“金質(zhì)工程”是國(guó)家電子政務(wù)建設(shè)的重要組成部分,是我國(guó)電子政務(wù)建設(shè)的12個(gè)重點(diǎn)應(yīng)用系統(tǒng)之一。通過電子政務(wù)系統(tǒng)的建設(shè),促進(jìn)各級(jí)質(zhì)檢機(jī)關(guān)向管理服務(wù)型轉(zhuǎn)變,提高質(zhì)量監(jiān)督檢驗(yàn)檢疫執(zhí)法的透明度,形成全國(guó)統(tǒng)一的質(zhì)檢大網(wǎng)絡(luò),促進(jìn)質(zhì)檢系統(tǒng)執(zhí)法電子化、信息化。
廣西金質(zhì)工程建設(shè)是國(guó)家“金質(zhì)工程”建設(shè)的重要組成部分,作為全國(guó)金質(zhì)工程建設(shè)應(yīng)用的第一個(gè)試點(diǎn)單位,國(guó)家質(zhì)檢總局予以了高度重視。
廣西金質(zhì)工程整體網(wǎng)絡(luò)建設(shè)以區(qū)局為核心,連接8個(gè)直屬技術(shù)機(jī)構(gòu)、14個(gè)市質(zhì)監(jiān)局和76個(gè)縣局,與國(guó)家質(zhì)檢主干網(wǎng)互聯(lián)互通,建成統(tǒng)一、融合多業(yè)務(wù)數(shù)據(jù)通信平臺(tái),全面地實(shí)現(xiàn)各個(gè)機(jī)構(gòu)間的互聯(lián)互通。目前,廣西金質(zhì)工程平臺(tái)上承載的IT應(yīng)用系統(tǒng)主要包括視頻系統(tǒng)、12365系統(tǒng)、辦公OA、績(jī)效考評(píng)、內(nèi)部郵件、行政審批內(nèi)網(wǎng)、行政審批外網(wǎng)、質(zhì)監(jiān)業(yè)務(wù)應(yīng)用內(nèi)網(wǎng)、FTP、門戶網(wǎng)站和國(guó)家金質(zhì)工程部署的所有業(yè)務(wù)應(yīng)用系統(tǒng),大部分的業(yè)務(wù)系統(tǒng)共享數(shù)據(jù)庫(kù)集中部署在區(qū)局的數(shù)據(jù)中心,以供各個(gè)分支機(jī)構(gòu)訪問。
金質(zhì)工程的信息安全要求高,網(wǎng)絡(luò)安全極為重要,因此必須保證質(zhì)檢數(shù)據(jù)安全,實(shí)現(xiàn)金質(zhì)工程網(wǎng)絡(luò)的高安全性、高可靠性、高可管理性。
金質(zhì)工程信息安全形勢(shì)嚴(yán)峻
金質(zhì)工程各業(yè)務(wù)系統(tǒng)全面部署和應(yīng)用后,網(wǎng)絡(luò)應(yīng)用在業(yè)務(wù)系統(tǒng)運(yùn)行中的重要性與日俱增,系統(tǒng)的安全和穩(wěn)定就更突顯其重要性,可是網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)卻也隨著網(wǎng)絡(luò)的發(fā)展不斷增加。其次,來自互聯(lián)網(wǎng)的惡意攻擊不斷的增多,對(duì)網(wǎng)絡(luò)信息的有效性和完整性造成破壞,主要表現(xiàn)為:偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源;修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行;在中間站點(diǎn)攔截和讀取絕密信息等。同時(shí)內(nèi)網(wǎng)的安全隱患也在不斷的增多,如ARP攻擊,DOS攻擊等。另外,多線程的下載應(yīng)用給部分用戶帶來了享受,而機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)帶寬資源卻受到了嚴(yán)重的影響,導(dǎo)致其他人員辦公效率低下。
新的安全問題還在不斷出現(xiàn)。現(xiàn)在的網(wǎng)絡(luò)安全已經(jīng)不僅限于對(duì)網(wǎng)絡(luò)的攻擊和數(shù)據(jù)的安全,更包括網(wǎng)絡(luò)設(shè)備的穩(wěn)定性安全,網(wǎng)絡(luò)接入者的安全,訪問者的權(quán)限安全。
通過分析以上存在的問題,我們將影響網(wǎng)絡(luò)安全和信息安全的因素分為以下幾類:
首先是身份認(rèn)證不當(dāng),沒有嚴(yán)格的認(rèn)證就無法有效的區(qū)分用戶,也就無法部署差異化授權(quán)和審計(jì)策略,自然無法有效防御身份冒充、權(quán)限擴(kuò)散與濫用等。其次是傳輸過程中的數(shù)據(jù)沒有進(jìn)行有效的加密,數(shù)據(jù)如果明文傳輸,會(huì)對(duì)數(shù)據(jù)安全造成嚴(yán)重的影響,面對(duì)組織內(nèi)的電腦終端不斷增多,部分電腦經(jīng)常出現(xiàn)病毒之后就會(huì)對(duì)內(nèi)網(wǎng)的其他電腦造成危害,同時(shí),終端電腦是否及時(shí)的進(jìn)行了補(bǔ)丁的修復(fù),是否有組織的機(jī)密文件存在,在上班時(shí)間是否運(yùn)行了不允許的進(jìn)程等,都需要進(jìn)行嚴(yán)格的管控。
此外,對(duì)內(nèi)部的不同部門的員工,為了防止越權(quán)訪問,需要根據(jù)其分工的不同進(jìn)行有效的權(quán)限劃分,保證內(nèi)網(wǎng)資源的安全并在產(chǎn)生安全問題時(shí)提供依據(jù)與手段。
最后,要滿足可被授權(quán)實(shí)體訪問并按需求使用的特性,即當(dāng)需要時(shí)能否存取所需的信息。
多級(jí)網(wǎng)絡(luò)安全管理防御方案
面對(duì)多層級(jí)的安全威脅,需要不同的管理手段來實(shí)現(xiàn)管控。為此,在金質(zhì)工程廣西項(xiàng)目的建設(shè)過程中,我們提出針對(duì)不同的安全威脅需要不同級(jí)別的安全防護(hù)手段,建立多級(jí)網(wǎng)絡(luò)安全管理防御方案。在業(yè)務(wù)專網(wǎng)中劃分生產(chǎn)區(qū)、決策區(qū)以及網(wǎng)管區(qū)邊界,增加防火墻設(shè)備,實(shí)現(xiàn)對(duì)內(nèi)部不同安全區(qū)域之間的隔離,并在區(qū)域之間執(zhí)行訪問控制策略,防止內(nèi)部主機(jī)對(duì)關(guān)鍵應(yīng)用服務(wù)器,以及關(guān)鍵網(wǎng)絡(luò)管理設(shè)備的攻擊。從身份認(rèn)證到終端準(zhǔn)入,從線路的傳輸?shù)絻?nèi)部權(quán)限的劃分和服務(wù)器的穩(wěn)定安全等部署嚴(yán)格和全面的安全保障措施,從而實(shí)現(xiàn)具有保密性,完整性,可用性,可控性,可審查性的整體解決方案。
通過對(duì)反復(fù)測(cè)試比較,最終我們選定深信服的前沿網(wǎng)絡(luò)技術(shù)管理技術(shù)作為解決方案,通過建立多級(jí)的安全策略,實(shí)現(xiàn)網(wǎng)絡(luò)安全互聯(lián)和傳輸安全,最終實(shí)現(xiàn)內(nèi)網(wǎng)的全面防護(hù)。
市局、區(qū)信息中心和各區(qū)縣之間通過IPSec VPN組建加密傳輸網(wǎng)絡(luò),通過VPN加密技術(shù)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩S捎谒袇^(qū)縣局網(wǎng)絡(luò)出口處都在區(qū)信息中心,因此在區(qū)信息中心利用上網(wǎng)行為管理,做嚴(yán)格的身份認(rèn)證、終端準(zhǔn)入和行為監(jiān)控,從而實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的行為管理。同時(shí),利用上網(wǎng)行為管理獨(dú)有的流量管理和帶寬保障技術(shù),為關(guān)鍵的應(yīng)用提供帶寬保障,促使視頻會(huì)議和ERP等系統(tǒng)的流暢使用。
由于上網(wǎng)行為管理具有防火墻、上網(wǎng)行為審計(jì)、VPN等多重的功能,因此不僅解決了VPN互聯(lián)的問題,為視頻會(huì)議系統(tǒng)和ERP系統(tǒng)的數(shù)據(jù)傳輸建立了通道,而且可應(yīng)用于網(wǎng)絡(luò)監(jiān)控和審計(jì)。上網(wǎng)行為管理自帶的防火墻功能可以有效的保障內(nèi)網(wǎng)的安全,相比于之前服務(wù)器直接連接公網(wǎng)的情況在安全性上有了很大的提高。
金質(zhì)安全
我們通過VPN組建加密網(wǎng)絡(luò),并利用上網(wǎng)行為管理實(shí)現(xiàn)網(wǎng)絡(luò)的行為管理。但考慮到網(wǎng)絡(luò)的整體安全,我們還采用了一些安全加固措施。在業(yè)務(wù)專網(wǎng)的核心交換機(jī)上部署入侵檢測(cè)系統(tǒng),與防火墻聯(lián)動(dòng),阻斷攻擊來源;在區(qū)局、市局平臺(tái)的業(yè)務(wù)專網(wǎng)內(nèi)分別部署漏洞掃描系統(tǒng),彌補(bǔ)漏洞,消除系統(tǒng)存在的安全隱患,提升業(yè)務(wù)專網(wǎng)整體的抗攻擊能力;部署終端安全管理系統(tǒng),保障終端接入的安全;提供服務(wù)器核心防護(hù)系統(tǒng),提升服務(wù)器的抗攻擊能力,更好地保障上層應(yīng)用;在業(yè)務(wù)專網(wǎng)內(nèi)部署日志審計(jì)系統(tǒng),將原來分散在各個(gè)服務(wù)器、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備的日志進(jìn)行集中記錄,并提供給系統(tǒng)管理人員進(jìn)行查詢和檢索,在系統(tǒng)發(fā)現(xiàn)安全問題后可以對(duì)訪問過程進(jìn)行還原;包括終端和服務(wù)器防病毒、統(tǒng)一網(wǎng)絡(luò)管理平臺(tái)等均在廣西金質(zhì)工程中提供著金質(zhì)安全。
網(wǎng)絡(luò)威脅無時(shí)不在,但是威脅在足夠堅(jiān)固的安全防線下會(huì)潰退。通過結(jié)合多種前沿網(wǎng)絡(luò)技術(shù),廣西金質(zhì)工程建成了包括防火墻,入侵檢測(cè),風(fēng)險(xiǎn)評(píng)估,加密認(rèn)證,審計(jì),VPN,訪問控制等安全防護(hù)體系,實(shí)現(xiàn)了從身份認(rèn)證、終端檢測(cè)到數(shù)據(jù)傳輸加密,從訪問開始、訪問傳輸一直到訪問結(jié)束,形成了一個(gè)全套的安全防護(hù)體系,建成了多級(jí)安全網(wǎng)絡(luò)管理手段,使得廣西區(qū)質(zhì)監(jiān)的“金質(zhì)工程”得到了全面的安全防護(hù),并獲得了同行的認(rèn)可和學(xué)習(xí)。
