海关信息化建设一直处于高速发展阶段,经过这么多年的建设,海关现在拥有数量庞大的各类硬、软件资源。以南方某关为例,该关现有各级应用项目130多个,各种服务器100多台,电脑1800多套,还有数量众多网络设备。这些软硬件资源既体现了海关信息化建设的成就,由之产生的问题也开始逐渐暴露。
1、信息安全问题日益突出。由于操作人员对PC机拥有管理员权限,可以把数据保留到本地,存在敏感信息泄露的隐患。而且缺乏对操作人员访问过程的全程统一监控,目前的监控手段分散于终端管理软件、网络分析软件、防火墙日志、操作系统日志、数据库日志等上面,缺乏统一的安全监控和审计机制,无法监控其是否按照计划正确维护系统和设备。
2、传统维护管理模式无法跟上发展速度。目前的应用系统大部分是基于C/S架构,虽然功能丰富,但维护工作量比较大,一方面是要对上千台电脑终端进行维护,同时还要经常性地维护服务端。这种传统的维护管理模式已经无法满足我关业务快速发展的要求。
3、双网隔离,安全与便利性无法兼得。目前,该关用两套系统来办公,一是海关通关业务处理系统H2010,主要用于审单、征税、接单、放行、手册审批、减免税审批等重点业务的开展;另一套是日常的0A办公系统,主要是用于日常的公文流转、行政管理和上情下达。出于业务安全方面的考虑,这两套系统分别在两个物理上完全隔离的专网内运行。这种双网隔离的应用模式,虽然在安全性方面有了充分的保证,但也造成了应用上的不便,如每个工作人员在工作时都必须同时使用两台电脑,一台用于访问H2010通关系统,另一台用于日常的办公和通讯,如此不仅增加了管理的复杂程度,也浪费了大量的电脑软硬件资源。
泰然神州安全堡垒机在海关实际应用
泰然神州海关双网融合解决方案秉承了虚拟化技术的精华,针对海关行业双网隔离的应用现状,采用基于服务器计算(SBC)的安全堡垒机模式,实现应用集中部署和管理。用户在低安全域环境下把键盘和鼠标指令信息通过安全接入堡垒机上行到高安全域应用服务器,高安全域的屏幕变化信息下行到低安全域,但禁止其它实体数据信息流在两个安全域之间直接交换;由于没有其它实体信息流在两个安全域之间直接交换,因此,低安全域的键鼠指令信息,不会直接破坏高安全域的完整性,高安全域的高密级实体数据信息也不会泄漏到低安全域。
在这种情况下,海关部门便可以将海关通关系统(H2010)通过安全堡垒机部署在办公网络上,实现双网融合。
此外,由于用户端计算机上不安装H2010的客户端软件,从而大大简化了IT管理的复杂度,提高了IT管理效率和降低IT管理成本。
安全堡垒机在海关应用的价值
泰然神州接入堡垒机提出了新的海关IT集中管理模式,概括讲就是:集中管理,虚拟接入,按需交付,安全管控,成本可控。
集中管理:所有的业务应用系统都部署在中心机房,远程用户不需要安装应用系统或者客户端;对业务系统的维护不会随着用户的增加而急剧增加工作量;业务系统的安全得到保证。客户端机器计算环境简单,可靠性提高,维护工作减少。
虚拟接入:用户通过虚拟接入方式访问应用,不要安装应用程序或者客户端,接入网络就可以使用业务系统,减少部署操作,业务数据不流到客户端,安全性极大提高,由于安全问题而可能导致的维护性工作大大减少。
按需交付:新的IT架构,中心部署的业务应用系统随时处于可用状态,可以随时根据业务的需要为用户分配访问权限,快速、简捷、安全,实现按需交付应用。
安全管控:泰然神州安全堡垒机是一个统一的应用安全管理和接入门户,使业务应用系统完全运行在该平台后面,通过虚拟化的方式交付客户端用户,形成一种新型的应用安全隔离模式,平台还具有应用资源授权管理、用户认证、安全审计等完整的安全体系。
成本可控:新的模式是一种主动的管理模式,运维人员不再跟着用户跑,运维的工作量也不再随用户数的增加而快速增加,成本得到较好的控制。
网友评论