涉密园区网络规划与实施

发布时间：2020-06-30 19:34:30 阅读：次来源：眼镜片厂家

摘要：针对军工单位参与国防科研的现实，为了实现信息化建设要求，建立覆盖全局的安全、可靠、保密、实用、经济、合理的网络信息平台。

关键词：网络

针对军工单位参与国防科研的现实，为了实现信息化建设要求，建立覆盖全局的安全、可靠、保密、实用、经济、合理的网络信息平台，以实现WEB浏览、邮件服务等基本网络应用，并在此基础上实现OA、CAD/CAM系统应用、CAPP/PDM、管理信息系统(包括ERP系统)等的网络应用，必须在网络建设的同时，设计安全可靠的安全系统，以保证国家秘密的安全和信息传输的完整性。

现阶段，保证计算机网络安全的主要方法和途径包括有实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等。但网络安全是一个系统工程，不能仅仅依靠防火墙、防病毒等单个的系统，而需要仔细考虑整个系统的安全需求，并将各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的网络系统。

一、网络总体设计——涉密兼顾联通

由于军工科研机构的性质，所属计算机网络必须保证相应的安全等级。同时，由于地理位置的原因，为了实现与上级机关和所属分部之间的联系，必须设置广域网外联结构。所以，网络总体设计应包括：

1、局域网设计

在网络内部实现互联互通，必须考虑网络中合法用户的身份验证、网络中数据传输的完整性和隐秘性以及内网行为的内部审计，以保证内部网络安全可信。

2、广域网接入设计

为了实现到上级机关或分支机构的连接，必须敷设光缆或租用公用线路以实现安全接入。

3、互联网接入设计

主要实现如收发Email、客户联系、对外宣传(WWW)、查阅资料等应用。按保密要求，不能直接将Internet接入研究所内网之中。

二、网络拓扑结构

1、局域网拓扑结构

局域网以高速以太网技术构建，并以TCP/IP作为网络传输协议，提供各建筑物内信息点的高速网络连接。整个网络采用星型层次结构，根据各主要建筑物内用户对流量以及对带宽方面的需求情况，在网络中心设立互为冗余、备份的核心交换机，两台核心交换机之间采用GEC技术进行连接，以防止单链路或者单台设备出现故障造成对正常业务的影响，为了保证科研楼的日常的设计、开发工作。

同时，在科研楼设立分中心核心交换机，三台核心交换机之间采用环状连接进一步保证内部关键业务的开展，核心交换机和服务器设在网络中心，核心交换机到服务器之间采用1000M以太网技术、链路冗余技术实现连接，核心以及分核心交换机通过1000M光缆直接连接到各主要建筑物配线间的汇聚/接入层交换机。接入交换机设在各主要建筑物的配线间和子配线间，各主要建筑物的接入交换机，通过六类双绞线直接连接到各信息点，个别距离过远的信息点采用光缆和交换机通过级联进行扩展。网络整体采用集中式管理，室外主干光缆架设一次到位。

网络整体设计采用层次化的网络结构，即包括核心(Core)层、汇聚(Distribution)层和接入(Access)层。网络层次化设计有利于当局部网络环境发生变化时不影响其它无关的层次，也便于发现和隔离故障。其中核心层提供网络系统高效、可靠的数据交换;汇聚层提供网络系统网管中心与各部门网络交换设备之间高效率、高可靠性的数据传输服务;接入层提供各专业系统的接入。

最终的网络方案是网络内网系统在核心层采用千兆以太网技术(将来可以顺利平滑过渡到万兆以太网)，通过千兆链路将各汇聚层的交换设备连接到网络系统的核心层次，同时在汇聚层和接入层采用100兆到桌面(将来可以顺利过渡到千兆以太网)的以太网络交换技术来完成部门专业化的各类应用。网络拓扑图如图1所示。

图1 园区网网络拓扑图

2、广域网规划和设计

由于军工性质的原因，在对外连接、数据访问方面，对数据、信息安全方面的要求很高。为了实现到上级机关和分支机构的广域连接，考虑到经济成本因素，租用公用线路必须采用路由器、防火墙、密码机、入侵检测等产品实现安全接入。出差在外的员工与内部局域网通信，采用VPN技术接入。

3、互联网接入设计

为了满足保密规定不能直接将Internet接入内网，所以对于必须访问Internet进行资料查询、Email、信息共享等应用的用户，在不违反保密规定、条例的前提下，由其自行通过拨号或ADSL等方式解决，所使用的计算机与企业内网物理隔离。

三、网络安全设计

建成后的计算机网络，网络风险不仅来自Internet上黑客、病毒等的侵袭，即使是在LAN环境内，系统也不可避免地要受到来自内部一些员工有意或无意的入侵甚至是恶意的攻击、破坏，以及病毒的潜在威胁、数据的窃取、流失等不安全因素，这些不安全因素严重时可以使整个内部局域网络陷于瘫痪。

因此，需要制订一套统一、完善的能够指导整个计算机及信息网络系统安全运行的管理规范，以最大限度避免和杜绝实施信息共享时所面临的安全问题。内部局域网络安全需要建立体化、多层次的安全体系，其中主要涉及到的安全问题包括实体保护、加密技术、身份认证、路由器和防火墙、入侵检测系统、内容(行为)审计、防病毒等。

1、计算机实体安全

由于计算机设备存在电磁泄露、非法终端、搭线窃取和介质的剩磁效应等泄密渠道，对于计算机硬件，必须采用电源保护、防盗技术、环境保护、电磁兼容性等技术，对发射信号和辐射信号进行防护，保证系统中的设备不因外界或其他设备的电磁干扰而影响其正常工作。

具体的措施包括，在网络中心专门设置屏蔽电源，保证“红黑”分离;严格按照保密条例中规定的距离等级，使涉密计算机的布置远离城市公共区域;使用传导干扰器;非屏蔽电缆与其他并行线缆保持1m-3m的距离等。

2、加密技术

由于需要采用广域网与上级机关和所属分部通讯，所以必须在线路上加装密码机设备。它可以有效对抗截收、非法访问等威胁。通过硬件在网络的链路层和物理层的加密技术和公钥密码算法实现的数字签名和验证手段，保护了通信节点之间数据的传输。

同时，在数据存储方面，考虑选用操作系统的文件加密方式，使用NTFS文件分区格式，将所用客户端的涉密文件，存储到域服务器上，以实现某种程度的对文档的加密。

3、身份认证和内部访问控制

3.1身份认证

目前的实际应用中，有三种常用的身份认证方法：用户帐号+口令密码;智能卡;虹膜或指纹等生物特征技术等，三种技术各有利弊。各种智能卡中，动态口令的令牌方式和基于USBkey的认证技术发展很快。但动态口令存在时钟漂移等缺点，考虑到安全、可靠、成本低廉等因素，基于USBkey的身份认证系统，作为用户来说，不失为一种易于应用推广的技术。

本项目中采用的USBSkey局域网智能钥匙强双因子身份认证系统，域用户可结合存储在Skey中的Skey域用户名、PIN值及域名，安全登录指定域，本机用户也可以结合Skey和正确的用户名、PIN值，安全登录本机。这样，用更安全的数字证书认证机制代替用户名、口令的认证机制，加强了用户身份认证机制的安全性;每个用户拥有了一个惟一的身份，实现了全系统内用户身份的统一管理。否则，用户为了使用方便，采用某些简单的对策，就极有可能会严重地降低系统的安全性;同时，采用USBSkey电子钥匙来携带用户的数字证书，携带方便安全。还有远程拨号强双因子身份认证系统，在通过MODEM拨号远程登录过程中，运用PKI技术代替PAP、CHAT等认证方式，使用户通过数字证书而不是简单的用户名、密码来验证身份，从而大大提高了系统的安全性。

本系统在网络中心设置认证服务器一台，通过SQL Server数据库存储认证信息，处理认证请求;用户安装USBSkey客户端，通过电子钥匙、用户名、PIN值，有效保证了身份认证的可靠性。同时，服务器通过身份认证可以严格控制了客户端的输入/输出，使所有涉密信息严格处于可控状态。图2是USBSkey身份认证框图。

图2 USBSkey身份认证框图

责编：