件系統部署網絡防病毒系統，實現全方位、多層次的病毒防護體系，做到病毒代碼庫統一升級。實現對病毒和惡意代碼的侵入行為的有效防護。將病毒和惡意代碼的查殺日志匯總給安全管理中心。

    針對內部移動辦公筆記本安裝整盤保護系統，將安全登錄與整盤保護系統與個人文件保險柜的配合使用，保證計算機運行全階段的數據存儲安全。加強對涉密文檔控制管理，完善審批流程，實行分級使用管理，防止信息泄密，配置文檔加密系統。

4 結束語

    專網安全防護系統的規劃設計中改變多個網絡孤立運行模式為一網整體防護運行模式，對網絡結構進行調整，節省多網重復建設投資，實現按權限登陸不同密級網絡，按權限訪問、控制與管理網絡信息，保證機密級用戶可以訪問專網所有信息，秘密級用戶可以訪問專網除機密信息外的所有信息，非密用戶只能訪問非密的公共服務信息。安全防護規劃還必須緊密結合網絡建設規模、技術體制、通信安全協議、信息分析與監控等具體實際適時調整策略，沒有固定應用模式，安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，網絡的安全機制與技術應不斷地發展變化。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：專網安全防護系統規劃設計

本文網址：http://www.guhuozai8.cn/html/consultation/1083956137.html