二、CDS模型

通常CDS包括傳輸、訪問和多級(jí)安全3類模型。

傳輸是確保信息和文件在安全域間的安全傳遞。包括4類:?jiǎn)蜗騻鬏敚瑑H在一個(gè)方向傳輸信息,通常使用單向網(wǎng)閘(數(shù)據(jù)二極管)實(shí)現(xiàn)。雙向傳輸,由物理上分開的向上和向下路徑組成,通常使用一對(duì)單向網(wǎng)閘實(shí)現(xiàn)。企業(yè)級(jí)傳輸,大規(guī)模傳輸系統(tǒng)或系統(tǒng)陣列,滿足整個(gè)組織一般跨域傳輸需求。專門實(shí)現(xiàn)的傳輸,滿足特定業(yè)務(wù)需求,如郵件轉(zhuǎn)發(fā)、數(shù)據(jù)庫(kù)復(fù)制和流式視頻等,主要是性能優(yōu)化和增加強(qiáng)策略控制。

訪問是為托管在不同安全域中的多個(gè)用戶桌面或應(yīng)用提供訪問服務(wù)。包括3類:訪問型CDS,允許從單個(gè)客戶端設(shè)備訪問多個(gè)安全域,信息駐留在其各自安全域內(nèi),不允許基于文件的數(shù)據(jù)傳輸,多使用虛擬化和遠(yuǎn)程桌面方式實(shí)現(xiàn)。向下瀏覽訪問型CDS,允許用戶從高級(jí)別客戶端設(shè)備訪問低級(jí)別安全域桌面。向上瀏覽訪問型CDS,允許用戶從低級(jí)別客戶端設(shè)備訪問高級(jí)別安全域桌面,但存在較大風(fēng)險(xiǎn)。

多級(jí)安全是引入一個(gè)獨(dú)立安全域,為每個(gè)數(shù)據(jù)對(duì)象提供精細(xì)的訪問控制。系統(tǒng)通過(guò)使用安全分類標(biāo)記處理具有不同安全級(jí)別的信息,允許具有不同安全權(quán)限的用戶同時(shí)訪問。這種方法的目的是在促進(jìn)協(xié)作共享的同時(shí),阻止用戶訪問非授權(quán)信息。

另外還可以組合構(gòu)建混合訪問模型,可以組合上述多種CDS以允許用戶從單客戶端設(shè)備在安全域之間的一個(gè)或多個(gè)方向上訪問和傳輸信息。

三、CDS設(shè)計(jì)原則

CDS應(yīng)根據(jù)需求量身定制,主要設(shè)計(jì)原則包括專用強(qiáng)制安全機(jī)制、安全架構(gòu)設(shè)計(jì)、系統(tǒng)保障與安全運(yùn)行3個(gè)方面。

專用強(qiáng)制安全機(jī)制方面,主要包括:強(qiáng)制實(shí)施安全策略、默認(rèn)屏蔽、阻止惡意軟件、數(shù)據(jù)防泄露、訪問授權(quán)、數(shù)據(jù)來(lái)源檢測(cè)、數(shù)據(jù)轉(zhuǎn)換和標(biāo)準(zhǔn)化、協(xié)議中斷、單向數(shù)據(jù)流和流量控制等10個(gè)原則。

安全架構(gòu)設(shè)計(jì)方面,主要包括:域間隔離、預(yù)先批準(zhǔn)、量身定制解決方案、縱深防御、設(shè)計(jì)時(shí)考慮安全、簡(jiǎn)單、無(wú)旁路、分離數(shù)據(jù)通道、減少攻擊面、考慮安全域附加連接安全等10個(gè)原則。

系統(tǒng)保障與安全運(yùn)行方面,主要包括:經(jīng)過(guò)評(píng)估后的正式保障、使用受信任平臺(tái)和組件、采用最佳安全管理實(shí)踐、檢測(cè)和審計(jì)、系統(tǒng)自身防護(hù)、安全的故障處理、CDS透明運(yùn)行不泄露自身信息、安全維護(hù)和運(yùn)營(yíng)支持、安全復(fù)盤和用戶培訓(xùn)等10個(gè)原則。

四、網(wǎng)御星云解決方案

網(wǎng)御星云參與過(guò)大量行業(yè)跨域解決方案的設(shè)計(jì)論證和集成建設(shè)工作,深入理解跨域數(shù)據(jù)傳輸訪問的安全需求和實(shí)現(xiàn)機(jī)制,具有成熟的多類型解決方案與案例。曾經(jīng)參與實(shí)施過(guò)五千余個(gè)跨網(wǎng)跨域安全項(xiàng)目,綜合利用防火墻、網(wǎng)閘、數(shù)據(jù)交換控制系統(tǒng)、集中監(jiān)控與管理系統(tǒng)和綜合審計(jì)系統(tǒng)等產(chǎn)品,解決了各類機(jī)構(gòu)不同需求、不同級(jí)別網(wǎng)絡(luò)間的安全隔離與數(shù)據(jù)傳輸,涉及的隔離產(chǎn)品連續(xù)多年市場(chǎng)占有率排名第一。

網(wǎng)御星云通過(guò)解決方案、安全產(chǎn)品和人員運(yùn)營(yíng)的相互支撐協(xié)作,為客戶提供安全、可靠、可信的跨網(wǎng)跨域數(shù)據(jù)傳輸訪問能力,助力客戶在加強(qiáng)信息共享的同時(shí),提升網(wǎng)絡(luò)安全水平。

分享到

xiesc

相關(guān)推薦