国土资源内网数据安全交换方式等问题探讨 X页

国土资源内网数据安全交换方式等问题探讨 2011-01-12 |作者顾炳中|来源国土资源信息化|【大史小】【扛 印】【关闭】 摘要涉密网络与低密级网络隔离后，如何方便地实现数据的交换是 各企业、政府等网络建设的首先面对的、也是网络安全领域一直在探索的 问题。本文针对国土资源部网络安全的现状，重点对国土资源涉密内网、 非涉密网的数据交换方式进行了探讨，在此基础上提出了处理政务外网与 地方政务内网数据交换问题、 密级标识和信息等级标识问题、隔离数 据交换方式问题的基本策略。 关键词网络隔离；数据交换；涉密内网；主干网；互联网 中图分类号P23 文献标识码A 文章编号1674-3695-（2010） 02-03-03 本文中“国土资源内网”指国土资源部各级管理部门内部办公局域 网，主要包括国土资源部部机关内网、9个督察局办公内网、省（市、区） 国土资源厅机关内网、部分部直属事业单位内部办公网。 鉴于国土资源信息的敏感性，上述“国土资源内网”（以下简称“内 网”）不管是否涉密都应与互联网、国家政务外网进行严格的物理隔离， 处理涉密信息的“内网”必须立即按照国家相关管理规定进行涉密改造。 目前部机关“内网”已经通过相关管理部门的测评可以处理涉密信息，其 他未按规定进行涉密改造的非密网“内网”都不得处理任何涉密信息。 “内网”与互联网实现严格的物理隔离后，内外网数据交换成为突出 问题，影响了应用系统的有效部署，下文就如何进行内外网数据交换进行 粗略探讨。 1涉密内网数据交换方式 首先涉密内网的任何数据交换方式都必须严格按照国家相关管理规 定执行，必须有相关标准与文件依据。 1. 1涉密内网与国土资源主干网之间的数据交换方式 国土资源部主干网（以下简称“主干网”）是实现部省两级业务数据 交换的非涉密网络，与互联网物理隔离，主干网部级节点已经按国家等级 保护三级要求进行了改造，并通过了系统测评，根据国家电子政务保密管 理有关规定，可以与涉密内网通过符合相关管理部门规定的网络隔离交换 设备进行双向数据交换，具体实施时要严格按相关管理规定执行，其要点 有以下几方面 （1）“涉密内网”已经通过国家相关管理部门测评，并建立具有严格 边界控制的“秘密级”安全域作为数据交换域。 （2）“主干网”已按国家等级保护三级防护要求进行了防护，在接入 端已经设立了数据交换安全域。 （3）在“涉密内网”数据交换域与主干网数据交换域之间装备符合 国家相关管理部门要求的安全隔离与信息交换设备。 （4）在数据交换安全域边界安装相关安全审计设备，要求实现主体、 客体、主客体关系的强访问控制与强安全审计。 （5）被交换的数据只能是非密信息，涉密信息不能交换。被交换“信 息”主体要进行信息密级或信息等级标识，并实施严格的边界控制与审 查。 1. 2涉密内网与互联网之间的数据交换 涉密内网与互联网、及与互联网实现逻辑隔离的政务外网不能采用上 述隔离交换方式进行数据交换。不能采用任何自形设计的“安全”技术路 线变相联通，必须确保涉密内网与互联网的完全物理隔离。 按照相关主管理部门的规定，在符合一定条件前提下，“涉密内网” 可以与进行互联进行单向数据交换，但实现难度大、环境建设要求高，除 部机关在进一步完善安全防护措施后可能考虑此方案外，其他单位目前不 宜考虑此种交换方式。 1.3 “主干网”与互联网之间的数据交换 任何“主干网”接入单位，都不得将“主干网”与互联网、政务外网 以及“实际上与互联网实现逻辑隔离”的“地方政务内网”进行任何物 理联接，不能采用上述隔离交换方式进行数据交换。 1.4涉密终端数据导入与导出 对涉密终端，按国家相关管理要求配置终端管理软件与设备，通过配 备的设备在终端导入非密信息。 对于非密信息的导出，首先应按相关管理要求制订数据导出管理规 定，在实施过程中应注意建立明确的责任机制，有严格的审查、审批程 序，有严密的文件导出实现手段以及详细的审计记录。技术上要确保导出 信息内容与审批内容的一致性，确保导出事件的可追踪，确保对异常导出 预报的时效性，对于批量导出应由专人负责。 2非涉密内网数据交换方式 此处的“非涉密内网”是指与互联网、国家与地方政务外网进行严格 物理隔离的各级国土资源主管理部门机关办公内网，与互联网逻辑隔离的 内网不在本文讨论范围内。 首先非涉密内网尽应快按国家等级保护相关要求进行等级保护改造。 2. 1 “非涉密内网”与国土资源主干网之间的数据交换方式 （1）为保证国土资源管理信息系统的整体性安全，再次重复强调只 有与互联网完全物理隔离的国土资源主管部门的非涉密内网才能与主干 网进行数据交换。 （2）通过隔离信息交换方式与主干网进行交换须经过相关主管理部 门的批准。 （3）在非涉密内网接入端应设立一个交换域。 （4）在非涉密内网数据交换域与主干网数据二域之间装备符合国家 相关主管部门规定要求的安全隔离与信息交换设备。 （5）在数据交换安全域边界安装相关安全审计设备，要求实现主体、 客体、主客体关系强访问控制安全审计。 （6）对于交换的数据只能是非密信息，被交换“信息”主体要进行 信息等级标识，并实施严格的边界控制审查。 2. 2非涉密内网与互联网之间的数据交换 非涉密内网与互联网、以及与互联实现逻辑隔离的政务外网不能采用 上述隔离交换方式进行数据交。 2. 3非涉密内网终端数据导入与导出 对终端机器数据的导入与导出，首先按国家相关安全管理要求建立数 据导出导入管理规定，尤其要强化对移动介质的管理，在数据导入导出过 程中应建立明确的责任机制，有严格的审查审批程序，构建严密的文件导 出实现手段，并应有详细的审计记录。 3数据交换几个相关问题 3.1关于政务外网、地方政务内网 国家政务外网及以此向下延伸的地方政府政务外网，与互联网实现逻 辑隔离，国土资源部各级管理“涉密内网”、与国土资源主干网进行数据 隔离交换的“非涉密内网”都不能与其直接联接，也不能采用隔离交换设 备进行网间数据交换。 部分地方国土资源管理部门的内部网络可能与“地方政府的政务内 网”互联或进行隔离数据交换，这种情况下一定要明确“地方政府的政务 内网”是否与互联网或国家政务外网完全物理隔离，如果是逻辑隔离，则 不能与国土资源主干网实行隔离数据交换。 3. 2密级标识、信息等级标识 目前国家密级标识、非密信息等级标识标准尚未发布，在现阶段可参 考以下方法进行标识 （1）确保信息标识与信息主体的不可分离性，不可更改性。 （2）对于关系性数据库中的信息，应进行记录级标识，但记录级标 识不能替代信息主体中的不可分离标识。 （3）对于用于交换的数据包理论模型可参照下列示意模式 xml DocBody DocHashCode H98e09k2ej3s二 Bodyjkjasdfijoiwaeoijka5sfjk3asfdj91/Body SecClassK/SecClass /DocBody /xml 如上所示，首先对含有秘级标识或信息等级标识的信息主体（