XX船厂是海军修造船大型骨干企业,国家大型二类企业,具备军品修理、建造、改装、研制的综合能力,对船厂的信息的完整性和保密性有很高要求。因此,必需加强信息系统的安全防护工作。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

XX船厂网络设备仅包含核心交换机、接入交换机,没有安全防护设备。网络覆盖办公区以及各个分厂,总厂办公区和分厂之间采用光纤传输,办公终端数为 300 点、部分终端硬件配置较低,终端不可以上互联网 Internet ;高密级应用系统和低密级应用系统共 6 个,服务器操作系统为 windows2003 ,所有的业务应用系统都运行在一张网络内。

网络现状如下:

 

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

网络现状结构图

 

xx船厂目前信息系统定级为“秘密”级,信息化建设参照行业相关标准、结合国家政策、法规,从“物理层安全”、“网络层安全”、“边界安全”“系统层安全”、“应用层安全”以及保密管理制度等整体规划。但XX船厂的信息化现状具有特殊性,目前主要解决如下安全隐患:

  网络结构存在一定的安全隐患,高密区应用信息系统和低密区应用信息系统在一张网络中运行;

 

 

2.1、解决方案 建议
针对XX船厂目前需要解决的安全问题,瑞达提出如下解决方案

1、 高密区域网络和低密区域网络进行逻辑隔离,阻止非法终端接入高密区网络,并实现有效的访问控制策略。

2、 高密区域应用系统和低密区域应用系统分离:低密区域终端阻止访问高密区域应用系统,高密区域终端仅可以访问低密区域应用系统。

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2.1.1部署安全域访问控制系统阻止非法终端接入、安全区域划分以及访问控制

瑞达安全域访问控制系统是针对企业内网安全而开发设计的网络安全访问控制产品。它使网络有一个可信安全的逻辑边界,通过终端的平台认证和安全检查保证终端接入的安全,并通过审核、授权限制信息资源的访问;实现真正意义上网络的可信、可控、可审计。

瑞达安全域访问控制系统符合国家保密标准《涉及国家秘密的信息系统网络安全访问控制产品技术要求》和《涉及国家秘密的信息系统终端安全与文件保护产品技术要求》的要求,以及公安部等级保护三级相关技术标准与要求。

2.1.1.1 功能构成
1、平台身份认证

采用标签技术鉴别终端身份,实现终端身份真实可信,确保只有指定的终端才能接入高密区域网络,并接受系统的监管。

2、终端管理

将终端资源信息集中注册到安全域访问控制网关,通过Web页面的控制台可集中管理注册终端。注册的信息主要包括注册终端的IP地址,权限内容,注册时间,所属机构等信息。其中,安全域访问控制网关还详细收集了终端的软硬件信息,方便企业单位做信息资产管理。

3、访问控制

对网络系统结构划分不同的安全域,能够实现不同等级安全域之间的访问控制,还可以实现安全域与非安全域之间的访问控制,访问控制模式灵活多样。访问控制的类型分为三种,分别为单向、双向和阻断,从而有效阻止高密区域的数据向低密区域流动。

4、策略模板

安全域访问控制网关对终端的授权管理采用策略模板的方式,管理员在策略配置模块中建立多个访问策略和安全策略。在终端注册完成后,管理员可以采用自动,也可以是手动的方式下发这些策略,同时即可以单个下发,也可以批量分发这些策略。通过策略模板的方式避免了对每个终端的重复授权,极大简化了管理员的操作,降低了管理和维护工作的强度。采用了策略模版方式制定的平台可信策略,确保了接入安全域内的终端是可信的,对没有达到平台可信要求的终端进行了孤立处理。

5、备份恢复功能

安全域访问控制网关可以备份当前系统里面所有的配置及数据信息,保证系统瘫痪时能够迅速恢复。备份文件可以保存到安全域访问控制网关本地,也可以保存到其它地方。

6、日志审计

安全审计系统供系统审计员使用,对终端接入、访问控制安全审计。

2.1.1.2 安全域访问控制系统(安全网关)部署模式
在总厂区核心交换机上并联部署瑞达安全域访问控制系统(安全网关-JTG3000),将高密区域终端和高密区域应用系统规划到同一个安全域中,低密区域应用系统规划到普通网络区域,配置相应的策略。

高密安全域内终端、服务器在区域内可以互访,能访问普通区域的低密区应用系统;低密区域终端不可以访问高密区域的终端和应用系统。

 

安全域访问控制系统(安全网关)部署结构图