筑起第一道安全国门
建立第一道网络安全国门
我们知道,网络安全建设并非产品的简单堆砌,中国边检网络安全整体规划建设必须是一个具有先进性、合理性的体系化规划与建设方案。因此整个中国边检网络安全网络实施团队依托边检网络结构的特点,在边检现有安全防护手段的基础上通过合理的规划、改造和建设,实现建立中国边检网络安全预警体系、防护体系、监控体系、管理保障体系和恢复响应体系和一个集中控管中心的规划建设目标。通过“五大体系,围绕一个中心”不仅要形成安全体系高效的闭环系统,提高信息系统的预警、防御、监控、响应恢复和管理保障能力;同时还要以控管中心为技术支撑,提高整体宏观监控与局部监控的统一能力,建立协调指挥、多级管理的安全机制,从而更好的实现中国边检保证网络信息平台的稳定性、畅通性、可控性和安全性;保证数据信息的完整性、可靠性、可用性和保密性的业务安全运营的根本目标。
同时,由于中国边检网络病毒立体防御体系是其网络安全防护体系的核心主体,对于中国边检这样业务应用系统具有数据重要性高、数据量大、实时性要求高;同时对数据的完整性和保密性也具有特殊要求等业务特性的星型结构广域网络信息平台而言,对于病毒的防御需求不仅远远高于普通企业网络,而且相对于其自身的其他安全需求,病毒防御工作显然是整个安全体系建设的重中之重。
通过深入分析中国边检网络信息平台的安全需求,依据“切断传播途径、控制传染源、保护易感人群”的防治病毒三要素原则,冠群金辰提出了“统一控管,立体部署,纵深防御”的中国边检病毒立体、纵深防御体系建设方案:通过全方位立体部署,全面保护易感人群;通过纵深防御,建立多层次的病毒主动防御手段全面切断病毒的传播途径,主动抵御新复合型病毒、蠕虫为首的病毒威胁;同时通过中心集中控制、多级部署和分级管理,不仅使病毒的防御工作趋于灵活和精确,而且保证了可以第一时间发现病毒疫情,能够快速定位病毒源,准确有效清除或隔离病毒源,同时最新病毒防护策略可以及时分发,使网络整体病毒防护策略的实施能够得到有效保障,及时控制传染源。通过这种全方位的、多层次的病毒主动防御体系建设,提高边检对网络病毒事件进行响应和恢复的能力,最大程度的将边检网络病毒风险降低到一个可以接受的水平,实现了边检网络安全建设的首要目标。
例如,在新的安全体系中,在边检网络信息平台的不同域边界部署了网关级边界病毒过滤设备防病毒网关,进行有效的蠕虫和新复合型病毒的主动防御。通过在各边检总站域边界防病毒网关的部署,当内部网络再触发某蠕虫病毒,进而对整个网络发起攻击的时候,防病毒网关可以将其控制在一个边检总站安全域之内,避免其进一步大面积扩散,造成整个网络瘫痪等严重事件的发生,域边界的病毒防御建设提高了网络管理人员对网络内病毒事件的控制能力,有效的防御了病毒、木马、蠕虫等病毒威胁在内部网络不同区域内的破坏、扩散,切断了其在网络内部的传播途径。
项目成功的七大因素
此次中国边检与冠群金辰合作,通过网络病毒立体防御体系的建设,不仅提高了边检网络信息平台自身对病毒的防御能力,同时也完善了对网络病毒事件的恢复和响应能力。通过这次成功实施中国边检网络病毒立体防御体系建设方案,参与此次实施的工程师和出入境管理局用户们一同总结出了此次项目成功的关键因素:
体系化建设是关键,网络安全建设并非简单的产品堆砌,缺乏体系化规划的直接后果极易造成产品间相互的孤立和堆叠现象的发生;
要充分考虑自身网络业务应用特点,网络安全建设成功与否的关键在于是否充分考虑自身的网络业务应用特性,安全建设的最终目的是保证信息的安全,保证业务应用系统的稳定运行;
防御与管理并重,要多级部署、分级管理建立中心统一控管机制;
要结合网络结构特性,区域分割,域边界控制;
要实现网络连续性保障,比如方案中选择的KILL 防病毒网关产品(KSG-V)通过多种措施保障自身安全工作包括:软件 watchdog,硬件 Bypass,通过专有安全操作系统避免漏洞攻击;通过加密和认证的安全管理防止管理失控。这样可以有效减少产品自身出现故障和被攻击破坏的频率,同时保证在网络边界产品自身发生故障时,可以在最短的时间内恢复网络的正常运行和数据的及时传输。
要合理搭建双重病毒引擎保障,没有任何一款防病毒产品能够保证对所有的病毒进行有效查杀和处理。基于这种现状,边检通过合理的病毒立体防御体系的建设为其网络信息平台带来了双重病毒引擎的安全保障。
要注意合规性,参见等级保护《信息系统安全等级保护测评准则》。比如在《信息系统安全等级保护测评准则》中6.1.3.6恶意代码防范章节中在测评项和结果判定中明确“主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库”。
网友评论