作為對安全要求較高的政府部門，江蘇省糧食局一直在信息安全建設上不遺余力。在完成了江蘇省儲備糧信息系統建設后，又規劃并逐步實施從VPN到全網安全的IT建設。
大規模VPN部署
常言道：民以食為天。糧食是國家的命脈，對中國這樣一個擁有13億人口的大國來說，糧食生產、儲存及供銷的好壞乃是安邦定國的頭等大事。在這方面，江蘇省糧食局專門建設了省級儲備糧管理信息系統，為的就是做到糧食信息的準確管理。
不過，對江蘇省糧食局來說，信息化必須滿足兩大難題：第一，糧食局下轄糧庫分散在全省各地，信息的收集相對繁瑣；第二，糧食局對信息安全非常重視，需要完善的IT安全機制。
日前江蘇省糧食局IT負責人王志明接受了本報的獨家專訪，他表示江蘇省糧食局下轄45個地方糧庫和13個地市分局，58個點之間需要建立安全可靠的網絡系統，以便保證保證省級儲備糧管理信息系統軟件的安全可靠運行。
“利用VPN連接58個分支機構無疑是一種安全、經濟的做法，我希望能夠把下屬的網點進行統一連接”王志明如是說。
在具體項目實施中，王志明曾經進行了VPN設備的招標，華為、神州數碼網絡都拿出了各自的方案。“從功能上講，兩家公司的產品區別不大，至少對于我們這個級別的用戶都是足夠的，不過我更加看好廠商提供一攬子服務的能力”王志明的意思是，廠商除了要提供安全產品，最好還可以支持從基礎網絡到后期服務的打包，而這也是他最終導向神州數碼網絡的原因。
據悉，為保證江蘇儲備糧庫信息網絡系統的安全，神州數碼網絡根據其網絡“分散的高安全業務”的具體特點，建立了一個防護----檢測----響應體系，具體涵蓋了從VPN到IPS再到后期全網安全。
本著既節約財政開支成本又符合保密基本要求并保證使用效率的原則，王志明決定全省45個庫點采用10M SDH建立VPN虛擬專網，作為省級儲備糧管理信息系統外網；省儲糧管理信息系統中心軟件在省糧食局內網運行，通過政府內網保證與各市糧食局及財政經建處等有關部門進行聯網；省糧食集團公司、糧油交易市場、軍糧辦三家單位因不在政府專網內，可通過SDH實現與省儲糧信息管理系統內網的連接，系統內外網數據交換通過人工用移動硬盤或U盤及時拷貝，從而實現內外網物理隔離，達到保密要求。
而神州數碼網絡則提供了DCFW-1800系列狀態檢測包過濾防火墻，并以此來實現對數據流的訪問控制、數據傳輸的機密性和完整性保護、用戶的訪問控制以及不同網絡安全域的隔離。
由于全部采用IPSec VPN，王志明坦言其中涉及到了大量繁雜的部署工作。不過他也承認，目前IPSec VPN非常適合糧食局的業務需要，特別是在單項信息傳輸方面，因此它不會考慮SSL VPN方案。另外他還透露說，由于旗下糧庫技術水平有限，他只需要進行一次遠端防火墻現場配置就可以完成任務，而不用擔心配置上出其他問題。
長遠的安全規劃
王志明認為，省級儲備糧信息屬機密信息，所以其信息安全問題，如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等，都將對政府的信息安全構成威脅。而IT部門對此必須進行長遠規劃。
事實上，每當記者聽到“長遠規劃”一說，內心總有一種莫名的傷感，因為很多企業的長遠規劃都是不得已而為之：受限于資金或者其他因素，把一些想做但目前做不到的內容，進行后期規劃。
王志明曾向記者解釋，對于政府部門，不可能像企業一樣，走安全的市場化道路，由于政府的特殊性，必須進行一個安全上的一攬子計劃。而他自己，也已經從糧食局需要的地方開展了至少兩期規劃。
其中，對于10M SDH的利用上，王志明提出了建立分支機構安全監控系統的要求，全部采用視頻方式。而在已經部署的VoIP上面，他會進一步擴充更多的點，同時開展VoIP安全方面的建設。
此外他也表示，目前糧食局內網、內外網分離，不過今后會連接在一起。為此，他需要對今后的全網安全進行專門的規劃，這里面包括了：
第一，對于反病毒的部署。目前王志明已經在糧食局部署了瑞星的桌面反病毒產品，并且配置了專用服務器進行病毒庫升級分發。今后在費用允許的情況下，他會進一步完善反病毒系統，包括引進專門的網關設備，同時購買廠商的安全服務。
第二，考慮部署全網安全系統。他承認早就有在一期方案中部署全網安全的計劃，不過由于資金所限不得不放棄。他比較看好全網安全方案中的準入控制方式，特別是內網員工認證、安全控制與隔離、多元素綁定等，都是他非常感興趣的內容。
第三，對于敏感信息的保護。這方面江蘇省委相關部門已經對糧食局的IT建設提出了建議，建議增加內容過濾、郵件信息審計和網絡安全日志等系統。王志明對此非常認同，他已經開始研究基于內容過濾設備或者UTM的方案，特別是對于郵件信息的敏感字段控制以及延遲審計能力，他非常關心。
第四，部署IPS系統。由于糧食信息的敏感性，王志明已經在一期項目中試用了一臺神州數碼網絡的100M IPS，并將其部署在數據庫前面。他承認目前IPS還處于應用測試狀態，對于一般的安全威脅可以進行阻止，但是還沒有進行過壓力測試。
王志明最后表示：“目前300萬的VPN項目已經價值不菲，如果算上后期項目，估計至少增加100萬。對于政府安全來說，關鍵是要看需要的安全級別，如果能達到出色的效果，這些錢還是應該花的。”
經驗分享
投資
300萬的VPN項目，至少100萬的后期預算
收益
連接58個分支機構的IPSec VPN
確保政府部門的高安全級別
后期項目
更加完善的反病毒系統
全網安全系統
內容過濾系統
IPS系統