解决方案  >  政府部门网络安全解决方案

  电子政务离不开网络信任机制的支撑,加快网络信任体系建设是政务信息化建设的一项重要任务。得益于传统的安全技术及方案的实施,在网络边界 问题得以日益健全的今天,内网安全问题越发突出,如何解决面临的严重内网威胁,可靠,合理的利用好现有的网络资源,将内网安全隐患拒之门外,营造高效,绿 色的政务网络,为社会大众,提供全方位的信息服务,更好地实现政务公开和网上办事等多种服务功能。

  通过在政务网中部署盈高的高性能ASM(Access Standard Management)内网安全准入系统可以很好的解决上述问题,为客户营造安全,高效的内部网络环境。

方案介绍
 

客户名称:宁波市工商行政管理局
所属行业:政府机构
客户简介:宁波市工商行政管理局下属余姚、慈溪、鄞州、奉化、海曙、江东、江北等16个区县的工商分局,是全宁波地区市场监管和行政执法的政府工作部门,负责进行产品质量监督、消费者权益保护、企业年检、企业登记等各项的执法工作。
客户需求:为了保护网络的安全和整体健康性,需要对分布广泛且数量众多的入网计算机进行身份认证,并对计算机的安全性(如补丁安装情况、杀毒软件安装情况等)进行扫描和修复,另外需要统计全网计算机的资产情况。
应用规模:下属16个区县,近400个所属机关单位,近2500台电脑,包括各品牌台式机、移动设备、打印机,其中还包括一定数量的无盘工作站。
实现功能:策略路由(PBR)准入控制、接入设备安全性扫描、资产管理、黑白程序、上网控制、U盘管理等。


应用背景与需求分析

  在国家对政府机构信息化建设日益重视的今天,宁波市工商行政管理局已经建立起了完善的电子政务系统,各区县分局基于政务信息系统进行日常工作和 管理,效率高,使用便捷。但由于目前所辖区县众多,区县下又管理了所属的各大小机关,总数众多,且遍布宁波全市各个角落。在这种情况下,如何对全电子政务 网内分散各地的众多接入计算机进行统一管理,如何确保整个工商系统电子政务网的安全性,如何进一步提升全网信息安全水平并符合国家等级保护等相关法律法规 的要求,就成为了当下较为紧迫的问题。
  总体来看,宁波市工商行政管理局的本次内网安全建设有如下需求点:
  ·身份认证
  结合电子工作证U-key,对全市工商系统(包含县区的所有信息节点)的终端PC接入进行安全准入控制。要求稳定、简单、有效、可用,必须兼顾整体安全性和下级管理员的使用便捷性。
  ·安全管理
  对入网PC的安全性(杀毒软件安装、补丁更新、弱口令、屏保等)进行扫描并及时修复,管理终端设备的应用软件使用情况,对其能够访问的网站进行管理。另外需要对外来U盘的随意插拔进行控制和审计。
  ·分级管理
  能够进行分区域和多级管理,能够使现有的管理结构更加明晰、合理、细化。并可以对管理员进行细粒度的权限分配,以确保用户根据管理范围的不同具有相应的管理权限。
  ·信息统计
  对所有的资产明细列表、资产报修、资产报废等均能做到及时更新,便于市局进行统计;
  能够有效地将终端命名等规范推行到各个信息点;
  能够方便快捷的检查各终端的安全状况及使用状况;
  各类检查能以报表形式展现,并能进行各分局间的对比。

盈高科技针对性的内网安全NAC解决方案

  通过市局信息部门领导和盈高科技专业团队的详细交流和规划,最终决定采用INFOGO-ASM入网规范管理系统做为整个项目的准入平台,采用旁路方式连接核心交换机,并结合策略路由环境进行网络准入控制NAC。
  整个系统采用双机冗余方案,通过热备方式确保平台运行的稳定性,从而获得更为优质的服务。

准入平台建设成效

  部署效果:
  通过技术手段确保了规章制度顺利有效的执行,真正做到100%的执行率;
  通过用户名/ 密码、USB-Key认证、手机短信等多重认证方式相结合,实现全面、统一、灵活的强身份认证机制;
  实现市、区/县、乡镇多层次的分级分权限有序管理;
  人性化智能接入终端引导,对不同的接入用户采用不同管理模式,用户身份认证、终端安全性检查得到智能的流程化实现。

  入网基本流程:
  1. 入网前检测设备是否插入UKEY,无UKEY则拒绝入网,支持用户通过短信进行认证;
  2. 入网前检查是否安装桌面客户端,能够对无客户端设备自动安装桌面客户端,确保只有安装了桌面客户端的设备具备入网访问权限;
  3. 入网后,一旦UKEY被拔掉,10分钟(时间可设置)之后断网;一旦桌面客户端被卸载,立即断网;
  4. 电脑在自带UKEY的情况下,每次开机后能够自动进行身份认证和安全扫描,不需要用户手动进行入网配置。

用户评价

  通过本次项目实施,对整个网络重新进行了安全规划和加固:一是优化了原有网络接入方式,保证了网络的安全性和可靠性;二是对全网2300多个信 息点的接入做了控制,必须达到安全规范才能接入业务网,确保每个接入网络的终端都安装了最新的防病毒软件,重要补丁都得到安装等;三是对每个终端的流量作 了采样,统计终端的流量排行,并且对异常流量行为的终端采取措施。从网络与终端等方面立体化地加固了网络的安全性。
  特此感谢杭州盈高科技公司对我局网络安全建设的大力支持。