论文部分内容阅读
[摘要]信息系统的安全问题在伊犁河水利工程中伴随着网络的日益普及而变得越发突出。信息安全保护技术可以满足国际河流水利工程在日常办公中进行集中控制、统一管理的需要。本文就信息安全保护技术在水利工程中的系统设计、目标实现、系统结构、方案部署等方面进行了详细论述。
[关键词]专用网络 信息安全 权限划分 集中管理
[中图分类号]C931.6 [文献标识码]B [文章编号]1672-5158(2013)06-0319-01
1、前言
伊犁河是一条跨境内陆河流,伊犁河建管局承担伊犁河流域内的水利、水电工程建设、管理、运营任务。在当前和平与发展的国际形势下,抓紧时间搞好伊犁河流域水利建设项目,是促进伊犁地区经济发展,保证国家安全和利益的大事。
伊犁河建管局自2001年开始在伊犁河进行水利工程建设,随着建设项目增多,组织机构健全,工作人员增加,管理工作呈现点多、线长、面广的特点,管理机构分布在乌鲁木齐市、伊宁市、伊宁县、巩留县、察布查尔县境内,建设过程中管理工作涉及到多方面的单位和人员,从而加大了建设管理的难度。在这种情况下,应用计算机信息网络技术建设伊犁河建管局专用信息网络(即:现有办公内网),是各项建设管理工作得以正常、高效开展的必备条件。
2、专用信息网络现状及存在的问题
2,1现状
伊犁河建管局专用信息网络于2006年明建成,由于专用信息网络是为全局运行管理服务的,全网独立运行,与互联网没有设置接口。目前,内网通讯系统、远控系统、水情系统、综合管理系统、办公系统、网站系统、邮件系统等业务应用均在此专用信息网中运行,其中部分系统处理、流转着涉密信息和单位内部重要的工作信息,对这些涉密信息和重要工作信息的保护措施是采用防火墙做逻辑隔离。
2.2 存在的问题
1)伊犁河建管局现有专用信息网络是一张非涉密网络,在此网络上运行有涉密信息,这是不符合BMB-16《涉及国家秘密的信息系统分保护管理办法》中规定的“不涉及国家秘密的信息系统不得处理国家秘密信息”;
2)伊犁河建管局现有专用信息网络的安全防护技术措施,不符合BMB-17《涉及国家秘密的信息系统分级保护技术要求》中规定的“涉密信息系统与非涉密信息系统之间,要求物理隔离;涉密信息在远距离传送时,要求加密传送;涉密信息系统中的信息应有相应的密级标识,所有信息通信时应安全可控等等”;
3)伊犁河建管局现有专用信息网络所涉及的用户面太广,如:内部人员、设计单位、监理单位、施工单位,这些用户都可以接人到现有网络并能访问内部网站,易造成涉密信息和内部重要工作信息外泄的风险;
4)伊犁河建管局现有专用信息网络运行的应用系统,没有做分类分级的防护控制,内部用户也未做分类分级的角色划分,从而导致涉密信息和内部重要工作信息所能接触到的人数众多,易造成涉密信息和内部重要工作信息外泄的风险;
5)伊犁河建管局现有专用信息网络内部,没有统一身份认证和行为审计系统,在出现涉密信息和内部重要工作信息外泄事件时,难以取证和追查;
6)伊犁河建管局现有专用信息网络内部,工作终端使用没有单一化,部分终端存在一机多用(即用于内网办公,又用于外网访问互联网),易造成内部信息外泄到互联网上。
伊犁河建管局现有专用信息网络,还存在一些其他的问题,在此就不——赘述了,针对上述存在的问题,局领导和信息管理者应该重视起来,拿出相应的解决办法,消除存在的问题,使此专用信息网络更好地服务于生产管理,更好地服务于信息保密工作。
3、解决方案
以国家相关标准和规范为依据,结合伊犁河建管局专用信息网络现状和实际工作需要,在综合分析的基础上给出如下解决方案,供局领导决策:
按照非涉密网的方式对现有专用信息网络进行安全改造,使其具备一定等级的安全防护功能,其组网示意图如图1所示。通过本次安全改造,最终将实现专用信息网络上的网络接人安全、终端安全、信息安全,并通过本次安全改造,规范专用信息网络内用户的上网行为,增强专用信息网络内用户的安全防护意识及能力。
专用信息网络是一张相对独立的网络,这张网络不与任何网络(尤其是互联网)有着物理连接,将专用信息网络划分成三个安全区域,即服务器安全区域、安全管理安全区域、用户终端安全区域,三个区域之间安全级别由高到低,依次为:服务器安全区域、安全管理安全区域、用户终端安全区域。因专用信息网络上的信息还是有需要提供给外部网络使用,同时外部网络上有些信息还是有需要提供专用网络使用,这是实际需求,从安全的角度出发,将在每个用户终端安全区域部署1台中转机,实现图1所示的手动信息交换(可通过U盘、光盘等移动存储介质)。
终端安全管理是一个复杂的问题,通常一个组织中的终端地理位置分散,用户水平参差不齐,承载业务不同,安全需求各异,这就决定了终端安全建设的复杂性和多元性,要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全管理策略,既不能搞一刀切,也不能对用户放任自流,缺乏控管。显然局部的、简单的、被动的防护不足以解决问题,要想解决终端安全问题,需要建立统一管理的终端安全整体防护系统,全面管理终端安全。终端安全管理还要符合安全等级保护的要求,根据不同的安全等级保护的要求制定切合实际的终端安全管理的制度,必须克服两种极端的错误认识:终端安全管理越严格越好;终端安全管理不好部署,容易得罪领导和同事,因此放任自流。
4、应用效果
伊犁河建管局涉密信息系统实现以下效果:
1)对操作系统,非法用户“进不来”
系统通过在硬件USBKey中存储用户身份识别的唯一标识,对用户登录系统进行身份认证,使得系统登录与硬件Key紧密捆绑,实现了非法用户“进不来”系统。
2)对有效信息,非法用户“拿不走”
系统通过四级用户权限管理、自主和强制双重存取控制,以及存储设备安全管理,防止了越权操作、非法访问文件和一切移动存储设备如软盘、移动硬盘、优盘等的非法文件拷贝,实现了非法用户“拿不走”有效信息。
3)对有效信息,非法用户“看不懂”
系统通过加密存储数据和程序代码,防止了敏感明文信息的外泄,实现了非法用户“读不懂”有效信息。加、解密过程对用户透明,无须对现有的应用平台进行任何的改动;加、解密过程动态进行,保证了硬盘上任何时刻存放的敏感数据都是密文,即使是意外断电,也不会导致明文信息的外泄。
4)非法用户作案后“跑不了”
系统通过严密审计跟踪受控资源的使用情况,实现了非法用户只要作案,一定“跑不了”,便于追查责任事故。
5)被保护设备“不怕丢”
系统通过硬件Key保存用户身份识别标识、用户权限信息、文件密级信息以及加密密钥,使得你若没有Key是无法从终端设备获得有效信息的,实现了被保护设备“不怕丢”。
5、结束语
信息安全防护技术的实现是在现有专用信息网络上进行的,为了减少实施对现有应用的影响,采用分步骤分阶段的实施思路。应将专用信息网用户终端安全防护作为整个网络安全防护的重点,做好终端“堵漏、防毒、筑墙”工作,部署终端安全管理系统,配置可信终端。只有这样,才能从源头上、根本上保障专用信息网的信息安全。
参考文献
[1]袁家政,计算机网络安全与应用技术[M],北京:清华大学出版社,2002,35-76
[2]王风领,计算机网络安全技术与防范策略分析[J]计算机安全,2010(3)
[关键词]专用网络 信息安全 权限划分 集中管理
[中图分类号]C931.6 [文献标识码]B [文章编号]1672-5158(2013)06-0319-01
1、前言
伊犁河是一条跨境内陆河流,伊犁河建管局承担伊犁河流域内的水利、水电工程建设、管理、运营任务。在当前和平与发展的国际形势下,抓紧时间搞好伊犁河流域水利建设项目,是促进伊犁地区经济发展,保证国家安全和利益的大事。
伊犁河建管局自2001年开始在伊犁河进行水利工程建设,随着建设项目增多,组织机构健全,工作人员增加,管理工作呈现点多、线长、面广的特点,管理机构分布在乌鲁木齐市、伊宁市、伊宁县、巩留县、察布查尔县境内,建设过程中管理工作涉及到多方面的单位和人员,从而加大了建设管理的难度。在这种情况下,应用计算机信息网络技术建设伊犁河建管局专用信息网络(即:现有办公内网),是各项建设管理工作得以正常、高效开展的必备条件。
2、专用信息网络现状及存在的问题
2,1现状
伊犁河建管局专用信息网络于2006年明建成,由于专用信息网络是为全局运行管理服务的,全网独立运行,与互联网没有设置接口。目前,内网通讯系统、远控系统、水情系统、综合管理系统、办公系统、网站系统、邮件系统等业务应用均在此专用信息网中运行,其中部分系统处理、流转着涉密信息和单位内部重要的工作信息,对这些涉密信息和重要工作信息的保护措施是采用防火墙做逻辑隔离。
2.2 存在的问题
1)伊犁河建管局现有专用信息网络是一张非涉密网络,在此网络上运行有涉密信息,这是不符合BMB-16《涉及国家秘密的信息系统分保护管理办法》中规定的“不涉及国家秘密的信息系统不得处理国家秘密信息”;
2)伊犁河建管局现有专用信息网络的安全防护技术措施,不符合BMB-17《涉及国家秘密的信息系统分级保护技术要求》中规定的“涉密信息系统与非涉密信息系统之间,要求物理隔离;涉密信息在远距离传送时,要求加密传送;涉密信息系统中的信息应有相应的密级标识,所有信息通信时应安全可控等等”;
3)伊犁河建管局现有专用信息网络所涉及的用户面太广,如:内部人员、设计单位、监理单位、施工单位,这些用户都可以接人到现有网络并能访问内部网站,易造成涉密信息和内部重要工作信息外泄的风险;
4)伊犁河建管局现有专用信息网络运行的应用系统,没有做分类分级的防护控制,内部用户也未做分类分级的角色划分,从而导致涉密信息和内部重要工作信息所能接触到的人数众多,易造成涉密信息和内部重要工作信息外泄的风险;
5)伊犁河建管局现有专用信息网络内部,没有统一身份认证和行为审计系统,在出现涉密信息和内部重要工作信息外泄事件时,难以取证和追查;
6)伊犁河建管局现有专用信息网络内部,工作终端使用没有单一化,部分终端存在一机多用(即用于内网办公,又用于外网访问互联网),易造成内部信息外泄到互联网上。
伊犁河建管局现有专用信息网络,还存在一些其他的问题,在此就不——赘述了,针对上述存在的问题,局领导和信息管理者应该重视起来,拿出相应的解决办法,消除存在的问题,使此专用信息网络更好地服务于生产管理,更好地服务于信息保密工作。
3、解决方案
以国家相关标准和规范为依据,结合伊犁河建管局专用信息网络现状和实际工作需要,在综合分析的基础上给出如下解决方案,供局领导决策:
按照非涉密网的方式对现有专用信息网络进行安全改造,使其具备一定等级的安全防护功能,其组网示意图如图1所示。通过本次安全改造,最终将实现专用信息网络上的网络接人安全、终端安全、信息安全,并通过本次安全改造,规范专用信息网络内用户的上网行为,增强专用信息网络内用户的安全防护意识及能力。
专用信息网络是一张相对独立的网络,这张网络不与任何网络(尤其是互联网)有着物理连接,将专用信息网络划分成三个安全区域,即服务器安全区域、安全管理安全区域、用户终端安全区域,三个区域之间安全级别由高到低,依次为:服务器安全区域、安全管理安全区域、用户终端安全区域。因专用信息网络上的信息还是有需要提供给外部网络使用,同时外部网络上有些信息还是有需要提供专用网络使用,这是实际需求,从安全的角度出发,将在每个用户终端安全区域部署1台中转机,实现图1所示的手动信息交换(可通过U盘、光盘等移动存储介质)。
终端安全管理是一个复杂的问题,通常一个组织中的终端地理位置分散,用户水平参差不齐,承载业务不同,安全需求各异,这就决定了终端安全建设的复杂性和多元性,要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全管理策略,既不能搞一刀切,也不能对用户放任自流,缺乏控管。显然局部的、简单的、被动的防护不足以解决问题,要想解决终端安全问题,需要建立统一管理的终端安全整体防护系统,全面管理终端安全。终端安全管理还要符合安全等级保护的要求,根据不同的安全等级保护的要求制定切合实际的终端安全管理的制度,必须克服两种极端的错误认识:终端安全管理越严格越好;终端安全管理不好部署,容易得罪领导和同事,因此放任自流。
4、应用效果
伊犁河建管局涉密信息系统实现以下效果:
1)对操作系统,非法用户“进不来”
系统通过在硬件USBKey中存储用户身份识别的唯一标识,对用户登录系统进行身份认证,使得系统登录与硬件Key紧密捆绑,实现了非法用户“进不来”系统。
2)对有效信息,非法用户“拿不走”
系统通过四级用户权限管理、自主和强制双重存取控制,以及存储设备安全管理,防止了越权操作、非法访问文件和一切移动存储设备如软盘、移动硬盘、优盘等的非法文件拷贝,实现了非法用户“拿不走”有效信息。
3)对有效信息,非法用户“看不懂”
系统通过加密存储数据和程序代码,防止了敏感明文信息的外泄,实现了非法用户“读不懂”有效信息。加、解密过程对用户透明,无须对现有的应用平台进行任何的改动;加、解密过程动态进行,保证了硬盘上任何时刻存放的敏感数据都是密文,即使是意外断电,也不会导致明文信息的外泄。
4)非法用户作案后“跑不了”
系统通过严密审计跟踪受控资源的使用情况,实现了非法用户只要作案,一定“跑不了”,便于追查责任事故。
5)被保护设备“不怕丢”
系统通过硬件Key保存用户身份识别标识、用户权限信息、文件密级信息以及加密密钥,使得你若没有Key是无法从终端设备获得有效信息的,实现了被保护设备“不怕丢”。
5、结束语
信息安全防护技术的实现是在现有专用信息网络上进行的,为了减少实施对现有应用的影响,采用分步骤分阶段的实施思路。应将专用信息网用户终端安全防护作为整个网络安全防护的重点,做好终端“堵漏、防毒、筑墙”工作,部署终端安全管理系统,配置可信终端。只有这样,才能从源头上、根本上保障专用信息网的信息安全。
参考文献
[1]袁家政,计算机网络安全与应用技术[M],北京:清华大学出版社,2002,35-76
[2]王风领,计算机网络安全技术与防范策略分析[J]计算机安全,2010(3)