军民融合解决方案

浏览次数:

ABUIABACGAAg88vytwUotLjj2gIwugQ4rAM.jpg

1、安全需求分析

在军民融合加速发展的时代背景下,某项目,旨在促进军工企业、民营企业与军事需求更好地对接和转化,吸引各种渠道资源进入国防领域,建立军贸信息共享平台、涉军武器信息服务平台和高精度位置服务平台,构建军民深度融合的运行体系。该项目综合运用云计算、虚拟化、服务化、Web网站等技术,需要解决的安全问题主要有

(1)军工企业的四证等信息属于保密信息,需要进行加密处理后再在开放网络中进行传送。

(2)民营企业接入本项目平台,需要具备完善的身份认证机制。

(3)差分定位服务器将差分数据从内网传递到外网,需保证数据只能进行单向传输,确保内网的安全。

(4)数据加密存储,以规避云计算模式下各种应用系统和虚拟机共享存储空间带来的安全风险,防范磁盘阵列厂商维护配置磁盘阵列带来的业务数据泄露风险,防范内外部人员窃取关键业务数据的安全风险,规避磁盘阵列、服务器等硬件设备的后门或漏洞带来的数据流失风险。


2、总体解决方案

2.1 拓扑结构

基于PCI-E密码卡、高速网络存储加密机、安全接入密码网关、CA服务器、单向导入设备、USBkey、防火墙等安全产品,可从信源加密、终端接入、传输安全、安全存储、分区隔离五方面建立安全可靠的防御机制,支持涉军企业终端、民营企业终端和车载定位终端安全访问信息外网,其网络拓扑结构如图1所示。

图1 解决方案总体拓扑图


(1)在军工企业配置加装PCI-E密码卡的计算机终端,并安装ActiveX安全控件和安全接入客户端。其中,PCI-E密码卡提供基于国密算法的加解密、认证、签名等密码服务功能;ActiveX安全控件基于PCI-E密码卡提供的密码服务功能,面向网页应用提供四证等保密数据的信源加密;安全接入客户端提供基于SSL协议的认证和传输加密功能,可实现军工企业客户端与信息外网之间的身份认证与传输加密。

(2)在民营企业计算机终端加装USBKey,并在计算机上安装安全接入客户端软件。USBKey提供身份认证支持,安全接入客户端软件实现民营企业计算机终端与信息外网之间的身份认证与传输加密。

(3)信息外网安全接入区内配置防火墙、安全接入密码网关和核心交换机。其中,防火墙提供基于规则的访问控制,安全接入密码网关提供基于SSL协议的身份认证和传输加密功能。

(4)信息外网安全服务区内配置密钥管理中心、CA服务器和加解密服务器。其中,密钥管理中心为全网密码机提供密钥分发和设备管理服务,CA服务器为全网提供数字证书签发和证书状态查询服务;加解密服务器为涉军企业服务区的Web服务区提供信源加解密服务。

(5)信息外网安全存储区配置一套支持双机热备的数盾高速网络存储加密机,为进出存储阵列的数据进行高速加解密。

(6)在涉密信息内网配置防火墙和单向导入设备。单向导入设备用于控制数据只能由涉密信息内网向信息外网单向流动。


2.2 工作原理

2.2.1 涉军企业访问涉军企业服务区流程

1) 涉军企业在上传四证等保密数据时,调用ActiveX安全控件,对数据进行信源加密得到密文;

2) 安全接入客户端基于SSL协议做传输加密;

3) 安全接入密码网关基于SSL协议执行传输解密;

4) 加解密服务器对密文数据进行信源解密,得到四证等保密数据的明文。

2.2.2 民营企业访问民营企业服务区流程

1) 民营企业在登录系统时,通过调用usbkey,发起身份认证请求;

2) 认证服务器完成身份认证;

3) 认证通过,可以访问民营企业服务区。

2.2.3 差分定位服务流程

1) 差分定位服务器,通过单项导入设备每隔一定间隔地将数据传输到信息外网;

2) 车载终端发起差分定位请求,信息外网的定位服务器将其所需的差分数据发送给车载定位终端。

2.2.4数据加密存储流程

1) 各Web服务器通过FC交换机,向网络储存加密机发送明文数据;


2) 网络存储加密机对写入入磁盘阵列的数据进行自动加密,对读出的数据自动解密,保证存储在磁盘阵列中的数据始终为密文。

3、解决方案效果分析

3.1 基于整机内嵌PCI-E密码卡的终端安全

考虑到涉军企业终端计算机形态、操作系统及客户端环境的多样性,为涉军企业配置内嵌PCI-E密码卡的终端计算机整机。这样的好处是,PCI-E密码卡可以与终端计算机在操作系统、浏览器等方面进行充分适配,并以整机的方式提供,保证终端计算机操作使用的便利性。

3.2 基于ActiveX安全控件的数据源加密

ActiveX安全控件通过调用PCI-E密码卡密码服务库的相关密码服务接口,实现面向网页应用的安全接口。通过在用户终端加装PCI-E密码卡,配合网页ActiveX安全控件,对关键数据进行信源加密,从而保证数据的机密性和完整性。

3.3 基于网络存储加密设备的存储加密

数盾高速网络存储加密机对写入磁盘阵列的数据进行自动加密,对读出的数据自动解密,保证存储在磁盘阵列中的数据始终为密文,不会因为数据或文件被窃而造成数据泄露。通过运用该产品,能够有效解决云计算模式下各种应用系统和虚拟机共享存储空间带来的安全风险,防范磁盘阵列厂商维护配置磁盘阵列带来的业务数据泄露风险,防范内外部人员窃取银行关键业务数据的安全风险,规避磁盘阵列、服务器等硬件设备的后门或漏洞带来的数据流失风险。

3.4 基于单向导入设备的数据单向传输

单向导入设备保证差分数据只能由信息内网向信息外网流动。差分定位服务器,通过单项导入设备每隔一定间隔地将数据传输到信息外网。外网不能突破单向导入设备侵入内网,对内网进行破坏。