安全保障体系首先应保证网络的安全、可靠运行,在此基础上保证应用系统和业务的保密性、完整性和高度的可用性,同时为将来的应用提供可扩展的空间。
1、涉密网络的建设背景及所面临的问题
1.1 涉密网的分级保护背景
国家保密局在1998年发布了《计算机信息系统保密管理暂行规定》,2006年又下发了《关于开展涉密信息系统分级保护工作的通知》,要求建立健全涉密信息系统分级保护制度,加强保密管理。由于涉密网络中信息设备是多种多样的,信息系统的规模也不同,不同的网络中存在着不同层次、不同级别的国家秘密信息,需要有不同强度的保护措施,因此涉密网络的安全策略的制定具有一定的复杂性
1.2 涉密网所面临的安全问题
(1)威胁:一些机器没有安装或更新,使用U盘在不同的机器之间拷贝文件,都会引起网上病毒威胁涉密信息网的正常运行。例如公安信息网上曾发生过四次大范围的病毒侵袭,造成公安信息网中断和系统瘫痪。
(2)“一机两用”问题:涉密信息系统作为国家的重要信息系统,势必成为境内外敌对势力进行窃密活动和攻击破坏的重要目标。但由于许多涉密单位的网络都分为内网(涉密)和外网(与相连),若不能有效解决涉密单位的电脑、网络的专用问题,涉密信息网将面临泄密和遭受攻击的威胁。
(3)网上缺乏相关的安全措施,影响了涉密信息系统的发展和信息共享。涉密信息网上要实施加密技术措施,使涉密信息可以在网上交换,同时保护级别高的涉密网要解决上网用户的身份认证和访问授权控制等问题。
(4)系统抵御能力较弱。许多涉密信息网上的业务没有建立完善的容份机制,一旦发生破坏或丢失将对相应的业务工作造成严重影响。
2、设计内容
借鉴美国国防部DISSP计划中的,图1表示的是适合较高级别的信息网络的安全体系结构模型,包括、协议层次和实体单元三个层面,并在每个层面都包含安全管理内容。
从安全服务层面来看,根据信息密级程度不同,涉密信息系统对安全服务的需求也不同。其中,向社会发布信息的应用系统要求保护数据的完整性,防止非授权用户篡改数据;对系统内部开放的信息和应用系统需要提供一定强度的认证手段和访问控制能力,并提供完善的审计机制;对业务部门内部使用的涉密系统,则需要实现多级安全访问控制机制和数据保密机制。
从实体单元角度来看,涉密网络与信息安全体系包含物理环境安全;端系统安全;网络安全;应用系统安全。
由此,涉密网络与信息安全体系的设计内容包括以下几方面内容:身份认证,网络安全,计算机系统安全,应用系统安全,安全管理体制。
图1体系结构
3、涉密网络的安全设计
3.1 广域网传输的保密性设计
传输涉密信息必须在租用的专线链路两端使用硬件加密/解密设备;在互连设备相邻节点间实行链路层连接认证;在信道中使用硬件加密机实现数据保密传输。
3.1.1 路由信息的安全交换
使用安全和安全的路由协议,利用密码技术实现路由器间相互认证,保证路由信息的真实性、完整性、保密性;
在每个管理域的边界,通过配置路由器或,使得只有源地址为该管理域合法地址的IP包可以离开该管理域。
3.1.2 网络管理系统的安全措施
网络管理系统需要严格的身份认证,特别是对于来自非控制台的用户,需要强制认证机制。不能在网络上明码传输口令;对不同网络管理员,根据其任务和角色提供不同级别的授权控制;对管理员的每次使用和对网络设备的操作,需要有完善的审计机制,以便于故障的恢复、责任的追查。
3.2 内部资源子网
资源子网或末梢网络主要指各级机关,资源包括主机及其所提供的服务,目标在于防止来自外部和内部的非法访问和攻击,采取的主要措施是物理和逻辑上的各种访问控制措施,辅助以实时监测手段。
3.2.1 网络资源的访问控制
内部网络资源的保护和访问控制首先依赖于合理的网络结构设计(特别是局域网),如利用合理的网段设置、局域网的虚网划分等手段实现广播域的隔离。
为防止来自外部的非授权访问和恶意攻击,主要采取防火墙的过滤技术和辅助以入侵监测技术,包括专用的包过滤设备、过滤路由器、以及应用层代理或应用。
3.2.2 按不同密级划分网段
不同密级的信息在与传输阶段应该在物理或逻辑上进行隔离。在局域网设计时,网段的划分与隔离应充分考虑网段信息的密级。
由于严格的物理隔离将造成使用不便、管理复杂,信息无法共享。因此,对不同密级信息的访问控制应该主要由应用系统来完成。
对于绝密信息,可以做特殊考虑。保存绝密信息的主机或网络可以在物理上与其他网络隔离。机要部门之间的传输媒体应该采用屏蔽电缆或光纤,端系统使用硬件加密机。
3.2.3 拨号用户接入与移动用户接入
由于拨号网络使用公用电话交换网,在网络上传输的机密信息存在被窃听、篡改等威胁,需要解决用户的认证问题,必须保障用户口令不在网络上以明码形式传输。
无线移动用户的接入与电话拨号用户的接入作同样的考虑。对于重要的应用和机密信息,信息的保密服务由上层协议来完成。
3.2.4 与公网的互连
涉密网络作为涉密系统的内部网络,从路由概念上讲不与公用网络互连。但有些单位为满足内部人员使用Internet和对社会的信息发布等需求,在信息中心建立了对外公众信息服务网。
公众信息服务网中不应该包含任何涉密信息,对公众信息服务网的安全需求主要是系统和服务的可用性、数据的完整性,通过加强系统安全、防火墙控制、安全监控等措施,防范黑客攻击和侵入、篡改信息。通过设置专用防火墙,拒绝外部网络对内的网络访问。同时在网关处安装流量分析和入侵检测设备,以便及时发络上的异常情况。
对外信息服务区和数据采集暂存区在与内部信息交换时可以连在内部网上,但在对外提供服务时必须与内部网络物理断开并采用经国家有关部门批准的安全隔离设备,保障安全。
4、涉密网络的安全保障技术建设
除了安全保障制度建设及信息系统的安全防护外,涉密网络安全保障技术的重点工作应体现在下述几方面:
4.1 建设CA身份认证系统及以密钥管理、密码工作管理和检测监控为主的涉密信息网络安全管理系统
身份认证与访问授权控制系统为每位上网用户配发电子身份证书,实现对每一个登录涉密信息网的用户进行身份的合法性验证,并根据用户的身份授予访问不同信息内容的权力。
4.2 涉密信息网安全监控系统
4.2.1 入侵检测子系统
入侵检测系统通过对网段内的数据包进行监测、分析,判断非法访问、攻击、入侵和窃取信息行为并报警。
4.2.2 敏感信息监控子系统
在涉密信息网上安装敏感信息检测子系统,实现对非法信息、泄密信息等进行监控、分析、通报甚至阻断,建立日常的运行管理、主题词库维护和人工干预工作机制。
4.2.3“一机两用”监控系统
通常我们讲的“一机两用”是指涉密网络使用的计算机及网络设备同时连接涉密信息网和国际互联网等其他外部网络,也包括断开涉密信息网后接入国际互联网或其他外部网络。
联入外网指的是使用一切手段和设备,包括使用、、无线网卡、蓝牙技术等或调制解调器、光端机、、传真机等有线设备直接或间接与外网相联。如果有违规连接,应能及时监测。
4.3 技术防范的措施建设
(1)内网防火墙:将内部子网(涉密网内的局域网)和公众网络(涉密信息网)分开的网络安全工具。
(2)防病毒(计算机病毒预警防范体系):通过在核心交换节点部署网络预警系统的病毒监测探针,实时检测和发现网络病毒,结合涉密信息网的IP地址规划和计算机注册定位信息,形成覆盖全网的网络病毒宏观分析、研判与协调处置系统,建立涉密信息网病毒预警和通报机制,及时处理紧急病毒爆发事件。
(3)防灾难(防灾备份系统):建立本地或异地的数据备份系统,对、系统和资源库进行防灾备份。
4.4 涉密网络的边界安全建设
涉密信息网的整体边界安全是安全保障工作的第一道防线。涉密信息网边界安全包括:
4.4.1 保障涉密信息网无线接入安全
建立、微波通信、移动通信等无线技术接入涉密信息网的审查和批准制度。制定无线接入涉密信息网的安全技术要求和规范标准,无线接入产品要备案登记。
4.4.2 保障涉密信息网的拨号接入安全
制定电话拨号方式接入涉密信息网的安全技术要求和规范标准。
5、结语
涉密网络的安全体系建设是一项复杂的系统工程,它不是简单的产品购买,也不仅仅是几张证书,而是一种机制。它与网络边界防护、网络身份认证和权限管理、内网监控与审计等技术都有的关联。