某市機(jī)要系統(tǒng)信息安全解決方案

某市機(jī)要系統(tǒng)信息安全解決方案某市機(jī)要系統(tǒng)信息安全解決方案某市機(jī)要系統(tǒng)信息安全解決方案資料僅供參考文件編號(hào)：2022年4月某市機(jī)要系統(tǒng)信息安全解決方案版本號(hào)：A修改號(hào)：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：某市機(jī)要系統(tǒng)信息安全解決方案講解背景概述機(jī)要局是政府部門核心的保密部門，掌管國家最重要的信息傳遞通道，是國家重要文件傳輸?shù)闹饕緩?。隨著信息化程度的提高，全國各地機(jī)要系統(tǒng)開始進(jìn)行信息化改造，利用信息網(wǎng)絡(luò)進(jìn)行機(jī)要信息的傳遞，提高信息傳遞的速度，減少紙張開銷等機(jī)要交通等成本。某市機(jī)要局相應(yīng)國家信息化的號(hào)召，進(jìn)行了信息網(wǎng)絡(luò)的改造，在整個(gè)地級(jí)市的機(jī)要系統(tǒng)建設(shè)了機(jī)要公文傳遞管理系統(tǒng)。該機(jī)要網(wǎng)絡(luò)是一個(gè)獨(dú)立的網(wǎng)絡(luò)，市機(jī)要局和各區(qū)縣機(jī)要局網(wǎng)點(diǎn)之間使用專用的網(wǎng)絡(luò)進(jìn)行連接。但是，由于機(jī)要局需要發(fā)送文件報(bào)文的單位不僅僅局限于機(jī)要系統(tǒng)本身，還包括各黨政機(jī)關(guān)主要部門，如各級(jí)政府黨委辦公室、宣傳部和政府辦等等，這些部門都存在機(jī)要信息終端。因?yàn)檫@些終端地理位置是分散的，管理非常困難，所以必須建立一套統(tǒng)一有效的信息安全管理體系，保障整個(gè)機(jī)要信息網(wǎng)絡(luò)的安全。具體來說，機(jī)要信息網(wǎng)絡(luò)可能存在的安全威脅包括：系統(tǒng)終端必須是機(jī)要信息系統(tǒng)的計(jì)算機(jī)，防止非法的計(jì)算機(jī)接入機(jī)要信息網(wǎng)絡(luò)；系統(tǒng)終端操作用戶的身份必須要經(jīng)過認(rèn)證和確認(rèn)；機(jī)要終端信息系統(tǒng)不能接入其它網(wǎng)絡(luò)中；機(jī)要信息終端計(jì)算機(jī)不能隨意將數(shù)據(jù)復(fù)制出機(jī)要計(jì)算機(jī)；機(jī)要信息終端計(jì)算機(jī)相互之間的通信必須是加密的；機(jī)要信息終端計(jì)算機(jī)中存儲(chǔ)的信息必須是加密的；可以根據(jù)需要將機(jī)要信息網(wǎng)絡(luò)中的計(jì)算機(jī)劃分到不同的安全域；本市機(jī)要信息系統(tǒng)的服務(wù)器可以接受其它上級(jí)機(jī)要系統(tǒng)的訪問。需求分析基于某市機(jī)要系統(tǒng)的現(xiàn)狀，其信息安全需求可以總結(jié)如下：建立統(tǒng)一管理的計(jì)算機(jī)和用戶認(rèn)證系統(tǒng)，只有經(jīng)過認(rèn)證的計(jì)算機(jī)才能接入到機(jī)要網(wǎng)絡(luò)中，只有經(jīng)過認(rèn)證的用戶才能使用機(jī)要網(wǎng)絡(luò)中的合法計(jì)算機(jī)終端；建立統(tǒng)一管理的計(jì)算機(jī)終端安全管理體系，對(duì)計(jì)算機(jī)的資源進(jìn)行有效的集中管理。包括計(jì)算機(jī)的外設(shè)控制、網(wǎng)絡(luò)控制和應(yīng)用程序控制，并提供詳細(xì)的審計(jì)信息；建立統(tǒng)一管理的數(shù)據(jù)存儲(chǔ)、使用和交換的安全保密環(huán)境，數(shù)據(jù)的存儲(chǔ)和傳輸必須是經(jīng)過加密的。并且，數(shù)據(jù)的使用和傳輸范圍需要得到有效的范圍控制，不能隨意傳輸出指定的使用范圍；可以根據(jù)需要，將計(jì)算機(jī)劃分到不同的保密子網(wǎng)，從而區(qū)分機(jī)要系統(tǒng)計(jì)算機(jī)和其它黨政單位橫向機(jī)要點(diǎn)。建立服務(wù)器區(qū)，可以接受內(nèi)網(wǎng)用戶訪問和其它機(jī)要系統(tǒng)的網(wǎng)絡(luò)訪問，同時(shí)隔離本網(wǎng)機(jī)要計(jì)算機(jī)和其它機(jī)要系統(tǒng)網(wǎng)絡(luò)。解決方案6.服務(wù)器6.服務(wù)器區(qū)3.認(rèn)證/安全網(wǎng)關(guān)ServerMC4.轉(zhuǎn)發(fā)網(wǎng)關(guān)7.市局的VCN子網(wǎng)8.下級(jí)區(qū)縣的VCN子網(wǎng)9.外來接入計(jì)算機(jī)5.交換機(jī)10.對(duì)外服務(wù)器圖表SEQ圖表\*ARABIC1系統(tǒng)部署圖因?yàn)樵撌袡C(jī)要系統(tǒng)網(wǎng)絡(luò)規(guī)模不大，雖然是一個(gè)廣域網(wǎng)，但是總共計(jì)算機(jī)終端只有200多個(gè)，所以，為了滿足其需求，我們在市機(jī)要局部署了一個(gè)安全管理服務(wù)器，使用了中安源可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)、中安源可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)和中安源可信網(wǎng)絡(luò)保密系統(tǒng)三套系統(tǒng)，一起滿足用戶的需求。三套系統(tǒng)通過中安源可信網(wǎng)絡(luò)安全平臺(tái)的管理中心統(tǒng)一進(jìn)行策略管理，配備了一個(gè)VCN轉(zhuǎn)發(fā)網(wǎng)絡(luò)，將機(jī)要網(wǎng)絡(luò)劃分成不同的VCN子網(wǎng)?？尚啪W(wǎng)絡(luò)認(rèn)證系統(tǒng)和可信網(wǎng)絡(luò)保密系統(tǒng)滿足用戶需求A，對(duì)計(jì)算機(jī)的身份和用戶身份做了有效的認(rèn)證，用戶身份通過基于PKI技術(shù)的硬件令牌，結(jié)合PIN碼，具有了高強(qiáng)度的認(rèn)證保障?？尚啪W(wǎng)絡(luò)監(jiān)控系統(tǒng)結(jié)合可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)，滿足了用戶需求B，可以集中控制每臺(tái)機(jī)要計(jì)算機(jī)終端的外設(shè)、網(wǎng)絡(luò)和應(yīng)用程序等計(jì)算機(jī)配置和信息，并提供了有效的審計(jì)信息。結(jié)合認(rèn)證系統(tǒng)，還可以針對(duì)不同權(quán)限的用戶進(jìn)行控制策略的設(shè)置，使得系統(tǒng)配置使用更加靈活。可信網(wǎng)絡(luò)保密系統(tǒng)和可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)的保密磁盤功能滿足了需求C和D。通過可信網(wǎng)絡(luò)保密系統(tǒng)，機(jī)要系統(tǒng)計(jì)算機(jī)之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)被加密，并且，存儲(chǔ)在本地或者移動(dòng)設(shè)備的數(shù)據(jù)也可以被強(qiáng)制加密。用戶還可以通過網(wǎng)絡(luò)認(rèn)證系統(tǒng)的保密磁盤建立自己私人的保密存儲(chǔ)空間。可信網(wǎng)絡(luò)保密系統(tǒng)支持虛擬保密網(wǎng)（VCN）的劃分，可以將機(jī)要信息網(wǎng)絡(luò)劃分成不同的保密子網(wǎng)，同一個(gè)保密子網(wǎng)的計(jì)算機(jī)可以進(jìn)行暢通的數(shù)據(jù)交換，而不同保密子網(wǎng)之間的計(jì)算機(jī)不能進(jìn)行數(shù)據(jù)交換，如果要交換，則需要管理員的許可?？尚啪W(wǎng)絡(luò)保密系統(tǒng)通過其服務(wù)器區(qū)功能，滿足了需求E，本機(jī)要系統(tǒng)的計(jì)算機(jī)通過轉(zhuǎn)發(fā)網(wǎng)關(guān)，可以順利訪問服務(wù)器區(qū)域的資源；外部機(jī)要網(wǎng)絡(luò)也可以訪問該機(jī)要系統(tǒng)