某市机要系统信息安全解决方案.doc

某市机要系统信息安全解决方案讲解
背景概述
机要局是政府部门核心的保密部门,掌管国家最重要的信息传递通道,是国家重要文件传输的主要途径。随着信息化程度的提高,全国各地机要系统开始进行信息化改造,利用信息网络进行机要信息的传递,提高信息传递的速度,减少纸张开销等机要交通等成本。
某市机要局相应国家信息化的号召,进行了信息网络的改造,在整个地级市的机要系统建设了机要公文传递管理系统。
该机要网络是一个独立的网络,市机要局和各区县机要局网点之间使用专用的网络进行连接。但是,由于机要局需要发送文件报文的单位不仅仅局限于机要系统本身,还包括各党政机关主要部门,如各级政府党委办公室、宣传部和政府办等等,这些部门都存在机要信息终端。因为这些终端地理位置是分散的,管理非常困难,所以必须建立一套统一有效的信息安全管理体系,保障整个机要信息网络的安全。
具体来说,机要信息网络可能存在的安全威胁包括:
系统终端必须是机要信息系统的计算机,防止非法的计算机接入机要信息网络;
系统终端操作用户的身份必须要经过认证和确认;
机要终端信息系统不能接入其它网络中;
机要信息终端计算机不能随意将数据复制出机要计算机;
机要信息终端计算机相互之间的通信必须是加密的;
机要信息终端计算机中存储的信息必须是加密的;
可以根据需要将机要信息网络中的计算机划分到不同的安全域;
本市机要信息系统的服务器可以接受其它上级机要系统的访问。
需求分析
基于某市机要系统的现状,其信息安全需求可以总结如下:
建立统一管理的计算机和用户认证系统,只有经过认证的计算机才能接入到机要网络中,只有经过认证的用户才能使用机要网络中的合法计算机终端;
建立统一管理的计算机终端安全管理体系,对计算机的资源进行有效的集中管理。包括计算机的外设控制、网络控制和应用程序控制,并提供详细的审计信息;
建立统一管理的数据存储、使用和交换的安全保密环境,数据的存储和传输必须是经过加密的。并且,数据的使用和传输范围需要得到有效的范围控制,不能随意传输出指定的使用范围;
可以根据需要,将计算机划分到不同的保密子网,从而区分机要系统计算机和其它党政单位横向机要点。
建立服务器区,可以接受内网用户访问和其它机要系统的网络访问,同时隔离本网机要计算机和其它机要系统网络。
解决方案


Server
MC

7. 子网
8. 子网



图表 1 系统部署图
因为该市机要系统网络规模不大,虽然是一个广域网,但是总共计算机终端只有200多个,所以,为了满足其需求,我们在市机要局部署了一个安全管理服务器,使用了中安源可信网络认证系统、中安源可信网络监控系统和中安源可信网络保密系统三套系统,一起满足用户的需求。三套系统通过中安源可信网络安全平台的管理中心统一进行策略管理,转发网络,子网。
可信网络认证系统和可信网络保密系统满足用户需求A,对计算机的身份和用户身份做了有效的认证,用户身份