政府行业内网系统安全解决方案
来源:中国电子政务网 更新时间:2012-04-15


栏题:政府行业内网安全问题是整个内网安全系统构架的重中之重,针对内网安全现状,清大安科(北京)科技有限公司根据政府对于内网的网络安全、系统安全、应用安全、管理安全等特殊的行业安全与保密特点,充分应用清大安科安域内网安全产品(CofferDisk),提出了一个体系完整、安全、功能强大、系统性能优良的保障系统,切实有效的保障网络的安全,为政府工作顺利开展保驾护航。


政府行业内网安全现状


近几年来,随着信息化工作的开展,网络在给政府行业工作带来巨大便利的同时,也带来了很多严重的安全隐患,且一旦出现内部信息泄漏,造成的损失将无法估量。


政府部门的内网系统中往往有大量的机密资料,然而许多机密资料在内网中无法得到保护,工作人员可以随意复制拷贝甚至传播机密资料。比如机密资料没有权限分级措施,某些只限科室领导查阅的文档通知经常部门普通工作人员都可以正常查阅;无法控制因为出差等原因将机密资料外带造成的泄密威胁;无法保证总单位和分单位之间通信所存在的安全威胁;缺乏完善的安全管理软件体系,以及安全管理意识。


虽然在政府行业中都对不同级别的网络之间配置了防火墙,但是防火墙只能防外不防内,只能抵御网络外部安全威胁;可疑人员可以绕过防火墙、或骗过防火墙进入某所内部,或内部人员直接对服务器系统(操作系统、数据库系统和各种应用系统)通过网络实施各种攻击,防火墙都无能为力。


更重要的是,防火墙实现的是边界控制,对内部的用户没有任何约束力,因此,应该采取有效的内网安全技术措施,弥补防火墙的不足。清大安科内网安全产品针对政府行业内网的网络安全、系统安全、应用安全、管理安全等安全与保密需求,充分应用清大安科内网安全系统的防范措施与监控手段,以此来建立一个体系完整、安全、功能强大、系统性能优良的保障系统,切实有效的保障网络的安全.


 清大安科内网安全产品架设


1.划分安全域

安全域是指在同一个安全域内的计算机之间,涉密文件可自由传输以实现文件共享,同时可保证信息不外泄,一旦涉密文件脱离了安全域,便以密文形式存在,不能被读取、使用,直至其回到原安全域中才能被再次正常读写。


在实际应用中,如果将政府某部门所有计算机放置在同一个安全域中,该部门的涉密文件可自由在内部计算机间传输,并可以明文形式显示于每台计算机的密盘之中。但若试图将该涉密文件带离该安全域,一旦涉密文件以复制、拷屏、打印、刻录光盘或网络传输等方式带离密盘范围,便自动加密成密文,无法读取、使用。若试图将其带入另外的安全域中,涉密文件将以密文形式出现。

2.机密文件安全解决措施

政府部门内网中各部门存放着大量的重要、绝密、机密文件,在工作人员对机密文件进行操作时,必须要防止用户将文件本身或文件内容进行泄密,具体的防护功能有:

 1.工作人员必须通过客户端软件才能访问、严格限制工作人员外传涉密资料。
 2.对用户使用涉密文档的权限进行严格控制,非授权用户不得查看、使用,携带保密数据,即使复制保密数据也是密文。
 3.采取集中存储、授权、文件内容加密多重方式结合,起到多重保护作用,确保文件安全性;
 4.防止用户使用屏幕截取软件、屏幕录像软件等工具非法获取机密文件信息。
 5.防止用户通过本地转存(比如文件另存、内容复制等)、外部移动存储等方式(比如拷贝到U盘、移动硬盘等)传播机密文件。
 6.实现网络数据加密传输,防止用户通过FTP、BT等p2p软件以及EMAIL等网络工具将机密文件外泄。
7.能够提供对加密密钥的还原恢复机制即解密机制,在发生不可预知的灾难情况下,可以准确恢复原始加密密钥。
 8.防止用户通过蓝牙、红外等等外设将机密文件传送给他人。

9. 对所有对机密文件的操作日志进行保存,用以进行安全审计

10. 所有机密文件集中加密存放在本地计算机中一个虚拟加密存储盘中,对于工作人员来说,加密和解密过程是透明的。


3.机密文件外带解决措施
在工作的过程中,经常需要将机密文件带出单位,如何在这样的情况下保证机密文件的安全,需要解决的具体问题包括:
 1.在计算机脱离内网环境后,对机密文件进行加密保护。
 2.在文件被非法拷贝或者黑客程序盗用后,甚至计算机硬盘被盗后,文件本地加密能够保证内容安全,且在软件退出后,该加密文件不显示在电脑上。


4.通信安全解决办法

政府内部会有大量的机密文件需要在各地区及内部之间进行交互,比如所关心的公文,统计数据,机要文件,会议纪要等。这些资料一旦落到犯罪分子手中便会带来极大的损失,针对此项需求,系统需要实现以下功能:

1.在各分支机构和机关之间实现数据加密传输。

2.机关局域网系统也同样需要实现机密文件在局域网内部不被泄漏的功能。


总结

清大安科内网安全产品通过对网络、外设、内存以及硬盘的全面控制,不需额外购买服务器、不需设置专职管理员利用禁止复制、拷贝、另存、打印、截屏以及网络传输等手段,全方位保证涉密文件不被有意或无意泄露,从而真正实现内部文件的高安全性。