1、现状
某研究设计院为国家甲级设计院,属于涉密单位,经过多年的信息化建设,该院网络信息系统建设已经具有一定的规模,并为主营业务提供了强有力的支持。但该院的网络作为涉密网,与国家相关部门的保密要求还有一定差距,为了保障业务的顺利进行,同时也为了达到相应的保密级别要求,该设计院必须要对现有的基础网络信息平台进行改造。
该设计院原有的网络拓扑如下:
2、差距
在明确了该设计院网络及应用系统的现状,并对其可能存在的各种安全威胁进行详细分析的基础上,我们也分析了该设计院的现状与国家相关部门的要求之间存在的差距。为了加强信息系统的安全保密强度,以满足国家保密局关于涉密系统在物理,网络安全运行,信息保密和管理几个部分的要求,该设计院还需进行以下几个方面的工作:
物理安全:环境安全,设备安全,介质安全
网络运行安全:备份与防治,计算机病毒防治,电磁兼容
信息安全保密要求:访问控制,信息完整性,身份鉴别,抗抵赖,入侵检测,安全审计,抗电磁发射,操作系统安全,数据库安全
管理安全保密:管理机构,管理制度,人员管理
3、解决方案纲要
网御神州严格遵照国家保密系统关于涉密单位信息系统安全保密解决方案的技术设计要求设计产品技术和安全管理解决方案,主要包括如下内容:
物理层安全解决方案包括环境安全保密,设备安全保密,媒体安全保密三个层面。
网络层安全解决方案包括安全区划分、安全边界解决方案、安全隔离与信息交换解决方案、入侵检测解决方案;
系统层安全解决方案包括安全风险评估服务和漏洞扫描方案;
应用层安全解决方案包括身份认证解决方案、数字签名和抗抵赖解决方案、网络防病毒解决方案、网络监控和管理解决方案;
管理层安全解决方案包括安全保密机构设立建议等。
4、网络层解决方案
本文仅对该设计院的网络层解决方案进行简单阐述。
4.1、安全区划分
如图,我们将该设计院的网络划分成两个区域,分别是“涉密网区”和“非涉密网区”,两个区域之间物理隔离;在涉密网区域中划分成不同的功能逻辑区,分别是涉密网服务器区和涉密网工作站区;同样,非涉密网也划分成非涉密网服务器区和非涉密网服务器区;由于该设计院目前的网络中有一些需要在涉密网和非涉密网之间进行交换的数据,所以在涉密网和非涉密网还应当分别设立独立的信息交换区。
按照架构示意图中的设计,网络的具体拓扑应当如下:
非涉密网区
保持原有的核心交换机不变,通过交换机划分VLAN来划分不同的安全区,可以将涉密网的服务器等划分在一个VLAN之中,定义为非涉密网的服务器区;将工作站等划分在其他VLAN,定义为非涉密网工作站区。
涉密网区
需新添加核心交换设备,同样是通过划分VLAN的方式,将涉密网的服务器单独的划分到一个VLAN之中,称为涉密网服务器区;工作站等划分到其他VLAN,称为涉密网工作站区。
核心交换机
由于非涉密网节点较多,网络流量相对较大,依然保留原有的核心交换机不变,而涉密网的核心交换应当重新购置。
交换区
在该设计院的网络中,OA、CRM、项目管理、文件访问等服务是需要涉密网和非涉密网用户共同访问的,所以应当在性能较好的原核心交换机上在划分出一个交换区,内置OA、CRM、和项目管理等服务器,由于既要满足应用又要保证隔离,所以就要采用物理隔离设备来实现原有应用的正常进行;同样为了保证两网之间的FTP文件交换,要在涉密网新配置的交换机上划分出单独的交换区,放置文件服务器。
4.2、网络安全产品部署方案
该设计院整体解决方案产品配置图如下:
通过上面图示我们可以看到,在该设计院的网络中涉密网和非涉密网部署了相应的安全产品,相应产品如下:
- 在涉密网和非涉密网的安全交换区之间部署一台安全隔离与信息交换系统;
- 在涉密网内部的不同安全区之间部署一台防火墙产品;
- 在非涉密网内部的不同安全区之间部署一台防火墙产品;
- 在涉密网的交换机上部署一台基于网络的入侵检测系统;
- 在网络中部署一台漏洞扫描系统;
- 在涉密网服务器网段部署一台内网安全监控服务器,在涉密网客户端上部署安全监控客户端软件;
- 在非涉密网服务器网段部署一台内网安全监控服务器,在非涉密网客户端上部署安全监控客户端软件;
|
