<source id="fq8k8"></source>

<i id="fq8k8"></i>
  • <video id="fq8k8"></video>

    <video id="fq8k8"></video><video id="fq8k8"></video>
    <wbr id="fq8k8"><sub id="fq8k8"><pre id="fq8k8"></pre></sub></wbr>
  • 政府行業政務外網敏感信息安全保護解決方案

    1 引言

    國家電子政務外網(簡稱政務外網)是按照中辦發〔2002〕17號文件和〔2006〕18號文件要求建設的我國電子政務重要公共基礎設施,是服務于各級黨委、人大、政府、政協、法院和檢察院等政務部門,滿足其經濟調節、市場監管、社會管理和公共服務等方面需要的政務公用網絡。政務外網支持跨地區、跨部門的業務應用、信息共享和業務協同,以及不需在政務內網上運行的業務。政務外網由中央政務外網和地方政務外網組成,與互聯網邏輯隔離。

    政務外網致力于打造政務信息高速公路,為跨部門、跨地區的網絡互聯互通、信息共享和業務協同提供網絡支撐服務,滿足各級政務部門部署面向社會管理和公共服務的各類業務應用的需要,滿足各級政務部門開展跨部門、跨地區的業務應用的需要,滿足各級政務部門聯動解決重大社會問題和突發事件的需要,助力于服務型政府建設,充分發揮國家政務公用網絡行政基礎設施的作用和效能。

    2 背景及挑戰

    隨著國家信息中心的大力推進,各省(市)電子政務統一應用大平臺的建設步伐加快,逐步實現了黨政機關網上協同辦公和公文傳輸。電子政務資源信息中心集中多個委辦局重要信息的資產,實現政府部門的橫向互聯,各級省市縣的縱向接入,電子政務網實現了橫向網絡互訪、互聯網接入、公共資源共享的需求;同時也面臨著內部敏感信息資源安全,關鍵業務系統安全訪問,互聯網接入安全,接入終端網絡系統故障難以運維等風險問題。

    3 解決方案

    通過遠為電子政務外網敏感信息安全保護解決方案,利用遠為國產自主產權的終端虛擬化及網絡虛擬化技術,配合安全網關控制技術,實現了電子政務外網與互聯網從終端、鏈路、應用系統三位一體全區域的安全隔離,實現了互聯網安全接入,實現了電子政務外網接入終端系統、網絡故障集中快速運維等功能。如下圖:

    方案描述:

    3.1 安全辦公網絡環境構建

    在電子政務外網安全管理區部署VirNOS Server(管理服務器),在VirNOS Server上為每臺終端創建用戶并分配策略,在接入電子政務外網的各局委辦辦公電腦終端上安裝VirNOS VM軟件,將現有的一臺物理PC機虛擬化為兩臺虛擬機,一臺是業務安全虛擬機,一臺是上網安全虛擬機。

    業務安全虛擬機僅可訪問各局委辦自身業務系統及電子政務外網核心共享業務系統,不能訪問互聯網,并且外設端口禁用。上網安全虛擬機不能訪問自身及共享業務系統,但可以訪問互聯網,外設端口開放。這樣業務安全虛擬機和上網安全虛擬機之間從運行環境、存儲空間、可訪問資源、外設端口完全獨立,避免多個應用系統的訪問通過PC機變成交叉訪問環境。

    在核心業務系統的前端部署VirNOS Gateway(安全接入網關),對所有接入用戶進行身份識別,攔截非法用戶的訪問。通過網關虛擬技術和虛擬PC機相結合,可以為每一個應用業務維護獨立的訪問關系。

    之后電子政務外網內核心應用系統與互聯網訪問業務將徹底隔離,在內部構建的安全隔離環境其效果等同于物理隔離(此項技術已得到國家安全機構的認可)。

    3.2 互聯網安全接入保障

    部署在各辦公終端上的VirNOS VM軟件,將軟件自身ID與計算機硬件資源、操作系統UUID等信息有效組合,生成唯一識別碼,具有很強的防盜和防偽裝功能,保證互聯網接入終端的身份認定,具有合法身份的用戶才可以與互聯網聯通。

    部署在各辦公終端上的VirNOS VM軟件,可以將用戶訪問互聯網和訪問電子政務網進行隔離。訪問互聯網時無法訪問電子政務網,反之,訪問電子政務網時無法訪問互聯網。避免用戶在訪問互聯網時中毒,而影響電子政務網感染病毒,甚至泄露敏感信息。

    可以在電子政務外網的接入口部署VirNOS Gateway(安全接入網關),它檢測接入的計算機是否有訪問互聯網的合法身份,與客戶端形成一個立體式的防御體系。

    3.3 終端計算機的集中控制和運維體系的構建

    在負責終端PC運維的專業人員電腦終端部署VirNOS QWinControl(終端集中管理系統)軟件,部署成功后可使所有已安裝VirNOS VM軟件的終端都具有系統快速還原、數據無損恢復、軟件更新、補丁更新、網絡故障檢測、遠程維護等功能,避免因系統崩潰、數據丟失、網絡故障等問題造成終端辦公業務及互聯網訪問中斷問題,保障終端持續安全運行。

    4 方案特點
    4.1 不改變現有網絡拓撲,施工簡單

    遠為電子政務外網敏感信息安全保護解決方案,不需要改變現有網絡拓撲、不增加任何網絡設備的情況,沒有基礎設施的施工,實施非常簡單。同時,VirNOS安全網關可以和市面上絕大部分網關類產品適配,不需要增加網關硬件產品,不增加網絡節點,只需對相關鏈路上的網關進行軟件升級。網關的部署可以分級分布式部署,以控制不同局委辦的接入點。

    4.2 用戶感知好,體驗好

    對于終端用戶來說,客戶端虛擬機系統對他們沒有任何影響,他們甚至看不到客戶端在哪里。

    首先客戶端虛擬機系統的安裝過程非常簡單,用戶感知和常用的應用軟件的安裝沒有區別,安裝完畢后,也不需要再在虛擬機里安裝操作系統,比別的虛擬機使用起來都方便。

    其次,客戶端虛擬機不影響機器效率,只占很少的空間。在用戶啟動電腦工作時,虛擬機和平常的計算機一模一樣,沒有任何差異性的感覺。所有的應用系統還在原來的地方,使用習慣不用任何改變。

    最后,客戶端虛擬機的系統保護和數據恢復功能會讓用戶越來越喜歡,用戶不再需要擔心計算機中毒、系統崩潰和數據丟失了,也不用擔心由于電腦問題而會中斷和影響工作了,客戶端虛擬機系統保證只要電腦硬件沒有故障,會在1—2分鐘內恢復電腦的健康。

    4.3 終端身份識別嚴謹、控制靈活

    安全虛擬機的身份來源于計算機底層的硬件信息,包括CPU碼、硬盤碼等信息,所以用戶ID不會被偽造。并可以隨時改變某個用戶能夠接入互聯網的權限。

    4.4 一機兩用、與互聯網隔離的先進性創新手段

    很多局委辦一些需要上互聯網的機器,同時也需要在電子政務內網辦公,兩種應用需要隔離,安全虛擬機為用戶提供了一種一機多用、并且相互隔離的解決方案,為局委辦更多的用戶安全的接入互聯網提供了方便。

    4.5 強大接入終端維護功能

    電子政務外網就像一個高速公路,在道路建設的同時,必須要建設高速公路的服務站,否則整條高速公路無法運行。

    接入終端的維護和安全管理,將成為電子政務外網服務站中非常有特色、非常有用的一項服務。

    遠為終端虛擬機系統具有很強大的遠程維護功能,且具有特殊的計算機操作系統秒級備份與還原功能,其性能強大。

    1)無冗余系統備份。遠為自主研發的“計算機動態時間點創建技術”相當于給(虛擬)計算機建立了一個時間軸,用戶可隨時增加還原點。系統不需要真正的備份,因此,不會有大量的存儲空間冗余。

    2)多還原點。不像市面上的還原軟件或者還原卡,只能支持一個還原點。本功能可以支持多達上百個還原點。

    3)全盤還原。目前市面上所有的還原軟件只能還原系統盤。本功能不僅能還原系統盤,還能對全盤進行還原。因此,駐留在非系統盤的病毒也將被清理掉。

    4)無損恢復。目前市面上的所有還原軟件一旦還原系統,都將丟失數據。本功能還原系統后不會丟失數據,可以利用本系統提供的數據恢復功能將數據尋找回來。

    4.6 電信級的鏈路故障自動檢測與排查功能

    遠為10000號寬帶管家是專門為中國電信開發研制的寬帶用戶故障自助檢測與排查系統,已經成功運行在江蘇省電信、四川省電信、云南省電信、貴州省電信等單位,服務用戶量以及達到2000萬用戶,是一款電信級的成熟產品。

    本方案可融入10000號寬帶管家的功能,為通過電子政務外網接入互聯網的各局委辦用戶服務,能夠幫助用戶在1分鐘內定位不能訪問業務系統、鏈接互聯網的原因,并自動處理70%以上的因電腦問題導致的鏈路故障。

    4.7 完善的安全管理擴展功能

    遠為電子政務外網敏感信息安全保護解決方案,不僅僅能夠起到終端隔離、網絡隔離的功能,它還是一個龐大的網絡安全管理平臺。如具有終端網絡訪問控制、外設訪問控制、IP地址捆綁、服務器入侵檢測等等。這些控制都是基于計算機底層技術的,可以控制到每個虛擬機。

    這種全新的信息安全技術,各級信息中心可以向各局委辦推薦和提供,以便各局委辦可以更加安全的使用城域網。

    5 成功案例解析
    5.1 人力資源與社會保障部I
    5.1.1 項目名稱

    人力資源與社會保障部業務網絡改造項目

    5.1.2 用戶需求

    目前,人力資源和社會保障部的業務主要是建立了業務專網、綜合業務網兩套物理網絡,涉密網絡不在此方案討論之內。

    業務專網是整個人力資源和社會保障業務系統的網絡支撐,是社保、人力資源、視頻會議等核心業務應用系統的運行平臺。業務轉往覆蓋全國各省,與地方人力資源和社會保障業務系統對接,終端用戶數量少,主要是支撐各種業務的服務器,保證各項業務數據的及時、安全、高效的傳遞給中央,為中央決策提供數據依托。

    綜合業務外網是整個人力資源和勞動保障業務的對外門戶。目前包括對外服務和對內服務兩部分,對外服務的內容有包括:信息發布、公共服務、政策宣傳、公務員招考等;對內服務主要包括:內部郵件、OA、FTP、DNS等應用。終端方面,實現了全員覆蓋,主干通訊線路是由光線構成,其特點是接入用戶眾多,業務量大對系統的實時性要求高。

    目前,綜合業務外網的客戶端不能訪問業務專網。由于業務流程上的要求,業務專網與綜合業務外網的服務器需要進行交互和數據交換,因此業務專網與綜合業務外網采用隔離網閘的方式進行了網絡隔離。

    隨著業務工作發展的需要,當前在綜合業務外網的部分客戶端需要訪問業務專網的應用。這就要求在保持現有使用方式的基礎上,要對這些客戶端提供訪問業務專網的應用的服務,并且在能夠訪問業務專網的時候,不能夠與互聯網相連接,不能訪問互聯網絡。

    而在現有網絡拓撲不變的情況下無法安全方便的實現這一要求。

    另外,由于訪問業務專網需要統一部署一些軟件和相關升級包,因此,對訪問業務專網的這些客戶端要求能夠方便地、統一地發放和安裝應用軟件。

    5.1.3 應用方案

    首先,在綜合業務外網的“核心交換區”部署VirNOS_Server(維納斯服務器)保證服務器和每一個需要接入業務專網的客戶終端在物理上連通,同時,在維納斯服務器為每臺終端創建VirNOS用戶賬戶,并且根據不同的資源訪問權限構造不同的虛擬網絡(虛擬綜合業務網和虛擬業務專網)。

    其次,在所有需要接入業務專網訪問專網資源的客戶機上部署VirNOS Client(維納斯客戶端)。根據應用需要我們將客戶機一分為二,虛擬成了兩臺虛擬機,綜合網虛擬機、專網虛擬機。其中綜合業務虛擬機除不能訪問業務專網資源外其他網絡資源都可訪問(包括互聯網),同時外部設備不受管制;而專網虛擬機只能訪問業務專網內的資源,并且其外設是禁止使用的(如,USB接口、光驅、軟驅、并口、串口、藍牙、1394、SD卡接口、PCMCIA接口、紅外等)。

    由于綜合網虛擬機和專網虛擬機是完全隔離的,同時綜合網虛擬機從屬虛擬綜合業務網,專網虛擬機從屬于虛擬業務專網,因此就可以實現在同一條物理鏈路上,將兩種安全級別不同的應用按照網絡邊界完全隔離,根據安全級別的需要實現了網絡隔離。

    真正做到專人專機,專機專網,專網專用,相互隔離互不影響。

    在業務專網的出口處(如上圖)安裝VirNOS _Brg(維納斯安全網橋),使得沒有安裝維納斯客戶端的非法用戶計算機無法接入,并且過濾掉非授權的用戶(安裝了維納斯但是沒有訪問權限的用戶)。

    同時,為了保證通訊的安全性,涉密虛擬機在與服務器或者涉密終端通訊時都需要連接VPN。

    網絡管理主要是通過統一的管理策略對網絡中的終端計算機進行統一管理,其實質是對網絡邊界的管理。那么從這個意義上講,無論是業務專網或是綜合業務外網,他們都有自己清晰明確的應用邊界。通過VirNOS的終端管理功能,管理員憑借統一的VirNOS管理后臺強大的管理功能可將管理的觸角伸向終端某個計算機的某個接口,可以進行實時的網絡強制管理。從而將實現了實時的強制網絡邊界管理,保證了數據信息的安全。

    5.1.4 產品選型

    遠為多網安全隔離系統策略服務器(VirNOSPolicyServer)1臺

    遠為多網安全隔離系統安全隔離網關(VirNOSGateWay)1臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)200套

    5.1.5 項目拓撲
    5.2 人力資源與社會保障部II
    5.2.1 項目名稱

    人力資源與社會保障部涉密網業務系統安防項目

    5.2.2 用戶需求

    人力資源和社會保障部涉密網屬于機密級,涉密網分為應用區、網絡服務器區、隔離區三個區域。應用區中又分為檔案區、文印區、秘書處等不同密級的區域。目前需要對應用區中的重要部門重點區域(例如:文印室)進行保護,實現數據可控,由于這些重要部門重點區域是跨網段的交叉訪問,傳統的以網絡拓撲結構來劃分安全域的方法,不能滿足上述需求。

    5.2.3 應用方案

    在涉密終端上虛擬成2臺虛擬機(秘密級虛擬機、機密級虛擬機),每個虛擬機只能訪問本密級的應用系統。保證各個涉密終端上各個密級的數據獨立運行相互隔離。

    5.2.4 產品選型

    遠為多網安全隔離系統策略服務器(VirNOS PolicyServer)1臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)100套

    5.2.5 網絡拓樸
    5.3 河南省人力資源與社會保障廳
    5.3.1 項目名稱

    河南省人力資源和社會保障廳辦公網網絡隔離

    5.3.2 用戶需求

    河南省人力資源和社會保障廳非涉密網主要劃分為互聯網和業務專網兩套物理網絡,中間采用隔離網閘的方式進行隔離。隨著業務系統的發展,目前互聯網上很多廳局內部用戶和廳屬二級機構需要訪問業務專網的資源。另外傳統的隔離卡方式并沒有實現計算機端口隔離和網絡傳輸隔離,也難以解決人為破壞的因素。

    5.3.3 應用方案

    1、一個物理網絡實現雙網隔離

    2、一機多用,減少終端數量

    3、解決終端網絡邊界安全

    5.3.4 覆蓋范圍

    河南省人力資源和社會保障廳、廳屬機關。

    5.3.5 產品選型

    遠為多網安全隔離系統策略服務器(VirNOS PolicyServer)1臺

    遠為多網安全隔離系統安全隔離網關(VirNOS GateWay)1臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)350套

    5.3.6 項目拓樸
    5.4 鄭州市人力資源與社會保障局
    5.4.1 項目名稱

    鄭州市人力資源和社會保障局桌面安全管理項目

    5.4.2 用戶需求

    接入鄭州市社保網的用戶和方式越來越多、業務系統越來復雜,由于缺少接入時的強制管理手段,給網絡安全埋下了嚴重的隱患,多起的網絡癱瘓事故,嚴重影響了鄭州的社會保障工作。

    5.4.3 應用方案

    1、解決接入社保網客戶端身份混亂、無法強制管理問題

    2、解決IP地址無法集中配置管理問題

    3、解決無法實現跨網段的業務、部門子網組建問題

    4、解決設備入網無法控制問題

    5、社保辦公網與互聯網隔離

    5.4.4 覆蓋范圍

    鄭州市及周邊六縣(滎陽市,登封市,鞏義市,新鄭市,新密市,中牟縣)

    5.4.5 產品選型

    遠為多網安全隔離系統策略服務器(VirNOS PolicyServer)2臺

    遠為多網安全隔離系統安全隔離網關(VirNOS GateWay)5臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)15000套

    5.4.6 項目拓樸
    5.5 內蒙古自治區質監局
    5.5.1 項目名稱

    內蒙古自治區質監局-辦公網建設

    5.5.2 用戶需求

    內蒙古自治區質監局與下屬各地市之間存在經常性的業務聯系,但相互之間并不具備專線環境,通常依托互聯網完成各級單位之間的通信,極易將內蒙古值之前質監局及下屬各地市之間的敏感業務信息暴露在互聯網上,導致敏感信息泄露事故的發生。

    5.5.3 應用方案

    1、辦公網與互聯網安全隔離

    2、移動辦公安全接入方案

    3、重要業務服務器防護

    5.5.4 覆蓋范圍

    內蒙古自治區質監局全區14個盟市:I期750套,II期3000套

    5.5.5 產品選型

    遠為多網安全隔離系統策略服務器(VirNOS PolicyServer)1臺

    遠為多網安全隔離系統安全隔離網關(VirNOS GateWay)2臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)3750套

    5.5.6 項目拓樸
    5.6 河南省發改委“金宏工程”
    5.6.1 項目名稱

    河南省發改委“金宏”工程——GIS信息安全上報

    5.6.2 用戶需求

    河南省宏觀經濟管理信息系統將構架省、市和縣發改委、局(將來將包括財政、稅務等八個宏觀經濟管理部門)以及重點企業互聯互通、信息匯集與共享的網絡平臺。由于信息匯集接入點多而不可控,大大增加了金宏工程信息安全管理的復雜度。

    5.6.3 應用方案

    1、終端安全隔離接入

    2、終端運維安全保障

    3、終端集中管控

    4、智能遠程維護

    5.6.4 覆蓋范圍

    河南省發改委省屬機關及部分企業。

    5.6.5 產品選型

    遠為多網安全隔離系統策略服務器(VirNOS PolicyServer)1臺

    遠為多網安全隔離系統安全隔離網關(VirNOS GateWay)2臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)400套

    5.6.6 項目拓樸
    5.7 民爆行業
    5.7.1 項目名稱

    “民爆行業生產經營動態監控信息系統平臺”網絡及信息安全支撐平臺建設項目

    5.7.2 用戶需求

    民爆行業監控系統平臺是由數據中心和1800多個接入單位(用戶)組成,主要維護對象是應用系統和終端部分,龐大數量的接入終端,是影響應用系統穩定運行的主要因素,主要如下幾個方面:

    (1) 終端管理的需求

    終端設備是網絡安全的主體,不良軟件的使用、防護系統缺失都可能帶來終端安全隱患,進而影響應用系統的安全。特別是終端在遺失、被盜后,甚至故意拆取硬盤帶離后,極有可能導致敏感數據丟失和泄漏,造成嚴重安全事故和無法挽回的損失。

    (2) 服務器數據負載均衡的需求

    由于訪問業務系統的人數眾多,單一的網絡服務設備的性能已經不能滿足用戶并發訪問的需要,由此需要引入服務器的負載平衡,實現大量并發用戶訪問多臺同時工作的業務系統服務器時,動態分配每一個應用請求。

    (3) 遠程系統維護的需求

    民爆行業監控系統平臺的接入機構數量龐大,地域范圍分布廣泛,提升接入客戶端穩定運行時間降低故障因素,是提升系統和用戶體驗的主要措施,因此需要建立遠程維護體系實現對所有終端的集中安全管理。遠程維護體系需做到:

    即使計算機死機、崩潰,也可以快速遠程修復;
           具有遠程操作方式;
           具有嚴密的安全保護手段;
           具有嚴格的授權審計措施。

    5.7.3 應用方案

    (1) 終端安全管理

    統一管理民爆專網虛擬機的外設端口(U盤、光驅等)、網絡訪問范圍和軟件應用等,實現對民爆專網的終端應用環境的安全防護。民爆專網虛擬機只能訪問民爆門戶業務系統,而無法訪問互聯網或其他網絡,從根源上解決這臺專用虛擬機與病毒、木馬、惡意攻擊接觸的可能性。

    (2) 終端運維管理

    遠為多網安全隔離系統對虛擬機進行了物理加密,對民爆業務系統所規定的補丁分發管理,自動檢測補丁服務器最新補丁包,并且及時下載安裝,提高操作系統的安全性,使操作系統遠離漏洞,病毒攻擊的風險。對民爆業務系統所規定的使用軟件進行管理,提高軟件使用的兼容性和統一性,降低操作環境差異帶來的影響。

    (3) 終端接入防護

    VirSAG安全網關上所有的策略全部由VirNOS管理中心統一管理設置,可避免直接通過網關進行防護策略惡意篡改風險。對已安裝VirNOS Client的終端的訪問請求進行基于虛擬機的合法身份進行訪問控制,對未安裝VirNOS Client軟件的終端、未授權的終端虛擬機的非法訪問請求進行攔截。

    (4) 服務器負載均衡

    負載均衡器不僅能夠動態的將每個用戶請求快速合理的分配到相應的服務器,提高服務器資源的利用率。同時可以實現多臺服務器之間冗余,保證關鍵應用系統的穩定性,不會由于某臺服務器故障,造成應用系統的局部訪問中斷。負載均衡器的雙機熱備功能,支持設備狀態的自動切換,可以保證網絡應用穩定、高效運行。

    5.7.4 產品選型

    遠為多網安全隔離系統策略服務器(VirNOS PolicyServer)2臺

    遠為多網安全隔離系統安全隔離網關(VirNOS GateWay)2臺

    遠為多網安全隔離系統虛擬機客戶端(VirNOS VM)1150套

    遠為負載均衡器系統2臺

    5.7.5 項目拓樸
    上海天天彩选4开奖规则

    <source id="fq8k8"></source>

    <i id="fq8k8"></i>
  • <video id="fq8k8"></video>

    <video id="fq8k8"></video><video id="fq8k8"></video>
    <wbr id="fq8k8"><sub id="fq8k8"><pre id="fq8k8"></pre></sub></wbr>
  • <source id="fq8k8"></source>

    <i id="fq8k8"></i>
  • <video id="fq8k8"></video>

    <video id="fq8k8"></video><video id="fq8k8"></video>
    <wbr id="fq8k8"><sub id="fq8k8"><pre id="fq8k8"></pre></sub></wbr>
  • pk10全天免费手机计划北京pk10全天一期计划 欢乐生肖开奖记录 什么叫三星组选包胆 麻将游戏 越南河内快五计划安卓下载 斗牛配牌口诀 竞彩足球专家预测 足球手游 时时缩水软件手机 11选5追号计划推塔软件 快速时时走势图 马会绝密资料 棋牌现金二八杠官网 pk106码倍投方案 时时彩宝典手机下载 云南时时开奖结果走势图