Conocimientos relacionados con la tecnología de protección y seguridad de redes informáticas.
Según las regulaciones nacionales pertinentes, las intranets gubernamentales son redes confidenciales y se utilizan especialmente para manejar secretos de estado y oficinas internas. información. El partido y el Estado conceden gran importancia a la construcción y gestión de la seguridad de las redes confidenciales y han formulado una serie de directrices, políticas, leyes, reglamentos y normas. Según estas normas, la construcción y gestión de seguridad de redes confidenciales debe seguir los siguientes principios básicos: $
(1) El principio de seguridad moderada. La llamada "seguridad moderada" se refiere a una seguridad que es proporcional a los peligros y daños causados por la fuga de información, el mal uso, el acceso ilegal o la modificación ilegal. No existe un sistema de información (red) absolutamente seguro y las medidas de seguridad son limitadas. La clave está en "buscar la verdad a partir de los hechos" y "adaptar las medidas a las condiciones locales" para determinar el "grado" de las medidas de seguridad, es decir, decidir qué medidas de seguridad tomar en función de la gravedad del daño causado por la falta de información. seguridad del sistema. El "Reglamento Técnico del Secreto Nacional" establece requisitos específicos para la confidencialidad de los sistemas de información ultrasecretos, así como medidas de seguridad que deben tomarse para los sistemas de información confidencial. 6x)#gt
(2) De acuerdo con el principio de máxima protección de seguridad. Cuando un sistema de información confidencial maneja información confidencial de múltiples niveles, se deben tomar medidas de protección de acuerdo con el nivel más alto de confidencialidad. kHo
(3) Minimizar el principio de autorización. El primero es minimizar la escala de la construcción de sistemas de información confidenciales. Las unidades y puestos que no son necesarios para el trabajo no pueden construir asuntos gubernamentales internos y no pueden tener terminales de red interna. a información confidencial en sistemas de información confidencial, y aquellos que no necesitan conocer el trabajo No debe haber acceso a información confidencial. Evaluación de inteligencia conjunta
(4) El principio de construcción simultánea y control estricto. La construcción de sistemas de información confidencial debe planificarse, implementarse y desarrollarse simultáneamente con la construcción de instalaciones de seguridad. Todo el proceso (cada eslabón) de construcción de sistemas de información confidencial debe ser revisado, aprobado e inspeccionado. General
Es necesario prevenir y corregir la tendencia de “primero construcción, protección después, enfatizando el uso y descuidando la seguridad”, y establecer y mejorar el sistema de aprobación del uso de sistemas de información confidencial. Los sistemas de información relevantes no procesarán información secreta de estado sin la aprobación y demostración del departamento de confidencialidad. 7qR
(5) Prestar atención a los principios de gestión. La seguridad de los sistemas de información confidencial depende de la tecnología y la gestión. Fortalecer la gestión puede compensar las deficiencias técnicas; renunciar a la gestión no es seguro, por muy buena que sea la tecnología. Es necesario introducir y capacitar a técnicos en informática para que se conviertan en talentos compuestos que comprendan tanto la "electrónica", los asuntos gubernamentales (asuntos de partido) como la "confidencialidad" lo antes posible, y utilicen las ventajas integrales de los medios administrativos y técnicos para lograr una supervisión eficaz de Información confidencial en el entorno de red. Al mismo tiempo, se logra una combinación orgánica de personal y tecnología: mejorando el sistema y utilizando medios técnicos para garantizar la implementación del sistema. |Qianniu
Inicio de antiguos alumnos de Wennong: el propio hogar en línea de Wennong, g4cB
2. ¿Cuáles son las medidas básicas para la construcción de seguridad de redes confidenciales? A
De acuerdo con los requisitos de las normas técnicas de seguridad nacional, se deben tomar las siguientes medidas básicas para la construcción de seguridad de los sistemas de información confidencial: C 8 _ F.
(1) Almacenamiento seguro. Esto es para garantizar que los equipos y terminales en la sala de computadoras del sistema de información confidencial se almacenen en un lugar seguro y confiable, y sean a prueba de fuego, agua, golpes y explosiones y eviten el robo físico y la destrucción por parte de personas externas. , también es para evitar interferencias electromagnéticas de campos electromagnéticos externos a los equipos del sistema de información confidencial, garantizando así el funcionamiento normal de los sistemas de información confidencial. TTr.
La construcción de la sala de computación central del sistema de información confidencial, si es posible, debe cumplir con los requisitos de las "Especificaciones de diseño de salas de computación" nacionales, "Condiciones técnicas para sitios de computación" y "Requisitos de seguridad para Sitios de Computación". La construcción de salas de blindaje electromagnético para el manejo de información secreta de Estado debe cumplir con los requisitos de la norma de seguridad nacional BMB3. Las salas de computadoras centrales para sistemas que manejan información confidencial y confidencial deben estar equipadas con un sistema de control de acceso electrónico eficaz. El sistema de control de acceso a la sala de computación central del sistema que maneja información ultrasecreta e información importante también debe utilizar tarjetas IC o características fisiológicas para la identificación, instalar un sistema de monitoreo por televisión y desplegar personal de seguridad para proteger el área. $Zey3
(2) Aislamiento físico. En otras palabras, el sistema de información confidencial (intranet gubernamental) debe estar físicamente aislado de la extranet gubernamental e Internet.
Ésta es la medida más eficaz para proteger los sistemas de información confidencial de ataques de piratas informáticos e intrusiones de virus desde Internet. Para lograr el aislamiento físico, debemos hacer lo siguiente: rr=
Primero, las salas de computación de la red interna del gobierno unitario y la red externa del gobierno deben construirse por separado y aisladas físicamente entre sí. La distancia de aislamiento debe cumplir con las disposiciones pertinentes de la norma nacional de confidencialidad BMB5. gtgram
En segundo lugar, el cableado de la red interna del gobierno debe utilizar cables ópticos o cables blindados. Si las redes interna y externa del gobierno se construyen al mismo tiempo, se puede implementar un cableado doble y el cableado de la red externa del gobierno; utilice cables ordinarios o pares trenzados cuando la red existente se vaya a transformar en una red gubernamental interna y una red externa y no se pueda cambiar un solo cableado, se puede utilizar el método de instalar un concentrador de aislamiento seguro para evitar que el cliente computadora se comunique con las redes interna y externa al mismo tiempo. h
3. El aislamiento físico del cliente se puede resolver mediante los siguientes métodos: (a) Instalando una microcomputadora de doble placa base y doble disco (como la computadora de seguridad Inspur Golden Shield); Aislar físicamente la microcomputadora original, es decir, agregar un disco duro y una tarjeta de aislamiento de disco dual (como la tarjeta de aislamiento Zhongfu) (c) agregar solo una tarjeta de aislamiento de disco mental separada a la microcomputadora del cliente; "7
En cuarto lugar, se pueden utilizar los siguientes métodos para resolver el problema de la transmisión de información entre la unidad y la intranet del gobierno de la unidad: (1) utilizar el canal seguro de banda ancha proporcionado por la plataforma de intranet del gobierno local; ( b) Utilizar equipos de conmutación y cableado separados e instalar máquinas de cifrado de red; (c) Cuando se utilicen métodos de conmutación de circuitos orientados a la conexión (como PSTN, ISDN, ADSL, etc.), se deben utilizar medidas de autenticación y cifrado de enlaces. El equipo debe ser reconocido por la autoridad nacional de criptografía. Antes de que el usuario ingrese (es decir, utilice) el sistema de información confidencial, el sistema debe autenticar la identidad del usuario para determinar si es un usuario legítimo del sistema. evitar la entrada de usuarios ilegales. Esta es la primera línea de defensa para el control de seguridad del sistema. Generalmente existen tres métodos de autenticación de identidad: primero, establecer una contraseña, una combinación de tarjeta inteligente y contraseña; tercero, medidas de autenticación sólidas, como huellas dactilares y; retina.6iFF=]
El principio de configuración de contraseña es almacenar una "tabla de información de usuario" en el sistema de información, que registra toda la información relevante de los usuarios que pueden usar el sistema, como nombres de usuario, contraseñas, etc. El nombre de usuario puede hacerse público y diferentes usuarios usan diferentes nombres de usuario, pero la contraseña debe mantenerse confidencial cuando el usuario desea utilizar el sistema. Escriba su nombre de usuario y la contraseña correspondiente. y la contraseña ingresada por el usuario son consistentes con las de la tabla de información del usuario. Si son consistentes, el usuario es un usuario legal del sistema y puede ingresar al sistema 4Z-xF. >De acuerdo con las regulaciones nacionales de confidencialidad, la longitud de la contraseña de los sistemas que manejan información confidencial no debe ser inferior a 8 caracteres, y el ciclo de reemplazo de la contraseña no debe exceder los 30 días para los sistemas que manejan información confidencial, la longitud de la contraseña no debe ser inferior a 8; caracteres Menos de 10 caracteres y el ciclo de reemplazo de contraseña no debe exceder los 7 días; los sistemas que manejan información ultrasecreta deben usar contraseñas de un solo uso. La contraseña debe ser una combinación de dos o más letras, números, mayúsculas y minúsculas. y caracteres especiales. La contraseña debe estar cifrada como método de almacenamiento y transmisión, y se debe garantizar la seguridad física del medio de almacenamiento de la contraseña. $
El uso de contraseñas para la autenticación de identidad es particularmente económico y fácil de implementar. , pero es incómodo de usar y administrar y no es adecuado para la memoria YN
La autenticación de identidad utiliza el método de "contraseña de tarjeta inteligente", especialmente la contraseña tiene solo 4 dígitos, lo cual es conveniente para los usuarios y aumenta la seguridad y confiabilidad de la autenticación de identidad. El costo suele ser mayor. Este método generalmente se usa para la autenticación de identidad en los sistemas de información.
El uso de características fisiológicas humanas para la identificación tiene las características de alto costo y. buena seguridad. Las "Regulaciones de Secretos Nacionales" requieren que la autenticación de identidad de los sistemas de información de alto secreto utilice este método de autenticación fuerte. B
(4) Usuarios legales que ingresan información confidencial. El sistema a través de la autenticación de identidad necesita restringir su acceso a los recursos del sistema de acuerdo con ciertos principios de acceso, determinando así qué recursos del sistema puede utilizar y cómo. Por ejemplo, en el sistema, qué usuario puede ver y modificar archivos de varios niveles de seguridad.
Esta es la segunda línea de defensa para el control de seguridad del sistema, que puede evitar que usuarios legítimos accedan ilegalmente a recursos más allá de sus permisos. Al configurar el control de acceso, debe seguir el principio de autorización mínima, es decir, tiene derecho a utilizar recursos dentro del alcance autorizado y no tiene derecho a utilizar recursos fuera del alcance autorizado. 88d
El control de acceso se puede dividir en tres estrategias de control de acceso: control de acceso discrecional, control de acceso obligatorio y control de roles. :Rk03*
El control de acceso discrecional significa que el propietario del recurso tiene derecho a decidir qué usuarios del sistema tienen acceso al recurso y qué tipo de derechos de acceso (leer, modificar, eliminar, etc.) ). ). En otras palabras, los derechos de acceso a los recursos del sistema los determina el propietario del recurso. ]^`
El control de acceso obligatorio se refiere al control obligatorio de los derechos de acceso de los usuarios por parte de los sistemas de información basados en políticas de seguridad predeterminadas. Primero, los atributos de seguridad de los usuarios y los recursos de información deben definirse respectivamente: los atributos de seguridad de los usuarios son "departamento" y "nivel de acceso". El "departamento" del usuario se refiere al departamento competente o al departamento en el que se encuentra el usuario. El "nivel de consulta" del usuario se divide en tres niveles: A, B y C (se puede determinar arbitrariamente), y su nivel es A gtB gt C. Los atributos de seguridad de los recursos de información se pueden dividir en "departamentos subordinados" y "nivel de consulta". El "departamento" de información se refiere al departamento que produce la información. El "nivel de acceso" de la información se puede dividir en tres niveles: A, B y C (igual que el anterior), y su nivel es A gtB gt C. La regla de control de acceso obligatorio es que solo cuando el "nivel de acceso" está en el atributo de seguridad del usuario es mayor o Cuando es igual al "Nivel de accesibilidad" en el atributo de seguridad de la información y el "Departamento" en el atributo de seguridad del usuario contiene el "Departamento" en el atributo de seguridad de la información, el usuario puede leer la información solo cuando el "Nivel de accesibilidad" en el atributo de seguridad del usuario es menor o igual que el "Nivel de accesibilidad" en el atributo de seguridad de la información, y el "Departamento" en el atributo de seguridad del usuario incluye el "Departamento" en el atributo de seguridad de la información; , el usuario puede reescribir esta información. *Dh
El control de roles significa que el sistema de información establece varios roles de acuerdo con las responsabilidades laborales reales. Diferentes usuarios pueden tener los mismos roles y disfrutar de los mismos derechos en el sistema. Cuando las responsabilidades laborales cambian, se pueden volver a delegar según el nuevo rol. El control de roles se puede utilizar para control de acceso discrecional y control de acceso obligatorio. PVD
Según las normas de seguridad nacional, los sistemas de información clasificada deben adoptar políticas de control de acceso obligatorias. El acceso a los sistemas clasificados que manejan información secreta y confidencial debe controlarse en función de categorías de usuarios y categorías de información, mientras que el acceso a los sistemas clasificados que manejan información ultrasecreta debe controlarse para un solo usuario y un solo archivo. x
(5) Cifrado del almacenamiento de datos. Cifre archivos y datos almacenados en sistemas de información confidencial y conviértalos en texto cifrado. Cuando los usuarios acceden (consultan, insertan, modifican), el texto cifrado se puede utilizar para cifrar/descifrar los datos en tiempo real. Esta es la tercera línea de defensa para el control de seguridad del sistema. El cifrado puede proteger la confidencialidad de archivos o datos. Cuando las dos líneas de defensa de la autenticación de identidad del sistema y el control de acceso se destruyen o los usuarios eluden la autenticación de identidad y el control de acceso e ingresan al sistema por otros medios, se descubre que los datos han sido modificados. . En términos generales, las funciones de autenticación de identidad del sistema y control de acceso son "no se puede entrar" y "no se puede salir", y la función de cifrado es "ininteligible" incluso si se quita. ~ GOC
Qué sistema criptográfico se utiliza para cifrar datos es una cuestión clave en el control criptográfico. Es necesario garantizar que el algoritmo de cifrado tenga una potencia de cifrado sólida y no tenga un gran impacto en la eficiencia operativa del sistema. Los criptosistemas modernos hacen público el algoritmo criptográfico, pero sólo guardan el secreto de la clave, es decir, todos los secretos están contenidos en la clave. Por tanto, se deben tomar medidas estrictas de protección para la generación, transmisión, reposición y almacenamiento de claves. bpr!
Según las normas nacionales de confidencialidad, el almacenamiento de datos en sistemas de información ultrasecretos debe estar cifrado. El algoritmo de cifrado utilizado debe ser aprobado por la autoridad nacional de criptografía. ";)l
(6) Auditoría de seguridad. La auditoría es un mecanismo que simula a las fiscalías sociales para monitorear, registrar y controlar las actividades de los usuarios en los sistemas de información. Realiza accesos e intentos de acceso que afectan la seguridad del sistema. se dejan para análisis y seguimiento posteriores. Los principales métodos de auditoría de seguridad incluyen: configuración de interruptores de auditoría, filtrado de eventos, consulta de registros de auditoría y alarmas para eventos esperados.
T2hiV/
El sistema de auditoría debe tener registros detallados para registrar las actividades de cada usuario (tiempo de acceso, dirección, datos, programas, equipos, etc.), así como los errores del sistema y las modificaciones de configuración y otra información. Se debe garantizar la confidencialidad y la integridad de los registros de auditoría. )Z6r
De acuerdo con las regulaciones nacionales de confidencialidad, los sistemas de información confidencial por debajo del nivel de clasificación deben adoptar un sistema de auditoría distribuida, y la información de auditoría se almacena en varios servidores y equipos de seguridad para su revisión por parte de los auditores del sistema. Los registros de revisión no podrán modificarse ni eliminarse, y el período de revisión no excederá los 30 días. Los sistemas de información ultrasecretos deben adoptar un sistema de auditoría centralizado que pueda recopilar, organizar, analizar y compilar información de auditoría de servidores y equipos de seguridad en todos los niveles en informes de auditoría. Puede detectar y registrar violaciones del sistema y diversas violaciones, e informarlas en un. manera oportuna.Alarma automática. Los auditores del sistema deben revisar los registros periódicamente, no más de 7 días. lt/ lt; f'g
(7) Evitar fugas electromagnéticas. La instalación y uso de equipos confidenciales en sistemas de información confidencial debe cumplir con los requisitos de la norma nacional de seguridad BMB2. Para aquellos que no cumplen con los requisitos BMB2, se deben tomar medidas de protección contra fugas electromagnéticas. Hay tres tipos de tecnologías de protección contra fugas electromagnéticas: salas de blindaje electromagnético, equipos de baja fuga y máquinas de interferencia electromagnética. ` x
De acuerdo con las regulaciones nacionales pertinentes, las salas de sistemas que manejan información ultrasecreta deben construir salas de blindaje electromagnético, y las computadoras que manejan información ultrasecreta deben instalar mesas de blindaje electromagnético tanto salas de blindaje electromagnético como blindaje electromagnético. Las mesas deben cumplir con los requisitos nacionales de seguridad BMB3. De lo contrario, la computadora que maneja información ultrasecreta debe ser un dispositivo de baja fuga que cumpla con el estándar nacional de confidencialidad de seguridad pública GGBB1. P
Los equipos que manejan información confidencial y confidencial deben tomar medidas para evitar fugas electromagnéticas, como instalar máquinas de interferencia electromagnética o utilizar equipos de baja fuga. El bloqueador utilizado debe cumplir con los requisitos del estándar de seguridad nacional BMB4, es decir, el equipo que procesa información por debajo del nivel confidencial (incluido el nivel confidencial) debe utilizar un bloqueador electromagnético de primer nivel para protegerlo; equipos y procesamiento de información sensible interna Para equipos con información secreta, la distancia mínima de advertencia es de 100 metros. #fp92 '
Casa de antiguos alumnos de Wennong: la propia casa en línea de WennongX
4. ¿Qué medidas básicas se deben tomar para la gestión de seguridad de las redes confidenciales? q-|Z)7
De acuerdo con las regulaciones nacionales pertinentes, se deben tomar las siguientes medidas básicas para la gestión de seguridad de redes confidenciales:
(1) Aclarar las responsabilidades de seguridad y confidencialidad e implementar organizar la seguridad de la red y la gestión de la confidencialidad. JNe{p
Determinar el líder a cargo. Los líderes deben comprender la naturaleza de la información confidencial y el procesamiento en el sistema y comprender las medidas administrativas, de personal, operativas y técnicas necesarias para proteger el sistema. U`j
Establecer una organización de gestión de confidencialidad y seguridad de la red. La organización es personalmente responsable de los líderes a cargo y sus miembros incluyen guardias de seguridad, administradores de sistemas, oficiales de seguridad de sistemas, auditores de sistemas, representantes de operadores y guardias de seguridad. Sus responsabilidades específicas son formular estrategias de seguridad de la red, incluidas estrategias técnicas y estrategias de gestión; formular, revisar y determinar medidas de seguridad, organizar la implementación de medidas de seguridad y coordinar, supervisar e inspeccionar la implementación de medidas de seguridad y confidencialidad de la información de la red; Consulta, Promoción y Capacitación. Las principales tareas del responsable de la organización ferroviaria son: autorización de modificaciones del sistema; autorización de permisos y contraseñas; informes de violaciones, registros de auditoría y registros de alarmas; formulación y organización de la implementación de la capacitación del personal de seguridad; planes, y encontrar rápidamente problemas importantes Informar a los principales líderes y superiores de la unidad. p
Las principales responsabilidades del oficial de seguridad son establecer y mejorar el sistema de gestión de seguridad de la información, supervisar e inspeccionar la implementación de las medidas técnicas y de gestión de seguridad de la red, y determinar los atributos de seguridad de los usuarios y la información del sistema. ovz]j}
Las principales responsabilidades del administrador del sistema son: responsable de la instalación y mantenimiento de los sistemas y equipos, asignar y administrar las contraseñas de los usuarios, implementar medidas antivirus y garantizar el normal funcionamiento del sistema. sistema. x
Las principales responsabilidades del oficial de seguridad del sistema son establecer los atributos de seguridad de los usuarios y la información, formatear nuevos medios, restaurar de forma segura en emergencias, iniciar y detener el sistema, etc. 0lt!
Las principales responsabilidades del auditor del sistema son supervisar el funcionamiento del sistema, verificar periódicamente los registros de auditoría, analizar y manejar diversos incidentes de acceso ilegal a los recursos del sistema e informar al supervisor de manera oportuna cuando sea necesario. .
OkP6u]
La principal responsabilidad del guardia de seguridad es ser responsable del trabajo de seguridad diario y no técnico, como la seguridad en el sitio, la verificación de los procedimientos de entrada y salida, la implementación de reglas y regulaciones, etc. . "/4; Unified Standard Equipment (abreviatura de Unified Equipment)
(2) Desarrollar un plan de seguridad del sistema. z_f; Wi
Incluye principalmente: lc: dF.
El primer paso es formular regulaciones del sistema. El sistema de seguridad para sistemas de información confidencial incluye: regulaciones de seguridad para el uso de sistemas y equipos, regulaciones de gestión para el uso de medios confidenciales, sistemas de gestión de seguridad física, sistemas de gestión de identidad y. el establecimiento de reglas de control de acceso, el sistema de gestión de claves y equipos criptográficos y las responsabilidades de los administradores de sistemas, responsables de seguridad de sistemas, auditores de sistemas, guardias de seguridad, etc. =aRY
En segundo lugar, el plan de formación de nuevos. Los empleados deben incluir: Ética profesional, nuevas tecnologías, procedimientos operativos y sistemas de gestión de seguridad que deben dominar al utilizar sistemas de información. También se debe realizar capacitación periódica para aquellos que ya están en el trabajo para mejorar continuamente la capacidad de trabajo y el nivel de todo el personal. I
Tres. Es fortalecer la gestión del personal. Hay tres aspectos principales: (1) Revisión del personal para garantizar la seguridad y confiabilidad de cada usuario del sistema de información confidencial. experiencia, relaciones sociales, estatus político e ideológico, carácter y ética profesional. b) Determinar la ubicación y alcance de las responsabilidades de cada usuario en función de su cargo y autoridad. y el desempeño laboral de los usuarios del sistema debe evaluarse y evaluarse integralmente. El personal que tiene acceso a los sistemas de información confidencial debe ser transferido de manera oportuna. Para aquellos que han sido ascendidos, transferidos, renunciados o jubilados, todos los certificados, claves y. las tarjetas inteligentes deben recuperarse y todos los manuales, documentos o listas de procedimientos deben devolverse y reemplazarse después de su salida. Contraseñas y tarjetas inteligentes 7Pd
El cuarto es establecer un equipo de manejo de incidentes para desarrollar planes de emergencia. y planes para ayudar a los usuarios a resolver incidentes de seguridad, informar periódicamente a los usuarios sobre las debilidades del sistema de información y las amenazas externas, y probar periódicamente las capacidades de respuesta a emergencias. >
(3) Desarrollar medidas de seguridad para su revisión Una vez construido el sistema de información confidencial, la seguridad. y el desempeño de la confidencialidad del centro de evaluación de la red informática confidencial debe evaluarse porque la seguridad del sistema de información cambiará con el tiempo, por lo que cuando se realizan modificaciones importantes al sistema de información, el sistema de información debe volver a evaluarse; no existen modificaciones importantes, se debe evaluar al menos una vez cada tres años ampJ2
(4) Autorización del uso del sistema de información La seguridad de los sistemas de información clasificada está relacionada con la seguridad y los intereses del país. Por lo tanto, el sistema sólo podrá ponerse en funcionamiento con la aprobación y autorización por escrito del departamento de seguridad. Si el sistema se modifica significativamente, deberá ser nuevamente aprobado y aprobado por el departamento de seguridad. >el uso de sistemas de información clasificada se reautorizará al menos cada tres años.