目前涉密信息系統(tǒng)在軍工企業(yè)、政府黨政機關單位及部分研究院所網絡建設中都有了明確規(guī)劃,涉密信息系統(tǒng),在網絡中就會涉及國家秘密的信息,不論其中的涉密信息是多還是少,只要是有(即存儲、處理或傳輸了涉密信息),這個信息系統(tǒng)就是涉密信息系統(tǒng)。
涉密信息系統(tǒng)中的應用服務安全現狀分析
(1)涉密信息系統(tǒng)建設基本原則:
①物理隔離:所謂物理隔離技術是指內部信息網絡不和Internet等外部信息網絡相連,從物理上斷開的技術。這種方法基本杜絕了因為網絡互通互連所造成的外部攻擊或內部泄密的可能。物理隔離技術是近年來出現的安全保密手段,它解決了重要單位及要害部門對信息安全保密的突出需求。日趨完善的物理隔離技術和產品已成為網絡安全保密體系中不可缺少的重要環(huán)節(jié);
②最高防護:在一個涉密網絡中會有各種各樣的涉密文件,這些文件的密級各不相同,有非密、秘密級、機密級,也可能有絕密級。對不同密級文件的防護要求也是不同的,密級越高保護的要求就越嚴格。那么,我們在設計一個涉密網絡的時候,應該以該網絡中可能出現的最高密級為標準來設計。此外,對涉密媒體中的信息進行復制、存儲、傳輸時也應按該媒體中信息的最高密級標明密級,并按相應密級進行管理。這就是我們通常所說的最高防護的原則;
③整體防護:網絡安全包括許多方面的內容,有設備安全、信息安全、系統(tǒng)安全、安全管理等。從技術角度講,網絡安全是由安全的操作系統(tǒng)、應用軟件、防火墻、網絡監(jiān)控、信息審計、信息加密、災難恢復、安全掃描等來保證的。任何一個單獨的部分都無法完成整個網絡的安全管理工作。比如一個單位只購買了防火墻作為它保證網絡安全的惟一措施,那么該單位只能實現對網絡訪問的控制,而對于攻擊檢測、網絡安全監(jiān)控等要求就無法滿足了。因此我們說網絡安全是一個整體的概念。在規(guī)劃涉密網絡時,必須保證網絡設備和各個組件的整體性安全,這就是網絡安全的整體性原則。整體的網絡安全模型由以下幾個部分組成:M(Management)管理;P(Prediction)預警;P(Protection)防護;D(Detection)發(fā)現、掃描、檢測;R(Response)反應;R(Recoveru)恢復/備份。
④動態(tài)原則:網絡安全管理是動態(tài)的。首先網絡本身是動態(tài)變化的,網絡的用戶在不斷增加,網絡規(guī)模在不斷擴大。其次網絡安全問題也具有動態(tài)性,網絡攻防技術不斷發(fā)展,黑客不斷地對網絡進行攻擊,病毒不斷地產生。這就促使網絡的防范策略也必須隨著網絡安全情況的變化而變化,從而形成一種相生相克的動態(tài)循環(huán)過程。
(2)涉密信息系統(tǒng)中的應用服務安全
涉密信息系統(tǒng)中的應用服務安全作為信息系統(tǒng)當中的防護重點,就是信息系統(tǒng)中的服務器以及存儲在服務器當中的涉密數據和應用。一個安全的涉密系統(tǒng)應用服務一定要進行分級管理,其中包括對信息保密程度分級(非密、絕密、機密、秘密);對用戶操作權限分級(面向個人、面向群組);對網絡安全程度分級(安全子網、安全區(qū)域);對系統(tǒng)結構分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面可選的安全體系結構以滿足網絡中不同層次的需求。
頒布的新保密法中要求國家秘密的知悉范圍要能夠限定到具體人員的;不能限定到具體人員的,限定到機關、單位,并由機關、單位限定到具體人員。那么在一個涉密信息系統(tǒng)中如果一個涉密信息存放的應用服務沒有實施有效的分級管理,一些不符合知悉范圍人員也可以進行訪問和查看,這將嚴重違背涉密信息系統(tǒng)建設的基本原則。
長期以來很多單位在涉密信息系統(tǒng)建設中對系統(tǒng)當中的應用服務系統(tǒng),在實施分級管理中通常走向兩種極端:一種是沒有對應用系統(tǒng)進行必要的分級管理,或通過采用防火墻等設備在網絡層面進行簡單的訪問控制,遠遠不能達到分級管理的要求;另一種則是對不同密級的應用系統(tǒng)采用完全的物理隔離,通過單機隔離或針對不同密級建立專用的涉密網絡。這樣既不便于日常辦公的使用,也因為重復的網絡建設造成資源浪費。
因此我們在涉密信息系統(tǒng)建設中針對應用服務需要找到一種科學、易用的解決方案,既要能夠符合分級管理的要求,同時在日常辦公應用中又不會對原有的使用習慣產生影響。
涉密信息系統(tǒng)中的應用服務安全防護解決方案
解決好涉密信息系統(tǒng)中的應用服務安全防護問題,就是要對需要訪問應用服務的用戶或客戶端實行有效的訪問控制和授權管理,對未授權的用戶及客戶端進行有效的訪問限制;為每個訪問的用戶指定可訪問的應用服務,限定訪問的范圍,杜絕越權的訪問行為;而這種訪問授權的機制必須安全、可控而靈活。
同時針對應用服務的安全防護應當是立體的,多層次的防護體系。從鏈路層的地址綁定,網絡層的訪問控制,傳輸層的鏈路加密,會話層的身份認證,應用層的訪問授權和準入控制,構建成一個完整的應用安全的體系結構。構建一個應用服務防護的安全體系,我們需要從以下幾方面來進行考慮:
(1)實施單點登錄機制
統(tǒng)一的單點登錄機制要求用戶在訪問任何應用服務前,都需要通過一個統(tǒng)一且唯一的訪問入口進入,在該入口進行用戶認證和身份鑒別,對未經用戶認證及身份鑒別的用戶將不允許其訪問應用服務,而對通過用戶認證和身份鑒別的用戶才會獲取到訪問應用服務的授權牌,在這個授權牌中標識了用戶的身份信息、訪問有效期限、安全等級、可訪問的應用服務名稱以及允許采用的訪問方式。由此完成了針對訪問用戶的單點登錄。
(2)實施統(tǒng)一的用戶管理機制
實施統(tǒng)一的安全管理能夠避免用戶在使用多套賬戶口令時由于遺忘而無法訪問,同時統(tǒng)一用戶授權,能夠有效避免由于在不同應用服務中授權不一,用戶密級不統(tǒng)一,而形成潛在的泄密風險。另外統(tǒng)一的用戶管理有助于管理員及時了解賬戶的活動狀態(tài),及時清理過期或無效的賬戶信息,保證賬戶信息的準確。
(3)數據級安全防護措施
由于TCP/IP自身的性質決定了各種數據在傳輸的過程中都是以明文形式進行的,這就使數據在傳輸過程中存在極大的安全風險。如果不加防護,網絡攻擊者可以輕易地截獲網絡中傳輸的數據,甚至對其進行修改和破壞。這時就需要SSL VPN數據級的安全防護措施,即借助于專業(yè)的SSL VPN加密隧道技術對數據進行加密以確保數據的保密性和完整性。
(4)用戶級安全防護措施
用戶級的安全措施主要是指用戶賬戶安全管理。在用戶獲得訪問權力時用戶全程的訪問活動進行審計,而在他們的訪問權不再有效時凍結用戶賬戶。同時對于用戶賬戶的異常使用,如賬戶密碼的嘗試登錄次數在超過一定閾值后將鎖定用戶賬戶。
(5)入網訪問控制
分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入網絡,對應用服務進行訪問。
(6)網絡的訪問控制
通過訪問控制對訪問中的源IP、源端口、協(xié)議類型、目的IP、目的端口進行關聯性策略制定,保證應用服務只向用戶開放在業(yè)務中所涉及的服務端口,防止惡意用戶通過部分端口漏洞對應用服務進行非法攻擊。
(7)應用服務授權管理
對應用服務的授權管理分為:基于應用服務地址的訪問授權、基于應用服務端口的訪問授權、基于WEB應用服務目錄的訪問授權、基于WEB應用服務資源文件的訪問授權、基于訪問方式的訪問授權。另外針對應用服務的授權管理應當體現安全級別特點,在涉密信息系統(tǒng)中一些密級等級較高的應用服務應限制低密級的用戶對其進行越權訪問,而一些密級等級較低的應用服務可允許高密級用戶及低密級用戶的訪問。
(8)網絡服務器安全控制
對服務器的操作保護是應用服務安全重要保障,防止非法用戶修改、刪除、破壞重要信息或數據;通過應用服務防篡改保護機制對應用服務中涉及的資源文件進行安全防護,當惡意用戶通過非法手段進行數據篡改時可以對發(fā)生非法篡改的數據進行及時恢復,保證應用正常可用;非法訪問者檢測機制能夠在事件發(fā)生前進行檢測、分析和限制,能夠更加有效的對應用防護起到保護效果。
(9)訪問監(jiān)測和鎖定控制
訪問監(jiān)測機制針對用戶的應用服務訪問行為進行訪問事件的審計記錄,系統(tǒng)應記錄用戶對網絡資源的訪問,對非法的網絡訪問,并以聲光或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖對應用服務發(fā)起攻擊,系統(tǒng)應會自動記錄嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
(10)訪問客戶端的準入控制
訪問客戶端準入機制能夠有效防止盜用賬戶或盜用IP的欺騙式訪問行為,通過將客戶端物理地址和IP地址的綁定,能夠限定只能在指定的主機進行應用服務訪問,通過證書Ukey的控制方式,為每個授權用戶分配唯一的key,這樣在只獲得用戶賬戶和密碼信息,而沒有授權Ukey的條件用,仍然無法通過身份鑒別獲得訪問權。其次針對應用服務的訪問客戶端應對其安全性進行評估,防止帶有病毒,木馬及存在潛在安全風險的計算機在對應用服務進行訪問時造成病毒擴散。
(11)數據流向安全控制
涉密信息系統(tǒng)建設中數據流向安全控制一直受到大家的關注,通過技術手段限制高密級數據向低密級用戶流動以及限制涉密數據向非涉密用戶的流動這將有力保證涉密數據的安全。
捷普涉密信息系統(tǒng)中的應用服務安全防護解決應用方案
西安交大捷普網絡科技有限公司作為中西部地區(qū)最大的網絡安全技術及產品提供商,通過數十年在網絡安全和保密安全領域的探索創(chuàng)新,開發(fā)出多款適用于涉密信息系統(tǒng)的安全產品,近年來持續(xù)關注涉密信息系統(tǒng)中的應用服務安全的訪問問題,研發(fā)的服務器群組防護產品為應用服務提供立體的,多層次的安全防護體系。從鏈路層的地址綁定,網絡層的訪問控制,傳輸層的鏈路加密,會話層的身份認證,應用層的訪問授權和準入控制,構建一個完整的應用安全的體系結構,多方位的全面解決涉密信息系統(tǒng)中的應用服務安全問題。
1.涉密信息系統(tǒng)中的應用服務安全問題的需求響應與解決
(1)實施單點登錄機制
捷普服務器群組防護系統(tǒng)通過串聯方式接在DMZ區(qū)的入口,成為“一夫當關,萬夫莫開”的守門神,任何進入DMZ區(qū)對應用服務的訪問都需要在服務器群組防護系統(tǒng)中通過第一道身份審核,只有獲得了服務器群組防護系統(tǒng)發(fā)放的第一道通行證,訪問用戶才獲得繼續(xù)訪問應用服務的權利,同時服務器群組防護系統(tǒng)為每個通過審核的訪問者發(fā)放的通行證中標識了用戶的身份信息、訪問有效期限、安全等級、可訪問的應用服務名稱以及允許采用的訪問方式,訪問者只能在效的訪問期限內對同安全級別或低安全級別的應用服務采用允許的訪問方式進行訪問,所有違規(guī)的訪問行為都將被限制和審計。
(2)實施統(tǒng)一的用戶管理機制
捷普服務器群組防護系統(tǒng)的用戶管理模塊,提供了本地賬戶管理,POP3、Radius、AD域控、LDAP外部聯動賬戶管理等多種身份認證機制,向訪問用戶提供身份鑒別服務,同時通過將應用服務訪問賬戶信息與單點登錄訪問賬戶信息進行賬戶關聯綁定,使用戶只需要使用一個安全的賬戶就能夠訪問所有授權的應用服務。同時捷普服務器群組防護系統(tǒng)通過賬戶安全策略能夠對用戶所使用的口令更新周期、口令長度、口令復雜度等進行統(tǒng)一約束,還能與更加安全的身份鑒別方式如授權Ukey、物理特征進行綁定,強化了訪問賬戶的安全性。
另外捷普服務器群組防護系統(tǒng)的統(tǒng)一用戶管理有助于管理員及時了解賬戶的活動狀態(tài),對異常的訪問賬戶及時進行下線處理,方便管理員及時清理過期或無效的賬戶信息,保證賬戶信息的準確。
(3)數據級安全防護措施
捷普服務器群組防護系統(tǒng)采用雙證書機制完成數據安全加密,這是當前我國 PKI 體系統(tǒng)建設的主流模式。使用簽名證書進行身份認證,使用加密證書進行密鑰的交換和保護,既使PKI技術在應用中發(fā)揮其基于非對稱密鑰所帶來的優(yōu)勢,又滿足了國家對PKI應用進行審計監(jiān)管的需要,以此來向一些特定的應用服務提供安全的訪問通道,防止網絡攻擊者輕易地截獲網絡中傳輸的數據,對其進行修改和破壞。
(4)用戶級安全防護措施
捷普服務器群組防護系統(tǒng)提供了完整的用戶賬戶安全防護措施,在用戶獲得訪問權力時對用戶全程的訪問活動進行審計,在他們的訪問權不再有效時凍結用戶賬戶。同時對于用戶賬戶的異常使用,如賬戶密碼的嘗試行為,訪問鏈接的急速驟增,可以通過策略設定在超過一定閾值后將鎖定用戶賬戶。
(5)入網訪問控制
捷普服務器群組防護系統(tǒng)在用戶身份授權中需要設置了用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查、增強Ukey證書鑒別、客戶端準入安全評估五道關卡進行重重審核,只要任何一關未過,該用戶便不能進入網絡,對應用服務進行訪問。
(6)網絡的訪問控制
捷普服務器群組防護系統(tǒng)內置防火墻訪問控制模塊,通過訪問控制對訪問中的源IP、源端口、協(xié)議類型、目的IP、目的端口進行關聯性策略制定,保證應用服務只向用戶開放在業(yè)務中所涉及的服務端口,防止惡意用戶通過部分端口漏洞對應用服務進行非法攻擊。
(7)應用服務授權管理
捷普服務器群組防護系統(tǒng)提供了基于應用服務地址、應用服務端口、WEB應用服務目錄、WEB應用服務資源文件、訪問方式等進行細粒度的服務授權管理,在涉密信息系統(tǒng)中解決了限制低密級用戶訪問高密級應用服務的問題,而高密級用戶可以只讀性訪問低密級應用服務,但又可以通過訪問方式控制形式,限制高密級用戶向低密級應用服務中輸送信息,有效解決了限制高密級到低密級數據流向安全問題。
(8)網絡服務器安全控制
捷普服務器群組防護系統(tǒng)通過在應用服務器系統(tǒng)中植入防篡改監(jiān)控程序通過應用服務防篡改保護機制對應用服務所涉及的資源文件進行全面安全防護,當惡意用戶通過非法手段進行數據篡改時可以對發(fā)生非法篡改的數據進行及時恢復,保證應用正?捎;
捷普服務器群組防護系統(tǒng)的運行狀態(tài)監(jiān)測機制,通過在應用服務器中植入運行狀態(tài)監(jiān)測客戶端程序,實時監(jiān)控服務器的運行狀態(tài),及時上報服務器異常事件如CPU占用過高、內存不足、緩沖器溢出、磁盤空間不足、服務進程中斷、服務端口監(jiān)聽失敗、注冊表信息篡改、數據文件損壞、服務宕機、異常關機和重啟等事件,方便管理員及時作出判斷和解決方案。
捷普服務器群組防護系統(tǒng)非法訪問者檢測機制能夠在事件發(fā)生前進行服務器風險行為檢測、分析和限制,能夠更加有效的對應用防護起到保護效果。
(9)訪問監(jiān)測和鎖定控制
捷普服務器群組防護系統(tǒng)訪問監(jiān)測機制針對用戶的應用服務訪問行為進行訪問事件的全程審計記錄,系統(tǒng)記錄用戶對應用服務資源的訪問,非法的訪問,,并以聲光或文字或聲音等形式報警,以引起網絡管理員的注意。如果有試圖對應用服務發(fā)起攻擊的行為,系統(tǒng)會自動記錄嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
(10)訪問客戶端的準入控制
捷普服務器群組防護系統(tǒng)通過將客戶端物理地址和IP地址的綁定,限定只能在指定的主機進行應用服務訪問,同時增加用戶證書Ukey的校驗機制,為每個授權用戶分配唯一的身份key,這樣在只獲得用戶賬戶和密碼信息,而沒有授權Ukey的條件用,仍然無法通過身份鑒別獲得訪問權。在用戶訪問結束后,拔出Ukey系統(tǒng)則立即關閉該賬戶會話活動,直到下次重新插入Ukey后才能繼續(xù)訪問。
另外捷普服務器群組防護系統(tǒng)針對應用服務的訪問客戶端提供系統(tǒng)版本、注冊表、進程、服務端口、文件等全方位的安全評估方案,在系統(tǒng)接入進行應用服務訪問前,對設定的安全項目進行依次排查,防止帶有病毒,木馬及存在潛在安全風險的計算機(如未安裝防火墻及殺毒軟件終端設備、存在嚴重系統(tǒng)漏洞的終端設備、未啟用有效的桌面監(jiān)管終端設備等),防止這類具有威脅性的終端接入網絡對應用服務進行訪問時造成病毒擴散或系統(tǒng)破壞。
(11)數據流向安全控制
捷普服務器群組防護系統(tǒng)中的郵件安全控制模塊,在賬戶建立時即根據用戶安全等級進行密級標識,用戶在進行郵件收發(fā)時將受到服務器組防護系統(tǒng)的嚴格管控,只有低密級用戶可向高密級用戶發(fā)送郵件,而高密級用戶不能向低密級用戶發(fā)送郵件。另外所有轉發(fā)的郵件都將受到嚴密的內容審計,一些含有涉密內容的郵件,將被篩選出來便于保密人員對這些信息的流向進行跟蹤和追查。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/