网络安全访问策略规划及其实施.pdfVIP

测绘技术装备季刊第12卷2010年第4期 技术交流45 网络安全访问策略规划及其实施 杨正银张秦罡 (四川省遥感信息测绘院四川成都610100) 摘要：根据测绘生产单位对网络安全访问的实际需求，合理规划网络安全访问策略，充分应用网络安全技 术，实现网络安全访问，为测绘生产和管理提供网络安全保障，为信息化测绘的信息安全奠定基础． 关键词：网络安全访问信息化测绘信息安全 1引言 职能部门非生产管理用计算机不能装载测绘保密数 国家测绘局在印发《国家测绘局关于加快推进 据，作为非涉密计算机。 测绘信息化发展的若干意见》中强调要高度重视信 3．2网络划分 息安全工作。网络作为地理信息在获取、处理、传 根据网络安全访问需求和网络实际的使用及分 输、服务等环节的数据交换平台，是信息安全工作 布情况将全院网络划分为四个独立局域网络：生产 的重要环节。建立网络信任安全体系，实现网络安 网络、生产管理网络、中国测绘网节点网络、办公 全访问是在数字化测绘技术体系和信息化测绘技术 网络。生产网络、生产管理网络和中国测绘网节点 体系中实现信息安全的基础工作。 网络作为涉密网络，用于所有与生产和生产管理相 2网络安全访问需求 关的涉密计算机接入，与和互联网相连接的办公网 四川省遥感信息测绘院(国家测绘局第三航测 络物理隔离。办公网络作为非涉密网络与互联网连 遥感院)作为国家级数字化测绘生产重要基地，其网 接，用于非生产管理用计算机接入。其中生产网络 络结构复杂(见图1)，为了确保测绘保密数据在网根据生产部门又划分为YGl(遥感一室)、YG2(遥感 络上的信息安全，必须根据国家相关保密规定和相 关测绘生产管理制度，实现如下网络安全访问要求： (1)将全院计算机中装有涉密数据的计算机作 为涉密计算机，禁止接入互联网。 共九个虚网(VLAN)。 (2)在测绘生产过程中，要求院级数据中心数据3．3安全访问策略规划 服务器和应用服务器只能与其他各生产、管理部门 (1)在生产网络中，院数据中心虚网设数据服务 的数据服务器进行授权通信并交换数据；各部门的 器和应用服务器若干，其余各部门(即虚网)设1～2 数据服务器之间也要能够互相授权通信；各部门中 台数据服务器。 的一般计算机不允许与本部门外的其他任何计算机 各生产部门所有计算机和服务器均属于涉密计 进行通信。 算机，通过授权接入相应虚网。各部门所有服务器 (3)四川省遥感信息测绘院专用广域接入网络之间实现互相访问，服务器上数据资源的授权由各 是中国测绘网的一个二级节点网络，其他所有网络 部门服务器管理人员根据数据交换需要自行管理。 计算机不得接入，只有在需要与中国测绘网络其他 各部门内部计算机只能访问本部门计算机和服务 节点交换数据的情况下，院部数据服务器临时获得 器，由于特殊原因要访问其他部门服务器和计算机， 授权访问本网络的FTP服务器，数据交换完成即终需要向院相关部门申请，由院网络管理员临时授权 止授权。 开通，数据交换或应用完成即中断授权。 (4)院部职能部门生产管理用计算机只能获得 (2)生产管理网络用于院部职能部门生产管理 授权访问院部生产管理服务器，院部职能部门非生 和技术管理人员管理测绘生产，设生产管理服务器 产管理用计算机只能获得授权访问互联网。 一台，各生产管理用计算机属于涉密计算机，通过 (5)所有外来计算机和新购计算机未经授权不授权接入网络并访问生产管理服务器。同时生产网 能接入任何网络。 络中各生产部门也需要访问生产管理服务器，所以 3网络安全访问策略规划 将生产管理服务器同时作为院数据中心虚网的成员 3．1涉密与非涉密计算机划分