您的位置: 网界网 > 周报全文 > 正文

[周报全文]安内攘外

2004年02月16日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:安内攘外

标签

    安内攘外

    ■ 孙洪林 常晓辉

    网络无处不在,安全问题便如影随形。攻与守间,越发厚重的盔甲和堡垒仍难填补一切漏洞。本文仅以政府、金融、电信等相关行业信息安全需求为例,就内外网安全构建阐述了自己的思路。

    安全之痛

    近几年来,国际互联网得到了广泛应用,像网上办公、网上审批、网上申报、网上银行、网上税务、电子商务等系统的应用,改变了传统的工作模式和流程,大大提高了工作效率。但上述应用在带给我们极大便利的同时,也引发了严重的安全问题,尤其是病毒破坏、黑客入侵、重要信息泄漏等造成的危害越来越大。尽管我们可以使用防火墙、代理服务器、入侵检测等安全措施,但是这些技术筑建的逻辑隔离,很难阻止黑客和内部用户的入侵和破坏,因此也就无法满足像政府、军队、金融、电信等部门的信息安全要求。另外我们也无法保证目前所使用的进口核心软硬件方面的后门和漏洞。虽然国家保密局规定“涉及国家秘密的计算机信息系统,不得直接或间接与国际互联网或其他公共网络连接,必须实行物理隔离”,但这样做的一大弊端是无法充分利用互联网上丰富的信息资源,似乎有“因噎废食”之嫌。

    安全之网

    而要达到既能有效地隔离内外网,又能方便地使用内外网的资源,其中一个选择是可以通过终端隔离、信道隔离、网络/服务器隔离等多种技术来构建内外网。

    这样的网络至少要满足以下三个特征:

    1. 阻断内外网的物理传导,确保不能通过网络连接从外网侵入内网,同时防止内网信息通过网络连接泄漏到外网。

    2. 隔离内外网的物理存储,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息流传到外网;对于断电后非遗失性部件,如磁带机、硬盘等存储设备,内外网的信息要分开存储;严格限制使用软盘、光盘等可移动介质。

    3. 隔断内外网的物理辐射,确保内网信息不会通过电磁辐射或耦合方式泄漏到外网。

    安全之案

    随着网络技术和应用的发展,很多行业部门的对外业务服务必须通过互联网来完成,如数据的接收、建议或意见的采集、业务或事务处理结果的反馈等,而数据的审核、处理则需要由内网的工作人员来完成。因此,内外网之间的信息安全交换便成为各相关行业需要迫切解决的问题。本文以此为出发点,设计了一种信息安全方案,如下图所示。

    第一层为内网,即部门内部关键业务管理系统和核心数据应用系统,如公文系统、专项业务管理系统、面向管理层的统计分析系统、重大事件的决策分析处理系统、核心数据库系统等。它们需要采用包括身份识别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等安全措施。通过物理隔离器与外网相连,在实现隔离网络间数据正常传输的同时,对传输的数据进行校验,过滤其中的黑客程序和病毒代码等破坏性信息,只允许与系统相关的数据进入内网。指定的数据和文档可以在内外网物理隔离的条件下单向或双向流转。充分保证内外网传输的信息是安全的、纯净的,对内部网络系统和数据不会造成影响和破坏。其中物理隔离器应具备以下功能和特性:

    1. 采用特殊协议方式(+微信关注网络世界),实现内外网安全隔离,关掉外网关TCP/IP协议,采用自行设计的专有协议,外网关只在数据链路层工作。

    2. 采用DSP开关通信技术,在保证安全的情况下实现数据交换。

    3. 访问登录设置功能,管理员登录后,开通用户账号和设置口令,设置不同级别的访问控制内容。

    4. 用户管理功能,增加和删除用户,以及查询、修改访问级别等功能。

    5. 控制访问内容,按照用户的访问级别,决定用户能否访问外网内容。记录用户的访问内容,超时未访问外网,自动断开连接。

    6. 记录用户访问日志功能。

    7. 设置全局访问控制规则。

    8. 用户访问历史记录维护管理功能。

    10. 控制用户下载文件和访问文件功能。

    第二层为外网,即部门内部以及部门之间的各类非公开应用系统传输平台,如上下部门之间的公文信息审核传递系统、多媒体数据实时调度与监控、同级部门之间的公文传递及信息交换等。外网必须应用CA认证、加密传输、防火墙、VPN、漏洞检测与在线黑客监测预警、实时审计、网络防病毒、自动备份恢复等安全技术。

    第三层为互联网,面向公众提供的一般应用服务及信息发布,包括各类公开信息和非敏感的社会服务,如信息发布及查询、信访、建议、反馈及数据收集统计资料、各类项目计划的申报申请、相关文件和法规的发布及查询、各类公用服务性业务的信息发布和实施等。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]