军队某基地涉密系统解决方案

　　4. 项目实施效果

　　4.1. 防止非法主机接入

　　可信网络保密系统的虚拟保密子网功能对网络传输数据进行加密，防止恶意用户通过网络监听方式窃取保密数据；防止非法主机接入，从而防止非法用户盗取、破坏机密数据；合法使用拨号连接进行非法外联，由于其数据是加密的，所以也不能跟外部网络进行正常的通信。

　　4.2. 保密网络管理

　　4.2.1. 保密子网分域管理

　　保密网络分域管理，系统管理员可以按照行政部门将物理网络划分成不同的虚拟保密子网，各个部门间根据安全级别设定信任关系，安全级别高的部门完全隔离开，如果有临时需要可以设定成允许其他部门访问，这样在不影响网络资源使用的情况下，还保证了网络数据通信的安全性。

　　4.2.2. 保密子网中移动存储设备管理

　　移动存储设备在保密网中授权使用，移动存储设备可以设置成在某个保密子网中授权使用，例如：可以设置成在保密级别高的网络中为只读策略，其他保密子网为正常读写，这样方便了使用又阻止了保密级别高的网络中数据复制到移动存储设备中，降低了泄密的风险。

　　4.3. 统一身份认证与授权

　　4.3.1. 计算机登录认证

　　可信网络认证系统可以实现计算机登录认证功能，只用合法用户拥有令牌和pin码才能够访问允许访问的计算机，可以设定一个用户允许访问多台计算机，也可以设定一台计算机允许多个用户登录，与可信网络监控可以根据用户和在线\离线状态设定不同的安全策略。

　　4.3.2. 内网服务器访问认证

　　通过使用安全网关设备将内网运行的服务器统一管理起来，只有经过认证的用户才有权利访问服务器上面的资源，保证了内网服务器数据安全性。

　　4.4. 防止敏感信息外泄

　　4.4.1. 防止网络途径的信息外泄

　　通过使用可信网络保密系统划分虚拟保密子网功能，设定各个保密子网的访问权限，防止机密数据通过内部网络主动泄密；通过网络数据加密功能防止网络数据被恶意监听和非法计算机接入泄密；通过使用安全网关设备防止服务器机密数据通过网络泄密；

　　4.4.2. 防止计算机外设途径的信息外泄

　　通过可信网络监控系统的外设控制功能对计算机外部设备进行开关式管理，防止机密数据通过外部设备泄密。

　　4.4.3. 防止存储介质途径的信息外泄

　　可信网络保密系统对存储解密实现授权管理，可以将存储设备设定成正常读写、加密读写、只读、保密域使用策略，限定了机密数据通过移动存储设备的传输范围，严格保证了数据传输的安全性和保密性。

　　4.4.4. 防止打印途径的信息外泄

　　可信网络监控系统可以关闭打印端口，禁止了打印机泄漏机密数据。

　　4.4.5. 防止计算机硬盘被盗途径的信息外泄

　　可信网络保密系统的本地硬盘数据加密功能，可以将本地硬盘数据加密，即使硬盘被盗，数据也不能正常读写，保证了数据安全性。

　　4.4.6. 笔记本电脑丢失的信息外泄

　　可信网络认证系统的虚拟安全磁盘功能和用户相关联，每个用户可以建立自己的虚拟安全磁盘，机密数据可以放在这个磁盘上，虚拟磁盘使用强加密算法，如果没有用户令牌就不能打开这个磁盘，即使笔记本电脑丢失也不用担心数据外泄。

　　4.4.7. 对核心及敏感数据的保护

　　可信网络认证系统的虚拟安全磁盘功能使用强加密算法，提供对核心及敏感数据的保护，只有拥有与之关联的令牌和pin码才能访问虚拟安全磁盘，保证了核心数据安全性。

　　4.4.8. 对计算机软、硬件的安装、使用监控和管理

　　可信网络保密系统禁止操作系统盘写功能可以禁止软件安装和硬件驱动安装，对用户软件和硬件安装进行监控，可信网络监控系统实时监控功能实现对软件安装和硬件安装实时管理。

　　4.4.9. 用户行为审计

　　可信网络监控系统对用户行为进行实时监视，对用户行为进行管理，最后产生审计报告，对用户行为进行有效追溯。

　　5. 总结

　　本方案从网络管理和内网数据安全两个方面对网络进行建设和加固，有效的保证网络系统的正常运行和计算机终端信息的安全性，从而达到防止机密信息泄漏的目的。