遠為企事業信息安全等級保護解決方案

1. 背景概述

國家高度重視信息安全保護工作,為了進一步提高信息安全的保障能力和防護水平。經黨中央和國務院批準,國家信息化領導小組決定加強信息安全保障工作,實行信息安全等級保護,重點保護基礎信息網絡和重要信息系統安全,要抓緊信息安全等級保護制度的建設。

《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)(以下簡稱《27號文件》)明確指出要“實行信息安全等級保護”。“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度。

對于國家某些重要企事業單位來說,其業務系統屬于國家基礎或重要信息系統,也應開展安全等級保護建設。

2. 安全需求分析

信息安全等級保護建設是一個量體裁衣的過程。應該先根據《信息系統安全等級保護定級指南》對信息系統進行安全等級定級,首先明確安全保護目標和要求。然后對被保護定級系統的信息安全現狀進行充分詳實的調研,將信息安全現狀與《信息系統安全等級保護基本要求》做差異性比對,明確被保護定級系統當前存在的安全風險和不合標項,明確安全建設需求。

3. 方案設計原則

◆ 適度安全原則

任何信息系統都不能做到絕對的安全,等級保護安全體系的設計,必須在安全需求、安全風險和安全成本之間進行平衡和折中,過低的安全保護無法滿足業務系統實際的安全要求;過高的安全保護則必然導致設計成本大幅增加,系統復雜性和運維、學習成本大幅提高,整個系統環境面臨的技術風險也同樣大幅提高。

◆ 重點保護原則

根據重要性程度的不同,有重點有針對性的進行安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的組件。

◆ 技術、管理并重原則

信息安全問題從來就不是單純的技術問題,把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的,僅通過部署安全產品很難完全保護定級系統規避所有面臨的安全風險和威脅,必須技術與管理相結合,通過管理手段對非法安全行為進行威懾,保證安全技術措施的落實和執行,這樣才能確保安全體系的有效性。

◆ 分區分域隔離保護原則

分區分域是信息安全保護的有效措施。根據業務功能、訪問行為、重要性程度以及安全需求等因素,通過安全隔離技術手段,將部門信息系統和學校信息系統劃分為不同的安全域,通過技術手段將不同的安全域進行安全隔離,對安全域之間的訪問行為進行隔離控制,能夠有效的提高重要信息資產的安全性。通過安全域的劃分,也可以防止非法訪問行為發生。

3. 遠為企事業信息安全等級保護解決方案
4.1安全建設后網絡拓撲圖
4.2解決方案關鍵安全措施綜述

基于遠為多網安全隔離系統的企事業信息安全等級保護解決方案中,在安全管理區部署遠為多網安全隔離系統的管理服務器,保證管理服務器和每一個需要接入定級系統的客戶終端在物理上連通。管理服務器上為每臺終端創建賬戶,并且根據不同的資源訪問權限構造不同的虛擬網絡,分別為辦公外網和辦公內網。管理服務器作為統一管理平臺對所有客戶端進行統一管理,通過統一的管理策略對網絡中的終端計算機進行統一管理,其實質是對網絡邊界的管理。 

在所有需要接入定級系統終端計算機上部署多網安全隔離系統客戶端,根據業務和安全需要將終端計算機虛擬成兩臺虛擬機(可根據業務復雜性要求創建多臺虛擬機),兩臺虛擬機分別為辦公外網虛擬機和辦公內網虛擬機。

在辦公內網的網絡邊界處部署多網安全隔離網關,網關能夠對訪問定級系統服務器的行為進行嚴格控制,只允許部署了多網安全隔離系統客戶端且設置為辦公內網的虛擬機才能夠訪問,有效保障定級系統應用服務器和數據庫服務器的安全。

通過安全策略配置,多網安全隔離網關對虛擬機終端訪問行為進行控制,辦公外網虛擬機只能夠訪問辦公外網中的網絡資源,辦公內網虛擬機只能訪問辦公內網中的網絡資源,實現辦公外網與辦公內網之間的安全隔離,對辦公內網中定級系統服務器的訪問行為受到嚴格控制,達到了對定級系統進行安全保護的目標。

訪問控制策略配置如下:

◆ 辦公外網虛擬機除不能訪問辦公內網資源外,其他網絡資源都可訪問(包括互聯網),同時外部設備不受管制;

◆ 辦公內網虛擬機只能訪問辦公內網內的資源(不能訪問互聯網),開放USB接口,光驅,串口,并口等外設,同時為了保障業務專網虛擬機的安全性,禁止其他外設(如,軟驅、藍牙、1394、SD卡接口、PCMCIA接口、紅外等。)

◆ 辦公內網和辦公外網之間相互隔離、相互獨立:

◆ 辦公外網虛擬機和辦公內網虛擬機之間完全隔離、完全獨立;

◆ 辦公外網和辦公內網的數據傳輸通道完全隔離、完全獨立。

4.3所需安全產品清單

編號

產品名稱

組件

安全性

說明

部署位置

1

遠為多網安全隔離系統

管理服務器

安全管理

安全管理區

客戶端

安全計算環境

業務終端

多網安全隔離網關

安全區域邊界

定級系統服務器區出口

2

其他安全產品

5. 方案優勢

◆ 符合國家要求

嚴格符合等級保護相關文件和技術標準要求。

◆ 項目容易落地

充分利用用戶現有信息網絡和硬件資源平臺,通過虛擬終端和虛擬網絡技術實現安全保護目標。不改變網絡拓撲,改造小 ,易落地。

◆ 用戶體驗極好

不改變用戶的使用習慣,不改變用戶已有的業務系統,實施簡單,使用方便,無需培訓,學習成本低。

◆ 全方位安全

本方案從終端、網絡到業務系統實現整體保護,無死角、無漏洞,完整覆蓋等級保護所有安全要求,能夠達到用戶安全建設預期和目標。

◆ 擴容極其簡單

可以將新的需要保護的定級系統或者更廣范圍的用戶群納入到遠為虛擬專網中即可,無需新的開發工作量,只需后臺簡單配置,施工簡單,經費節省,工期可控。

浙江体彩排列三开奖号码查询