背景介紹
“金質工程”是國家電子政務建設的重要組成部分,是我國電子政務建設的12個重點應用系統(tǒng)之一���。通過電子政務系統(tǒng)的建設�,促進各級質檢機關向管理服務型轉變�,提高質量監(jiān)督檢驗檢疫執(zhí)法的透明度,形成全國統(tǒng)一的質檢大網(wǎng)絡����,促進質檢系統(tǒng)執(zhí)法電子化、信息化�。
廣西金質工程建設是國家“金質工程”建設的重要組成部分,作為全國金質工程建設應用的第一個試點單位�����,國家質檢總局予以了高度重視��。
廣西金質工程整體網(wǎng)絡建設以區(qū)局為核心,連接8個直屬技術機構���、14個市質監(jiān)局和76個縣局�,與國家質檢主干網(wǎng)互聯(lián)互通����,建成統(tǒng)一、融合多業(yè)務數(shù)據(jù)通信平臺�����,全面地實現(xiàn)各個機構間的互聯(lián)互通�。目前,廣西金質工程平臺上承載的IT應用系統(tǒng)主要包括視頻系統(tǒng)��、12365系統(tǒng)�����、辦公OA����、績效考評、內部郵件�、行政審批內網(wǎng)����、行政審批外網(wǎng)���、質監(jiān)業(yè)務應用內網(wǎng)、FTP����、門戶網(wǎng)站和國家金質工程部署的所有業(yè)務應用系統(tǒng),大部分的業(yè)務系統(tǒng)共享數(shù)據(jù)庫集中部署在區(qū)局的數(shù)據(jù)中心���,以供各個分支機構訪問�����。
金質工程的信息安全要求高����,網(wǎng)絡安全極為重要���,因此我們必須保證質檢數(shù)據(jù)安全�����,實現(xiàn)金質工程網(wǎng)絡的高安全性���、高可靠性�、高可管理性���。
金質工程信息安全形勢嚴峻
金質工程各業(yè)務系統(tǒng)全面部署和應用后����,網(wǎng)絡應用在業(yè)務系統(tǒng)運行中的重要性與日俱增����,系統(tǒng)的安全和穩(wěn)定就更突顯其重要性,可是網(wǎng)絡系統(tǒng)面臨的風險卻也隨著網(wǎng)絡的發(fā)展不斷增加���。其次���,來自互聯(lián)網(wǎng)的惡意攻擊不斷的增多,對網(wǎng)絡信息的有效性和完整性造成破壞�,主要表現(xiàn)為:偽裝為合法用戶進入網(wǎng)絡并占用大量資源;修改網(wǎng)絡數(shù)據(jù)、竊取����、破譯機密信息�����、破壞軟件執(zhí)行;在中問站點攔截和讀取絕密信息等�����。同時內網(wǎng)的安全隱患也在不斷的增多,如ARP攻擊���,DOS攻擊等��。另外���,多線程的下載應用給部分用戶帶來了享受���,而機構內部的網(wǎng)絡帶寬資源卻受到了嚴重的影響���,導致其他人員辦公效率低下����。
新的安全問題還在不斷出現(xiàn)���,F(xiàn)在的網(wǎng)絡安全已經不僅限于對網(wǎng)絡的攻擊和數(shù)據(jù)的安全����,更包括網(wǎng)絡設備的穩(wěn)定性安全��,網(wǎng)絡接入者的安全����,訪問者的權限安全��。
通過分析以上問題的存在����,廣西區(qū)質監(jiān)將影響網(wǎng)絡安全和信息安全的影響因素分為以下幾類:
首先是身份認證不當����,沒有嚴格的認證就無法有效的區(qū)分用戶,也就無法部署差異化授權和審計策略�,自然無法有效防御身份冒充���、權限擴散與濫用等���。其次是傳輸過程中的數(shù)據(jù)沒有進行有效的加密���,數(shù)據(jù)如果明文傳輸�,會對數(shù)據(jù)安全造成嚴重的影響��,面對組織內的電腦終端不斷增多��,部分電腦經常出現(xiàn)病毒之后就會對內網(wǎng)的其他電腦造成危害�����,同時�,終端電腦是否及時的進行了補丁的修復�,是否有組織的機密文件存在�����,在上班時間是否運行了不允許的進程等,都需要進行嚴格的管控����。
此外,對內部的不同部門的員工��,為了防止越權訪問,需要根據(jù)其分工的不同進行有效的權限劃分����,保證內網(wǎng)資源的安全并隨之而產生出現(xiàn)的安全問題時提供依據(jù)與手段����。
最后�,要滿足可被授權實體訪問并按需求使用的特性�����,即當需要時能否存取所需的信息。
多級網(wǎng)絡安全管理防御方案
面對多層級的安全威脅�,需要不同的管理手段來實現(xiàn)管控�。為此,在金質工程廣西項目的建設過程中�����,廣西區(qū)質監(jiān)提出針對不同的安全威脅需要不同級別的安全防護手段,建立多級網(wǎng)絡安全管理防御方案����。在業(yè)務專網(wǎng)中劃分生產區(qū)、決策區(qū)以及網(wǎng)管區(qū)邊界����,增加防火墻設備����,實現(xiàn)對內部不同安全區(qū)域之間的隔離�����,并在區(qū)域之間執(zhí)行訪問控制策略�����,防止內部主機對關鍵應用服務器�,以及關鍵網(wǎng)絡管理設備的攻擊。從身份認證到終端準入���,從線路的傳輸?shù)絻炔繖嘞薜膭澐趾头⻊掌鞯姆(wěn)定安全等部署嚴格和全面的安全保障措施����,從而實現(xiàn)具有保密性,完整性��,可用性����,可控性,可審查性的整體解決方案�。
通過對反復測試比較,最終廣西區(qū)質監(jiān)選定深信服的前沿網(wǎng)絡技術管理技術作為解決方案�����,通過建立多級的安全策略��,實現(xiàn)網(wǎng)絡安全互聯(lián)和傳輸安全���,最終實現(xiàn)內網(wǎng)的全面防護�����。
市局、區(qū)信息中心和各區(qū)縣之間通過IPSec VPN組建加密傳輸網(wǎng)絡����,通過VPN加密技術實現(xiàn)數(shù)據(jù)傳輸?shù)陌踩�����。由于所有區(qū)縣局網(wǎng)絡出口處都在區(qū)信息中心,因此在區(qū)信息中心利用上網(wǎng)行為管理���,做嚴格的身份認證���、終端準入和行為監(jiān)控����,從而實現(xiàn)整個網(wǎng)絡的行為管理��。同時����,利用上網(wǎng)行為管理獨有的流量管理和帶寬保障技術,為關鍵的應用提供帶寬保障�,促使視頻會議和ERP等系統(tǒng)的流暢使用�。
由于上網(wǎng)行為管理具有防火墻�����、上網(wǎng)行為審計��、VPN等多重的功能���,因此不僅解決了VPN互聯(lián)的問題�,為視頻會議系統(tǒng)和ERP系統(tǒng)的數(shù)據(jù)傳輸建立了通道��,而且可應用于網(wǎng)絡監(jiān)控和審計��。AC自帶的防火墻功能可以有效的保障內網(wǎng)的安全,相比于之前服務器直接連接公網(wǎng)的情況在安全性上有了很大的提高。
金質安全
廣西區(qū)質監(jiān)通過VPN組建加密網(wǎng)絡���,并利用AC實現(xiàn)網(wǎng)絡的行為管理�����。但考慮到網(wǎng)絡的整體安全�����,廣西區(qū)質監(jiān)還采用了一些安全加固措施�。在業(yè)務專網(wǎng)的核心交換機上部署入侵檢測系統(tǒng)����,與防火墻聯(lián)動�,阻斷攻擊來源;在區(qū)局���、市局平臺的業(yè)務專網(wǎng)內分別部署漏洞掃描系統(tǒng),彌補漏洞����,消除系統(tǒng)存在的安全隱患�����,提升業(yè)務專網(wǎng)整體的抗攻擊能力;部署終端安全管理系統(tǒng)�����,保障終端接入的安全;提供服務器核心防護系統(tǒng)提升服務器的抗攻擊能力����,更好地保障上層應用;在業(yè)務專網(wǎng)內部署日志審計系統(tǒng)��,將原來分散在各個服務器�、網(wǎng)絡設備以及安全設備的日志進行集中記錄�,并提供給系統(tǒng)管理人員進行查詢和檢索�,在系統(tǒng)發(fā)現(xiàn)安全問題后可以對訪問過程進行還原;包括終端和服務器防病毒���、統(tǒng)一網(wǎng)絡管理平臺等均在廣西金質工程中提供著金質安全����。
網(wǎng)絡威脅無時不在����,但是威脅在足夠堅固的安全防線下會潰退�����。通過結合多種前沿網(wǎng)絡技術���,廣西金質工程建成了包括防火墻���,入侵檢測,風險評估�,加密認證,審計��,VPN�,訪問控制等安全防護體系�����,實現(xiàn)了從身份認證��、終端檢測到數(shù)據(jù)傳輸加密�,從訪問開始�����、訪問傳輸一直到訪問結束�,形成了一個全套的安全防護體系��,建成了多級安全網(wǎng)絡管理手段,使得廣西區(qū)質監(jiān)的“金質工程”得到了全面的安全防護����,并獲得了同行的認可和學習����。
