在网络安全等级保护工作中,机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)是网络安全的三大基石,简称CIA三性。
1)机密性:指只有授权用户可以获取信息。
2)完整性:指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。
3)可用性:指保证合法用户对信息和资源的使用不会被不正当地拒绝。
机密性
机密性是防止未授权的用户访问数据,简单来说就是“不能看”。为了维护机密性,通常会在数据的处理、传输、储存过程中进行一些诸如加密或者权限类的保护措施来进行安全控制。针对机密性的破坏主要有窃取密码文件、社会工程学、网络嗅探、肩窥等。
完整性
完整性是防止未授权的修改数据,也就是:“不能改”。为了维护完整性,通常会在数据的处理、传输、储存过程中加入校验技术来验证数据是否被修改,最常用的就是MD5或者SHA1的完整性校验。针对完整性的破坏主要有病毒、应用程序错误、逻辑炸弹,以及被授权用户的非授权操作。所以,为了保护完整性,要进行严格的访问控制、严格的身份认证以及严密的人员培训。
可用性
可用性是保证经过授权的客户能及时准确得不间断地访问数据,也就是“一直用”。针对破坏可用性的威胁主要有设备故障、软件错误以及一些不可抗力如洪水、火灾等。在实际应用中,造成可用性被破坏的主要原因是人为错误、疏忽或失职造成的如意外删除文件、私自分配资源、安全策略配置错误等。
在网络安全等级保护基本要求中,在安全通信网络、安全计算环境中对完整性、保密性(同“机密性”)提出了具体要求,这些要求也是等级保护测评中的高风险测评项。
安全通信网络
应采用密码技术保证通信过程中数据的完整性。
应采用密码技术保证通信过程中数据的保密性。
安全计算环境
应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
在等级保护2.0基本要求安全计算环境中,对应用系统数据的完整性和保密性提出了要求,这对应用系统提出了挑战,用户很多的定级系统是多年前开发并投入使用,在设计之初并没有考虑数据安全性要求,存在数据安全风险。但是,针对新建或者可以改造的信息系统,建议在应用层通过密码技术确保传输数据的完整性、保密性,并在服务器端对数据解密和有效性进行校验,确保传输过程中的保密性以及完整性。对涉及个人身份信息、个人敏感信息数据、重要业务数据、行业主管部门定义的非明文存储、传输的数据,要进行数据的加密传输、加密存储。
启明星辰通信传输安全解决方案
天清汉马VPN系统产品是启明星辰集团依靠雄厚的技术优势,依靠多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范要求,具有完全自主知识产权的SSL/IPSec 二合一VPN安全网关系统,为用户提供安全的传输链路安全服务。
图 VPN典型部署示意图
案例说明
1、 总部部署IPSEC SSLVPN综合安全网关,作为中心节点;
2、 大型分支机构可以部署分支节点的VPN安全网关,与中心节点进行IPSEC组网,通过公用网络实现三层互联,分支机构用户将会得到和总部内网一样的访问体验;
3、 使用笔记本异地办公的用户可以使用SSLVPN功能登录总部VPN,使用单点登录功能直接访问企业内网业务系统
4、 使用手机等移动终端的用户可以到应用市场下载VPN客户端软件,从而使用手机进行移动办公。同时还可以使用应用发布系统实现用手机访问Windows系统下的办公软件。
功能特点
自主可控:产品严格遵照GM/T 0022-2014 《IPSec VPN技术规范》和 GM/T 0024-2014 《SSLVPN技术规范》进行设计。产品支持国家商用密码算法SM1-SM4,产品具备国家商用密码产品型号证书。
集中管理:集中管理系统可以对大规模部署的VPN项目进行统一的策略下发、状态监控、批量升级、审计告警和报表审计等。
行为审计:VPN可以访用户登录、退出信息,以及访问的站点等情况进行详细记录,并可汇总到集中管理系统,进行追溯。
终端安全检查:VPN在终端接入前可以对终端的操作系统补丁、系统进程、注册表等进行检查,并可以退出时指定清除cookie和表单历史记录等。
多种接入方式:启明星辰VPN可以同时实现Windows、MAC、Linux、Android、iOS等操作系统的接入,并可以通过应用虚拟化方式实现跨平台的快速接入,保证用户随时随地,随心随行快速接入企业内网处理业务。
多因素认证:产品支持静态口令、UKEY证书、动态令牌、短信、RADIUS、LDAP、AD等多种认证方式,并可进行多种认证方式的组合,同时可以实现对指定账号和硬件设备的特征绑定,从而实现安全接入。
IPSEC VPN:可以提供端到站和站到站的的网络层加密,实现与内网访问一样的用户体验。同时通过启明星辰的动态多点VPN技术可以实现IPSEC的大规模高效组网。
SSL VPN:提供端到站的应用层链路加密,无需安装任何客户端插件,同时具备URL级别的访问控制,做到权限最小化,实现对指定web应用的快速安全防护。
技术优势
性能优异,功能全面:启明星辰天清汉马VPN产品单机性能优异,同时还可以进行集群动态扩展,适应超大规模并发的环境;功能方面集IPSEC、SSL、VPDN、VPN于一身,兼具防火墙、抗攻击等众多功能,是边界接入的首选产品。
动态组网:采用动态多点VPN协议进行动态组网,中心设备无需更改任何信息,仅需对新增设备进行配置,即可对原有的大型网络轻松扩容。
统一用户管理:启明星辰VPN产品IPSec VPN /SSL VPN/VPDN 用户统一,统一账户可以在三种VPN之间任意切换,无需另外购买授权。
单点登录:启明星辰VPN可以通过多种方式对BS、CS应用进行从账号代填,同时可以实现密码学习功能,实现从账号的自动录入。
多系统:启明星辰VPN产品支持三操作系统互为备份,稳定性更强,升级无忧。
简单易用适应性强:启明星辰VPN产品支持Windows、Linux、iOS、OS X、Android等操作系统,支持IE、Firefox、Chrome等浏览器,针对BS应用无需安装客户端,针对CS应用的IPSec和SSL客户端二合一,且全自动安装100%免配置。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
