通过部署航天行业专属安全防护体系,对航天信息系统进行全方位安全加固。
网络边界防护:部署航天专用防火墙,实施内外网物理隔离,建立多级网络分区,实施严格的访问控制策略,部署入侵防御系统(IPS)和网络流量分析系统,监控异常网络行为,部署抗DDoS系统,保障业务连续性。
航天控制系统安全:对航天控制系统、卫星控制系统、航天测控系统实施专项安全防护,部署专用安全设备,建立冗余备份机制,确保系统稳定运行,实施安全加固和漏洞管理,建立航天控制系统安全监控体系。
数据安全治理:建立航天数据分类分级标准,科研成果数据、航天数据等加密存储(采用国密算法),实施数据全生命周期审计,建立数据防泄漏(DLP)系统,严格管控数据访问权限,核心数据三重备份,严格管控数据出境。
身份与访问管理:建设航天统一身份认证平台,实现多因素认证(数字证书+动态令牌+生物识别),实施强制访问控制(MAC),对特权账号严格管控,建立用户行为分析系统,针对科研人员、管理人员等不同角色设置差异化权限。
终端安全防护:部署航天专用终端防护系统,实施动态权限控制,加强终端补丁管理和进程管控,防御APT攻击和恶意软件,实施终端准入控制(NAC),对科研终端、控制终端等实施专项防护,部署终端加密系统。
应用安全防护:对航天Web应用、移动应用进行安全加固,部署Web应用防火墙(WAF),防御SQL注入、XSS、CSRF等攻击,部署API安全网关,开展代码安全审计,集成CI/CD流程实现安全左移,实施网页防篡改。
安全审计与监控:部署航天专用安全审计系统,记录系统日志、应用日志、安全日志、网络日志、操作日志,日志留存不少于1年,建立安全事件实时分析和追溯能力,实现操作可追溯、责任可追究,满足军工行业审计要求。
安全运营中心:建设航天专属安全运营中心(SOC),实现全网安全设备统一管控,建立安全态势感知平台,融合威胁情报,建立7×24小时专职安全运营团队,建立完善的应急响应机制,定期开展安全演练。
密码技术应用:全面采用国产密码算法(SM2/SM3/SM4),建立密码应用体系,对核心数据、通信链路、身份认证实施密码保护,建立密钥管理体系,确保密码安全。
