背景和特点
随着电子政务的普遍应用,信息网络已经成为国家各级政府单位运行的基础设施之一。与其他网络不同的是,政府部门的网络涉及国家各个层面的机密信息,其信息的保密性和可控性显得尤为重要。为进一步提高政府单位的保障能力和防护水平,确保国家基础信息网络和重要信息系统的安全运行,维护国家安全和社会稳定,保障公共利益,促进信息化建设,部、国家、国家密码管理委员会办公室和信息化工作办公室联合发文,要求各个政府单位应该以国家颁发的BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》与《信息系统安全等级保护基本要求》为评价基准,进行政府单位的信息安全防护体系建设。政府部门内网主要呈现以下特点:
需要严格按照《涉及国家秘密的信息系统分级保护技术要求》、《信息系统安全等级保护基本要求》和其它相关等级保护技术文件提出来的指导意见为依据进行内网信息安全保障体系的建设;
网络环境复杂,办公网、涉密网和外网等多个网络共存,经常在不同网络间交换数据时出现有意或无意的数据情况;
内网政务信息数据非常敏感,内部行政人员的过失行为造成的信息极易造成重大负面影响,甚至危及国家安全和社会稳定。
面临风险
缺乏有效的身份鉴别体系:身份鉴别是信息安全体系的基础,要求对登录操作系统、数据库系统和其他应用系统的用户进行身份标识和鉴别;
缺乏有效的访问控制手段:计算机信息系统对所有主体及其所控制的客体(例如:进程、文件、和设备)应该实施强制访问控制;
缺乏有效的审计追踪体系:计算机信息系统能创建和维护受保护客体的访问审计跟踪记录,并能阻止非的用户对它访问或破坏;
缺乏通信和数据加固机制:对数据在内部通信和数据外带等过程的安全问题缺乏较有力的技术手段作支撑。
解决方案
基于数据安全平台,采用身份认证、管理、数据保密、终端监控审计和移动存储设备管理等功能,形成整体的等级保护体系;
采用逻辑安全域的设计理念,用密钥技术和信任地址列表管理技术,可以有效地根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的安全域;
安全策略的管理对象,可以根据需要针对终端、用户或者数据三个要素来进行设置,也可以将上述三要素进行不同组合,以适应各种政务办公环境的需要。
方案分析
在统一的平台基础上,采用身份认证与管理、数据保密、终端监控审计和移动存储设备的管理、入侵监测、安全文件服务器等功能。系统各个部分保持了融合性和独立性的统一,每个子系统之间即保持了整体的一致性,可以完整满足等级保护各个级别信息安全保护的要求。同时,各个子系统又可以独立使用,以满足不同安全级别用户、不同阶段等级保护建设的需要。系统所提供的开发接口,均采用业内标准的技术,可以有效的与其它网络安全系统结合。
