◆贾晓军
军工信息系统分级保护建设与分析
◆贾晓军
(太原理工天成电子信息技术有限公司 山西 030006)
军工信息化是军工企业实现办公自动化、应用系统网络化、管理信息化的重要组成部分,是衡量科技强军水平的一个重要标志。目前,军工企业基于专线网大力发展信息化水平,使科技强军水平得到了提高。但是,基于信息化发展的信息安全问题日渐突出。本文从军工信息系统分级保护背景出发,分析了分级保护实施过程以及实施过程中遇到的问题。
军工信息系统分级保护;信息安全;虚拟局域网;防火墙;安全域
近年来,随着科技强军步伐的推进,军工系统的信息化建设水平有了显著提高,系统内部已经基本上全面实现网络化办公、无纸化办公。但是,随着网络技术的飞速发展,信息安全隐患问题已经渗透到社会的各个领域,做好军工信息系统的分级保护工作已经迫在眉睫。本文通过作者在实施分级保护工作中的经验和体会,对军工信息系统分级保护工作的标准规范、实施步骤进行阐述,并对实施分级保护工作中遇到的问题进行分析。
目前,我国军工信息系统安全保障工作还处于起步阶段。加快军工行业信息系统的安全保障系统建设是国家信息安全体系建设的重要部分。随着信息化的不断发展,军工行业的发展越来越依赖于信息系统,军工信息系统是否安全关乎军工行业的生存与发展。军工信息系统是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透的主战场,据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例,由于一些军工单位信息系统安全保障能力不够,管理不力,导致信息泄密案件的比例逐年上升,安全保密形势非常严峻。严格按照涉密信息系统分级保护的要求,加强军工涉密信息系统建设意义重大。
军工信息系统建设单位应根据《中华人民共和国保守国家秘密法》,以《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006)和《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007)为基础,以《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)为设计指南,并遵循“安全、实用、节俭”的原则,进行全面的、针对性的、可操作性强的方案设计。
根据信息系统被破坏后产生的损害,我国的军工信息系统分为秘密级、机密级、绝密级三个密级。信息等级保护是我国实施信息安全管理的基本制度,应根据军工信息系统处理信息的最高密级确定信息系统密级,并根据《涉及国家秘密的信息系统分级保护管理办法》和《涉及国家秘密的信息系统分级保护技术要求》等标准和文件要求确定保护措施。安全保密建设目标是根据军工涉密信息系统业务需求及信息现状梳理和分析,规划设计涉密网的基础网络设施、安全保密技术措施、安全保密管理体系,从基本要求、物理安全、运行安全、信息安全保密、安全保密管理等方面保证军工信息系统内涉密信息的安全,确保涉密网的安全保密水平在技术上达到国家保密标准BMB17-2006中密级防护要求,安全管理上达到国家保密标准BMB20-2007中密级管理要求,促使项目建设结束后能够通过国家保密局的分级保护测评。
军工信息网络系统保护建设内容包括中心机房建设、安全系统、网络系统、应用系统及终端建设工作,具体包括:身份认证系统、防火墙、漏洞扫描系统、网络入侵检测系统、网络防病毒系统、主机监控与审计系统、三合一系统、相关的防电磁泄漏屏蔽措施等。项目总体阶段包括方案设计阶段、工程实施阶段、工程试运行阶段、工程验收及测评阶段。
4.1 安全域划分与定级
军工信息网络系统是一个独立运行的网络,将军工信息网络系统划分为一个独立的安全域,再根据应用功能不同,将安全域中再划分为四个安全区,分别为:核心交换区、涉密服务器区、涉密用户接入区、安全管理服务器区。
4.2 虚拟局域网(VLAN)技术的使用
VLAN中文又叫虚拟局域网,是指网络中的站点根据需要可以灵活地加入到不同逻辑子网中的一种网络技术。通过划分VLAN,节省了带宽,提高了网络处理能力,防止广播分暴,增强了局域网的安全性。基于交换式的以太网实现VLAN主机有三种方式,基于端口的虚拟局域网,基于MAC地址的虚拟局域网和基于IP地址的虚拟局域网。基于端口的虚拟局域网是适用面最广的虚拟局域网,它可以跨越多个交换机,配置直观简单,所有VLAN成员不必局限于一个物理范围内,军工企业内部不同业务部门往往在同一楼层,或者同一办公室,使用同一个交换设备,所以通过VLAN划分能把不同业务部们分开。同时,通过交换机的控制,某一VLAN成员发送的数据包只能在同一VLAN之间发送,而不会发送给VLAN之外的其它终端,这样就保证了涉密信息仅在本部门之间共享。基于端口方式划分VLAN的缺点在于不够灵活,由于系统内部大部分计算机终端都实行机随人走的策略,当出现人员调动时,若新端口和旧端口不在同一个虚拟局域网内,就必须为他们重新配置IP地址。此外,若涉密信息需要在不同部门之间共享时,也存在因不在一个VLAN而无法传送的问题。这就需要技术人员根据本单位情况具体问题具体分析,制定出最合理的VLAN划分方式。
4.3 防火墙技术的应用
防火墙是用来阻档外部不安全因素影响的内部网络屏障,其目的就是限制未经授权的用户访问本企业的网络和信息资源的措施,访问者必需要能适用现行所有的服务和应用。它是一种计算机硬件和软件的结合,使网络之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙通常有两种基本设计策略,黑名单策略(即允许任何服务,除非被明确禁止)和白名单策略(即禁止任何服务,除非被明确允许)。网络级防火墙一般是基于源地址和目地地址、应用协议以及每个IP包的端口来做出通过与否的判断。军工信息系统防火墙一般部署在与外界军工系统信息传递入口和涉密服务器安全域边界处,通过配置防火墙可以防止内部信息的外泄,强化网络安全策略。但由于各单位配置策略不尽相同,有的使用白名单,有的使用黑名单,就会出现防火墙启用的情况下个别服务不能访问的问题。这就需要整个系统内部上下级之间技术人员之间加强沟通,尽最大能力配置出安全系数最高、最合适的防火墙策略。
随着军工信息化技术飞速发展,信息系统分级保护管理工作责任重大,任重道远,军工企业员工也应该不断提高,增强认识。通过实践,我们充分认识到,领导重视、全员参与是做好分级保护管理工作的前提,提高能力、持续改进、构建长效机制是提升分级保护管理工作水平的关键。
[1]李元峰,蔡雅良.浅析涉密信息系统分级保护[J].信息安全与通信保密,2010.
[2]赵宝磊.浅谈涉密信息系统分级保护工作的实施[J].信息技术与信息化,2010.
[3]王向超.入侵防御系统技术研究[J].中国科技信息,2009.
[4]杨宏宁,乐伟光.涉密信息系统分级保护建设中几个常见问题分析[J].保密科学技术,2012.