安全Ⅰ区、Ⅱ区与安全Ⅲ区的防护策略
Ⅰ区和Ⅱ区不得与IV区直接联系,而且与Ⅲ区的信息交换必须是单向方式,仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。
安全区域纵向防护策略
在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。并通过采用MPLS VPN或IPsec VPN在专网上形成多个相互逻辑隔离的VPN,避免安全区纵向交叉。
高可靠性和防止单点失效策略
Ⅰ区、Ⅱ区、Ⅲ区都属于调度中心管理范畴,Ⅳ区属于信息中心管理范畴。Ⅰ区的高可用性要求非常高,要求达到秒级,而且是实时系统。Ⅱ区的高可用性达到分钟级,Ⅲ区、Ⅳ区的管理系统对于高可用性要求也非常高,在使用防火墙作为网络隔离设备的时候,使用双机热备的方式,以防止单点失效,提高可用性。
方案部署
根据以上设计思路,结合国调总结要求,本次安全建设总体部署方案如图所示。
图 总体部署方案