| |
我国政府网络安全现状
近几年,政府信息化步伐很快,由于政府采用双网隔离和实施政府上网工程,政府对计算机越来越依赖。
我们会发现有些政府意识到了网络安全的重要性,并买了很多安全产品进行防护:发现病毒对政府影响很大,就买了最好的反病毒软件,发现边界不安全,就用了最强的防火墙,发现有黑客入侵,就部署了最先进的IDS。这其实只是一种头痛医头,脚痛医脚的做法,是治标不治本的方法。所以实施后,安全问题还是很多,有人曾形象地说“洞照开,虫照跑,毒照染”。
2003年27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中认为,不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
就目前政府的安全状况,其最薄弱的环节还是对内网的管理,和对网络行为的管理。
对内网维护而言,目前政府维护人员比较少,计算机维护量大,内网行为复杂,这些情况都是的目前政府内网管理所急需解决的。
|
问题分析
我国政府发展速度快,在发展的过程中出现了一些内网管理的问题,下面就从内网运行维护的角度分析我国政府内网的安全隐患和需求。
|
病毒问题
其实,对于政府机构局域网来说,单机的病毒还是好处理的,但是目前目前的病毒有多元化,网络化的特征,常常给内网的管理带来了很多麻烦。很多网管惊叹,为什么我用了防病毒软件还是感染病毒。下面就从几个方面分析一下。
|
有防病毒软件,是单机版的
这种情况,单机版的升级不能够统一掌握,使整个网络的防毒水平下降;同时针对系统漏洞没有打补丁;针对U盘等介质没有进行管理;
|
有网络防病毒软件
没有安装系统补丁,没有对U盘等介质进行管理,没有对非法接入终端进行管理。
|
有网络防病毒软件,安装系统补丁
没有对U盘等介质进行管理;没有对非法接入终端进行管理。
有arp类攻击。
|
 |
维护问题
政府网络维护问题是近几年的热点问题。内网维护难,主要是设备(PC)多,人员少,工具差。
以一些业务程序(如OA)升级为例,内网计算机操作人员的计算机水平参差不齐,很难通过主动获取的方式进行升级,通过网管人工升级,效率又很低。
由于政府规模比较大,计算机分布比较分散,就是二三级网络比较多,需要由网管统一进行管理,达到集中控管。
政府普遍缺少有效的IP地址管理,造成IP地址使用混乱,经常修改IP地址,使得不少网管手中的IP地址对照表已失去价值。
|
外网的使用问题
由于实施政府上网工程,政府不开互联网,但是事实上,外网复杂的行为并不便于管理:泛滥的使用下载工具,导致外网的实际可用带宽过低,影响正常的行政办公。
公务员上班时间看股票、聊天等,既不利于工作,又影响政府形象。
职工在上班时间访问不良网站是一件严重的事情,会直接纠察相关领导的责任。
|
敏感信息保护问题
由于政府采用涉密等级制度,政府中的涉密信息和敏感信息都普遍存在,主要是一些文件和卷宗等等,如何防止电子文档被窃取,已经不只是信息主管关心的问题了。
而根据相关安全机构调查和近期单位敏感文件泄露的事件说明,单位网络的敏感信息70-80%都是由于内网勾结造成的。对于内网敏感文件按的管理最为重要的就是要管理好内网人员的行为。
|
三、政府内网管理之道
内控王2012的政府内网解决方案,是针对以上的问题,推出一系列的功能的组合,不仅解决的内网管理的问题,还从另一方面在不增加人员,较低的资金投入的情况下提高了内网管理的水平。
|
病毒防治
在防病毒的问题中,并不是一个部署一个防病毒软件这么简单,而即使部署防火墙和IDS,也还是有感染病毒的可能。在这方面内控王2012提供了一整套解决方案,具体办法如下:
1.解决防病毒软件全部部署的问题,同时还要客户端的升级做到同步;
2.针对Microsoft的操作的漏洞,定时的给用户机安装补丁;
3.对U盘等移动介质,要进行管理,或者禁止使用,或者指定设备可以使用指定的U盘;
4.对非法接入设备,进行统一管理,禁止其访问内网;
5.对流行的ARP病毒,进行专门的,有效的防御;
|
 |
终端维护
内控王2012,对计算机的维护主要分为几大类,主要分为:
·病毒问题
提供远程的防毒,补丁及相关软件的推送工具。
·系统问题
能够了解每台机器的基本情况,需要简单的远程维护
·网络资源管理
对网络的计算机名,工作组,IP,MAC地址及相关的网络情况进行了解,集中进行管理。需要对用户的IP地址进行管理。
·文件分发,文件夹分发
通过该功能分发诸如HIS、PACS等系统的补丁,自动升级,提高效率。
|
网络行为管理
对于内网不良行为,内控王2012一直作为一个重点进行管理,但是彻底解决这个问题,不仅需要一些手段,还要在几个方面全面落实,做到疏而不漏。主要有几个方面:
1、全面的客户机安装程序,使用程序和登录网站的审计;
2、全面的监控功能,能在线发觉,在线记录,便于取证;
3、全面的程序使用管理,可以禁止用户运行指定的程序;
4、全面的网页使用管理,可以禁止用户登录指定的程序;
5、提供定制的策略,把PC机管成瘦客户机。
|
流量管理
“内控王2012”在流量管理上之所以解决了以上的问题,主要是因为“内控王2012”的带宽管理是建立在内控王三层结构的架构上。数据采集通过内核技术,从客户机上采集,由于采用非广播方式,即不受网络环境的影响,又最大层度上减少了带宽的占用,数据准确性大大提高。而带宽的限制则是通过客户端实现的,同其他内控王的策略一样,有效、稳定。
|
信息安全
首先要从传播途径入手进行管理。
1、管理共享文件夹
2、限制U盘或移动硬盘等介质使用
3、对发出电子邮件进行审计
4、限制使用聊天工具,或记录聊天内容
5、对打印机使用情况进行管理
其次,要对文件的操作和用户的登录日志进行管理。
|
 |
内控王2012总体部署方案
根据以上对政府内网问题的分析和内控王2012提供的解决方案,最终的部署拓扑如下图。
|
 |
(1)由于内控王2012采用非广播方式,降低了对网络环境的要求,只要终端能够和服务器进行通讯,就能够正常让内控王2012正常工作。
(2)政府的下级单位可以由控制端统一管理,控制端可以部署在网络中任何位置。
(3)通过全网部署内控王2012,做好补丁管理和外设管理,同时做好防病毒软件的维护,就能极大降低病毒带来的风险。
(4)全网部署内控王2012,通过文件分发功能,能为政府业务软件的升级和维护带来方便。
(5)通过网络维护工具可以限制员工修改IP,同时对IP进行管理,也限制了非法接入的计算机。
(6)通过信息安全模块管理了员工的行为,管理敏感文件传播的途径,同时也对敏感文件的使用进行记录,便于事后举证。
|
内控王2012典型政府用户
|
| 哈尔滨市政府行政服务中心 |
呼伦贝尔市人民政府 |
东港市人民政府 |
吉林省九台市人民政府 |
| 射阳县政府行政办公中心 |
本溪市地税局 |
凌源监狱管理局 |
宁波监狱管理局 |
| 山东莱阳市昌誉密封产品有限公司 |
通化市国土资源局 |
京化高速管理处 |
扬州市中级人民法院 |
| 辽宁省新闻出版局 |
锦州市中级人民法院 |
辽宁省公证处 |
山西省建设厅 |
|
沈阳高速公路管理处 |
北京房山交通局 |
丹东市交通局 |
沈阳海关 |
| 微山县供电公司 |
桂林市工商局 |
江门市公安局 |
中国海关 |
| 承德县建设局 |
灵川县财政局 |
丹东市国土资源局 |
微山县供电公司 |
| 扬州市中级人民法院 |
甘肃省景泰县电力局 |
淄博市淄川工商局 |
四平电网 |
| 新疆乌鲁木齐市中级人民法院 |
福州气象局 |
威海市政府 |
黑龙江地矿局 |
| 新疆乌鲁木齐市水磨沟区人民法院
|
沧州检察院 |
阳泉市审计局 |
|
|
| |
政府解决方案
