【IT168资讯】用户需求

　　福建省道路交警总队的网络系统是全省交管系统的核心，保存着大量敏感数据，同时还承载着很多重要的应用服务。长期以来，福建省道路交通管理信息系统处在一个网络信息安全风险极高的环境中，其网管中心一直在寻求一个集高安全性、高可靠性和高性能于一体的网络保护系统，以确保全省交通系统宝贵数据的万无一失以及核心应用系统的平稳运行。2005年初，国内领先的网络安全解决方案提供商冠群金辰公司为福建省道路交通管理信息系统成功实施了一套完善的安全防护解决方案，彻底改善了以往该系统防御安全疫情能力不强的状态。

　　需求分析

　　冠群金辰深入分析了福建省道路交通管理信息系统网的网络建设和网络安全现状，进而发现其网络系统当前面临的信息安全威胁主要来自内部局域网和外部互联网两个方面。

　　从内部来看，网络管理员不仅要谨防个别内部人员滥用权利越权访问局域网中的机密信息，更要警惕各种来自网络内部的针对网络基础设施、主机系统和应用服务的恶意攻击，同时还要防止病毒、非法信息等有害信息在局域网中的传播，这些威胁因素都极易导致福建省道路交通管理信息系统网络的瘫痪，或造成不良社会影响以致使网络和系统服务被迫停掉，更严重的甚至是造成重要信息的泄密和数据被篡改。

　　在另一方面，福建省道路交通管理信息系统还时刻受到来自外部的黑客恶意破坏的威胁，网络管理员必须能够有力地阻止那些恶意的远程用户通过身份欺骗的方式非法登录到系统中以盗取重要信息，同时还要防止总队和各分队网络之间信息互访时的数据丢失和泄密，以及外部有害信息（如病毒、非法信息）向系统内部的渗透和传播等。

　　此外，冠群金辰的安全工程师还发现，福建省道路交通管理信息系统中的数据库应用系统，还存在许多诸如口令泄漏、权限等级含糊等安全弱点。而且，由于管理制度的不够完善也直接造成了其网络的安全性和可靠性不高。

　　解决之道

　　通过对福建省道路交通管理信息系统的网络环境和主要应用的深入分析，冠群金辰决定从防火墙、入侵检测以及系统与网络安全漏洞扫描和过滤三个方面着手为其设计一套完善的安全防护解决方案。

　　在防火墙的设计方面，冠群金辰本着这样三个目标：将福建省交警总队内部网与公网用户隔离开来，以限制用户非法访问，真正保护网络边界的安全；将福建省交警总队内部网与广域网用户可靠隔离开来，以防止攻击者通过广域网上的工作站直接攻击核心服务器群；对地市支队二级网络的不同区域实施隔离，通过防火墙策略控制信息的流向，并防范隐藏的网络攻击。根据这样的设计目标，冠群金辰为福建省道路交通管理信息系统选择了2台KFW1000防火墙，并将它们以HA高可用性模式在网络中进行部署，这样就隔开了交管业务核心服务器群，使网络系统能有效地防范来自外网和内部其他区域的攻击。同时还利用其现有网威百兆防火墙实现外部用户与WEB服务器以及外网数据库的逻辑隔离，并对访问实施控制。

　　防火墙配置图

　　为及时应对来自内部或外部网络的各种黑客攻击，以保护内部资源不被窃取或破坏，并对网络系统内部数据进行有效的实时监控，以帮助网络管理员准确判断出福建省道路交通管理信息系统网络中的问题，冠群金辰为其部署了干将千兆和干将百兆入侵检测系统。冠群金辰的干将入侵检测系统是业界领先的功能非常强大的基于网络的入侵检测系统，它能全自动地识别网络使用模式、网络使用具体细节，并可以识别大量基于网络的入侵、攻击和滥用。干将入侵检测系统曾获得公安部颁发的安全专用产品销售许可证以及国家信息安全测评认证证书。为尽量降低对网络效率和可靠性的影响，冠群金辰将入侵检测探测器安装在需要检测网段的交换机监听口上，并分别在千兆防火墙之后连接数据中心服务器群的主干交换机上配置了干将千兆入侵检测系统，以对福建省道路交通管理信息数据中心的关键服务器系统进行保护；同时在外网边界部署干将百兆入侵检测系统，检测来自外部网络的攻击，并配合百兆边界防火墙进行有效的阻断。

 
　　入侵检测系统配置图

　　此外，为及时发现福建省道路交通管理信息系统内部网络中设备、主机系统和数据库的安全漏洞，并协助管理员进行修复，提供系统主动防护功能，冠群金辰为其部署了承影漏洞扫描器。冠群金辰的承影漏洞扫描器是当今主流的中文版商业漏洞扫描工具，采用多线程扫描机制，能对包括网络设备（如交换机、路由器、防火墙、IDS等）、主机操作系统、数据库系统和主流应用程序如WWW、DNS的安全漏洞进行扫描，扫描速度极快，误报率低，且对网络和主机性能的影响很小。凭借优异的性能，冠群金辰的承影漏洞扫描器曾获得公安部颁发的销售许可证、国家信息安全测评中心认证。

　　最后，为防止内网用户通过上网浏览、下载或发送电子邮件等方式感染病毒和蠕虫，并传入到内网中，冠群金辰还为福建省道路交通管理信息系统部署了KILL过滤网关。冠群金辰将KILL网关过滤系统以透明方式直接串连接到交换机和百兆防火墙之间，进而帮助福建省交通管理业务信息网络能够抵抗对外部病毒、蠕虫和垃圾邮件等方面的有效过滤。

　　KILL过滤网关配置图

 
　　总体配置方案拓扑图之一

 
　　总体配置方案拓扑图之二

　　尾声

　　实践证明，冠群金辰针对福建省交通管理业务信息网络的特点，从防火墙、入侵检测以及系统与网络安全漏洞扫描和过滤三个方面为其打造的立体防御体系，使用户彻底摆脱了对病毒蔓延、保密信息泄露以及不良信息传播的侵扰。

　　然而，随着我国交通系统信息化的推进，如何保障我国交通信息系统的正常安全运行正变得越来越重要，特别是在当今病毒和黑客入侵越来越频繁的趋势下，如何有效地利用技术和管理手段进行网络安全建设，最大限度的减轻甚至消除来自网络的安全威胁，将是交通系统的一项长期的任务。