某市機要系統(tǒng)信息安全解決方案

某市機要系統(tǒng)信息安全解決方案某市機要系統(tǒng)信息安全解決方案某市機要系統(tǒng)信息安全解決方案資料僅供參考文件編號：2022年4月某市機要系統(tǒng)信息安全解決方案版本號：A修改號：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：某市機要系統(tǒng)信息安全解決方案講解背景概述機要局是政府部門核心的保密部門，掌管國家最重要的信息傳遞通道，是國家重要文件傳輸?shù)闹饕緩?。隨著信息化程度的提高，全國各地機要系統(tǒng)開始進(jìn)行信息化改造，利用信息網(wǎng)絡(luò)進(jìn)行機要信息的傳遞，提高信息傳遞的速度，減少紙張開銷等機要交通等成本。某市機要局相應(yīng)國家信息化的號召，進(jìn)行了信息網(wǎng)絡(luò)的改造，在整個地級市的機要系統(tǒng)建設(shè)了機要公文傳遞管理系統(tǒng)。該機要網(wǎng)絡(luò)是一個獨立的網(wǎng)絡(luò)，市機要局和各區(qū)縣機要局網(wǎng)點之間使用專用的網(wǎng)絡(luò)進(jìn)行連接。但是，由于機要局需要發(fā)送文件報文的單位不僅僅局限于機要系統(tǒng)本身，還包括各黨政機關(guān)主要部門，如各級政府黨委辦公室、宣傳部和政府辦等等，這些部門都存在機要信息終端。因為這些終端地理位置是分散的，管理非常困難，所以必須建立一套統(tǒng)一有效的信息安全管理體系，保障整個機要信息網(wǎng)絡(luò)的安全。具體來說，機要信息網(wǎng)絡(luò)可能存在的安全威脅包括：系統(tǒng)終端必須是機要信息系統(tǒng)的計算機，防止非法的計算機接入機要信息網(wǎng)絡(luò)；系統(tǒng)終端操作用戶的身份必須要經(jīng)過認(rèn)證和確認(rèn)；機要終端信息系統(tǒng)不能接入其它網(wǎng)絡(luò)中；機要信息終端計算機不能隨意將數(shù)據(jù)復(fù)制出機要計算機；機要信息終端計算機相互之間的通信必須是加密的；機要信息終端計算機中存儲的信息必須是加密的；可以根據(jù)需要將機要信息網(wǎng)絡(luò)中的計算機劃分到不同的安全域；本市機要信息系統(tǒng)的服務(wù)器可以接受其它上級機要系統(tǒng)的訪問。需求分析基于某市機要系統(tǒng)的現(xiàn)狀，其信息安全需求可以總結(jié)如下：建立統(tǒng)一管理的計算機和用戶認(rèn)證系統(tǒng)，只有經(jīng)過認(rèn)證的計算機才能接入到機要網(wǎng)絡(luò)中，只有經(jīng)過認(rèn)證的用戶才能使用機要網(wǎng)絡(luò)中的合法計算機終端；建立統(tǒng)一管理的計算機終端安全管理體系，對計算機的資源進(jìn)行有效的集中管理。包括計算機的外設(shè)控制、網(wǎng)絡(luò)控制和應(yīng)用程序控制，并提供詳細(xì)的審計信息；建立統(tǒng)一管理的數(shù)據(jù)存儲、使用和交換的安全保密環(huán)境，數(shù)據(jù)的存儲和傳輸必須是經(jīng)過加密的。并且，數(shù)據(jù)的使用和傳輸范圍需要得到有效的范圍控制，不能隨意傳輸出指定的使用范圍；可以根據(jù)需要，將計算機劃分到不同的保密子網(wǎng)，從而區(qū)分機要系統(tǒng)計算機和其它黨政單位橫向機要點。建立服務(wù)器區(qū)，可以接受內(nèi)網(wǎng)用戶訪問和其它機要系統(tǒng)的網(wǎng)絡(luò)訪問，同時隔離本網(wǎng)機要計算機和其它機要系統(tǒng)網(wǎng)絡(luò)。解決方案6.服務(wù)器6.服務(wù)器區(qū)3.認(rèn)證/安全網(wǎng)關(guān)ServerMC4.轉(zhuǎn)發(fā)網(wǎng)關(guān)7.市局的VCN子網(wǎng)8.下級區(qū)縣的VCN子網(wǎng)9.外來接入計算機5.交換機10.對外服務(wù)器圖表SEQ圖表\*ARABIC1系統(tǒng)部署圖因為該市機要系統(tǒng)網(wǎng)絡(luò)規(guī)模不大，雖然是一個廣域網(wǎng)，但是總共計算機終端只有200多個，所以，為了滿足其需求，我們在市機要局部署了一個安全管理服務(wù)器，使用了中安源可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)、中安源可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)和中安源可信網(wǎng)絡(luò)保密系統(tǒng)三套系統(tǒng)，一起滿足用戶的需求。三套系統(tǒng)通過中安源可信網(wǎng)絡(luò)安全平臺的管理中心統(tǒng)一進(jìn)行策略管理，配備了一個VCN轉(zhuǎn)發(fā)網(wǎng)絡(luò)，將機要網(wǎng)絡(luò)劃分成不同的VCN子網(wǎng)?？尚啪W(wǎng)絡(luò)認(rèn)證系統(tǒng)和可信網(wǎng)絡(luò)保密系統(tǒng)滿足用戶需求A，對計算機的身份和用戶身份做了有效的認(rèn)證，用戶身份通過基于PKI技術(shù)的硬件令牌，結(jié)合PIN碼，具有了高強度的認(rèn)證保障?？尚啪W(wǎng)絡(luò)監(jiān)控系統(tǒng)結(jié)合可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)，滿足了用戶需求B，可以集中控制每臺機要計算機終端的外設(shè)、網(wǎng)絡(luò)和應(yīng)用程序等計算機配置和信息，并提供了有效的審計信息。結(jié)合認(rèn)證系統(tǒng)，還可以針對不同權(quán)限的用戶進(jìn)行控制策略的設(shè)置，使得系統(tǒng)配置使用更加靈活?？尚啪W(wǎng)絡(luò)保密系統(tǒng)和可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)的保密磁盤功能滿足了需求C和D。通過可信網(wǎng)絡(luò)保密系統(tǒng)，機要系統(tǒng)計算機之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)被加密，并且，存儲在本地或者移動設(shè)備的數(shù)據(jù)也可以被強制加密。用戶還可以通過網(wǎng)絡(luò)認(rèn)證系統(tǒng)的保密磁盤建立自己私人的保密存儲空間?？尚啪W(wǎng)絡(luò)保密系統(tǒng)支持虛擬保密網(wǎng)（VCN）的劃分，可以將機要信息網(wǎng)絡(luò)劃分成不同的保密子網(wǎng)，同一個保密子網(wǎng)的計算機可以進(jìn)行暢通的數(shù)據(jù)交換，而不同保密子網(wǎng)之間的計算機不能進(jìn)行數(shù)據(jù)交換，如果要交換，則需要管理員的許可。可信網(wǎng)絡(luò)保密系統(tǒng)通過其服務(wù)器區(qū)功能，滿足了需求E，本機要系統(tǒng)的計算機通過轉(zhuǎn)發(fā)網(wǎng)關(guān)，可以順利訪問服務(wù)器區(qū)域的資源；外部機要網(wǎng)絡(luò)也可以訪問該機要系統(tǒng)