深信服助广西质监局打造金质安全工程

　　“金质工程”是国家电子政务建设的重要组成部分，是我国电子政务建设的12个重点应用系统之一。通过电子政务系统的建设，促进各级质检机关向管理服务型转变，提高质量监督检验检疫执法的透明度，形成全国统一的质检大网络，促进质检系统执法电子化、信息化。
 

　　广西金质工程建设是国家“金质工程”建设的重要组成部分，作为全国金质工程建设应用的第一个试点单位，国家质检总局予以了高度重视。
 

　　广西金质工程整体网络建设以区局为核心，连接8个直属技术机构、14个市质监局和76个县局，与国家质检主干网互联互通，建成统一、融合多业务数据通信平台，全面地实现各个机构间的互联互通。目前，广西金质工程平台上承载的IT应用系统主要包括视频系统、12365系统、办公OA、绩效考评、内部邮件、行政审批内网、行政审批外网、质监业务应用内网、FTP、门户网站和国家金质工程部署的所有业务应用系统，大部分的业务系统共享数据库集中部署在区局的数据中心，以供各个分支机构访问。
 

　　金质工程的信息安全要求高，网络安全极为重要，因此必须保证质检数据安全，实现金质工程网络的高安全性、高可靠性、高可管理性。
 

　　金质工程信息安全形势严峻
 

　　金质工程各业务系统全面部署和应用后，网络应用在业务系统运行中的重要性与日俱增，系统的安全和稳定就更突显其重要性，可是网络系统面临的风险却也随着网络的发展不断增加。其次，来自互联网的恶意攻击不断的增多，对网络信息的有效性和完整性造成破坏，主要表现为：伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。同时内网的安全隐患也在不断的增多，如ARP攻击，DOS攻击等。另外，多线程的下载应用给部分用户带来了享受，而机构内部的网络带宽资源却受到了严重的影响，导致其他人员办公效率低下。
 

　　新的安全问题还在不断出现。现在的网络安全已经不仅限于对网络的攻击和数据的安全，更包括网络设备的稳定性安全，网络接入者的安全，访问者的权限安全。
 

　　通过分析以上存在的问题，我们将影响网络安全和信息安全的因素分为以下几类：
 

　　首先是身份认证不当，没有严格的认证就无法有效的区分用户，也就无法部署差异化授权和审计策略，自然无法有效防御身份冒充、权限扩散与滥用等。其次是传输过程中的数据没有进行有效的加密，数据如果明文传输，会对数据安全造成严重的影响，面对组织内的电脑终端不断增多，部分电脑经常出现病毒之后就会对内网的其他电脑造成危害，同时，终端电脑是否及时的进行了补丁的修复，是否有组织的机密文件存在，在上班时间是否运行了不允许的进程等，都需要进行严格的管控。
 

　　此外，对内部的不同部门的员工，为了防止越权访问，需要根据其分工的不同进行有效的权限划分，保证内网资源的安全并在产生安全问题时提供依据与手段。
 

　　最后，要满足可被授权实体访问并按需求使用的特性，即当需要时能否存取所需的信息。
 

　　多级网络安全管理防御方案
 

　　面对多层级的安全威胁，需要不同的管理手段来实现管控。为此，在金质工程广西项目的建设过程中，我们提出针对不同的安全威胁需要不同级别的安全防护手段，建立多级网络安全管理防御方案。在业务专网中划分生产区、决策区以及网管区边界，增加防火墙设备，实现对内部不同安全区域之间的隔离，并在区域之间执行访问控制策略，防止内部主机对关键应用服务器，以及关键网络管理设备的攻击。从身份认证到终端准入，从线路的传输到内部权限的划分和服务器的稳定安全等部署严格和全面的安全保障措施，从而实现具有保密性，完整性，可用性，可控性，可审查性的整体解决方案。