天融信金保工程解决方案
天融信公司于1996年推出了填补国内空白的中国第一套自主版权的防火墙产品,随后几年又推出了VPN、IDS、过滤网关、安全审计、安全管理等系列安全产品。2001年组织并构建了TOPSEC联动协议安全标准,提出了一套集各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,并于2004年底在业界率先提出“可信网络架构(TNA)”,强化可信安全管理在安全建设中的核心地位,通过全局安全管理,实现多层次的积极防御和综合防范,积极引领民族信息安全产业潮流,应对国际化竞争。
2000年至2004年,天融信公司连续五年市场份额均居国内安全厂商之首。特别指出的是,据两大权威咨询机构IDC及CCID统计:天融信2004年全年防火墙市场份额超过了16%,名列所有国内外安全厂商第一位,为国内信息安全企业树立了新的里程碑。到目前为止,天融信公司拥有覆盖全国,涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的万余家客户群体。
天融信公司将秉承“创造社会、客户和个人共同价值”的核心价值观,为新疆的金保工作的提供高品质安全产品与服务。
“金保工程”是利用先进的信息技术,以部-省-地州三级网络为依托,支持劳动和社会保障业务经办、公共服务、基金监督和宏观决策等核心应用,覆盖全国的统一劳动和社会保障电子政务工程。 “金保工程”系统建设作为新疆劳动保障信息化建设的重要组成部分,将严格按照劳动与社会保障事业发展的总体目标,以全国电子政务建设规划为指导,遵循“统一规划、统一标准、统一指导,分步实施、分级分担、分级管理,网络互联、信息共享”的原则,运用实用、成熟、先进的技术手段进行建设。
在的建设过程中,我们认为, 劳动和社会保障信息系统是一套准金融系统,系统中所有业务都直接关系到每个参保人员的切身利益,所以安全性要求就非常重要。
要保证信息的安全,先要从分析网络安全隐患和攻击手段入手。对于社保网络系统而言,安全隐患可能存在于网络、操作系统、数据库系统、应用系统、数据、物理环境等各个方面。网络攻击一般包括侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。
为了提高社保网络系统的安全性,保证各个层面的计算机资源不被攻击,并尽可能避免内部非法操作带来的损失,最大程度地消除网络安全隐患,构造一个可靠、安全、开放、可伸缩、易管理的全方位的安全计算环境,社保网络系统需要采用一套全面有效的安全解决方案,其中包括:
1)、网络互联安全
采用防火墙系统提供外网与内部网之间的安全隔离,采取有效的访问控制和状态检测包过滤措施对企图通过防火墙的数据包进行合法性识别和转发/过滤处理;
采用入侵检测系统在网络边界和关键网段提供实时入侵监测和预警,监控和分析进出网络及访问服务器系统的数据流,并根据安全规则对攻击行为、非正常或可疑行为及时进行告警和阻断等响应,防范非法访问和违规操作;
2)、系统和服务安全
采用专业的安全漏洞检测工具,对网络和主机设备如路由器、交换机、服务器、工作站、防火墙等的操作系统提供自动的安全漏洞检测和分析,对网络协议和服务进行安全风险评估,帮助及时检测、发现系统和服务中所固有的及因配置不当而存在的安全漏洞,并提供有效的报告和建议以便对所发现的漏洞做出及时、正确的处理;
采用专业的主机访问控制系统,加强对关键服务器的操作系统用户的身份鉴别和访问授权管理,实时监测用户对服务器系统的访问,防止未授权访问和非法攻击,同时对用户在系统中的所有行为进行审计跟踪;
3)、应用安全
采用基于密码技术的虚拟专用网络(VPN)设备,为各机构、部门网络之间在公共数据通信线路上进行的远程数据传输建立安全的虚拟专用网络通信信道,使攻击者无法利用窃听公共传输信道的方式窃取、篡改和破坏敏感信息,确保关键数据在网络上传输时的安全;
4)、数据安全
采用基于密码技术的虚拟专用网络(VPN)设备,为各机构、部门网络之间在公共数据通信线路上进行的远程数据传输建立安全的虚拟专用网络通信信道,使攻击者无法利用窃听公共传输信道的方式窃取、篡改和破坏敏感信息,确保关键数据在网络上传输时的安全;
5)、物理环境和设备安全
确保各台关键网络设备和服务器主机设备所工作的物理环境条件满足网络系统正常安全运行的需要;
避免网络设备、服务器主机及通信线路受到自然灾害、人为破坏、搭线窃听攻击;
防止因管理疏忽而使非法人员闯入网络设备间、信息中心机房等关键区域进行偷窃或物理破坏;
确保重要的网络设备和主机设备具有高效屏蔽的工作环境,避免因电磁辐射导致关键信息泄露;
6)、安全管理体系
三分技术,七分管理,在社保内部建立一套完善的安全管理规章制度,使管理机构依据相应的管理制度和管理流程对日常操作、运行维护、审计监督、文档管理进行统一管理,同时加强对工作人员的安全知识和安全操作培训;
建立统一的网络安全管理体系,对网络中各种主机操作系统、典型应用、网络设备、安全平台等提供集中统一的管理和监控,实现系统审计信息的综合分析,不断在运行中调整安全策略、完善安全设计,使安全策略更符合实际、安全设计更趋合理,为电子政务网络系统和安全系统的有效运行提供保障;
7)、安全技术服务体系
由于网络安全是一个动态的过程,网络安全总是处在网络系统攻击和防御的平衡之中的动态相对安全,因此金保工程网络安全系统不仅需要动态的工具和产品,而且需要持续跟进的安全技术服务,在不断更新、优化现有产品的同时,提供持续、专业、全面和快速的本地化服务,具体内容包括安全风险分析、产品安装调试、售后技术支持、系统升级和维护、用户培训、紧急事件响应、方案设计和信息咨询等。
天融信防火墙在数据中心的应用
如图:
在内部网络系统和外部网络的连接中,第一道屏障就是防火墙。在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。我们采用天融信公司的NGFW4000-VPN防火墙系统来构筑社保网络边界的安全防御屏障。
根据社保网络的结构和对外互联情况,在信息中心和外部连接的出口处安装两台百兆防火墙,并互为备份,同时,WWW服务器FTP、邮件服务器也被防火墙隔离在一个单独的区域中进行保护。
高效率,高安全性的天融信防火墙将强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用,它根据系统管理者设定的安全规则保护内部网络,提供完善的安全性设置,通过高性能的网络核心进行访问控制。天融信防火墙提供用户认证、授权和记帐(AAA),实时连接状态监控,网络地址转换,透明的代理服务,动态过滤,MAC地址绑定,URL过滤,带宽管理,入侵检测,双机热备份,审计和报警等功能,系统采用模块化设计,通过直观、简明的图形化用户界面(GUI)对系统进行安全策略配置、用户管理、审计查询、状态监测等监控管理操作,是一套功能全面、安全性高的网络安全系统。
在社保信息中心网络的出口处,防火墙被插入在广域网接入路由器与本地局域网之间,用以控制来自广域网的用户对信息中心的访问,为实现防火墙双机热备,我们选择两台天融信NGFW4000-VPN的防火墙,本款防火墙有五个接口(五个10/100自适应口)然后两台防火墙分别接入一个路由器和交换机之间,这样既保证了链路的冗余接入,又实现防火墙的双机,从而能提高系统的稳定性、容错性。同时我们www服务器和邮件服务等单独组成一个网段,连接到防火墙的单独定义一个安全区域网络接口上,定义为安全服务器区(SSN)。通过核心交换机接入的网络,定义为内网区,是重点保护的区域。而广域网接入路由器所在的网络区域则被定义为外网区。通过使用防火墙的多个网络接口隔离不同的网络区域,可以有效地控制外部网络用户对内部网络资源的访问,确保外部网络主机只能访问内部网络的开放资源,而不能接触到内部网络的其他资源。而外网用户与www、邮件服务器及内部用户之间的通信也是受到防火墙的监控的。
各医院及药店通过VPN客户端传输加密的社保数据,即保证了安全又节约了资金.
防火墙安全策略设置的基本原则如下:
只允许外网区中被许可的源对象有限地访问SSN区的WWW、邮件服务器资源对象所提供的开放服务,拒绝其他一切外来的访问请求;
禁止从SSN区的任何主机上主动向外网区发送数据包,但可以与内网区的特定服务器进行通信;
允许内网区中被授权的用户根据特定的权限访问SSN区的资源和外网区网络资源;
默认应当拒绝所有除被明确许可的范围以外的所有访问。
这样,通过天融信防火墙系统的访问控制和包过滤功能,可以对网络中的各种资源进行不同程度的保护,防止一切由非法主机和网络向本地系统发起的访问请求,同时确保合法应用的网络通信畅通。
天融信防火墙除了可以基于用户数据包的网络层和传输层信息进行访问控制外,还可以基于用户和用户组进行网络访问控制,这是防火墙系统中内嵌的AAA身份认证网关所提供的功能。通过实现严格有效的用户身份认证、访问授权和审计,使电子政务网络系统中的关键资源(网段、主机、服务、应用等)能够得到更为有效的管理和保护。
对所有的用户访问请求,我们还可以利用天融信防火墙提供的基于时间的访问控制功能,按不同时段进行不同的限制。
通过以上对天融信社保安全解决方案来看,社保网的安全不能单一的依靠技术体系来保障,管理是网络中安全的重要组成部分,是防止来自内部、外部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。因此,政务网的安全除了从技术上下功夫外,还得依靠严格的安全管理来实现。只有建立了完备的安全保障技术体系、安全保障管理体系,才能切实保证社保网的安全运行。
(北京天融信新疆办事处供稿)
|
