|
分层次实现和部署网络安全策略 周大昭
金保工程包括社会保险信息系统和劳动力市场信息系统两大应用系统,采用中央、省、市的三层数据分布和管理结构,建立中央、省、市三级数据中心,实现信息统一管理。这样庞大的星型网络,能否可靠、有效、安全地运转起来,将直接影响金保工程建设的成效。
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括网络边界安全需求、入侵监测与实时监控需求、安全事件的响应和处理需求分析等几方面。这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。金保工程中网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外向内多级防护的总体策略。根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是:核心层(办公网、社会保障IC卡密钥应用区),安全层(社会保险应用区、劳动力市场应用区、宏观决策支持应用区、网络基础服务区、安全应用支持服务区、其他劳动保障应用区等),基本安全层(劳动保障系统内部资源区、相关单位资源区),可信任层(劳动保障业务专网:政府信息网络平台/公共通信网络),非安全层(公共信息服务应用区),危险层(公共互联网,相关单位网络)。各个安全层次的安全性逐层递减。
劳动保障信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全域间建立有效的安全控制措施,使网间的访问具有可控性。
一、核心层的网络同其他层次的网络之间采用物理隔离的方式,以实现最大可能的网络安全。采用物理隔离的网络之间如需信息交换,须采用人工方式实现,并且所有的操作要严格按照保密制度进行。
二、处于安全层的劳动保障业务局域网中运行着多种既相互联系,又相对独立的应用系统。对于安全层的网络,安全主要来自局域网内部,在局域网中可通过划分虚拟子网对各安全域间、用户和安全域间实施安全隔离,提供子网间的访问控制能力。子网的划分按照业务系统类别、部门级别、用户权限等因素来进行,并以最大子网安全隔离来设置子网间的访问控制。可结合基于交换机端口的VLAN技术和基于节点MAC地址的VLAN技术,实现局域网安全控制和隔离。 三、处于基本安全层的网络,作为内网和外网进行资源共享、数据交换和信息服务的安全隔离带,需在网络的互连边界上利用专用网络安全设备(如防火墙)建立起有效的安全防护,或在边界路由设备上进行访问控制ACL等安全策略的配置,以有效地控制外界用户和局域网的信息交换。
关于ACL的配置,在对外边界路由器上设置粗略的访问控制过滤规则,形成内部网络的第一道防护线;在内部网上使用过滤规则,形成各子应用系统之间的访问控制和逻辑隔离。为了不影响网络的运行效率,不在边界路由器、中心三层交换机上配置过多的ACL。细致的控制在专用网络安全设备(如防火墙)中实现。
安全隔离带作为联系内外网的环节,易受到外界系统的攻击。在各网段上配备网络安全分析、入侵监测及网络监控系统,以监视网络上的通信数据流,捕捉可疑的网络活动,进行实时响应和报警,并实现和专用网络安全设备(如防火墙)的联动,同时提供详尽的网络安全审计分析报告。
四、在处于可信任层的政府信息网络平台/公共通信网络上进行数据传输时不考虑链路层的加密方式,对于省市纵向业务专网和城域网上传输的业务数据(包括本地业务经办,异地业务经办如异地领取养老金人员有关信息、社会保险关系转移人员有关信息、异地就医信息等)可采用数据层加密方式,实现关键敏感性信息在广域网通信信道上的安全传输。
五、对于非安全层和危险层,由于所处的安全层次处于绝对广泛的攻击当中,要避免涉密信息在该层次中流动。一般来讲可根据实际情况采取多方位的安全策略,但同时要注意各种应用策略的效率。要避免在这个层次上过多实施安全策略,以免造成不必要的浪费。
|