>> 解决方案
咨询电话:024-23493879
首页 > 解决方案 > 科研院所
科研院所

一般科研院所内部信息系统是一个相对封闭的网络。从安全的角度出发,它和其他的众多信息网络系统一样,面临着很多安全威胁和风险。具体分析起来,可以从物理层、网络层、系统层、应用层及管理层等方面加以考虑。
       
物理层安全风险分析
       
网络层安全风险分析
       
数据传输风险分析
       
网络边界风险分析
       
系统层安全风险分析
       
应用层安全风险分析
       
管理层安全风险分析
安全风险分析

物理层安全风险分析
网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,进而造成网络系统的不可用,它是整个网络系统安全的前提,包括以下这样一些: 
       
设备被盗、被毁坏;
 
       
链路老化或被有意或者无意的破坏;
 
       
因电磁辐射造成信息泄露;
 
       
地震、火灾、水灾等自然灾害。 

因此,科研院所信息网络系统在考虑解决网络安全问题时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。
网络层安全风险分析
根据以往项目经验,我们发现,一般科研院所信息系统网络层中或多或少都存在一些安全风险,包括:数据传输、网络边界、网络设备以及网络服务等。
数据传输风险分析
       
这里提到的数据传输,包括两部分: 
       
数据在各个职能部门网络内部传输;
 
       
数据在各个职能部门网络之间传输。
 
无论以上哪种情况,数据在传输过程中,如果不采取保护措施,就有可能被窃听、篡改和破坏,如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。通过这些简单的办法就可以获取机密数据。这样,保障通过专网传递的数据的机密性、完整性就无从谈起。
 
网络边界风险分析

在实际情况中,各个单位的网络是不能允许别的单位随便访问的。在它们各自的网络没有连接到专网平台上的时候,还不存在这样的问题。但如果各单位网络连到专网以后,就会面临这样的风险。 
另外,内外网之间的数据相互传输同样会给网络带来一定的安全隐患。

系统层安全风险分析
系统层的安全风险分析主要针对专网平台中,各个单位网络里使用的操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁进行分析。 
由于许多科研院所信息网络涉及到多个单位的网络,这些单位的网络建设情况各不相同,其中涉及到的操作系统也有多种。包括UNIX系列、Windows系列以及Linux系列等。这些操作系统本身就存在很多漏洞,再加上用户使用或配置不当,则漏洞更多。对于各个单位使用的数据库系统来讲,如OracleSybaseSQL Server等,也同样存在这样的问题。
 
同时病毒也是系统安全的主要威胁,现在的网络,大多利用了操作系统本身的漏洞,并通过网络迅速传播。所有这些都造成了涉密专网系统安全的脆弱性。
应用层安全风险分析
一般在科研院所密网中,有大量的应用服务存在,如Web服务、邮件服务、DNS服务、视频点播等。这些服务最终都由各个单位的网络系统提供,在这些服务中,有对外发布供其他单位访问的,也有对内发布,只供本单位内部访问的。对于这些服务,不可避免的存在安全漏洞,这些漏洞,可能是服务系统自身所有的,也可以是配置管理不当造成的。
管理层安全风险分析
对于一个庞大而复杂的网络来讲,要管理和维护其正常运作并非一件简单的事情。 
再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个规模庞大、结构复杂而且事关重大的涉密专网而言,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。

安全建设方案
针对科研院所涉密网的安全风险和安全需求,我们认为,可以从以下几个方面着手加以解决:

       
采用信息安全综合审计系统,用于安全事件的审计记录和取证;
       
采用文件传输审计系统,对中间机或文件摆渡服务器的文件传输行为进行监管; 
       
采用专用的打印与刻录监管系统,对电子文件的输出和销毁进行整个生命周期的闭环管理;

       
采用主页防篡改系统,避免专网中的Web站点被破坏 
       
采用安全扫描系统,随时检查专网的安全状况,检查其中的网络设备、主机、服务器、操作系统、数据库、应用系统等是否有安全漏洞出现; 
         
采用非法内外联监测系统, 对非法内外联行为实行阻断和记录;
 
       
采用防火墙系统,将连入专网的单位网络与其他单位的网络进行逻辑隔离,并对进出的所有数据进行检查和访问控制,实现对各单位网络的安全访问;
 
       
采用入侵检测系统,避免单位网络遭到攻击和破坏;
 
       
采用防病毒系统,避免单位网络遭到病毒的破坏;

       
采用数据备份和灾难恢复系统,实现数据的备份,并在数据遭到破坏时,实现数据的及时恢复; 
       
采用专用数据加密存储设备,建立专网安全保密系统,对数据的传输、存储进行加解密处理,实现数据传输、处理、存储过程中的机密性、完整性和可用性;
 
       
建立支持全网的PKI系统,部署全网统一的CA系统,为全网提供统一、标准的身份认证服务;

       
制定合理的安全管理制度和策略,确保不因管理上的漏洞造成网络运行的安全问题;

       
在各个单位网络内部,根据实际情况配置防病毒、入侵检测、主页防篡改、数据备份和灾难恢复系统、安全扫描系统、非法外联监测系统,在重要的主机上配置数据加密设备,对存储的机密信息进行加解密处理。