信息安全防护技术在伊犁河水利工程中的设计与实现.docVIP

信息安全防护技术在伊犁河水利工程中的设计与实现 　　[摘要]信息系统的安全问题在伊犁河水利工程中伴随着网络的日益普及而变得越发突出。信息安全保护技术可以满足国际河流水利工程在日常办公中进行集中控制、统一管理的需要。本文就信息安全保护技术在水利工程中的系统设计、目标实现、系统结构、方案部署等方面进行了详细论述。 　　[关键词]专用网络 信息安全 权限划分 集中管理 　　[中图分类号]C931.6 [文献标识码]B [文章编号]1672-5158（2013）06-0319-01 　　1、前言 　　伊犁河是一条跨境内陆河流，伊犁河建管局承担伊犁河流域内的水利、水电工程建设、管理、运营任务。在当前和平与发展的国际形势下，抓紧时间搞好伊犁河流域水利建设项目，是促进伊犁地区经济发展，保证国家安全和利益的大事。 　　伊犁河建管局自2001年开始在伊犁河进行水利工程建设，随着建设项目增多，组织机构健全，工作人员增加，管理工作呈现点多、线长、面广的特点，管理机构分布在乌鲁木齐市、伊宁市、伊宁县、巩留县、察布查尔县境内，建设过程中管理工作涉及到多方面的单位和人员，从而加大了建设管理的难度。在这种情况下，应用计算机信息网络技术建设伊犁河建管局专用信息网络（即：现有办公内网），是各项建设管理工作得以正常、高效开展的必备条件。 　　2、专用信息网络现状及存在的问题 　　2，1现状 　　伊犁河建管局专用信息网络于2006年明建成，由于专用信息网络是为全局运行管理服务的，全网独立运行，与互联网没有设置接口。目前，内网通讯系统、远控系统、水情系统、综合管理系统、办公系统、网站系统、邮件系统等业务应用均在此专用信息网中运行，其中部分系统处理、流转着涉密信息和单位内部重要的工作信息，对这些涉密信息和重要工作信息的保护措施是采用防火墙做逻辑隔离。 　　2.2 存在的问题 　　1）伊犁河建管局现有专用信息网络是一张非涉密网络，在此网络上运行有涉密信息，这是不符合BMB-16《涉及国家秘密的信息系统分保护管理办法》中规定的“不涉及国家秘密的信息系统不得处理国家秘密信息”； 　　2）伊犁河建管局现有专用信息网络的安全防护技术措施，不符合BMB-17《涉及国家秘密的信息系统分级保护技术要求》中规定的“涉密信息系统与非涉密信息系统之间，要求物理隔离；涉密信息在远距离传送时，要求加密传送；涉密信息系统中的信息应有相应的密级标识，所有信息通信时应安全可控等等”； 　　3）伊犁河建管局现有专用信息网络所涉及的用户面太广，如：内部人员、设计单位、监理单位、施工单位，这些用户都可以接人到现有网络并能访问内部网站，易造成涉密信息和内部重要工作信息外泄的风险； 　　4）伊犁河建管局现有专用信息网络运行的应用系统，没有做分类分级的防护控制，内部用户也未做分类分级的角色划分，从而导致涉密信息和内部重要工作信息所能接触到的人数众多，易造成涉密信息和内部重要工作信息外泄的风险； 　　5）伊犁河建管局现有专用信息网络内部，没有统一身份认证和行为审计系统，在出现涉密信息和内部重要工作信息外泄事件时，难以取证和追查； 　　6）伊犁河建管局现有专用信息网络内部，工作终端使用没有单一化，部分终端存在一机多用（即用于内网办公，又用于外网访问互联网），易造成内部信息外泄到互联网上。 　　伊犁河建管局现有专用信息网络，还存在一些其他的问题，在此就不——赘述了，针对上述存在的问题，局领导和信息管理者应该重视起来，拿出相应的解决办法，消除存在的问题，使此专用信息网络更好地服务于生产管理，更好地服务于信息保密工作。 　　3、解决方案 　　以国家相关标准和规范为依据，结合伊犁河建管局专用信息网络现状和实际工作需要，在综合分析的基础上给出如下解决方案，供局领导决策： 　　按照非涉密网的方式对现有专用信息网络进行安全改造，使其具备一定等级的安全防护功能，其组网示意图如图1所示。通过本次安全改造，最终将实现专用信息网络上的网络接人安全、终端安全、信息安全，并通过本次安全改造，规范专用信息网络内用户的上网行为，增强专用信息网络内用户的安全防护意识及能力。 　　专用信息网络是一张相对独立的网络，这张网络不与任何网络（尤其是互联网）有着物理连接，将专用信息网络划分成三个安全区域，即服务器安全区域、安全管理安全区域、用户终端安全区域，三个区域之间安全级别由高到低，依次为：服务器安全区域、安全管理安全区域、用户终端安全区域。因专用信息网络上的信息还是有需要提供给外部网络使用，同时外部网络上有些信息还是有需要提供专用网络使用，这是实际需求，从安全的角度出发，将在每个用户终端安全区域部署1台中转机，实现图1所示的手动信息交换（可通过U盘、光盘等移动存储介质）。 　　终端安全管理是一个复杂