uniLink 实现信息安全的新思路

    信息安全的防护归根结底就是保护信息资源的安全，保证其不会被窃取、泄露和破坏。而对信息资源带来风险的外部因素，是由于人们对其进行的各种误操作。

    传统的信息安全保护一般采用单独对局部进行保护的方法，常由于疏忽或错误导致安全漏洞。但是将整个系统当成一个安全等级来防护，也难免造成没有防范层次和防范重点，对风险尤其是内部风险的控制能力不足。

    由双洲公司提出的实现信息资源安全防护的设计思路，就是从信息内容和对信息内容的操作这两点入手: 一是收缩防线，将信息内容集中管理，集中保护; 二是控制对信息资源的各种操作。

    这一思路的核心在于，将涉及业务信息系统的网络规划，从原来的广域网、局域网、虚拟子网等各种网络概念中脱离出来，提出了将网络划分为资源网和用户网的规划方法。

    基于这种规划方法，uniLink的设计思路可简单描述为: 收缩资源网，控制用户网，并在IP层形成阻断。

    这种方式是按照信息资产的重要程度划分安全域，将信息资产归入不同安全域中，每个安全域内部都有着基本相同的安全特性，如安全级别、安全威胁、安全弱点等。在此安全域的基础上确定该区域的信息系统安全保护等级和防护手段。

    安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。uniLink安全系统架构就是根据不同的安全需求将资源网和用户网分为多个涉密安全域、多个用户安全域、多个非涉密安全域，并且通过具有针对性的安全策略消除了信息泄露的途径，使安全边界变得精准和可控。

    资源网从安全域划分上又分为涉密安全域和非涉密安全域，并根据涉密安全域业务性质以及安全特性的不同划分为机要区与工作区，将非涉密安全域划分为应用区与工作区，根据用户的实际业务情况随时增加多个涉密安全域与非涉密安全域，并根据涉密业务使用情况将用户区划分出涉密业务用户安全域，实现分域使用、分域管理、对核心机密防护性更加牢固。此部署适用于不允许登录互联网，但允许使用部分业务专网（不与互联网连接），涉密与非涉密多个业务并存的电子政务系统。

\