远为企事业信息安全等级保护解决方案

1. 背景概述

国家高度重视信息安全保护工作,为了进一步提高信息安全的保障能力和防护水平。经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,实行信息安全等级保护,重点保护基础信息网络和重要信息系统安全,要抓紧信息安全等级保护制度的建设。

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(以下简称《27号文件》)明确指出要“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

对于国家某些重要企事业单位来说,其业务系统属于国家基础或重要信息系统,也应开展安全等级保护建设。

2. 安全需求分析

信息安全等级保护建设是一个量体裁衣的过程。应该先根据《信息系统安全等级保护定级指南》对信息系统进行安全等级定级,首先明确安全保护目标和要求。然后对被保护定级系统的信息安全现状进行充分详实的调研,将信息安全现状与《信息系统安全等级保护基本要求》做差异性比对,明确被保护定级系统当前存在的安全风险和不合标项,明确安全建设需求。

3. 方案设计原则

◆ 适度安全原则

任何信息系统都不能做到绝对的安全,等级保护安全体系的设计,必须在安全需求、安全风险和安全成本之间进行平衡和折中,过低的安全保护无法满足业务系统实际的安全要求;过高的安全保护则必然导致设计成本大幅增加,系统复杂性和运维、学习成本大幅提高,整个系统环境面临的技术风险也同样大幅提高。

◆ 重点保护原则

根据重要性程度的不同,有重点有针对性的进行安全保护,集中资源优先保护涉及核心业务或关键信息资产的组件。

◆ 技术、管理并重原则

信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的,仅通过部署安全产品很难完全保护定级系统规避所有面临的安全风险和威胁,必须技术与管理相结合,通过管理手段对非法安全行为进行威慑,保证安全技术措施的落实和执行,这样才能确保安全体系的有效性。

◆ 分区分域隔离保护原则

分区分域是信息安全保护的有效措施。根据业务功能、访问行为、重要性程度以及安全需求等因素,通过安全隔离技术手段,将部门信息系统和学校信息系统划分为不同的安全域,通过技术手段将不同的安全域进行安全隔离,对安全域之间的访问行为进行隔离控制,能够有效的提高重要信息资产的安全性。通过安全域的划分,也可以防止非法访问行为发生。

3. 远为企事业信息安全等级保护解决方案
4.1安全建设后网络拓扑图
4.2解决方案关键安全措施综述

基于远为多网安全隔离系统的企事业信息安全等级保护解决方案中,在安全管理区部署远为多网安全隔离系统的管理服务器,保证管理服务器和每一个需要接入定级系统的客户终端在物理上连通。管理服务器上为每台终端创建账户,并且根据不同的资源访问权限构造不同的虚拟网络,分别为办公外网和办公内网。管理服务器作为统一管理平台对所有客户端进行统一管理,通过统一的管理策略对网络中的终端计算机进行统一管理,其实质是对网络边界的管理。 

在所有需要接入定级系统终端计算机上部署多网安全隔离系统客户端,根据业务和安全需要将终端计算机虚拟成两台虚拟机(可根据业务复杂性要求创建多台虚拟机),两台虚拟机分别为办公外网虚拟机和办公内网虚拟机。

在办公内网的网络边界处部署多网安全隔离网关,网关能够对访问定级系统服务器的行为进行严格控制,只允许部署了多网安全隔离系统客户端且设置为办公内网的虚拟机才能够访问,有效保障定级系统应用服务器和数据库服务器的安全。

通过安全策略配置,多网安全隔离网关对虚拟机终端访问行为进行控制,办公外网虚拟机只能够访问办公外网中的网络资源,办公内网虚拟机只能访问办公内网中的网络资源,实现办公外网与办公内网之间的安全隔离,对办公内网中定级系统服务器的访问行为受到严格控制,达到了对定级系统进行安全保护的目标。

访问控制策略配置如下:

◆ 办公外网虚拟机除不能访问办公内网资源外,其他网络资源都可访问(包括互联网),同时外部设备不受管制;

◆ 办公内网虚拟机只能访问办公内网内的资源(不能访问互联网),开放USB接口,光驱,串口,并口等外设,同时为了保障业务专网虚拟机的安全性,禁止其他外设(如,软驱、蓝牙、1394、SD卡接口、PCMCIA接口、红外等。)

◆ 办公内网和办公外网之间相互隔离、相互独立:

◆ 办公外网虚拟机和办公内网虚拟机之间完全隔离、完全独立;

◆ 办公外网和办公内网的数据传输通道完全隔离、完全独立。

4.3所需安全产品清单

编号

产品名称

组件

安全性

说明

部署位置

1

远为多网安全隔离系统

管理服务器

安全管理

安全管理区

客户端

安全计算环境

业务终端

多网安全隔离网关

安全区域边界

定级系统服务器区出口

2

其他安全产品

5. 方案优势

◆ 符合国家要求

严格符合国家等级保护相关文件和技术标准要求。

◆ 项目容易落地

充分利用用户现有信息网络和硬件资源平台,通过虚拟终端和虚拟网络技术实现安全保护目标。不改变网络拓扑,改造小 ,易落地。

◆ 用户体验极好

不改变用户的使用习惯,不改变用户已有的业务系统,实施简单,使用方便,无需培训,学习成本低。

◆ 全方位安全

本方案从终端、网络到业务系统实现整体保护,无死角、无漏洞,完整覆盖等级保护所有安全要求,能够达到用户安全建设预期和目标。

◆ 扩容极其简单

可以将新的需要保护的定级系统或者更广范围的用户群纳入到远为虚拟专网中即可,无需新的开发工作量,只需后台简单配置,施工简单,经费节省,工期可控。