技術(shù)
導(dǎo)讀:智慧軍營(yíng)安全防護(hù)系統(tǒng),既涉及對(duì)外部攻擊的有效防范,又包括制定完善的內(nèi)部安全保障制度;既涉及防病毒攻擊,又涵蓋實(shí)時(shí)監(jiān)測(cè)、數(shù)據(jù)加密和安全評(píng)估等內(nèi)容。全方位保障部隊(duì)的數(shù)據(jù)訪問(wèn)安全,將部隊(duì)的數(shù)據(jù)信息進(jìn)行高效管控。
北京西岐智慧軍營(yíng)解決方案集成智慧軍校、智能營(yíng)區(qū)、智慧營(yíng)院、智慧訓(xùn)練、智慧邊防、智慧政工、請(qǐng)銷(xiāo)假系統(tǒng)、人員管理系統(tǒng)、車(chē)輛管理系統(tǒng)、車(chē)輛派遣系統(tǒng)、機(jī)關(guān)辦公系統(tǒng)、政治教育系統(tǒng)、訪客登記系統(tǒng)、裝備保障系統(tǒng)、戰(zhàn)備值班系統(tǒng)、后勤保障系統(tǒng)、智慧考試系統(tǒng)、輔助決策系統(tǒng)、三維可視大屏、綜合態(tài)勢(shì)平臺(tái)等軟硬件結(jié)合一體化解決方案。
一、建設(shè)背景
現(xiàn)階段,信息系統(tǒng)安全保密技術(shù)被廣泛應(yīng)用在世界的各個(gè)領(lǐng)域中,并取得了良好的效果。之所以世界各國(guó)在發(fā)展的過(guò)程中應(yīng)用信息系統(tǒng)安全保密技術(shù),其主要的原因在于當(dāng)今時(shí)代是一個(gè)科技競(jìng)爭(zhēng)的時(shí)期,世界各國(guó)在發(fā)展的過(guò)程中都充分的運(yùn)行信息技術(shù)和相關(guān)的系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行儲(chǔ)存,一旦信息系統(tǒng)遭受破壞,系統(tǒng)中重要的信息和數(shù)據(jù)就會(huì)丟失。隨著我軍各類(lèi)信息網(wǎng)絡(luò)建設(shè)的不斷深入,軍用網(wǎng)絡(luò)電子信息面臨的安全問(wèn)題日益突出,尤其是近年來(lái),新形勢(shì)下軍事斗爭(zhēng)準(zhǔn)備工作步伐日益加快,軍用網(wǎng)絡(luò)泄密、竊密和受破壞事件頻發(fā),給軍用網(wǎng)絡(luò)電子信息安全造成了嚴(yán)重的危害。因此,提高軍用網(wǎng)絡(luò)的安全性,構(gòu)筑完善的軍用網(wǎng)絡(luò)電子信息安全體系成為當(dāng)務(wù)之急。
北京西岐網(wǎng)絡(luò)公司自主研發(fā)的安全防護(hù)系統(tǒng),由通信網(wǎng)絡(luò)安全分系統(tǒng)、計(jì)算環(huán)境安全分系統(tǒng)、應(yīng)用服務(wù)安全分系統(tǒng)、數(shù)據(jù)資源安全分系統(tǒng)、網(wǎng)絡(luò)信任支撐分系統(tǒng)和安全運(yùn)維管理分系統(tǒng)六個(gè)分系統(tǒng)組成。實(shí)現(xiàn)了對(duì)安全管理流程的全覆蓋。
二、系統(tǒng)介紹
軍用網(wǎng)絡(luò)電子信息安全體系設(shè)計(jì)應(yīng)充分考慮影響軍用網(wǎng)絡(luò)電子信息的各方面風(fēng)險(xiǎn),不忽視或漏掉其中任何一個(gè)安全環(huán)節(jié),以便能夠保證整個(gè)系統(tǒng)的安全性。
(一)通信網(wǎng)絡(luò)安全分系統(tǒng)
通信網(wǎng)絡(luò)安全分系統(tǒng)為系統(tǒng)通信網(wǎng)絡(luò)安全提供技術(shù)支撐手段,主要由網(wǎng)絡(luò)密碼機(jī)、防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)等裝備組成。
1.網(wǎng)絡(luò)密碼機(jī):機(jī)要設(shè)備,硬件形態(tài),部署于局域網(wǎng)出入口,根據(jù)用戶(hù)需求進(jìn)行配置,提供網(wǎng)間一對(duì)多和多對(duì)多的IP網(wǎng)絡(luò)數(shù)據(jù)傳輸加密服務(wù)。
2.防火墻:硬件形態(tài),部署于局域網(wǎng)邊界、局域網(wǎng)絡(luò)內(nèi)部不同區(qū)域之間,實(shí)現(xiàn)網(wǎng)絡(luò)邏輯隔離和網(wǎng)絡(luò)訪問(wèn)控制功能。
3.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng):硬件形態(tài),與節(jié)點(diǎn)內(nèi)各交換機(jī)所配置的鏡像端口連接,提供威脅發(fā)現(xiàn)、威脅展示、威脅分析、威脅處理功能,實(shí)現(xiàn)網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)資源濫用行為檢測(cè)。
4.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng):硬件形態(tài),部署于核心交換機(jī)上,負(fù)責(zé)對(duì)接入局域網(wǎng)的網(wǎng)絡(luò)設(shè)備進(jìn)行準(zhǔn)入控制,驗(yàn)證入網(wǎng)主機(jī)身份合法性安全狀態(tài)合規(guī)性,防止不滿足安全策略要求的主機(jī)接入網(wǎng)絡(luò)。
(二)計(jì)算環(huán)境安全分系統(tǒng)
計(jì)算環(huán)境安全分系統(tǒng)為系統(tǒng)中服務(wù)器、主機(jī)等計(jì)算設(shè)施的安全提供技術(shù)支撐手段,主要由主機(jī)監(jiān)控與審計(jì)系統(tǒng)、惡意代碼檢測(cè)系統(tǒng)等裝備組成。
1.惡意代碼檢測(cè)系統(tǒng)客戶(hù)端:軟件形態(tài),部署于服務(wù)器、終端操作系統(tǒng)中,實(shí)現(xiàn)病毒查殺功能、常用系統(tǒng)與應(yīng)用軟件的漏洞檢測(cè)與補(bǔ)丁分發(fā)功能,可通過(guò)網(wǎng)絡(luò)級(jí)聯(lián)實(shí)時(shí)更新病毒庫(kù)和補(bǔ)丁庫(kù)。
2.主機(jī)監(jiān)控與審計(jì)系統(tǒng)客戶(hù)端:軟件形態(tài),部署于終端操作系統(tǒng)中,為自主可控計(jì)算機(jī)終端提供安全計(jì)算環(huán)境,提供對(duì)計(jì)算機(jī)資源管理控制功能,用于實(shí)現(xiàn)計(jì)算環(huán)境的終端安全基線評(píng)估、綜合防護(hù)與攻擊檢測(cè),確保計(jì)算環(huán)境安全可靠運(yùn)行。
(三)應(yīng)用服務(wù)安全分系統(tǒng)
應(yīng)用服務(wù)安全分系統(tǒng)為系統(tǒng)承載的應(yīng)用服務(wù)的安全提供技術(shù)支撐手段,主要由Web應(yīng)用防火墻等裝備組成。
(四)數(shù)據(jù)資源安全分系統(tǒng)
數(shù)據(jù)資源安全分系統(tǒng)為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)訪問(wèn)安全提供技術(shù)支撐手段,主要由數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、網(wǎng)絡(luò)存儲(chǔ)密碼機(jī)等裝備組成
1.數(shù)據(jù)庫(kù)審計(jì)系統(tǒng):硬件形態(tài),以旁路或串聯(lián)部署方式連接數(shù)據(jù)庫(kù)服務(wù)器的接入層交換機(jī),提供基于IP地址、事件、用戶(hù)/用戶(hù)組、數(shù)據(jù)庫(kù)用戶(hù)名、數(shù)據(jù)庫(kù)類(lèi)型、數(shù)據(jù)庫(kù)表名、字段名、自定義敏感數(shù)據(jù)、DDL、DML數(shù)據(jù)庫(kù)操作指令等數(shù)據(jù)庫(kù)訪問(wèn)行為進(jìn)行監(jiān)測(cè),能夠根據(jù)存儲(chǔ)的數(shù)據(jù)庫(kù)訪問(wèn)行為數(shù)據(jù),分析前而無(wú)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)習(xí)慣(包括對(duì)數(shù)據(jù)庫(kù)的增加、更新、刪除、查詢(xún)等SQL訪問(wèn)語(yǔ)句),在發(fā)生突變的數(shù)據(jù)庫(kù)訪問(wèn)異常行為時(shí),能夠給出告警。
2.網(wǎng)絡(luò)存儲(chǔ)密碼機(jī):機(jī)要裝備,硬件形態(tài),部署在局域網(wǎng)數(shù)據(jù)存儲(chǔ)區(qū)磁盤(pán)陣列的前端,為辦公系統(tǒng)數(shù)據(jù)庫(kù)存儲(chǔ)提供SAN網(wǎng)絡(luò)磁盤(pán)存儲(chǔ)加密功能。
(五)網(wǎng)絡(luò)信任支撐分系統(tǒng)
網(wǎng)絡(luò)信任支撐分系統(tǒng)作為認(rèn)證和授權(quán)基礎(chǔ)設(shè)施,為全網(wǎng)提供統(tǒng)一的用戶(hù)實(shí)名管理功能,以服務(wù)化的方式對(duì)應(yīng)用系統(tǒng)和安全裝備等提供用戶(hù)身份認(rèn)證、訪問(wèn)控制和單點(diǎn)登錄功能,主要由用戶(hù)身份管理系統(tǒng)、生物特征識(shí)別設(shè)備等裝備組成。依托全網(wǎng)統(tǒng)一的身份認(rèn)證服務(wù)體系,實(shí)現(xiàn)基于用戶(hù)身份和權(quán)限的訪問(wèn)控制。
(六)安全運(yùn)維管理分系統(tǒng)
安全運(yùn)維管理分系統(tǒng)用于實(shí)現(xiàn)統(tǒng)一管理,以及安全事件審計(jì)、安全風(fēng)險(xiǎn)評(píng)估等功能,為安全保密系統(tǒng)整體效能的發(fā)揮提供技術(shù)支撐。主要由漏洞掃描系統(tǒng)、主機(jī)監(jiān)控與審計(jì)系統(tǒng)、惡意代碼檢測(cè)系統(tǒng)、安全管理系統(tǒng)、安全審計(jì)軟件和安全應(yīng)急處置工具箱等裝備組成。
三、總結(jié)
北京西岐網(wǎng)絡(luò)公司通過(guò)對(duì)部隊(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問(wèn)題,制定了合理的安全策略及安全方案來(lái)確保部隊(duì)網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性、可審查性和可恢復(fù)性。智慧軍營(yíng)安全防護(hù)系統(tǒng),既涉及對(duì)外部攻擊的有效防范,又包括制定完善的內(nèi)部安全保障制度;既涉及防病毒攻擊,又涵蓋實(shí)時(shí)監(jiān)測(cè)、數(shù)據(jù)加密和安全評(píng)估等內(nèi)容。全方位保障部隊(duì)的數(shù)據(jù)訪問(wèn)安全,將部隊(duì)的數(shù)據(jù)信息進(jìn)行高效管控。幫助部隊(duì)打通安全管理工作的最后一公里距離,提供獨(dú)特的安全可視,提升全過(guò)程的安全認(rèn)知能力,讓安全更有效,更簡(jiǎn)單。