二�、CDS模型
通常CDS包括傳輸、訪問和多級(jí)安全3類模型����。
傳輸是確保信息和文件在安全域間的安全傳遞。包括4類:?jiǎn)蜗騻鬏?�,僅在一個(gè)方向傳輸信息����,通常使用單向網(wǎng)閘(數(shù)據(jù)二極管)實(shí)現(xiàn)。雙向傳輸����,由物理上分開的向上和向下路徑組成,通常使用一對(duì)單向網(wǎng)閘實(shí)現(xiàn)�。企業(yè)級(jí)傳輸,大規(guī)模傳輸系統(tǒng)或系統(tǒng)陣列�����,滿足整個(gè)組織一般跨域傳輸需求�����。專門實(shí)現(xiàn)的傳輸����,滿足特定業(yè)務(wù)需求,如郵件轉(zhuǎn)發(fā)��、數(shù)據(jù)庫(kù)復(fù)制和流式視頻等�,主要是性能優(yōu)化和增加強(qiáng)策略控制。
訪問是為托管在不同安全域中的多個(gè)用戶桌面或應(yīng)用提供訪問服務(wù)�����。包括3類:訪問型CDS���,允許從單個(gè)客戶端設(shè)備訪問多個(gè)安全域�����,信息駐留在其各自安全域內(nèi)���,不允許基于文件的數(shù)據(jù)傳輸,多使用虛擬化和遠(yuǎn)程桌面方式實(shí)現(xiàn)����。向下瀏覽訪問型CDS�,允許用戶從高級(jí)別客戶端設(shè)備訪問低級(jí)別安全域桌面��。向上瀏覽訪問型CDS�����,允許用戶從低級(jí)別客戶端設(shè)備訪問高級(jí)別安全域桌面�,但存在較大風(fēng)險(xiǎn)。
多級(jí)安全是引入一個(gè)獨(dú)立安全域��,為每個(gè)數(shù)據(jù)對(duì)象提供精細(xì)的訪問控制�����。系統(tǒng)通過使用安全分類標(biāo)記處理具有不同安全級(jí)別的信息��,允許具有不同安全權(quán)限的用戶同時(shí)訪問��。這種方法的目的是在促進(jìn)協(xié)作共享的同時(shí)��,阻止用戶訪問非授權(quán)信息�。
另外還可以組合構(gòu)建混合訪問模型,可以組合上述多種CDS以允許用戶從單客戶端設(shè)備在安全域之間的一個(gè)或多個(gè)方向上訪問和傳輸信息���。
三���、CDS設(shè)計(jì)原則
CDS應(yīng)根據(jù)需求量身定制����,主要設(shè)計(jì)原則包括專用強(qiáng)制安全機(jī)制��、安全架構(gòu)設(shè)計(jì)���、系統(tǒng)保障與安全運(yùn)行3個(gè)方面。
專用強(qiáng)制安全機(jī)制方面��,主要包括:強(qiáng)制實(shí)施安全策略���、默認(rèn)屏蔽��、阻止惡意軟件����、數(shù)據(jù)防泄露�、訪問授權(quán)、數(shù)據(jù)來源檢測(cè)����、數(shù)據(jù)轉(zhuǎn)換和標(biāo)準(zhǔn)化�、協(xié)議中斷�、單向數(shù)據(jù)流和流量控制等10個(gè)原則。
安全架構(gòu)設(shè)計(jì)方面����,主要包括:域間隔離、預(yù)先批準(zhǔn)�、量身定制解決方案、縱深防御�����、設(shè)計(jì)時(shí)考慮安全����、簡(jiǎn)單、無旁路�����、分離數(shù)據(jù)通道��、減少攻擊面、考慮安全域附加連接安全等10個(gè)原則�����。
系統(tǒng)保障與安全運(yùn)行方面����,主要包括:經(jīng)過評(píng)估后的正式保障、使用受信任平臺(tái)和組件��、采用最佳安全管理實(shí)踐�、檢測(cè)和審計(jì)�����、系統(tǒng)自身防護(hù)�、安全的故障處理、CDS透明運(yùn)行不泄露自身信息��、安全維護(hù)和運(yùn)營(yíng)支持���、安全復(fù)盤和用戶培訓(xùn)等10個(gè)原則�。
四�、網(wǎng)御星云解決方案
網(wǎng)御星云參與過大量行業(yè)跨域解決方案的設(shè)計(jì)論證和集成建設(shè)工作,深入理解跨域數(shù)據(jù)傳輸訪問的安全需求和實(shí)現(xiàn)機(jī)制,具有成熟的多類型解決方案與案例�����。曾經(jīng)參與實(shí)施過五千余個(gè)跨網(wǎng)跨域安全項(xiàng)目�����,綜合利用防火墻���、網(wǎng)閘����、數(shù)據(jù)交換控制系統(tǒng)�����、集中監(jiān)控與管理系統(tǒng)和綜合審計(jì)系統(tǒng)等產(chǎn)品�����,解決了各類機(jī)構(gòu)不同需求���、不同級(jí)別網(wǎng)絡(luò)間的安全隔離與數(shù)據(jù)傳輸���,涉及的隔離產(chǎn)品連續(xù)多年市場(chǎng)占有率排名第一���。
網(wǎng)御星云通過解決方案、安全產(chǎn)品和人員運(yùn)營(yíng)的相互支撐協(xié)作��,為客戶提供安全��、可靠�����、可信的跨網(wǎng)跨域數(shù)據(jù)傳輸訪問能力��,助力客戶在加強(qiáng)信息共享的同時(shí)����,提升網(wǎng)絡(luò)安全水平���。
