解讀等級(jí)保護(hù)
近幾年,由于信息安全事件的頻繁發(fā)生,造成的危害和損失也是越來越大,國(guó)家對(duì)信息安全也就更加重視。在此背景下,國(guó)家信息安全等級(jí)保護(hù)的發(fā)布和推廣也就順理成章。
信息安全等級(jí)保護(hù)是指國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織各企事業(yè)單位對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),并監(jiān)督和管理信息安全工作。實(shí)行信息安全等級(jí)保護(hù)制度,能充分增強(qiáng)信息安全保護(hù)的整體性、針對(duì)性和實(shí)效性,促進(jìn)我國(guó)信息安全的發(fā)展。
1994年國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,首次提出了分級(jí)保護(hù)的概念。至今已有十多年頭,其間諸多相關(guān)部門又發(fā)布了多項(xiàng)文件和政策,都強(qiáng)調(diào)了等級(jí)保護(hù)工作的重要性。
2007年6月,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制定了《信息安全等級(jí)保護(hù)管理辦法》,明確了信息安全等級(jí)保護(hù)的具體要求,標(biāo)志著等級(jí)保護(hù)在全國(guó)范圍內(nèi)的全面推廣即將展開。該管理辦法明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù)等,并對(duì)各種在分級(jí)保護(hù)工作中可能運(yùn)用到的技術(shù)做了指導(dǎo)性建議。
事實(shí)上,信息安全等級(jí)保護(hù)的核心可以說就是根據(jù)不同的信息系統(tǒng)保護(hù)需求,構(gòu)建一個(gè)完整的信息安全保護(hù)體系。可見等級(jí)保護(hù)的實(shí)現(xiàn)是一系列的管理、制度和技術(shù)手段的有機(jī)結(jié)合,這其中密碼保護(hù)技術(shù)是核心技術(shù)。
整個(gè)密碼保護(hù)技術(shù)體系一般而言有密碼基礎(chǔ)設(shè)施、密碼設(shè)備、密碼服務(wù)和密碼技術(shù)支撐的安全服務(wù)幾個(gè)方面構(gòu)成,其中有基礎(chǔ)設(shè)施的PKI和KMI技術(shù),有密碼卡、網(wǎng)絡(luò)密碼機(jī)、終端密碼機(jī)等等密碼設(shè)備,有身份鑒別、傳輸保護(hù)、存儲(chǔ)保護(hù)、訪問控制等等安全服務(wù)。這些技術(shù)有效地結(jié)合成一個(gè)體系,為等級(jí)保護(hù)的實(shí)現(xiàn)提供技術(shù)手段。
冰峰網(wǎng)絡(luò)傳輸安全解決方案
在全社會(huì)愈加關(guān)注信息安全、國(guó)家也大力推行信息安全等級(jí)保護(hù)制度的這個(gè)大背景下,冰峰網(wǎng)絡(luò)作為信息安全行業(yè)中的佼佼者,一直密切關(guān)注等級(jí)保護(hù)的相關(guān)政策。隨著該政策作為一個(gè)標(biāo)準(zhǔn)化文件被更多的推廣,冰峰網(wǎng)絡(luò)結(jié)合自己在安全領(lǐng)域內(nèi)的豐富經(jīng)驗(yàn),積極主動(dòng)地為各企事業(yè)單位提供整體解決方案,為客戶提供全面的安全咨詢服務(wù)、安全維護(hù)和管理服務(wù),提供防火墻、入侵檢測(cè)系統(tǒng)(IDS)、虛擬安全專網(wǎng)(VPN)等各種安全產(chǎn)品,滿足客戶的各種等級(jí)保護(hù)的需求。
網(wǎng)絡(luò)安全一直是信息安全等級(jí)保護(hù)中最大的問題,而網(wǎng)絡(luò)安全中的傳輸安全又是重中之重。不論是內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)傳輸,還是分布局域網(wǎng)通過公共網(wǎng)絡(luò)的互連,以及移動(dòng)辦公人員的遠(yuǎn)程訪問,都會(huì)涉及到數(shù)據(jù)傳輸?shù)陌踩珕栴}。
等級(jí)保護(hù)的實(shí)施工作一般包括定級(jí)、差距分析、系統(tǒng)安全建設(shè)與整改、測(cè)評(píng)等幾個(gè)階段。一般來說,在用戶完成定級(jí)和差距分析工作之后,就需要制定完整的安全整改方案,進(jìn)行等級(jí)化安全系統(tǒng)的設(shè)計(jì)與建設(shè),選擇合適的安全解決方案,選擇合適的產(chǎn)品和系統(tǒng),最終建設(shè)出有效的安全體系,符合國(guó)家等級(jí)保護(hù)建設(shè)要求。當(dāng)用戶較多的需要分支互連或者移動(dòng)辦公這種遠(yuǎn)程的數(shù)據(jù)傳輸,且在差距分析階段發(fā)現(xiàn)了存在的問題,就不得不考慮引入傳輸安全的解決方案。
如上圖,完整的傳輸安全解決方案既要實(shí)現(xiàn)固網(wǎng)互聯(lián)安全,又要實(shí)現(xiàn)移動(dòng)接入安全,同時(shí)做到有效的分層次的身份認(rèn)證管理和權(quán)限分配,并對(duì)資源發(fā)布進(jìn)行分配、分組和管控。
冰峰網(wǎng)絡(luò)的傳輸安全解決方案,基于標(biāo)準(zhǔn)的IPSec和SSL技術(shù),具有“目錄服務(wù)”專利技術(shù),擁有“8+6密鑰身份認(rèn)證”、終端安全檢查和數(shù)據(jù)傳輸加密等多種安全手段,集成統(tǒng)一身份認(rèn)證平臺(tái)和智能資源發(fā)布系統(tǒng),獨(dú)創(chuàng)的虛擬工作臺(tái)界面,幫助客戶在信息安全等級(jí)保護(hù)的實(shí)施中完善的解決傳輸問題,至今已經(jīng)在諸多客戶中取得了許多成果。
成功案例:重慶市地稅局
重慶全市地稅系統(tǒng)實(shí)現(xiàn)9個(gè)近郊區(qū)局與市局的聯(lián)網(wǎng),同時(shí)與全國(guó)9省市協(xié)作,完成了國(guó)家稅務(wù)總局布置的地方稅收業(yè)務(wù)規(guī)程和CTAIS軟件(地稅版)的業(yè)務(wù)需求分析。在“銀稅一體化”方面,市地稅局與重慶6家銀行和郵政部門合作,利用各銀行網(wǎng)點(diǎn)優(yōu)勢(shì),協(xié)助劃轉(zhuǎn)稅款。為進(jìn)一步促成下轄各縣系統(tǒng)互聯(lián),降低稅收成本,保證納稅人辦稅的方便和快捷。加強(qiáng)直轄范圍內(nèi)的分局互聯(lián)合作,全面提升原有傳輸速率與數(shù)據(jù)傳輸安全保證。
通過冰峰SSL VPN技術(shù),推動(dòng)SSL技術(shù)在統(tǒng)一作業(yè)平臺(tái)的WEB式應(yīng)用,并憑借冰峰“8+6”認(rèn)證密鑰策略加強(qiáng)對(duì)每個(gè)登陸使用的人員身份信息管理,有效地防止了非法用戶對(duì)系統(tǒng)服務(wù)器的入侵。考慮到市局到縣局均根據(jù)國(guó)家要求采用專線方案,為保障全局穩(wěn)定,則采用TSSL以構(gòu)建隧道式SSL復(fù)用線路,以加固全局穩(wěn)定。
成功案例:溫州市公安局
自溫州公安局建立酒店服務(wù)業(yè)治安管理系統(tǒng),需要對(duì)所有酒店數(shù)據(jù)、住客身份信息進(jìn)行實(shí)時(shí)監(jiān)管監(jiān)控,不僅要完善全市酒店信息系統(tǒng)互聯(lián),還要保證所有監(jiān)管數(shù)據(jù)的傳輸。
利用冰峰VPN建立的一套全市SSL VPN互聯(lián)系統(tǒng),將該市兩千多個(gè)賓館酒店連接起來,保證住客身份信息傳輸?shù)陌踩浴1錠PN采用國(guó)際標(biāo)準(zhǔn)協(xié)議、多種安全加密算法,對(duì)連接設(shè)備及用戶身份的認(rèn)證、傳輸數(shù)據(jù)的隱秘性保護(hù)和完整性校驗(yàn),作了可靠安全防護(hù),是保證溫州公安系統(tǒng)建設(shè)安全的虛擬網(wǎng)絡(luò)的有效手段。
成功案例:西南大學(xué)
教育部直屬重點(diǎn)綜合性大學(xué),是國(guó)家“211”工程建設(shè)學(xué)校。校方網(wǎng)絡(luò)中心擬采用虛擬專用網(wǎng)來解決校園內(nèi)外網(wǎng)互通應(yīng)用問題,身處校外而又有網(wǎng)上辦公和校內(nèi)資源訪問的需求,和校園網(wǎng)資源由于安全的原因只能在校內(nèi)認(rèn)證訪問的矛盾逐漸突出。由于該校已經(jīng)有了自己的統(tǒng)一身份認(rèn)證系統(tǒng),故在VPN方案中,對(duì)用戶的身份認(rèn)證必須使用已經(jīng)存在的用戶信息數(shù)據(jù),或是直接與該校統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)接進(jìn)行認(rèn)證。
該方案主要體現(xiàn)在大規(guī)模移動(dòng)接入應(yīng)用,支持多種UIS方式,如:基于RADIUS/LDAP服務(wù)器的標(biāo)準(zhǔn)第三方認(rèn)證方式、基于AD域微軟活動(dòng)目錄方式、基于MySQL數(shù)據(jù)庫、基于校園獨(dú)立開發(fā)的新型統(tǒng)一身份認(rèn)證方式。并以其良好的易用性、安全性、擴(kuò)展性,評(píng)估博得新主體西南大學(xué)的垂青。
