作为对安全要求较高的政府部门，江苏省粮食局一直在信息安全建设上不遗余力。在完成了江苏省储备粮信息系统建设后，又规划并逐步实施从VPN到全网安全的IT建设。
大规模VPN部署
常言道：民以食为天。粮食是国家的命脉，对中国这样一个拥有13亿人口的大国来说，粮食生产、储存及供销的好坏乃是安邦定国的头等大事。在这方面，江苏省粮食局专门建设了省级储备粮管理信息系统，为的就是做到粮食信息的准确管理。
不过，对江苏省粮食局来说，信息化必须满足两大难题：第一，粮食局下辖粮库分散在全省各地，信息的收集相对繁琐；第二，粮食局对信息安全非常重视，需要完善的IT安全机制。
日前江苏省粮食局IT负责人王志明接受了本报的独家专访，他表示江苏省粮食局下辖45个地方粮库和13个地市分局，58个点之间需要建立安全可靠的网络系统，以便保证保证省级储备粮管理信息系统软件的安全可靠运行。
“利用VPN连接58个分支机构无疑是一种安全、经济的做法，我希望能够把下属的网点进行统一连接”王志明如是说。
在具体项目实施中，王志明曾经进行了VPN设备的招标，华为、神州数码网络都拿出了各自的方案。“从功能上讲，两家公司的产品区别不大，至少对于我们这个级别的用户都是足够的，不过我更加看好厂商提供一揽子服务的能力”王志明的意思是，厂商除了要提供安全产品，最好还可以支持从基础网络到后期服务的打包，而这也是他最终导向神州数码网络的原因。
据悉，为保证江苏储备粮库信息网络系统的安全，神州数码网络根据其网络“分散的高安全业务”的具体特点，建立了一个防护----检测----响应体系，具体涵盖了从VPN到IPS再到后期全网安全。
本着既节约财政开支成本又符合保密基本要求并保证使用效率的原则，王志明决定全省45个库点采用10M SDH建立VPN虚拟专网，作为省级储备粮管理信息系统外网；省储粮管理信息系统中心软件在省粮食局内网运行，通过政府内网保证与各市粮食局及财政经建处等有关部门进行联网；省粮食集团公司、粮油交易市场、军粮办三家单位因不在政府专网内，可通过SDH实现与省储粮信息管理系统内网的连接，系统内外网数据交换通过人工用移动硬盘或U盘及时拷贝，从而实现内外网物理隔离，达到保密要求。
而神州数码网络则提供了DCFW-1800系列状态检测包过滤防火墙，并以此来实现对数据流的访问控制、数据传输的机密性和完整性保护、用户的访问控制以及不同网络安全域的隔离。
由于全部采用IPSec VPN，王志明坦言其中涉及到了大量繁杂的部署工作。不过他也承认，目前IPSec VPN非常适合粮食局的业务需要，特别是在单项信息传输方面，因此它不会考虑SSL VPN方案。另外他还透露说，由于旗下粮库技术水平有限，他只需要进行一次远端防火墙现场配置就可以完成任务，而不用担心配置上出其他问题。
长远的安全规划
王志明认为，省级储备粮信息属机密信息，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对政府的信息安全构成威胁。而IT部门对此必须进行长远规划。
事实上，每当记者听到“长远规划”一说，内心总有一种莫名的伤感，因为很多企业的长远规划都是不得已而为之：受限于资金或者其他因素，把一些想做但目前做不到的内容，进行后期规划。
王志明曾向记者解释，对于政府部门，不可能像企业一样，走安全的市场化道路，由于政府的特殊性，必须进行一个安全上的一揽子计划。而他自己，也已经从粮食局需要的地方开展了至少两期规划。
其中，对于10M SDH的利用上，王志明提出了建立分支机构安全监控系统的要求，全部采用视频方式。而在已经部署的VoIP上面，他会进一步扩充更多的点，同时开展VoIP安全方面的建设。
此外他也表示，目前粮食局内网、内外网分离，不过今后会连接在一起。为此，他需要对今后的全网安全进行专门的规划，这里面包括了：
第一，对于反病毒的部署。目前王志明已经在粮食局部署了瑞星的桌面反病毒产品，并且配置了专用服务器进行病毒库升级分发。今后在费用允许的情况下，他会进一步完善反病毒系统，包括引进专门的网关设备，同时购买厂商的安全服务。
第二，考虑部署全网安全系统。他承认早就有在一期方案中部署全网安全的计划，不过由于资金所限不得不放弃。他比较看好全网安全方案中的准入控制方式，特别是内网员工认证、安全控制与隔离、多元素绑定等，都是他非常感兴趣的内容。
第三，对于敏感信息的保护。这方面江苏省委相关部门已经对粮食局的IT建设提出了建议，建议增加内容过滤、邮件信息审计和网络安全日志等系统。王志明对此非常认同，他已经开始研究基于内容过滤设备或者UTM的方案，特别是对于邮件信息的敏感字段控制以及延迟审计能力，他非常关心。
第四，部署IPS系统。由于粮食信息的敏感性，王志明已经在一期项目中试用了一台神州数码网络的100M IPS，并将其部署在数据库前面。他承认目前IPS还处于应用测试状态，对于一般的安全威胁可以进行阻止，但是还没有进行过压力测试。
王志明最后表示：“目前300万的VPN项目已经价值不菲，如果算上后期项目，估计至少增加100万。对于政府安全来说，关键是要看需要的安全级别，如果能达到出色的效果，这些钱还是应该花的。”
经验分享
投资
300万的VPN项目，至少100万的后期预算
收益
连接58个分支机构的IPSec VPN
确保政府部门的高安全级别
后期项目
更加完善的反病毒系统
全网安全系统
内容过滤系统
IPS系统