<address id="ndbnh"></address>

    <form id="ndbnh"></form>

    <form id="ndbnh"></form>
      <span id="ndbnh"><pre id="ndbnh"></pre></span>

      <em id="ndbnh"></em>

      解決方案

      國產化平臺解決方案

      一.  全國產化環境(以飛騰、龍芯、麒麟等軟硬件為代表構成的自主可控平臺)

      環境描述


      環境示意圖

      風險分析

      任何操作系統如果管理不善,都會存在安全隱患,其中有些隱患造成的結果往往是致命的。目前我軍正在推行自主可控(全國產化)平臺,操作系統以銀河麒麟為代表。銀河麒麟操作系統在安全性方面已經做出了很多實用的改進(包括管理員分權、最小特權、結合角色的基于類型的訪問控制、細粒度的自主訪問控制、禁止上讀下寫等安全功能),但是這些安全功能是存在系統層面的,是對系統級用戶進行管控。操作系統要迎接大量的應用和用戶訪問,這就注定了操作系統自身不可能封控的太多,限制太多,所以留下很多的安全隱患,尤其是對應用層面防護效果不夠,而且與整個網絡環境、用戶環境結合到一起時面臨的風險更多,大體分為如下幾類:

      1.  涉密文檔分散存儲在個人終端之上,管理難度和外泄風險大;

      2.  電子信息存儲介質不斷增多,給保密管理人員帶來更大壓力;

      3.  涉密電子文檔的訪問控制能力缺失,無法做到細粒度的訪問控制;

      4.  文檔的流轉、查看、編輯等行為沒有審計;

      5.  用戶終端和服務器端運行進程沒有控制,容易受到病毒木馬侵襲。用戶可以隨意安裝、運行各種軟件,產生安全隱患;

      6.      對用戶終端的封控不夠,諸如無線網卡、光驅、USB接口、打印設備等可能造成文件外泄的渠道沒有得到很好的控制。

      解決方案

      根據上述的風險,第一步是使用“雙洲電子文檔集中管理系統”對電子文檔建立電子保密室,進行集中存儲,使終端不存密。系統還會對電子保密室進行加固,保證涉密電子文檔的存儲、查看、編輯、傳輸的安全。并根據人員所在處室、密級、權限等條件設置權限,使人員只能訪問相應的文檔,不能越權操作。同時,針對辦公人員外出辦公的需求,提供保密柜、保密包等外出辦公產品,保護效果與保密室等同,可以對使用者外出攜帶的秘密載體進行保護。系統會將電子文檔的流轉、查看、編輯等行為進行全程審計,提供有效的溯源定位手段。

      第二步是使用“雙洲終端安全管理系統”對用戶終端進行加固。根據用戶情況,將網卡、光驅、USB接口、打印設備等進行封控,避免文件通過這些渠道外泄。并且可以對用戶安裝、運行軟件行為進行控制,保證用戶無法私自安裝任何應用。通過進程黑白名單策略,有效避免惡意程序(病毒、木馬等)帶來的危害。

      方案小結

      通過上述解決方案,可以從存儲、傳輸、查看、編輯、授權、外帶、審計等多角度實現涉密文檔的安全。對終端進行加固和封控,保證了用戶區的安全。兩個層面的結合初步形成了從終端到服務器端的整體環境安全。

       

       

       

       

       

       

      二.  向全國產化過渡階段環境(包含WINDOWS系統)

      環境描述

      環境示意圖

      在將現有平臺向全國產化平臺過渡的階段,多數應用系統暫時無法運行在銀河麒麟系統上,依然需要運行在WINDOWS系統中。針對這種情況,提供兩種模式的解決方案。

      模式一:將裝有這些應用的WINDOWS系統虛擬化,移植到銀河麒麟系統中運行。

      模式二:考慮到國產CPU的性能及兼容性問題,可設置獨立的基于X86 WINDOWS服務器作為計算代理,提供安全的運行環境,安裝WINDOWS業務應用。

      風險分析

      這種過渡階段的應對方案所面臨的風險,除了第一部分中提到過的風險之外,還要考慮服務器端運行的WINDOWS系統的風險。WINDOWS系統因為承載著對用戶開放的各種應用系統,不可避免的暴漏在外。自身的訪問控制、權限層級較粗,使得無論是管理人員還是使用人員都具備較多的手段入侵內部竊取、破壞數據。

      解決方案

      針對在向全國產化平臺轉換的過渡階段依然要使用的WINDOWS系統這個額外風險,可以使用“雙洲應用安全控制與交換系統”為在WINDOWS上運行的應用進行集中管控、加固和細粒度授權。通過該系統為應用建立統一的安全可信環境,保證只有相關人員可以訪問相應系統,而且訪問應用系統所用的客戶端或瀏覽器都集中部署在WINDOWS環境中,進行權限控制,保證任何人都無法通過其他的手段訪問應用系統竊取、破壞數據。通過該系統訪問應用時所產生的所有臨時文件均在服務器本地生成,使得客戶端無法截取任何數據。

      方案小結

      通過上述解決方案,將應用系統集中管控、建立可信環境,從而有效避免在過渡階段使用WINDOWS系統所帶來的風險。