涉密信息系統(tǒng)分級(jí)分域訪(fǎng)問(wèn)控制技術(shù)研究與實(shí)現(xiàn)

王博

中國(guó)核動(dòng)力研究設(shè)計(jì)院 四川 成都 610042

引言

企業(yè)內(nèi)部網(wǎng)絡(luò)尤其是涉密信息系統(tǒng)的訪(fǎng)問(wèn)控制風(fēng)險(xiǎn)，已成為網(wǎng)絡(luò)安全形勢(shì)中日益嚴(yán)峻的重大問(wèn)題，涉密信息系統(tǒng)信息安全防護(hù)已經(jīng)上升到國(guó)家戰(zhàn)略層面[1]。國(guó)際上對(duì)重要信息系統(tǒng)的安全防護(hù)早已開(kāi)始，提出對(duì)系統(tǒng)實(shí)施按不同等級(jí)開(kāi)展安全防護(hù)的體系，并出臺(tái)了一系列標(biāo)準(zhǔn)規(guī)范、管理制度和技術(shù)措施。在成熟的技術(shù)措施中，BLP模型[2]是最經(jīng)典的多級(jí)安全模型，在涉密信息系統(tǒng)中作為信息訪(fǎng)問(wèn)控制技術(shù)應(yīng)用較為廣泛。此外，VLAN技術(shù)[3]、ACL技術(shù)[4]以及邊界防火墻[5]等也常用于信息的訪(fǎng)問(wèn)控制。但這些技術(shù)在實(shí)現(xiàn)分級(jí)分域訪(fǎng)問(wèn)控制的粒度上存在一定局限性[6]，無(wú)法滿(mǎn)足精細(xì)化管理要求和數(shù)字化轉(zhuǎn)型發(fā)展趨勢(shì)。

在等級(jí)保護(hù)體系基礎(chǔ)上，我國(guó)針對(duì)涉密信息系統(tǒng)專(zhuān)門(mén)提出了分級(jí)保護(hù)標(biāo)準(zhǔn)[7]。標(biāo)準(zhǔn)中明確規(guī)定在對(duì)涉密信息系統(tǒng)主體和客體進(jìn)行資源劃分的基礎(chǔ)上，須進(jìn)一步劃分安全域[8]。并且，對(duì)涉密信息流向應(yīng)進(jìn)行嚴(yán)格控制，禁止高密級(jí)數(shù)據(jù)流向低密級(jí)安全域，以降低安全保密風(fēng)險(xiǎn)、實(shí)現(xiàn)涉密信息安全可控。

為了細(xì)化涉密信息訪(fǎng)問(wèn)控制粒度，降低涉密信息知悉范圍擴(kuò)大的風(fēng)險(xiǎn)[9]，本文對(duì)涉密信息系統(tǒng)安全防護(hù)開(kāi)展研究，提出了基于細(xì)化安全域和VLAN、部署準(zhǔn)入控制系統(tǒng)和服務(wù)器端防火墻[10]等分級(jí)分域訪(fǎng)問(wèn)控制技術(shù)。

1 現(xiàn)狀分析

由于管理方式簡(jiǎn)單粗放、缺乏精細(xì)化管理手段等原因，涉密信息系統(tǒng)普遍存在訪(fǎng)問(wèn)控制粒度過(guò)粗、涉密信息知悉范圍易擴(kuò)大等安全問(wèn)題。以某涉密信息系統(tǒng)為例，主要存在以下問(wèn)題：

①安全域邊界不清晰、VLAN劃分過(guò)粗?？蛻?hù)端、服務(wù)器未按照涉密等級(jí)和訪(fǎng)問(wèn)控制范圍進(jìn)行詳細(xì)劃分，不同密級(jí)設(shè)備在同一VLAN網(wǎng)段共用IP地址資源，存在安全保密風(fēng)險(xiǎn)。②運(yùn)維手段落后、重構(gòu)難度極大。客戶(hù)端網(wǎng)絡(luò)配置采用靜態(tài)IP地址方式，手動(dòng)設(shè)置和維護(hù)；交換機(jī)采用傳統(tǒng)的VLAN、ACL技術(shù)和IP-MAC端口綁定實(shí)現(xiàn)網(wǎng)絡(luò)接入控制，繁雜的手動(dòng)配置使得日常運(yùn)維壓力大，分級(jí)分域?qū)嵤╇y度高。③訪(fǎng)問(wèn)控制策略寬松、服務(wù)器缺乏安全管控。服務(wù)器僅通過(guò)交換機(jī)ACL策略進(jìn)行訪(fǎng)問(wèn)控制，未部署防火墻進(jìn)行安全防護(hù)和訪(fǎng)問(wèn)控制，或者訪(fǎng)問(wèn)范圍過(guò)大、服務(wù)端口開(kāi)放過(guò)多，數(shù)據(jù)流向不可控。

2 總體設(shè)計(jì)

2.1 設(shè)計(jì)目標(biāo)

①重新界定安全域邊界、細(xì)化VLAN。對(duì)照保密標(biāo)準(zhǔn)，結(jié)合涉密等級(jí)和訪(fǎng)問(wèn)控制范圍，重新界定安全域邊界范圍，細(xì)化客戶(hù)端、服務(wù)器VLAN。②建設(shè)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、提升運(yùn)維自動(dòng)化水平。淘汰傳統(tǒng)手工網(wǎng)絡(luò)管理方式，建設(shè)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，實(shí)現(xiàn)IP地址自動(dòng)化管理，提升網(wǎng)絡(luò)運(yùn)維自動(dòng)化水平。③部署服務(wù)器端防火墻、強(qiáng)化精細(xì)化管控能力。淘汰傳統(tǒng)ACL粗放管理方式，在服務(wù)器前端部署防火墻，嚴(yán)控服務(wù)訪(fǎng)問(wèn)端口開(kāi)放范圍，強(qiáng)化服務(wù)器精細(xì)化管控能力。

2.2 設(shè)計(jì)原則

①合規(guī)性：滿(mǎn)足保密標(biāo)準(zhǔn)規(guī)范要求，產(chǎn)品需通過(guò)測(cè)評(píng)，并具有相應(yīng)資質(zhì)。②成熟性：技術(shù)架構(gòu)成熟穩(wěn)定，適應(yīng)軍工單位較為成熟的軟硬件環(huán)境。③易用性：交互界面和基本操作簡(jiǎn)單易用，便于運(yùn)維人員操作管理。④擴(kuò)展性：開(kāi)放標(biāo)準(zhǔn)接口，便于后期與大數(shù)據(jù)、云平臺(tái)等集成擴(kuò)展。

2.3 設(shè)計(jì)依據(jù)

涉密信息系統(tǒng)分級(jí)保護(hù)標(biāo)準(zhǔn)，保密資格認(rèn)定標(biāo)準(zhǔn)，涉密信息系統(tǒng)現(xiàn)狀等。

2.4 總體架構(gòu)

總體設(shè)計(jì)架構(gòu)如圖1所示。

圖1 總體設(shè)計(jì)架構(gòu)

本次新增改造的內(nèi)容主要為防火墻和準(zhǔn)入控制服務(wù)器。其中：①防火墻部署在服務(wù)器交換機(jī)與客戶(hù)端交換機(jī)之間，是整個(gè)網(wǎng)絡(luò)的核心設(shè)備，用于服務(wù)器訪(fǎng)問(wèn)控制管理；②準(zhǔn)入控制服務(wù)器部署在服務(wù)器防火墻后端，用于客戶(hù)端網(wǎng)絡(luò)準(zhǔn)入控制和自動(dòng)化運(yùn)維管理。

3 具體實(shí)現(xiàn)

3.1 客戶(hù)端具體實(shí)現(xiàn)

3.1.1 客戶(hù)端測(cè)試：為穩(wěn)步推進(jìn)，先行在某樓棟或樓層客戶(hù)端開(kāi)展測(cè)試工作。測(cè)試通過(guò)后，再開(kāi)展正式改造。

3.1.2 客戶(hù)端實(shí)現(xiàn)過(guò)程。①VLAN和IP地址規(guī)劃。依據(jù)分級(jí)分域原則，按照物理位置、密級(jí)、部門(mén)等要素，在現(xiàn)有網(wǎng)絡(luò)地址框架下，細(xì)分子網(wǎng)掩碼，細(xì)化VLAN和IP地址，以部門(mén)+密級(jí)為最小劃分單位，確保改造后同一VLAN段客戶(hù)端密級(jí)和部門(mén)一致。②客戶(hù)端臺(tái)賬和相關(guān)配置模板收集、整理。在現(xiàn)有紙質(zhì)臺(tái)賬或電子臺(tái)賬基礎(chǔ)上，補(bǔ)充完善交換機(jī)、接入端口、密級(jí)、新IP地址等要素。同步適配當(dāng)前網(wǎng)絡(luò)環(huán)境，編制客戶(hù)端和交換機(jī)網(wǎng)絡(luò)配置腳本。③準(zhǔn)入控制服務(wù)器安裝部署。安裝部署準(zhǔn)入控制服務(wù)器，開(kāi)展網(wǎng)絡(luò)調(diào)試，確保功能和性能滿(mǎn)足要求。將整理好的客戶(hù)端臺(tái)賬導(dǎo)入系統(tǒng)。④客戶(hù)端和交換機(jī)網(wǎng)絡(luò)配置。按照進(jìn)度計(jì)劃，以樓層為單位，有序開(kāi)展網(wǎng)絡(luò)割接。運(yùn)行網(wǎng)絡(luò)配置腳本，客戶(hù)端IP地址獲取方式由手動(dòng)修改為自動(dòng)，交換機(jī)按照模板更新運(yùn)行新配置。

3.2 服務(wù)器具體實(shí)現(xiàn)

①VLAN和IP地址規(guī)劃。依據(jù)分級(jí)分域原則，按照物理位置、密級(jí)、用途等要素，在現(xiàn)有網(wǎng)絡(luò)地址框架下，細(xì)分子網(wǎng)掩碼，細(xì)化VLAN和IP地址，以用途+密級(jí)為最小劃分單位，確保改造后同一VLAN段服務(wù)器密級(jí)和用途一致。②服務(wù)器臺(tái)賬和相關(guān)策略列表收集、整理。在現(xiàn)有紙質(zhì)臺(tái)賬或電子臺(tái)賬基礎(chǔ)上，補(bǔ)充完善交換機(jī)、接入端口、密級(jí)、新IP地址等要素。同步梳理當(dāng)前訪(fǎng)問(wèn)源和目的信息，并利用端口掃描工具，收集、整理服務(wù)器訪(fǎng)問(wèn)控制策略列表。③防火墻安裝部署。安裝部署防火墻，開(kāi)展網(wǎng)絡(luò)調(diào)試和割接。將整理好的策略列表導(dǎo)入系統(tǒng)。④防火墻策略配置。按照進(jìn)度計(jì)劃，以物理服務(wù)器為單位，有序開(kāi)展策略配置。啟用策略生效配置，服務(wù)器訪(fǎng)問(wèn)控制按照策略更新運(yùn)行新配置，在用戶(hù)訪(fǎng)問(wèn)過(guò)程中不斷優(yōu)化迭代。

4 改造成效

此次改造前后對(duì)比見(jiàn)表1：

表1 改造前后對(duì)比

主要成果如下：

①保密成果：對(duì)標(biāo)達(dá)標(biāo)成果顯著。滿(mǎn)足了國(guó)家標(biāo)準(zhǔn)規(guī)范中關(guān)于涉密信息訪(fǎng)問(wèn)控制的要求，顯著提升了系統(tǒng)整體安全防護(hù)能力。②運(yùn)維成果：運(yùn)維效率成倍提升。自動(dòng)化運(yùn)維代替?zhèn)鹘y(tǒng)手工運(yùn)維，生產(chǎn)方式（運(yùn)維模式）變革帶動(dòng)生產(chǎn)力（運(yùn)維效率）革命性躍升。③管理成果：管理成本大幅下降。數(shù)字化賦能涉密信息系統(tǒng)運(yùn)維業(yè)務(wù)，帶動(dòng)運(yùn)維管理成本大幅下降，管理過(guò)程更加簡(jiǎn)單、直觀(guān)。④技術(shù)成果：技術(shù)能力快速成長(zhǎng)。帶動(dòng)運(yùn)維人員加快學(xué)習(xí)新知識(shí)、新技能，不斷積淀技術(shù)能力，為今后數(shù)字化轉(zhuǎn)型奠定堅(jiān)實(shí)基礎(chǔ)。

5 結(jié)束語(yǔ)

針對(duì)涉密信息系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，依據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)和要求，本文提出了涉密信息系統(tǒng)分級(jí)分域訪(fǎng)問(wèn)控制技術(shù)的研究與實(shí)現(xiàn)方法，最終完成了分級(jí)分域改造，并順利通過(guò)國(guó)家保密資格認(rèn)定。分級(jí)分域工作成效顯著，得到了檢查專(zhuān)家的一致認(rèn)可和好評(píng)。此次分級(jí)分域工作基本上對(duì)用戶(hù)網(wǎng)絡(luò)零影響，實(shí)現(xiàn)了無(wú)感知切換。項(xiàng)目推廣價(jià)值較大，提供了行業(yè)內(nèi)分級(jí)分域改造最佳實(shí)踐案例。未來(lái)可在此基礎(chǔ)上，借助數(shù)字化手段，建設(shè)統(tǒng)一的數(shù)字化運(yùn)維平臺(tái)，進(jìn)一步提升涉密信息系統(tǒng)運(yùn)維自動(dòng)化、智能化水平。