江苏省质监局纵向政务网安全防护


江苏省质监局全省政务纵向网络是国家“金质”工程的重要组成,目前已经实现了省、市、县三级政务节点的互联互通,依托政务网络开展质量管理、认证认可、质量监督、食品监管、标准化、计量管理和特种设备等业务。

山石网科企业安全设备部署在江苏省质监局全省政务纵向网各个节点,对重要的业务应用系统进行隔离,并启用防火墙、防病毒、IPS、流量管理等安全功能,为应用系统安全可靠运行提供保障;同时各节点部署的Hillstone企业安全设备启用VPN功能,对纵向政务网上传输的访问数据进行机密性、完整性保障,防止重要的政务访问被窃听或重要的数据被非法篡改;在江苏省质监局门户网站的互联网出口,部署的Hillstone企业安全设备,启用防火墙、抗攻击等功能,阻止来自互联网的非法或异常访问行为,保障门户网站的正常运行。

需求分析

江苏省质监局政务纵向网的安全建设经历了两期的建设,一期项目包含省质监局和13个地市质监局,分别部署了山石网科SG-6000-G3150,山石网科SG-6000-G2110;二期项目是一期项目的延续,包含各个县质监分局,需要的安全措施包括:

● 综合安全防护:类似于一期项目,用户提出需要引入具有综合防护技术的安全设备,能够为县质监分局节点的网络和应用系统提供更完善的保护;

● 数据安全传输:部署在县质监分局节点的安全设备,应能够支持VPN功能,能够与一期项目中部署的设备实现VPN互通,从而保障质监政务纵向网上传输数据的机密性和完整性,防范被非法窃听或篡改数据;

● 简单易用:由于二期项目的安全设备要被部署到各个县级节点,而江苏省质监局县级节点的专业网管人员比较匮乏,因此用户期望设备的管理和维护应尽量简单,策略更易于配置和检查;

● 集中管理:部署的安全设备应支持集中化的管理,在省级节点通过一台设备,即可实现对部署在市级节点,以及各县级节点部署的多台企业安全设备的集中管理,包括日志的集中收集与统计,安全策略的统一配置。

解决方案

经过性能、功能、易用性、集中管理等方面的对比,特别是基于一期项目中部署的山石网科企业安全设备稳定运行的基础上,用户最终选择了3套山石网科SG-6000-M6110,及67套山石网科SG-6000-M3100,全部部署到各个区县的质监分局节点,进行有效的隔离和防护.在二期项目中还引入了山石网科集中管理平台HSM,实现对全省部署的所有的山石网科企业安全设备的集中管理,部署的安全设备为江苏省质监局政务网络提供了如下的保护:

● 综合防御保障边界安全

部署的山石网科企业安全设备,在一台设备上即实现了防火墙、防病毒、IPS、流量管理等功能,实施综合防御。防火墙为各类应用系统提供严格的访问控制,限制非法访问;在访问控制的基础上,防病毒过滤功能对进入或流出县级节点的数据包实施深度检测,过滤其中的病毒,同时也防止某个县级节点感染病毒后在全省范围内蔓延;启用的IPS功能则有效防范了攻击行为;流量管理功能则对各县级节点的业务访问进行控制,保障在多个县级节点同时访问业务时,每个节点都能够分配到一定的带宽,确保业务连续。

● VPN实现数据安全传输

各县级节点部署的山石网科企业安全设备,启用VPN功能,与部署在地市节点的山石网科企业安全设备配合使用,对县级节点发出的业务访问数据包实施有效的机密性和完整性保护,防止非法窃听和非法篡改。山石网科企业安全设备特有的PnpVPN(即插即用型VPN)技术,大大降低了VPN实施的难度,部署时只需要在省级或市级的企业安全设备上完成配置,在县级节点部署的企业安全设备上简单配置极少的网络参数即可完成VPN互联。

● 一体化策略简化配置维护难度

山石网科企业安全设备采用一体化策略,在一个界面上即可完成大部分安全功能的策略配置,减少了页面的跳转并降低配置的难度;通过集中的日志审计和统计页面,运维人员可灵活定义需要查看的日志条件,系统便可输出相关的访问和安全控制日志,简化了日志查询和统计的难度。

● 集中安全管理提高管理效率

在省质监局部署的山石网科集中管理平台,可对全网部署的所有山石网科企业安全设备实施集中化的管理,包括日志的集中查询统计,以及全局性策略的集中下发,集中管理提高了省质监局对安全事件的检索和响应效率,更好地保障安全防护的效果。

运行效果

在江苏省质监一期工程建设后,山石网科企业安全设备稳定的运行能力,以及应对安全事件的综合防御功能,便得到了用户的一致认可,在二期工程建设后,山石网科专有的即插即用型VPN技术,简化了部署的难度;而集中安全管理平台的部署,又进一步简化了配置和维护的难度,还提高了对安全事件的检索和响应的效率,使江苏省质监局信息网络的安全性得到了进一步的保障。

相关产品