提升专网运行安全保密性

  • 格式:pdf
  • 大小:178.13 KB
  • 文档页数:3

爨任编辑:越志远 投稿信箱: tadmin@365mas x。m 信息安全●Security 
提升专网运行安全保密性 
一江苏陈沪娟 
系统专网三 
级节点是依托 
基础设施建设, 
通过其与上级 
主管部门专网 
二级节点及四 

某单位统计系统专网三级节点是依托基础设施建 
设,专网的互联互通也是依托互联网网。按照信息系统 
安全保密结构,该单位组织专网三级节点的基本保护、物 
理安全、运行安全、信息安全保密、安全保密管理等方面 
采取下列相应安全保密技术和措施。 

级节点互联,实现系统专网 互联互通的目标。按照信息 系统安全保密结构,在专网 三级节点的基本保护、物理 安全、运行安全、信息安全保 密、安全保密管理等方面采 取下列相应安全保密技术和 措施。 基本防护措施 按照相关标准规定,涉 密系统不得直接或间接接入 互联网,实现物理隔离(上级 部门专网为独立网络,与互 联网没有任何连接)。安全 保密产品通过测评机构的检 测。通过针对安全域边界进 行明确的划分,通过防火墙 和安全隔离与信息交换系统 使安全域与安全域之间的所 有数据通信都安全可控。 物理隔离,同时对违规上网 和非法外联进行监控,实时 阻断。网络设备和服务器放 置于屏蔽机柜。中心机房用 门控系统进行身份鉴别,配 备有监视系统。工作人员进 行区域保护。 媒体(存储介质)包括光 盘、硬盘盒磁带等按照规定 管理。对于涉密设备的维修, 在保密系统指定服务站进行 统一维护,禁止在系统外对 设备进行远程维护和远程监 控,严格控制系统内的设备 远程维护和远程监控操作, 并且对所有维修情况进行日 志记录,对于不再使用或无 法使用的设备按照有关部门 的相关规定在指定销毁中心 及时报废处理。 运行安全措施 物理安全措施 首先对计算机病毒与恶 涉密系统与国际互联网 意代码防护的部署,通过在 客户端安装杀病 毒软件,客户端 通过控制中心进 行定期升级更 新,并制定明确 的文档化计算机 病毒与恶意代码防护策略和 
制度。 
其次进行针对性备份与 
恢复。在本次组网方案中, 
针对网络关键节点采用冗余 
设计,能够大大提高系统的 
可靠性,同时配置了专用备 
份服务器对重要信息进行备 
份,逐步形成一套完整应急 
恢复方案,力求在最短时间 
对信息进行有效恢复。 
第三应急计划和响应策 
略。针对应急计划中的异常 
事件处理办法和回报流程制 
定了能够确保应急计划和响 
应策略正确实施的规章制度 
和管理办法-对系统内的用 
户进行相关应急响应的各项 
知识、技术、技能的培训,明 
确了用户在系统应急响应中 
所担任的角色和责任;对系 
统内的异常事件结合系统内 
实施的安全审计措施,进行 
系统内异常事件的监测。 

www.365master.com 2016 1 l 1o9 
Security I信息安全 责任编辑:赵志诞 投稿信箱:ne‰dmin《365 nastenc㈣1 
第四加强运行管理。制 定明确的系统运行管理策略 和确保系统运行管理策略正 确实施的相关规章制度;加 强系统配置的管理,并对系 统配置操作进行安全审计; 加强设备接入的管理,控制 违规接入设备对系统资源的 访问,对用户按最小权限原 则进行权限划分,管理员间 的权限能做到互相监督,避 免由于用户权限过于集中带 来的安全风险。 保密防护措施 首先强化访问控制。访 问控制是对全单位统计系统 专网内部用户进行文件和数 据操作权限的限制,主要防 范用户的越权访问。在各密 级安全域之间通过防火墙系 统划分安全域实现网络层面 的权限控制,结合身份鉴别 对应用系统进行应用级的访 问控制。防火墙对数据包的 检测是基于源IP、目的IP、 源端口、目的端口和协议类 型这五个元素。在防火墙上 设置源IP、源端口(协议类 型)与目的IP、目的端口(协 议类型)之间的访问策略。 凡是不符合防火墙访问策略 的数据包一律予以丢弃。人 为的造成通信失败,用以阻 断非授权的网络访问。在统 计系统专网用户公共程序区 域根据业务应用的服务范围 和用户类型制定网络层访问 控制策略。 其次使用身份鉴别。在 实现系统专网内部用户网 络访问控制的基础上,依托 防火墙系统加强身份认证系 统,实现身份统一识别管理 和安全访问的目的,能够满 足保密标准中关于身份鉴别 的技术要求。 第三进行信息完整性校 验。通过身份认证系统中 数字签名的双重加密的方式 来实现防伪、防赖。专网系 统内部制定文档化的明确的 信息完整性保护策略,并且 通过审计及入侵检测工具对 系统内传输的涉密信息进行 完整性检测,及时发现涉密 信息被篡改、删除、插入等情 况,并生成审计日志。 第四采取电磁泄漏发射 防护。系统内设备及安装使 用满足BMB2--1998标准要 求,机房所处建筑物安装满 足BMB4--2000要求的电磁 干扰器。数据传输线路的电 磁泄漏发射防护采用良好接 地的屏蔽电缆,并与其他并 行非屏蔽线缆应保持15cm 
或45cm(平行长度大于等 
于30m时)以上的隔离距离, 
当其他线缆也采取良好接地 
的屏蔽电缆时,最小间隔距 
离为5cm。本次组网方案对 
于综合布线采用光纤布线到 
房间结合房间内屏蔽线缆的 
方式,能够满足抗电磁干扰、 
搭线窃听、防雷击等方面的 
要求,同时在数据核心位置 
部署屏蔽机柜,在配线间安 
装干扰设备。 
第五采取网络加密传输 
措施。涉密网络中,如采用 
数据明文传输方式,往往使 
得网络窃听可以非常容易得 
手,针对明文网络传输的弱 
点,在接受系统专网中,采用 
数据传输加密方法,对重要 
数据进行加密传输,确保数 
据的安全读取与传输。 
第六定期进行性能检测 
与评估。采用国家相关主管 
部门批准使用的检测工具, 
对系统专网系统进行定期 
安全性检测,检测内容包括, 
操作系统版本、更新、开放端 
口,开放服务等,主要用于分 
析有关网络的安全漏洞及被 
测系统的薄弱环节,给出详 
细的检测报告,并针对检测 
的网络安全隐I下转第11 1页】 
资任编辑:赵志近 投稿信箱: tadmjn41:365maste c0m 信息安全-Security 
SNMP服务弱口令安全漏洞防范 
一黑龙江丛红艺 
很多操作系 
统或者网络设备 
的sNMP代理服 
务都存在默认口 
令。如果用户没 
有修改这些默认 

很多操作系统或者网络设备的SNMP代理服务都 
存在默认口令。如果没有修改这些默认口令或者口令为 
弱口令,远程攻击者就可以通过SNMP代理获取系统的 
很多细节信息。如果攻击者得到了可写口令,它甚至可 
以修改系统文件或者执行系统命令。 

口令或者将这些口令设置为 弱口令,远程攻击者就可以 通过SNMP代理获取系统 的很多细节信息。如果攻击 者得到了可写口令,其甚至 可以修改系统文件或者执行 系统命令。 建议修改SNMP默认口 令或者禁止SNMP服务,其 过程为: 在Solaris系统下,修改 “/etc/snmp/conf/sn_mpd. conf”中默认的口令,然后 
执行下列命令使之生效: 
#/etc/init.d/init. 
snm ̄xlx stop 
#/etc/init.d/init. 
snmpdx start 
在Solaris系统下,执行 
下列命令可以禁止SNMP服 
务: 
#/etc/init.d/init. 
snm ̄tx stop 
#mv/etc/rc3.d/ 

S76snmpdx/ 
etc/rc3.d/ 
s76sm-nIxlx 
对于像 
Windows系 
统,可以参考以 
下方法来关闭SNMP服务 
(以Windows 2000为例): 
打开控制面板,双击“添 
加或删除程序”,选择“添加 
/删除Windows组件”,选 
中“管理和监视工具”,双击 
打开,取消“简单网络管理协 
议”复选框,点击“确定”,然 
后按照提示完成操作。 
在Cisco路由器上可以 
使用如下方式来修改、删除 
SNMP口令: 
【上接第11 0页】患给出相应的 
修补措施和安全建议。加强 网络信息系统安全功能,提 高内部网络安全防护性能和 抗破坏能力。 第七加强安全审计和行 为审计。在统计专网部署安 全行为审计系统,对重要业 务数据和敏感信息的存储、 传播和处理过程实施安全防 护。最大限度地防止敏感信 息泄漏、被破坏和违规外传, 并完整记录涉及敏感信息的 操作日志,以便日后审计或 
追究相关的泄漏责任。内网 审计系统从内部安全体系架 构和网络管理层面上,实现 内部涉密环境安全的统一。 通过行为审计有效防止系统 内部终端的信息泄漏,同时 对终端系统的软硬件资源实 施安全管理,并对终端系统 的工作状况进行监控和审 计,实现对电子文档的加密。 第八采取其他一些防护 措施。通过在系统内部部 署补丁分发系统,确保服务 
器和客户端在专网封闭环境 
内,可及时安装重要补丁;通 
过署数据库安全审计和运行 
监测系统,对于专网系统内 
数据库前台应用系统提供安 
全保护;通过入侵监控对入 
侵行为的检测与控制,在监 
测的同时结合访问控制系统 
实现攻击事件的阻断。c:】 

www;365master.COrtl 2016.1 1 1 1 1