安全防护方案

安全防护方案

4安全防护

4.1建设目标

军事训练信息网安全防护建设的目标是，在军事训练信息网上采用多种技术手段和综合措施，全方位的构建网络安全防护体系,更好、更有效、更方便地保护和管理军事训练信息网络资源和各种应用资源。

4.1.1防护内容和要求

军事训练信息网安全防护系统的建设内容包括：系统总体规划和设计、安全风险管理、安全需求分析、安全审核、安全策略制定、安全防护的技术措施和管理措施等。

1）

系统总体规划和设计

军事训练信息网安全防护系统总体规划和设计主要内容是，综合考虑系统的费用、性能和安全性，全面合理地规划和设计。明确信息网络系统的各种应用目的、服务对象、服务范围、服务的安全要求及使用限制。

2）安全风险管理

由于军事训练信息网面临各种各样的威胁，威胁带来的损失程度不同，控制威胁需要的投入也不一样，在构建军事训练信息网安全防护体系前必须评估网络系统资源的价值以及所面临的威

胁发生的可能性和发生后对组织的影响程度。根据认识到的风险，定义一组控制规则，评估实施控制规则所需的投入和使风险降低的程度，根据评估结果，确定需保护的资源及保护目标。如果需要保护的资源的价值远小于采用的控制措施需要的投入，那么没有必要采用此措施对这个资源进行保护。

3）

安全需求分析

网络安全需求分析，主要根据风险评估结果，确定网络安全需求。网络安全需求主要包括：物理安全需求、内外及内部之间网络互连的安全需求和应用系统机密性、完整性、可用性、连续性要求等。

4）

安全策略制定

安全策略制定是，根据网络系统总体规划和设计、网络系统的安全需求和安全风险评估结论制定网络系统的安全策略。安全策略应覆盖每一安全威胁，并能证明安全策略的充分性和有效性。网络安全策略为各级应用系统提供信息安全的指导和支持。

5）

安全审核

主要审核安全风险评估、安全需求、安全策略的充分性和有效性以及一致性。因为网络安全是动态变化的，网络开放的业务、网络的安装环境、网络的安全缺陷等因素有可能随时间的推

移而发生变化，所以应定期对网络安全状况进行审核，以便预防和控制网络中存在的安全漏洞，消除或降低不安全因素带来的损失。

4.1.2网络防护

网络安全防护是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

军事训练信息网的安全防护包括：网络物理安全、网络互联和隔离安全、网络安全控制系统、网络安全传输系统、网络安全防护措施、网络安全管理机密性：确保信息不暴露给未授权的实体或进程。

1）

物理和环境安全

物理安全是保护网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故、物理损坏（如硬盘损坏、设备使用寿命到期等）、设备故障（如停电、电磁干扰等、意外事故）、电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入（如进入安全进程后半途离开）、痕迹泄露（如口令密钥等保管不善）。以及人为操作失误或错误（如删除文件，格式化硬盘，线路拆除等）及各种计算机犯罪行为导致的破坏过程。它主要包括环境安全、设备安全、媒体安全和人员安全四个方面。

2 ）网络互连及隔离安全

包括物理隔离和逻辑划分。应制定网络安全划分的原则和依据。按照网络用户的信任关系划分网络，把相互信任的用户划分到一个独立的网络，而把不信任的用户划分到其他的网络。在这些网络之间采取隔离控制措施进行必要的访问控制，以限制不希望发生的信息流。军事训练信息网与其他网络采用物理隔离。

3）

网络安全控制

（1）微机操作系统的安全控制，如用户开机键入的口令（某些微机主板有“万能口令”），对文件的读写存取的控制（如Unix系统的文件属性控制机制）。主要用于保护存贮在硬盘上的信息和数据。

（2）网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括：身份认证，客户权限设置与判别，审计日志等。

（3）网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态

进行安全监测和控制。主要通过网管软件或路由器配置实现。

4）

网络信息安全

信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。

(1)数据传输安全系统主要采用数据传输加密、数据完整性鉴别、防抵赖和身份认证技术保证信息传输过程中的安全性。

(2)数据存储安全系统在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。

(3)信息内容审计系统，实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要或涉密网络，应该安装使用此系统。

5）

业务连续性计划

以上的各种构成安全体系的保护措施都是事前的一种设置，主要的目的是规范网络活动，控制网络的合法使用，可以说，它们组成了网络安全的最基本的屏障。但是，所有的安全保护体系都不是万无一失的，为了维护业务的连续性，还必须制定一系列的网络安全防护措施。主要包括：系统安全审计、入侵检测和应急处理、系统备份等。

6）

安全管理

面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须加强网络的安全管理，安全管理既要保证网络用户资源不被非法使用，又要保证网络管

理系统本身不被未授权的访问。根据网络安全策略、安全目标、安全风险评估确定安全管理范围、管理目标、制定有效的安全管理措施。网络安全管理包括:系统安全管理,安全服务管理,安全机制管理,安全事件处理,安全审计管理,安全恢复管理.

4.1.3信息资源与应用系统防护

信息资源与应用系统防护是指保证信息的完整性、可用性、保密性和可靠性，保证信息资源和应用系统免遭各种类型的破坏。信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。

1) 数据传输安全系统主要采用数据传输加密、数据完整性鉴别、防抵赖和身份认

证技术保证信息传输过程中的安全性。

2) 数据存储安全系统在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。

3) 信息内容审计系统，实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足保密的要求，对某些重要或涉密信息，应该使用此系统

4.1.4综合防护

1）

网络入侵检测与攻击防护