建设部住房公积金监督管理信息系统网络安全互联解决方案

应用

建设部住房公积金监督管理信息系统

网络安全互联解决方案

一．项目背景

建设部住房公积金监督管理信息系统是国家建设部利

用信息技术和网络技术组建的４部省，市。三级住房公积金监控网络．实现政府主管部门监管所需信息的动态采集．汇总和分析．为政府管理部门管理和监督提供分析和决策依据．实现部、省级住房公积金监管部门对管理中心资金管理运作情况进行全面．及时．有效监督。目前．公积金监督管理信息系统依托的是租用的电信网络．根据建设部的相关文件要求．在搭建公积金监督管理信息系统闷络平台的同时，应该充分考虑公积金管理系统的网络安全建设．因此，川大能士公司将在本方案中，就部省级（或直辖市级｝节点之间的网络安全互联问题提供安全解决方案。

川大能士公司针对部省级住房公积金监管信息系统网络平台安全建设的需求．提出了部级节点与各省级直辖市级节点网络构成的广域网平台的网络安全互联解决方案。该解需求。

需求］各节点内部网络与建设部的专用网络平台应通

过防火墙实现网络的安全隔离，并能通过防火墙的安全策略实现网络的可控性、可管理性和有序性ｉ

需求二

网络安全设备必须通过Ｔｏ｛ａｊｓＬＶｅｗ网管系统

进行集中化网络管理．实现网络资源的统一调配ｉ

需求三保障住房公积金各节点网络之间的数据安全传输等。

三、解决方案

＝．需求分析

川太能士公司通过对建设部住房公积金监管信息系统的网络平台结构及应用系统的详细了解，分析住房公积金监管信息系统的应用特点．管理特点及数据流向．结合住房公积金监管信息系统的省级接人节点众多、网络平台覆盖范围广．

决方案主要解决三个方面的问题

（１）采用防火墙实现部级节点以及省级节点的网络安全隔离与防护．有效避免来自专网的恶意攻击与非法访问．控制节点网络内部用户的网络访问行为ｉ

（２）网络安全设备的管理采用模块封装的方式．通过Ｔ。ｔ８ｆｓＬＶｌｅｗ网管系统的调用实现对各种网络安全设备的集中管理

ｆ３）部级节点与省级节点之间白勺数据传输通过ＶＰＮ安全

数据传输安全要求高系统管理要求统一等特点，对部．省

级住房公积金系统网络平台的安全建设提出以下几个方面的

隧道．充分保障数据的安全性。

辽宁电力科技信息部高级工程师胡博称：。这一安全构架稳定、可靠．管理简单，维护成本极低。使用诺基亚安全解决方案．辽宁电力得以在网络基础架构中集成实施最灵活易管理．高效能的安全构架，实现了目前企业最迫切的信息

信息中心主任潘明慧也评价道：“诺基亚大企业安全方案，是可靠易升级的安全基础构架，其一体化的策略管理和ＶＰＮ接人技术，具有灵活的可维护’｜生和伸缩性。满足了辽宁省电力有限公司对电信级高性能安全网络的技术和性能要求。”

化目标——安全的移动办公和远程办公。”（诺基亚提供）ｏ

万方数据　

２。。ｄ

４引算机蚕宅３７

１，网络安全隔离与防护

理的作用．实现一个统一的管理平台对多种设备的管理。

对于部省级节点网络的安全隔离与防护．选择成熟的通过建立集中的安全管理平台能够为住房公积金监管系防火墙技术建立节点内部网络的安全防线。其网络结构如图统的网络应用建立方便完善的集中管理机制、统一协调机制、１所示。

综合分析机制、关联响应机制．能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台，能够配置ｌＤｓ与防火，墙，防病毒系统之问联动策略，当ｌＤｓ检测到蠕虫病毒事件时，网络中的防火墙和防毒系统马上即可收到事件通报．于是防火墙采取行动．封堵病毒传播通道，防毒系统进＾查杀过程．蠕虫病毒就被以最快的速度遢止．并被消灭在一个有限的网络范围内。

３．数据传输安全

建设部住房公积金监督管理信息系统的部级节点与省级，直辖市级节点之间的数据传输需要通过公用的网络平台．因

图１建设部住房套积金监管乐兢同络结构示意图

此有必要充分考虑数据在网络传输中的安全性采取措施保障数据在传输中的机密性可用性以及完整性。

在部省节点内部网络接入建设部专网的网关处．采用在该解决方案中，可采用能±防火墙的ＶＰＮ网关模块．组能士防火墙系统。通过细化部级节点以及省级节点网络信息建部级住房公积金系统节点与各省级节点的虚拟ＶＰＮ专用网系统之间的数据交互以及与外部网络的访问服务等具体需求．

制定如限制省级节点网络对部级节点网络的某些信息资源的

络，为部节点与各省级节点网络之间的数据交换、网络资源共享．内部业务系统以及实现语音视频等应用服务提供了

访问、限制或禁止来自省级节点网络的某些非法访问．以及高强度安全保障。

部级网络资源根据安全等级的高低分组．针对组的安全等级

ＶＰＮ网络效果图如图２所示。制定相应的安全策略，将对外服务器放置于防火墙的ＤＭｚ

区，实现服务器与内部网络和外部网络的安全隔离等安全策略。总而言之，对于部、省级节点内部网络信息系统而言，能士防火墙主要是实现以下几方面的功能：

（ｆ｝控制外部台法用户对内部网络资源的网络访问．（２｝控制外部台法用户对服务器的访问，（３）控制内部用户对外部网络的访问（４）阻止各种可能出现的网络攻击，（５）防止内部主机的Ｐ欺骗．

（６）对外隐藏内部Ｐ地址和网络拓扑结构ｊ国２建设部住房套积全监管茉统Ｖ州示意图

（７）网络监控与日志审计，

（８）实现与ＴｏｔａＩｓＬｖ｝ｅｗ网管系统的整合。

四、方案特点

２．安全管理

建设部住房公积金监管系统的网络管理采用Ｔｏｔｏ『ｓＬＶ

ｅｗ

网管系统进行集中网络化管理。能士防火墙的管理模块存放该解决方案的主要特点表现在，一方面川大能土公司在在ＴｏｔａｌｓＬＶＩｅｗ网管系统的ｗＥＢ服务器上．每次需要管理能针对建设部部级与省级节点网络的访问需求、及通过安全’眭士防火墙时Ｔ。ｔａｌｓＬＶｌｅｗ网管系统就检查本地管理模块是否存评估分析出的网络安全需求的基础上，制定的部级节点与省在，如果不存在就从ｗＥＢ服务器下载能士管理模块然后通级节点网络安全的整体安全策略，另一方面是川大能士公司

过ｗ阻页面调用能士管理模块．再利用能士管理模块实现对紧密地配台建设部Ｔ６川ｓＬＶ｝ｅｗ网管系统的升发小组，率先提

安全域内能士防火墙的安全管理。

供了能士防火墙管理模块与ＴｏｔａｌｓＬＶｌｅｗ网管系统之间的无缝在Ｔ。ｔａｓＬＶ｜ｅｗ网管系统平台基础上．除了能士防火墙集成，并很好地优化了相应的管理功能与协作功能，实现了

以外，还担负着对网络中的其他安全设备．网络设备进行管

建设部部省级节点内部网络设备的集中网络化管理。

３８。ｒ算机妥ｉ

万　

方数据２∞４

４

五，解决方案实现的安全效果

该方案中的住房公积金监督管理信息系统的安全性建设措施能够充分满足部级节点网络与各省级网络与建设部行业专网的安全隔离与防护，避免来自专网的非法攻击与访问．并能够保障各节点之旬的数据传输安全以及数据交互共享的需求及以后安全系统扩展的需要．从而达到网络能够正常运行．满足住房公积金监管信息系统网络业务对安全的需要。其安全特性主要表现在以下几个方面

【¨部级住房公积金管理系统节点网络以及省级节点网络之间通过能士防火墙安全设备与建设部行业专网进行安全

的内容安全过滤诸如ｕＲＬ过滤．邮件过滤会话数控制等，

｛６）通过能士防火墙提供可扩展的内嵌式人侵检测功能，能实时监控网络通信状况，对异常通信自动阻断，

（７）通过ＴｏｔａｌｓＬＶｌｅｗ的管理平台对所有访问控制过程进行日志记录，如通信事件、违规事件等等对违规通信．安全事件进行实时报警．并可根据相应策略对事件进行安全审计：

（８）整个安全系统具有良好的可扩展性，能够很轻松地实现安全系统的扩展和升级，

（９）整个安全系统具有广泛的适应’生，能充分利用现有网络设备．并对其原有网络机构不做大的调整．可以简化实施。

随着建设部专用数据网络平台应用的不断发展．住房公积金监督管理信息系统的网络安全建设是一个长期的过程．这需要从技术．产品管理、人员等多方面因素的保障，也是一个不断改进、增强的过程，这个过程中需要用户，解决方案提供商、产品供应商信息安全的主管领导部门和相关的专家共同参与．为保障建设部住房公积金监督管理系统的安全顺畅的运行奠定坚实的基础。本方案已经在建设部住房公积金监督管理信息系统应用的省，市应用．经过近一年多来的

隔离，保障各节点的内部网络安全．免受来自外部网络的攻

击与破坏．

（２）防止外部网络中非法．未授权用户通过建设部行业专网进人部级节点胜厦省级节点内部网络．

（３）部级节点及省级节点内部网络通过防火墙的ｌＰ与ＭＡｃ绑定避免内部ｌＰ地址的冒用．防止内部ＩＰ欺骗等行为．

（４）支持集中管理模式ＴｏｔａｌｓＬＶＩｅｗ网管系统可以很方便地对整个安全系统的设备进行管理，并通过智能化的配置向导功能实现快速部署安全策略．

（５）通过能士防火墙的安全策略可对网络通信进行丰富

稳定安全运行．受到用户的高度认可。（川大能士提供】ｏ

ｉ生謦壁唑塞叠ｊ；二皂缝黧溪≥茹蓦黧喜鬈嚣譬翟辫：：三：：；：喜誉嚣！嚣馨塞：蓑恭ｉ淼未喜：嚣二

ｊｊ｜【ｉ套謇节爨舅礴黪ｊ｜｜＿｜穆雅辫零穆－爨毒誉零霁痰能力

２００４牵３月伯昝．总辩自防御鹂绩｛；ｓｅｆ睁ｏｅ伯ｎｄＩｎｇ№ｔｗｏｒｋ，ｓＯ阳ｌ计划中国舄动搜戴在ｊ￡寰攀行．零科系统公司市场总盗Ｄ∞ＩｅＩ№矧ｏｎ先堡向审图媒壤灞避了恩科”自防御网绪计划”的核心理念．采莱赣简秘窭飘涟径。思科自防御网络计划是～个创新豹、多侧面的孵络安全战略，其目标是提高网络发觋．防御和对抗安受虢骖豹能瑚。网络准＾拉错（Ｎｅｔｗｏ限Ａｄｍ｝ｓｓｌ口ｎｅＤ＾￡蚓Ｉ是思科霸防御网络计划的壁婴组成部芳．其核心思想悬．控制访闷械限，有效阻止不符翕安全条件的设备及访问避＾网络，并褥其置平某个隔离区域之外．或者仅获得对计算资源静莉酿访问极限。网络准Ａ控剿与思科公司关于麟络寰金的其德技术．娜，＼侵检测．葫火墙。嘲鳍管理与流璧分析．Ｖ刚萼霸｛笙一起．就构戒了自舫御两鳢豹全部固港。

＿一

＿

思科市场总鉴阢ｎｌｅｌ№∞】ｏｎ说，璃络在给火类豹信息沟通和交流带来极大方使的同时．也终备种病毒，恶意攻击韵横行带来了可趁之机，一个新病毒从发作到传遍全球的网络．

＼

思科礴络接炎控稠基通过与韭肉ｆ商合作来察现的

２００３年１１月，悉科室肴爹毒Ｎ糊≯ｓ￥㈣ｎｔｅｏ、１－ｒｅ喇Ｍｆｃｒｏ三茅国际反病毒软件Ｆ商脊貉，渔过憋科安垒代理软件㈦ｓｃｌ

ｓｅｃｕｎｔｙ

Ａｇｅｎｔ）萼黼瘸毒辕襻翡瓤奢，将思科对确络恶意ｆ

为的防期能力延傣剽雕费喾萋和尊｜ｃ端煎止。２０铸年２月．蔻科｛又与】ＢＭ达成类狻酶眢终。｛醮ｌ褥禚其笔｛己奉电脑和Ｔｊ怕ｌ

网络软件两端支持自黔锶孵绪鲤剡≥思科夸蘑还将把网络拄

人控制诗划向夔多韵Ｆ商釉机构汗教．与业赛广泛合作，掌同编织出一张抵御程侮恶意褥巍韵蒴护潮。

思科确络接氖控制壤分羔夺萤联实现，第一步．在２００年中期．思科接＾路由器和审档路南器将支持网络接＾控制并将思科安金代理《ｅｓＡ）ｉ软件集成到恩科搁应的网络设备以及合作厂商的软昝产晶ｉ第二步。弼绪接欢控制将扩展蜃多种思科产品，包括变换机、无线接Ａ设备辆安全设备．簧三步，将Ｐｃ和服务嚣端点岛弼络的安全互操作能力扩展为睡

堵安全威胁的能力．＠

万方数据　

狮ｕ。Ｌｒ霁ｄｌ安宝３９

本文来源：https://www.bwwdw.com/article/k3g4.html