以網際網路套用為代表的全球性信息化浪潮日益深刻,信息網路技術的套用正日益普及和廣泛,套用層次正在深入,套用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。
基本介紹
- 中文名:USB管理系統
- 代表:全球性信息化
- 包括:套用層次正在深入
- 目的:關鍵業務系統擴展
背景,現狀與需求,涉密區域網路數據安全現狀描述,目標,指導原則,系統功能,移動存儲介質安全系統數據流程和管理說明,
背景
信息化時代的到來和信息基礎設施建設的完善,政府的信息化輪廓也日益清晰。通過“政府上網工程”的實施,大量頻繁的行政管理和日常事務都通過相關性的業務套用系統在網上協同辦公,大量決策權下放給團體和個人,政府利用網際網路提高了辦公效率。但伴隨網路的套用升級,安全問題日益成為影響網路效能的重要問題,Internet所具有的開放性、國際性和自由性在增加套用自由度的同時,對安全解決方案提出了更高的要求。
政府機構從事的行業性質是跟國家緊密聯繫的,所涉及信息可以說都帶有機密性,所以其信息安全問題,如敏感信息的泄露、黑客的侵擾、網路資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。
政府機構的安全問題主要是以下幾個方面構成的:
邊界安全 政府網路在向民眾和其他機構開放的同時,也面臨黑客攻擊和非法入侵危險,它們將破壞服務和通信,使信息被竊或被篡改。
——邊界防火牆部署在政府區域網路與外網間的網關上,從而可阻止各種類型的攻擊,例如拒絕服務攻擊。同時,它只允許授權用戶登錄企業網路。
內部安全 內部威脅是政府面臨的一個嚴重危險,特別是政府設施通常要對公眾實行開放,則郵件、即時通信及FTP等方式往往都可以成為內部員工泄密的重要途徑。 ——首先對網路內部使用者的上網行為進行合理的規劃,同時針對內部郵件、即時通訊、Web訪問以及P2P通訊等進行全面管理與監控,通過各種控制手段,規範政府員工的信息傳送行為,以確保政府內部網路使用的保密性。
網際網路安全 通常狀況下,政府機構之間通過網際網路或其他公用網路處理事務和執行通信,當通信超出防火牆的安全範圍而進入傳送階段時,容易被監聽截取。 ——政府應該使用支持虛擬專用網(VPN)的邊緣防火牆。虛擬專用網能夠在傳送方與接收方之間,建立一種高加密數字“隧道”。所有的通信,甚至包括IP話音通信,均通過這種數字“隧道”執行傳輸,從而保護通訊免遭窺探。
病毒與垃圾郵件 政府網一旦與網際網路或其它公用網路相連,就會遭遇大量泛濫的垃圾郵件、病毒郵件,以及色情、政治相關信息的郵件,不但嚴重影響郵件系統的工作效率,危害到網路的正常運行,而且影響員工工作效率,甚至會帶來一些極其不好的負面影響。
套用系統的漏洞 政府協同辦公平台、政府網站、政府郵件系統、政府網上報送審批平台等大量套用系統和數據平台存在於政府網中。 ——存在的安全漏洞和隱患自然相應較多,也容易被攻擊者利用來充當跳板。 綜上所述:政府信息系統的安全可以簡單的規劃成兩個部分:
2、數據安全問題:包括政府的核心資料庫內容,工作中的敏感和關鍵業務數據,目前缺少從數據生成起到數據轉移到數據保管的數據生命周期安全解決方案,普歐所提的數據安全解決方案就是以這個為出發點;隨著對水務局重視和不斷投入,套用系統環境安全取得了非常好的成績(包括軟硬體的持續投入和升級/涉密區域網路安全架構的不斷合理化/信息化人員不斷最佳化管理章程),但是在針對涉密網內的數據安全管理一塊還是缺乏足夠的管理手段和管理工具。
現狀與需求
涉密區域網路數據安全現狀描述
涉密區域網路和外網之間的數據交換以及涉密單機的外設接口缺乏更有效的監管,包括數據轉移生成時的審計和全程監控以及對涉密機的所有外設接口進行監控管理;
使用通常的移動存儲介質,內部人員的工作失誤可能會導致將單位內部重要信息複製或無意泄露出去,從而造成單位敏感信息泄密。
移動存儲介質一旦無意丟失,存儲在裡面的大量敏感數據或個人隱私數據可能被不法人員用以不正常用途,造成數據泄密,那么必須要求移動存儲介質具備防暴力破解和自動底層刪除功能。
對於內部使用的移動存儲介質與在內部其他涉密單機數據交換時,沒有安全可管理的交換方式。
發生信息外泄後,能否對內部人員的數據操作日誌進行必要審計以查清數據問題源頭。
政府政務網需要將部分數據交換到外部政府入口網站的時候,如何對其交換的數據進行管控和審計。
維修&報廢的存儲硬體缺乏足夠的管控和數據安全的審計手段。
目標
通過在磐正移動存儲介質安全解決方案在市政府的正常套用及全面推廣,為電子政務保駕護航,充分保證涉密機器的信息和數據的交換安全,並建立合理的審計機制對IT運維規則進行不斷的提升:
指導原則
資源共享,安全保密。從打破條塊分割、信息封鎖入手;充分利用現有資源,逐步形成統一的政府系統信息網路和套用體系。建立信息共事機制,促進信息共享。要嚴格執行國家有關安全保密法規與“三網一庫”建設同步建設好安全保密系統。要進一步加強套用過程中的制度建設和系統管理,確保國家信息安全。
移動存儲數據安全管理系統項目方案
磐固移動存儲數據安全管理系統方案依託磐固移動存儲及管理系統實現。磐固移動存儲數據安全管理系統是廣東省國家保密局和廣東省科技廳重大科技項目,已通過廣東省國家保密局組織的產品測試,並被列入廣東省保密科技產品政府採購名錄,屬廣東省國家保密局要求全省有關單位強制配置產品。
“磐固” USB安全移動存儲及管理系統主要由USB移動存儲管理系統與專用安全隨身碟組成。USB移動存儲管理系統通過對USB連線埠管理實現“USB“移動存儲設備可控,可管理。利用移動存儲設備管理系統、磐固保密安全隨身碟、專用數據交換盤,審計跟蹤,存儲虛擬化等技術手段,對敏感信息、重要業務數據的存儲、傳播和處理過程實施全方位的安全保護,並對日常工作中與外來數據交換提供一個安全的可管理方案。
系統功能
系統包括:磐固移動存儲管理系統(單機版和網路版),磐固安全隨身碟,磐固數據交換盤及磐固中間機等,磐固移動存儲管理系統單機版適合涉密單機管理模式;網路版適合涉密區域網路集中管理模式,並提供獨立的審計日誌系統;中間機套用於涉密區域網路和外網之間的數據交換。
移動存儲介質安全系統數據流程和管理說明
(1)涉密單機區採用專用安全隨身碟用於涉密計算機之間數據交換,該區安全隨身碟只能在本區使用,無法在涉密區域網路和外網中使用;
(3)可考慮使用帶作業系統的安全隨身碟,每個操作員將自己常用的檔案/應用程式等等拷入到隨身碟中;每個操作員攜帶的就是一個受監控微型計算機,不會在涉密機上留下任何檔案痕跡;
(4)值得注意的是涉密區域網路機器的安全隨身碟不可在涉密單機上使用,反之亦然;
(5)涉密單機和涉密區域網路機器需要進行數據轉移時必須要通過磐正導入導出盤,以保證數據的安全性和可審計性;
涉密單機與涉密內外網數據交換流程和管理說明
(1)涉密區域網路中的涉密單機和涉密區域網路及外網機器之間需要交換數據時將採用專用數據單嚮導入和單嚮導出盤,單向導入導出盤是由省保密局認可和唯一指定用於非涉密計算機和涉密計算機之間專用數據交換產品,因此可以在涉密計算機和非涉密計算機之間單向交換檔案,當然允許在涉密和非涉密計算機之間同時存在隨身碟接入痕跡。
(2)單嚮導入盤用於需要從非涉密計算機導入檔案到涉密計算機時使用,該盤在外網非涉密計算機只能導入檔案不能反嚮導出檔案,在涉密區只能導出檔案不能反嚮導入檔案防止非法竊取涉密資料
(3)單嚮導出盤用於需要從涉密計算機導出非涉密檔案情況使用,該盤在非涉密計算機只能導出檔案,並且當導出盤檢測到外網非涉密計算機有聯通網際網路行為時自動切斷網路,並且報警。單嚮導出盤在涉密計算機只能導入檔案不能反嚮導出檔案防止木馬和病毒入侵。
涉密區域網路區與外網數據交換流程和管理說明:
(1)涉密區域網路計算機之間採用統一的專用區域網路安全隨身碟,該盤只能在本涉密區域網路使用無法在外網使用,內外網數據交換採用一般採用單向導入導出盤解決,單嚮導入導出盤是由省保密局認可和唯一指定用於從非涉密計算機與涉密計算機的專用數據交換產品,因此可以在區域網路和外網之間單向交換檔案,當然允許在區域網路和外網計算機之間同時存在隨身碟接入痕跡。
(2)由於政府辦公廳內部網路將全部併入政府涉密區域網路,並同外網(Internet)進行物理隔絕,當區域網路需要和外網進行數據交換時,建議通過中間機機制來實現,以保證數據交換的安全性和可審計機制;
(3)我公司的中間機基於WINDOWS-XP作業系統運行,並對中間機的XP系統提供驅動級的開發和保護,使移動存儲設備在進行數據轉移時得到完善的安全保護,在後續開發中我們考慮根據大部分客戶需求,計畫在我公司獨有的作業系統上進行訂製開發;中間機要求在數據交換無痕操作並記錄工作日誌用以後期審計,並且安裝相關防病毒木馬軟體對來往數據進行控制達到防病毒的目的;
