江苏省省级机关住房资金管理中心网络系统是江苏省省级机关住房资金管理信息通信网络的核心和枢纽,也是省级机关住房资金的数据中心。按照工作职能,资金中心将承担住房公积金、住房补贴业务管理、网络运行、系统运行、数据整合、信息服务、安全保障和应用开发等任务。
公积金的安全管理关系国计民生
公积金等社保系统是老百姓“安身立命”的基础,资金管理的安全与完整,直接关系到社会广大人员的切身利益,关系到社会的稳定和繁荣。由于服务对象和资金数量特别大,网络系统面对大量数据交换和共享的情况,网络安全的建设不容忽视。
江苏省省级机关住房公积金数据库、其它应用数据库以及衍生的整合分析数据资源要求做到7x24小时,365天不间断运行。这也要求集中运行平台必须具有多层面的系统可靠性保障,对服务器的稳定性、存储安全、网络安全等整体安全提出了更高的要求。
曙光工程师马杨对此深有体会:“客户以前只要IBM的系统,必须是小型机,而且有着很好的安全意识,在整个的接触过程中,我们只得到最基本的情况,那些机密的数据资料我们根本不知道。”
曙光提供小型机、存储、网络安全的整体解决方案
作为中国高性能计算机产业的缔造者和领导者,曙光坚持自主技术创新和开放式合作的模式,坚持高端技术下移策略,已经形成了最为齐全的服务器产品线。曙光天演第二代小型机具有高运算处理能力、高可靠性、高可用性、以及高性能价格比的优势,在竞标中一举击败IBM、HP等对手,以较大优势胜出。特别值得指出的是,本次曙光不但提供小型机服务器,而且提供了存储、网络安全的整体解决方案。江苏省住房资金管理网络涉及几十亿资金,而且直接与银行对接,对整个网络的稳定性、安全性提出极高的要求。
在经过认真调研,周密论证以后,我们发现:公积金系统处理信息量大、系统能力强,很容易成为非法入侵和攻击的对象。如果没有完善的安全防护措施,一旦发生安全事件,其损失将是不可估量的。因此,在设计方案时需要要对服务器的安全进行一系列仔细规划,确保整个公积金系统的绝对安全。
1、曙光防火墙提供了多层次的安全保障
在网络系统的设计中,如果承载核心应用的服务器系统没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
因此,为了网络的整体安全,我们建设了一个多层体系架构的网络格局,采用曙光天罗TLFW千兆防火墙的分离区域网络保护技术,通过区域划分满足各类信息数据的集中保护,保证存储系统信息安全的灵活性和可扩展性,实现了在服务器对外提供服务时并行保护服务器的安全;同时,曙光天罗防火墙可以保护各类应用系统所需的不同系统运行环境。例如Unix、Windows或Linux操作系统平台上应用服务和Web浏览等应用;SQL Server、Oracle等其他主流数据库运行平台等,统统加以保护。
不仅如此,曙光产品全部采用工业控制级硬件平台,相关的零部件全部达到工业级要求。元器件的寿命和系统寿命通过了苛刻的可靠性测试。其中包括:高压、高温、高湿老化测试;跌落震荡测试;电磁兼容测试;抗干扰能力测试等等。
2、曙光入侵监测 NIDS全面监视网络
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等,从而实现从网络层到应用层的整体安全性。
按照“运行可靠、性能优良、满足应用”的要求,在公积金系统安全建设中,我们设计了多层体系架构,力求建设整体化的系统安全。方案设计采用入侵检测系统与防火墙相互配合,实现优势互补,从整体上为公积金系统提供完善的安全保障。曙光自主研发的网络型入侵检测系统IDS可以整个网络上的数据包进行实时检测,通过侦听特定网段,能够实现实时监视可疑连接,发现非法访问的闯入等,从而有效地防范对网络层至应用层的恶意攻击和误操作,保证整个系统的安全。
打造立体安全的终极堡垒
曙光天罗防火墙和曙光网络入侵检测系统统一配合使用,打造了立体安全终极堡垒,满足了用户的五大要求:
1. 满足了江苏省省级机关数据库和其它应用系统安全的需求;
2.满足多应用运行环境的要求,支持主流操作系统、应用服务、数据库运行;
3.满足多用户、高并发查询应用的性能需求,而不影响在线应用;
4.满足可靠、安全运行的要求,确保数据安全和应用系统不间断运行;
5. 具有完善的备份和容灾技术,满足数据系统不间断运行的需要。
技术人员马杨在调试过程中说到:“防火墙对服务器等设备兼容性很好,NIDS也很好配置,为了确保各种系统服务不中断,我们要尽可能在设备之外就屏蔽大多数问题,我们做到了这一步”。用户也表示:“整体集中运行平台建设,设备的兼容性、协调性要好,立体安全这个概念提得非常不错”。
现在,曙光系列网络安全产品逐步遍布全国各行各业,用自己卓越的性能为客户网络保驾护航。面对复杂多变的网络环境和接踵而来的挑战,曙光网络安全产品、曙光立体安全解决方案会给整体市场带来冲击,也会给我们自己带来收获!
网友评论