扫一扫
关注微信公众号

深信服助广西质监局打造金质安全工程
2011-02-15   网络

  “金质工程”是国家电子政务建设的重要组成部分,是我国电子政务建设的12个重点应用系统之一。通过电子政务系统的建设,促进各级质检机关向管理服务型转变,提高质量监督检验检疫执法的透明度,形成全国统一的质检大网络,促进质检系统执法电子化、信息化。
  广西金质工程建设是国家“金质工程”建设的重要组成部分,作为全国金质工程建设应用的第一个试点单位,国家质检总局予以了高度重视。
  广西金质工程整体网络建设以区局为核心,连接8个直属技术机构、14个市质监局和76个县局,与国家质检主干网互联互通,建成统一、融合多业务数据通信平台,全面地实现各个机构间的互联互通。目前,广西金质工程平台上承载的IT应用系统主要包括视频系统、12365系统、办公OA、绩效考评、内部邮件、行政审批内网、行政审批外网、质监业务应用内网、FTP、门户网站和国家金质工程部署的所有业务应用系统,大部分的业务系统共享数据库集中部署在区局的数据中心,以供各个分支机构访问。
金质工程的信息安全要求高,网络安全极为重要,因此必须保证质检数据安全,实现金质工程网络的高安全性、高可靠性、高可管理性。

金质工程信息安全形势严峻
  金质工程各业务系统全面部署和应用后,网络应用在业务系统运行中的重要性与日俱增,系统的安全和稳定就更突显其重要性,可是网络系统面临的风险却也随着网络的发展不断增加。其次,来自互联网的恶意攻击不断的增多,对网络信息的有效性和完整性造成破坏,主要表现为:伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。同时内网的安全隐患也在不断的增多,如ARP攻击,DOS攻击等。另外,多线程的下载应用给部分用户带来了享受,而机构内部的网络带宽资源却受到了严重的影响,导致其他人员办公效率低下。
  新的安全问题还在不断出现。现在的网络安全已经不仅限于对网络的攻击和数据的安全,更包括网络设备的稳定性安全,网络接入者的安全,访问者的权限安全。
通过分析以上存在的问题,我们将影响网络安全和信息安全的因素分为以下几类:
  首先是身份认证不当,没有严格的认证就无法有效的区分用户,也就无法部署差异化授权和审计策略,自然无法有效防御身份冒充、权限扩散与滥用等。其次是传输过程中的数据没有进行有效的加密,数据如果明文传输,会对数据安全造成严重的影响,面对组织内的电脑终端不断增多,部分电脑经常出现病毒之后就会对内网的其他电脑造成危害,同时,终端电脑是否及时的进行了补丁的修复,是否有组织的机密文件存在,在上班时间是否运行了不允许的进程等,都需要进行严格的管控。
  此外,对内部的不同部门的员工,为了防止越权访问,需要根据其分工的不同进行有效的权限划分,保证内网资源的安全并在产生安全问题时提供依据与手段。
最后,要满足可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息。

多级网络安全管理防御方案
  面对多层级的安全威胁,需要不同的管理手段来实现管控。为此,在金质工程广西项目的建设过程中,我们提出针对不同的安全威胁需要不同级别的安全防护手段,建立多级网络安全管理防御方案。在业务专网中划分生产区、决策区以及网管区边界,增加防火墙设备,实现对内部不同安全区域之间的隔离,并在区域之间执行访问控制策略,防止内部主机对关键应用服务器,以及关键网络管理设备的攻击。从身份认证到终端准入,从线路的传输到内部权限的划分和服务器的稳定安全等部署严格和全面的安全保障措施,从而实现具有保密性,完整性,可用性,可控性,可审查性的整体解决方案。
  通过对反复测试比较,最终我们选定深信服的前沿网络技术管理技术作为解决方案,通过建立多级的安全策略,实现网络安全互联和传输安全,最终实现内网的全面防护。

 


 


  市局、区信息中心和各区县之间通过IPSec VPN组建加密传输网络,通过VPN加密技术实现数据传输的安全。由于所有区县局网络出口处都在区信息中心,因此在区信息中心利用上网行为管理,做严格的身份认证、终端准入和行为监控,从而实现整个网络的行为管理。同时,利用上网行为管理独有的流量管理和带宽保障技术,为关键的应用提供带宽保障,促使视频会议和ERP等系统的流畅使用。
  由于上网行为管理具有防火墙、上网行为审计、VPN等多重的功能,因此不仅解决了VPN互联的问题,为视频会议系统和ERP系统的数据传输建立了通道,而且可应用于网络监控和审计。上网行为管理自带的防火墙功能可以有效的保障内网的安全,相比于之前服务器直接连接公网的情况在安全性上有了很大的提高。

金质安全
  我们通过VPN组建加密网络,并利用上网行为管理实现网络的行为管理。但考虑到网络的整体安全,我们还采用了一些安全加固措施。在业务专网的核心交换机上部署入侵检测系统,与防火墙联动,阻断攻击来源;在区局、市局平台的业务专网内分别部署漏洞扫描系统,弥补漏洞,消除系统存在的安全隐患,提升业务专网整体的抗攻击能力;部署终端安全管理系统,保障终端接入的安全;提供服务器核心防护系统,提升服务器的抗攻击能力,更好地保障上层应用;在业务专网内部署日志审计系统,将原来分散在各个服务器、网络设备以及安全设备的日志进行集中记录,并提供给系统管理人员进行查询和检索,在系统发现安全问题后可以对访问过程进行还原;包括终端和服务器防病毒、统一网络管理平台等均在广西金质工程中提供着金质安全。
  网络威胁无时不在,但是威胁在足够坚固的安全防线下会溃退。通过结合多种前沿网络技术,广西金质工程建成了包括防火墙,入侵检测,风险评估,加密认证,审计,VPN,访问控制等安全防护体系,实现了从身份认证、终端检测到数据传输加密,从访问开始、访问传输一直到访问结束,形成了一个全套的安全防护体系,建成了多级安全网络管理手段,使得广西区质监的“金质工程”得到了全面的安全防护,并获得了同行的认可和学习。
 

热词搜索:

上一篇:百卓网络助重庆荣昌教育城域网重构上网秩序
下一篇:齐鲁石化谈选购网络流量控制设备

分享到: 收藏