随着我国信息化建设的逐步发展,电子政务渐渐成为国家信息化的一个重要组成部分。它不仅有效地提高了政府部门的工作效率,也为市民的生活提供了便利。然而, 政务系统的网络化在方便了人们的工作、生活之外,却也面临着许多隐藏问题,邮件炸弹、恶意代码等诸多网络问题不时侵犯着系统安全,对系统安全造成威胁。为 此,方正安全依据不同行业的安全需求,设计出个性化的总体安全解决方案,为网络安全保驾护航。以下是方正安全总体解决方案在江西地税系统广域网络的应用。
江西地税系统广域网络是江西省金税工程的基础设施,由江西省地税总局至地市级国家税务局、地市级国家税务局至所属县区级国家税务局的三级树状广域网络构成。网络拓扑结构示意图如图1.1所示:
图1.1
该网络承担着全省40万纳税户的管理工作,每年通过该网络的税收达到133亿元。这套系统的特点是:信息网络地域广,信息系统服务对象复杂;数据集中,安全性要求高;应用系统的种类较多;网上安全设备数量大、种类多,管理难度大。
尤其在它的邮件子系统端口,经常面临着邮件病毒、邮件炸弹、恶意代码、拒绝服务、垃圾邮件、邮件服务软件本身的漏洞等问题的侵扰,为此,方正安全设计了一整套针对性的总体解决方案。
总体方案设计思路
考虑到江西地税系统的整体状况,方正安全认为方案规划应依据税务系统信息安全体系建设的总体目标,即以金税工程(三期)的安全需求为总目标,同 时保证金税工程(二期)网络及应用系统安全的需求,采用现代信息安全理论和先进的信息安全技术,建设一个统一、安全、稳定、高效的信息安全体系。该体系应 是一个涵盖税务系统物理环境安全、网络安全防护、系统安全防护、应用安全、运行安全、安全组织保障、安全管理,以及人员管理等信息系统安全各个层面的信息 安全保障体系。同时应当有所侧重,突出数据安全与安全管理。
为此方正安全设计的安全体系由一个决策领导层、四个安全系统、三个安全平台构成,其中四个安全系统包括网络防护系统,安全应用系统,安全基础设 施,安全管理系统。三个安全平台包括安全管理平台,应用支撑平台与安全支撑平台。各安全系统和安全平台协同工作,共同保护着税务信息系统的安全。
总体方案设计原则
在总体设计思路以及具体的邮件子系统的需求指引下,方正安全的总体方案设计遵循了以下原则:
综合性、整体性原则。计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则。对一个网络进行实际研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则。一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
易操作性原则。安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。另外,措施的采用不能影响系统的正常运行。
可扩展性与分步实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大,网络脆弱性也会增加,而且实施信息安全措施也需要相当的费用。因此通过分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则。建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息安全。
总体方案的作用
保障数据的传输、存贮安全,确保服务的高可用性。
建立各级服务器的安全保护措施,保证他们的系统安全。
对网络内的访问请求进行控制,使非法访问在到达主机前被拒绝。
强化用户的身份认证,同时将用户的访问权限控制在最低限度。
重点监视交换机、路由器等网络设备的工作状态,保障网络通讯正常,从全局入手把握网络的拓扑结构。
全面监视对重要服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,做到有据可查。
建立完整的防病毒体系。
以安全服务的方式满足系统的可扩展性要求。
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。
总体方案的布署与实施
根据不同的用户数,江西地税在省局和每个地市局邮件服务器前各配备1台中端或高端的方正熊猫反垃圾邮件网关,共置12台。
江西省地税局具体实施部署如下:
地市局具体实施节点部署如下:
总体方案的具体解析
方正熊猫硬件安全网关集成了最强大的反垃圾邮件保护,这种针对垃圾邮件的预防性保护部署在网络边界处,可以直接阻止垃圾邮件进入集团网络。
在清除垃圾邮件时,最大的问题是对垃圾邮件的识别。熊猫硬件安全网关将所有接收的邮件区分为“垃圾邮件”、“可能的垃圾邮件”和“非垃圾邮 件”。在判断垃圾邮件时采用了多种技术(规则、启发式、贝耶斯算法、表格、机器学习等),总计超过30万条演算规则从最大程度上降低了误报。
同时,每封邮件都由多种反垃圾邮件技术进行深入优化的彻底扫描,实现了对邮件的最大保护和最小误报。此外,随着新垃圾邮件的不断出现,垃圾邮件特征库也在持续增加,熊猫硬件安全网关每90分钟自动检测更新,可以做到随时准确监测。
方正熊猫硬件安全网关的功能
熊猫硬件安全网关8000系列的反垃圾邮件模块,集成了四种扫描引擎自动扫描邮件。不同的引擎涵盖的命令不同。所有的邮件都要经过这四层引擎, 从而增强了扫描的可靠性。扫描后邮件将被分为“垃圾邮件”、“可能的垃圾邮件”或者“非垃圾邮件”。系统管理员可以定义扫描的灵敏度,从高、中、低三项选 择其一,这样便可以适应不同公司的实际需求。高灵敏度的扫描会检测出大量垃圾邮件,但是误报会相应增多。低灵敏度的扫描则相反;很少出现垃圾邮件,但不会 出现任何误报。
除了安全网关自动执行的扫描,管理员还可以手动添加可信邮件发送者的白名单,他们发送的邮件不会被判断为垃圾邮件;也可以定义不可信邮件发送者的黑名单,他们发送的邮件将直接被判断为垃圾邮件。
全新的熊猫硬件安全网关是整合了硬件和软件资源、高性能、一体化、专业的网关防护设备,其设计理念就是易于使用。它保护用户免受垃圾邮件之苦,在其他安全系统发现之前,就可以检测并阻止其进入网络传播。
由于它是一体化的解决方案,其硬件和软件都是设计用来提供最优保护的,这个边界防护设备在网络出口处保护网络,释放了其他遭受威胁的计算机的工作负担。它还可以提供网关防护,能够放置在任何网络而不影响网络性能或生产效率,也不会降低其他设备如防火墙等的性能。
依据不同公司的需求,熊猫硬件安全网关可以提供三个型号不同程度的保护,最高可保护40000工作站,调整扫描能力可以保护所有网络通讯。
方正熊猫硬件安全网关的特点
管理简单,‘即插即忘’
与任何企业网络集成简单,不需要重新配置网络通讯。熊猫卫士安全网关向管理员发送预警信息。通过交互式的WEB控制台,实现远程安全管理。
高性能的病毒防护
熊猫卫士安全网关能够提供高性能的病毒防护,配备特制的硬件及特别优化的系统,同时又集成了熊猫高性能的扫描引擎,这使得熊猫卫士安全网关每小时可以处理几万封邮件。
高可扩展性和负载均衡
熊猫卫士安全网关具有的负载均衡功能使得其能够适用于拥有较高网络带宽的大中型企业。负载均衡能够使多个熊猫卫士安全网关协同工作,共同为企业网络边界提供防护,以满足较大网络数据流量的情况。
保护所有常用的通讯协议
熊猫卫士安全网关可以扫描通过所有常用的通讯协议传输的数据:HTTP、FTP、SMTP、POP3、IMAP和NNTP。通过对以上协议的保护,熊猫卫士安全网关可以阻断现有恶意软件传播的所有可能途径,以对客户端和服务器提供专业和有效的防护。
反垃圾邮件
熊猫卫士安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。信息被扫描并且被划分成垃圾或非垃圾,及时阻断垃圾邮件进入系统。此外,反垃圾邮件模块还具有实时更新功能。
网页过滤
网页过滤模块允许网络管理员控制企业网络资源的使用,并且阻止非法,色情或暴力网页内容进入公司。
内容过滤
熊猫卫士安全网关的内容过滤功能,可以抵制未知的病毒和蠕虫进入公司内部网络。
每日自动更新
熊猫卫士安全网关被设计成全自动的每日智能更新,这使得它的病毒特征文件始终保持最新,以能够有效抵御最新的病毒,这也使它的更新维护量几乎为零。
详细报告和自定义警告
熊猫卫士安全网关提供网络通讯和防病毒保护活动的统计。同时还提供复杂的病毒,垃圾邮件和内容过滤的报告,以及自定义警告和通知。
服务完善
PAGD提供了每日病毒库更新、7x24小时热线技术支持、SOS24小时病毒响应等标准服务,解除用户的后顾之忧。
方正熊猫反垃圾邮件安全网关的技术细节
操作系统与窃听软件
安全网关里集成的软件基于GNU/Linux操作系统,可以提供最优化的性能。它在互联网和企业网络中间是透明网桥模式,这意味着网络通讯可以透明通过,仅有配置了需要扫描的协议被拦截。
自修复系统
在极端环境下,熊猫硬件安全网关可能会出现硬件损害,为了预防因此而导致的系统毁坏,熊猫硬件安全网关包括了控制分区或自修复系统。当安全网关 启动时,一个控制分区开始判断进入工作分区还是自修复系统。如果自修复系统发现工作分区发生错误,不论什么原因造成,就会启动下一块工作分区。
看门狗:容错系统
安全网关的主板集成了一个系统监视电路,即看门狗系统。它负责接收指示系统正常运行的信号,如果在一段时间内未收到信号,看门狗就会让主板重新 启动系统,避免网络长时间中断。除了硬件看门狗,安全网关还集成了看门狗软件。容错系统可以保证熊猫防病毒安全网关从服务、程序或是系统错误中自动恢复。
负载均衡
负载均衡将工作由多台安全网关共同承担,以提供更强的性能。无需额外增加软硬件,即可在多台安全网关上激活负载均衡功能。其中一台将成为主机,其余的都是从机。主机会根据负载均衡的算法将工作分配到其余从机。
垃圾邮件对公司生产的负面影响已经勿庸置疑,而仅仅依靠人工手动应对垃圾邮件,容易降低企业的工作效率。如果企业安装了安全网关这样拥有反垃圾邮件保护的设备,不仅可以有效预防垃圾邮件的侵扰,还能有效地提高工作效率。
安全管理建议
整体思路
由于江西地税系统广域网络应用系统的复杂性,以及管理人员的复杂性,因此制定一个合适的全网安全管理制度和安全策略是十分必要的。良好的管理平台将有助于增强系统的安全性,及时发现系统安全的漏洞,适时审查系统安全体系,建立完善的系统管理制度。
基本原则
集中管理,统一规划。安全产品能不能正确发挥它应有的作用,关键在于管理,统一规划,集中管理将有助于更好地保护网络安全。
严格规章,安全教育。健全的管理体制是维护网络正常安全运行的关键。需要明确制定安全管理人员在管理上的权利和义务,网络设备专人负责、维护,另外还需要对相关人员进行统一的网络安全教育,提高员工网络安全整体认识水平。
明确责任,技术培训。网络管理员是决定系统网络是否可以安全、有效运行的根本因素。因此需要不断提高网络管理人员的技术水平。
动态监控,专家咨询。安全系统的复杂性和安全产品的多样性导致很多时候企业并没有能力解决网络中出现的问题。这需要安全产品的生产厂商定期提供网络安全风险分析和针对新产品、新标准的培训,为预防突发性安全危机提供有利支持。
专业网络安全服务。网络安全是一门系统工程,它由产品、技术、服务等多个方面组成。现在单纯的网络安全产品已经不能满足日益增长的网络安全防护 需要。用户需要更多深层次的网络安全服务,从而全面提升企业整个系统的安全可靠性。这就需要大批从事网络安全研究的技术顾问,以更加专业、系统的角度,为 企业提供全面的网络安全解决方案。