特殊企业互联网系统等级保护初探

来源 :世界家苑 | 被引量 : 0次 | 上传用户:wukuang
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘 要:对特殊企业互联网系统的特点进行了归纳,即物理隔离、控制严格、拓扑简单、定级不高。针对特殊企业互联网系统的特点,提出了符合等级保护要求的特殊企业互联网系统设计方案,对系统的网络防护、终端防护、管理人员分权管理和管理制度的实施方法均提出了建议。
  关键词:特殊企业;互联网系统;等级保护
  一、特殊企业互联网系统保护的特点
  与一般的互联网系统相比,特殊企业互联网系统除需按照等级保护规定进行防护外,还需执行相关保密规定,因此在建设、管理、规模、定级保护上有着如下几个特点:
  (一)物理隔离
  特殊企业互联网系统必须与企业内网物理隔离,在实际应用中,互联网系统建设通常在企业安全边界内,则互联网系统中不得使用无线设备,包括无线路由器等无线接收设备。这对弱电布线和架构规划提出了更高的要求。
  (二)严格控制
  特殊企业互联网系统的管理较一般互联网系统管理更加严格,主要是为了通过技术和管理手段进行防护。主要的规定包括:登录互联网的终端所使用的移动存储设备需登记唯一识别号并集中管理;工作人员登录互联网必须经过审批;在网站发布信息必须经过保密审查等。
  (三)拓扑简单
  出于安全保密考虑和企业实际需要,特殊企业互联网系统通常规模较小,服务器和终端总计通常不超过50台。较为典型的应用通常为1台防火墙、1台服务器、1台交换机加上若干台终端的“1+1+1”模式,网络拓扑简单,对外互联网应用也以简单的企业宣传、信息发布为主。
  (四)定级不高
  由于特殊企业互联网系统与内网隔离,且所有信息发布均需通过保密审查,所以“信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全”,符合信息安全登记保护划分中第二级的描述。特殊企业互联网系统通常定级为第二级,由监管部门指导等级保护工作。
  二、符合等保要求的特殊企业互联网系统的构建方案
  由于特殊企业互联网系统存在着上述特点,必须综合考虑等保第二级的要求和保密规定,对其进行防护。第二级系统安全保护环境的设计目标是:按照GB 17859-1999对第二级系统的安全保护要求,在第一级系统安全保护环境的基础上增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力。
  (一)网络防护模式
  在互联网的网络出口部署硬件防火墙保护服务器和终端,同时将防火墙作为登录互联网的路由器使用。所有接入终端统一接在三层交换机上。在防火墙上通过划分可信区、非可信区、DMZ区,保护和限制外网对服务器和上网终端的攻击;设置静态路由,隐藏服务器和登录互联网终端的IP地址;同时通过ACL,限制互联网用户IP访问服务器IP,防止用户对服务器的恶意攻击和病毒感染。在三层交换机上通过划分VLAN和ACL设置,禁止终端之间的相互访问,并关闭大多数冗余的端口。
  (二)终端防护模式
  所有登录终端采用无盘工作站模式登录,安装主机审计系统、网络审计系统、以及防病毒系统。服务器同时作为无盘工作站服务器、安全管理服务器和网站服务器使用。互联网系统和其它系统的交互通过非密中间机执行。
  无盘工作站的工作原理是:服務器上安装无盘工作站服务器软件,制作操作系统镜像,无盘工作站本身未配置硬盘,每次启动时需通过IP网络下载系统镜像到本机内存并运行。通过无盘工作站模式登录互联网,可以较为有效防止互联网病毒入侵,由于无盘工作站终端无权写入镜像文件,即使感染了病毒,只需重启终端,就可恢复原镜像系统。不仅如此,使用无盘工作站,还很好的解决了用户访问操作权限问题,即用户无权修改系统文件。
  在无盘镜像和服务器上安装主机审计系统,控制无盘工作站和服务器的输入输出端口,并对其操作记录进行审计。在主机审计系统中,通过禁止光驱读写、仅允许注册U盘使用的方式,使互联网信息的输入输出受到控制。主机审计系统还可以负责操作系统补丁的检测和分发。
  在无盘镜像和服务器安装网络审计系统,所有连接互联网行为必须首先通过网络审计系统,且在网络上的一切行为也被网络审计系统记录。网络审计系统的登入认证可采用刷卡器采集用户序列号登录认证的方式,同时进出互联网登录点需经过审批。
  互联网系统的信息输入和输出均需通过审批,并采取相应的技术和管理防护,采用内网安装与互联网系统异构的杀毒软件、恶意代码查杀工具及具有资质的审计软件,并只允许通过一次性光盘和注册U盘进行数据交换,防止病毒复制传播。
  (三)分权管理
  细化信息系统“三员”的管理职责,可以更好的管理互联网系统。仿照内网信息系统“三员”机制,可以在特殊企业互联网系统中设置互联网系统安全员、互联网系统管理员和互联网系统审计员,分别对应由内网信息系统的安全保密员、系统管理员以及安全审计员兼任。
  安全员主要负责杀毒软件、恶意代码查杀软件、主机审计软件、网络审计软件的更新和维护以及防火墙的配置;管理员负责对系统的资源和运行进行配置、控制和管理。包括维护访问人员身份授权列表、服务器上对外发布网站、以及终端的无盘镜像的维护更新,管理员还需定期对数据和设备进行备份;审计员对安全员和管理员的操作进行审计,并及时对及互联网系统内的审计信息作出响应。
  (四)制度建设
  明确“谁使用、谁负责”、“谁主管、谁负责”的方针,明确领导机构和责任部门,设立或明确信息安全领导机构,明确主管领导,落实责任部门。
  内网系统的管理要求较等级保护第二级防护要求要严格和深入,特殊企业可以参照内网系统的相关要求,对互联网系统制定安全管理策略、管理制度、管理措施,并定期开展自查与调整工作。
  参考文献
  [1]罗为.网络管理与维护[J].网络与计算机科学,2014,(4).
  [2]王海.浅析会计信息披露模式[J].财政研究,2004,(21).
  [3]马国财.基于JSP技术MIS系统的设计与实现[J].青海大学学报,2007,(02).
  作者简介
  潘鸣洲(1987-),男,江苏省南京市人,民 族:汉 职称:助理工程师,学历:本科。
  (作者单位:中国电子科技集团第二十八研究所信息中心)
其他文献
摘 要:小学阶段语文作为重要的科目之一,不但是小学阶段的基础学科,更是贯穿各个学段的重要基础学科。主要担任着培养学生丰富情感、创新意识、创新思维的功能,对学生将来的成长和当下的发展而言都会产生很大的影响。为确保在今后的教育工作中能够拥有较大进步,本文着重介绍了小学语文教学创新过程中面临的问题、如何对小学语文教学进行创新、对小学语文教学进行创新的重要意义等相关方面。  关键词:小学语文;基础学科;创
期刊
摘 要:一篇好的作文可以看出学生语文能力的高低,通过学生作文,可以有效培养学生的语言运用的能力,从而提高学生的语文综合素养。但是,笔者通过一定的方式了解到个别语文教师一谈到学生的作文,颇感到头疼,学生厌写,敷衍了事,照抄照搬作文范文,学生的习作水平难以得到提高。  关键词:初中语文:作文教学:策略探究:提高质量  在语文教学工作中,需要教师结合阅读与习作教学,组织学生认真阅读,提升学生的写作能力,
期刊
摘 要:回到王翚的《仿巨然溪山雨霽图》,从气韵、图式、笔墨来看,这幅作品大概应该归为以上三种仿古类型中的“仿题款”之作。但由于款名很可能是后人所附,所以说,这幅题为“仿巨然”的作品,实际上和巨然并没有什么关系。而是在以“仿”成风的明末清初那个时代环境中,画家在一定程度上的独抒胸臆的自我创作,题款为“仿巨然”,一方面是画家的正本清源之举,同时也是当时那位年轻画家志向昭示之举。  《仿巨然溪山雨霁图》
期刊
摘 要:随着素质教育的发展和新课程改革的推进,当前的教育把德育放在了十分重要的地位。众所周知,青少年的茁壮成长时刻都离不开教育,更离不开理想教育和道德教育,小学数学作为一门基础学科,和其他课程一样,承载着德育教育的功能,在教学中,教师不仅要注重数学基础知识的教学和学生思维能力的培养,更要重视思想道德教育的渗透。基于此认识,本文将结合自己的教学实践经验,探讨怎样在小学数学教学中进行的德育教育,仅供参
期刊
摘 要:目前我們处在一个开放的艺术世界,科技与艺术的融合已成为一种未来发展的趋势。AI为艺术创作带来无限的表达空间与可能性,艺术家可以通过AI更好地实现自己的想象与创意,表达自己对生活的理解和感悟。而如何处理好两者之间的关系,创作出大众都能喜闻乐见的艺术作品,这也考验着每一位艺术家的智慧。  关键词:人工智能;科学;艺术  随着科技日新月异的发展,AI逐渐渗透到我们的生活中。同时,它也为今日的艺术
期刊
摘 要:随着我国对教育事业的不断重视,教育行业不断进行教学目标、教学方式的改革,更加注重教学内容的实用性,让学生能够将学到的知识应用到实际生活中。尤其是对于中职院校的学生来说,平衡文化知识和技能知识也是一个非常重要的能力,只有这样才能够真正成为社会上的应用技能型人才。因此教师在教学时要优化教学目标、创新教学方式、整合教学资源、联系生活实际,只有这样才能够真正的满足教学需求,保证教学效果。基于此,班
期刊
舞台绘景作为舞台美术中的重要的造型手段在戏剧演出起着重要的作用,戏剧舞台上一切景物的外部造型几乎都要通过绘景来完成. 舞台绘景是运用绘画技法,以及某些特殊技法绘制布景.虽然主要是以绘嘶造型的方法为基础,但也包含着非绘画的造型方法,如:喷色、刷色、剪贴、模具印色及浮雕等,来完成比一般绘画更强烈、更鲜明、更适于远距离欣赏的形象制作工作。舞台绘景与架上绘画有着不可分割的渊源.  舞台绘景在绘画的基础上创
期刊
摘 要:电装生产是船舶制造领域的重要技术。CAD绘图与数据库技术在电装生产设计中的应用,有助于船舶设计效率的提升。本文主要从计算机CAD绘图的基本方法与基本技巧入手,对CAD绘图与数据库技术在电装生产设计领域的应用问题进行了探究。  关键词:CAD绘图;数据库技术;电装生产设计  前言:计算机CAD技术是适用于多种行业的绘图工具。随着计算机技术的不断发展,这一技术已经可以发挥出快速识别用户指令与高
期刊
数控系统加减速控制功能对汽车模具加工精度的影响很大。保证机床运动平稳的前提下,实现以过渡过程时间最短为目标的最优加减速控制规律能使机床更好地满足高精度加工要求,特别是在高速加工中,加减速功能显得尤为重要。  随着中国汽车工业的发展,汽车模具加工所要求的加工精度、表面质量和加工效率越来越高。要加工出高质量的模具,必须有适于模具加工特性的高效数控机床。当然,先进的数控系统是保证汽车模具复杂曲面高速加工
期刊
摘 要:随着社会的进步,市场经济水平不断的发展,人们的生活质量有了显著提高,我国对能源的需求也随之不断的增加。国际相关部门预测,我国在未来的二十年将成为世界上能源消耗的大国,因此我国现阶段需要大力发展能源事业,其中风力发电将成为我国发电的主导技术,当前风力发电系统中储能技术是比较重要的研究课题,储能技术的应用能够有效的防止风力发电的功率反复变化,输出电压较为平稳,保障电能质量和风力发电网络的正常运
期刊