引言:多年來(lái),計(jì)算機(jī)在辦公自動(dòng)化、業(yè)務(wù)管理和信息支持服務(wù)方面得到了廣泛應(yīng)用。隨著機(jī)構(gòu)改革,業(yè)務(wù)范圍和應(yīng)用領(lǐng)域逐漸擴(kuò)大,現(xiàn)代信息技術(shù)在出入境檢驗(yàn)檢疫中正在發(fā)揮著具大作用。出入境檢驗(yàn)檢疫局簡(jiǎn)稱(chēng)C.I.Q,是為國(guó)家進(jìn)行出入境檢驗(yàn)檢疫工作的部門(mén)。職責(zé)是對(duì)出入境的貨物、人員、交通工具、集裝箱、行李郵包攜帶物等進(jìn)行包括衛(wèi)生檢疫、動(dòng)植物檢疫、商品檢驗(yàn)等的檢查,以保障人員、動(dòng)植物安全衛(wèi)生和商品的質(zhì)量。隨著檢驗(yàn)檢疫業(yè)務(wù)的持續(xù)發(fā)展,對(duì)信息化系統(tǒng)的要求也越來(lái)越高,系統(tǒng)的處理能力、響應(yīng)速度等都直接影響到檢驗(yàn)檢疫的工作效率,服務(wù)器的數(shù)量和處理能力,由此,在當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境中,可以保障網(wǎng)絡(luò)安全的信息化基礎(chǔ)設(shè)施的升級(jí)換代的 “與時(shí)俱進(jìn)”就顯得尤為重要。
需求呼喚:專(zhuān)業(yè)終端安全防護(hù)產(chǎn)品
中華人民共和國(guó)北京出入境檢驗(yàn)檢疫局(以下簡(jiǎn)稱(chēng)“北京檢驗(yàn)檢疫局”)是國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局設(shè)在北京并授權(quán)依法管理北京地區(qū)出入境檢驗(yàn)檢疫工作的行政執(zhí)法機(jī)關(guān)和涉外經(jīng)濟(jì)監(jiān)督部門(mén)。
北京檢驗(yàn)檢疫局成立于1999年,自成立以來(lái),北京檢驗(yàn)檢疫局本著“依法把關(guān)、監(jiān)管有效、方便進(jìn)出、管理科學(xué)”的原則,逐步形成了以出入境檢驗(yàn)檢疫行政執(zhí)法為主體,以技術(shù)保障和技術(shù)服務(wù)為支持的檢驗(yàn)檢疫工作體系,截止目前,北京檢驗(yàn)檢疫局機(jī)關(guān)內(nèi)設(shè)置了17個(gè)處室。隨著信息化應(yīng)用整體提升和業(yè)務(wù)系統(tǒng)融合,客戶(hù)端和服務(wù)器的數(shù)量在近幾年中也在大幅增長(zhǎng)。
近年來(lái),國(guó)家大力進(jìn)行信息安全等級(jí)保護(hù)建設(shè),北京市出入境檢驗(yàn)檢疫局作為信息安全等級(jí)保護(hù)建設(shè)單位,也在不斷的根據(jù)信息安全等級(jí)保護(hù)的建設(shè)要求加強(qiáng)內(nèi)部信息系統(tǒng)的等級(jí)保護(hù)建設(shè),為此,在主機(jī)安全保護(hù)層面,北京市出入境檢驗(yàn)檢疫局經(jīng)過(guò)多方論證,面對(duì)眾多的安全廠商中,北京市出入境檢驗(yàn)檢疫局最終決定選用北信源內(nèi)網(wǎng)安全管理系統(tǒng)來(lái)完成本單位的信息安全等級(jí)保護(hù)建設(shè)。
據(jù)北信源項(xiàng)目負(fù)責(zé)人介紹:“北京市出入境檢驗(yàn)檢疫局要從主機(jī)安全保護(hù)層面落實(shí)信息安全等級(jí)保護(hù)的基礎(chǔ),因此,需要在內(nèi)網(wǎng)每臺(tái)終端上都安裝有內(nèi)網(wǎng)安全管理系統(tǒng)軟件,才能保證整個(gè)信息系統(tǒng)的安全建設(shè)能夠達(dá)到等級(jí)保護(hù)的預(yù)期目標(biāo)。但是實(shí)際上,由于缺乏相關(guān)的強(qiáng)制安裝機(jī)制,內(nèi)網(wǎng)終端并沒(méi)有100%的安裝上相關(guān)的軟件,這將成為整個(gè)信息安全保護(hù)建設(shè)的漏洞所在。”基于以上問(wèn)題,北京出入境檢驗(yàn)檢疫局提出了“四點(diǎn)”以終端安裝校驗(yàn)為要求的準(zhǔn)入控制機(jī)制。即要能實(shí)現(xiàn)主動(dòng)識(shí)別和發(fā)現(xiàn)未安裝內(nèi)網(wǎng)安全管理系統(tǒng)軟件的終端;要對(duì)未安裝內(nèi)網(wǎng)安全管理系統(tǒng)軟件的終端,禁止訪問(wèn)某些重要的信息系統(tǒng);同時(shí)對(duì)未安裝內(nèi)網(wǎng)安全管理系統(tǒng)軟件的終端,要提供一定的手段進(jìn)行安裝提示;還需要支持訪客模式管理,允許訪客白名單設(shè)置。”
“我們希望在部署了北信源內(nèi)網(wǎng)安全管理系統(tǒng)軟件后,要從主機(jī)安全加固、主機(jī)安全審計(jì)出發(fā),加強(qiáng)內(nèi)部信息系統(tǒng)的安全保護(hù)。” 北京市出入境檢驗(yàn)檢疫局相關(guān)負(fù)責(zé)人強(qiáng)調(diào)了此項(xiàng)目建設(shè)要達(dá)成的目標(biāo)。
安全準(zhǔn)入:北信源給出解決之道
根據(jù)北京市出入境檢驗(yàn)檢疫局的需求,北信源公司向用戶(hù)推薦了北信源網(wǎng)絡(luò)接入控制解決方案,該方案可以作為北信源內(nèi)網(wǎng)安全管理軟件解決方案的有力補(bǔ)充,通過(guò)主動(dòng)探測(cè)或者被動(dòng)接收的方式,識(shí)別發(fā)現(xiàn)未安裝內(nèi)網(wǎng)安全管理系統(tǒng)軟件的終端,禁止未安裝軟件的終端訪問(wèn)重要的系統(tǒng)信息資源。北京市出入境檢驗(yàn)檢疫局,目前有17個(gè)處室,所有處室都通過(guò)專(zhuān)網(wǎng)連接到總部訪問(wèn)設(shè)置在總部的服務(wù)器資源,只要在總部服務(wù)器區(qū)域前端部署一臺(tái)北信源網(wǎng)絡(luò)接入控制系統(tǒng),就可以保證所有處室的終端在訪問(wèn)服務(wù)器時(shí)必須要安裝內(nèi)網(wǎng)安全管理系統(tǒng)軟件。
系統(tǒng)部署示意圖
工欲其事,必先利器:北信源方案之“優(yōu)勢(shì)”特點(diǎn)
北信源網(wǎng)絡(luò)接入控制系統(tǒng)區(qū)別于傳統(tǒng)的NAC技術(shù)(即純粹的用戶(hù)認(rèn)證準(zhǔn)入),采用最新的TNC(可信網(wǎng)絡(luò)連接)理念,將NAC技術(shù)和終端測(cè)量、終端評(píng)估技術(shù)進(jìn)行結(jié)合,在身份認(rèn)證的基礎(chǔ)上增加了終端安全性校驗(yàn)等準(zhǔn)入手段,將準(zhǔn)入控制技術(shù)提高到了一個(gè)新的層面,為網(wǎng)絡(luò)提供了更可靠的安全加固手段。
主要優(yōu)點(diǎn)如下:
· 基于終端完整性測(cè)量、終端完整性評(píng)估以及網(wǎng)絡(luò)控制于一體的三元體系結(jié)構(gòu),形成從身份認(rèn)證、終端安全認(rèn)證為準(zhǔn)入基礎(chǔ)的控制體系。
· 部署模式靈活,支持串接和旁路部署,可以適應(yīng)不同的網(wǎng)絡(luò)環(huán)境,即插即用。
· 對(duì)終端采取桌面安全軟件強(qiáng)制認(rèn)證,對(duì)未安裝桌面安全軟件的客戶(hù)端進(jìn)行阻斷,終端探測(cè)基于主動(dòng)掃描和被動(dòng)接收兩種模式,根據(jù)用戶(hù)的不同網(wǎng)絡(luò)環(huán)境可以靈活設(shè)置。
· 針對(duì)終端探測(cè)不受NAT環(huán)境影響,可以充分保證終端桌面安全軟件的安裝率。
· 對(duì)于終端需要安裝的補(bǔ)丁可以有選擇的推送,避免過(guò)多不必要的補(bǔ)丁安裝在終端影響終端的處理速度。
結(jié)語(yǔ):
在部署了北信源網(wǎng)絡(luò)接入控制系統(tǒng)后,經(jīng)過(guò)內(nèi)網(wǎng)安全管理系統(tǒng)后臺(tái)統(tǒng)計(jì),終端的安裝率從65%上升到了100%,覆蓋內(nèi)網(wǎng)控制區(qū)域的每臺(tái)終端,徹底清除了內(nèi)網(wǎng)的不安全因素,保證了計(jì)算機(jī)信息安全保護(hù)條例制度在北京市出入境檢驗(yàn)檢疫局的順利實(shí)施。
