解决方案

锐捷网络应用安全域解决方案

字体: 发布时间:2012-06-07 点击量:4154

自1999年我国“政府上网工程”正式启动,至今已历经十年。早期的政府网络,主要用来处理电子政务的相关业务,例如行政审批,公文流转等业务,是一套独立的内部网络。

随着互联网的发展,办公人员访问互联网的需求与日俱增,于是绝大多数政府单位都增加了互联网的接入,但对于关键性的业务,由于其安全性需求,不能与互联网相通,于是在很多单位出现了桌面双电脑的配置,一台接办公网,一台接互联网。

两套互相隔离的网络,首先是资源的浪费,两套物理设备带来了双份的设备和管理投入。2008年开始,国家开始建设电子政务外网,其根本目的就是节能减排,统一管理,政务公开。首先,建设一个电子政务外网,让各个单位纵向和横向的业务都可以迁移到这张网上来,避免重复性的建设,其次,统一互联网的出口,让各个单位都通过统一的互联网出口上网,这样降低了成本,也由于专门的维护团队的进入,使得安全性、性能都大有提升。于是我们看到了从一张网到多张网再到一张网的演进过程。

再次合并成一张网后,由于已不是单纯的内网,所以安全问题也显现出来:

重要业务要与互联网隔离,但终端PC成了内外互通的桥梁?

1.为了安全,一般在网络建设中会通过防火墙等设备将互联网与内部业务进行隔离,但由于使用的终端还是一套,所以终端PC无意间打通了内网与互联网,一些木马和病毒可以方便的通过互联网控制内部主机发起攻击,窃取、篡改信息。

2.政务网内业务众多,并非每个用户都需要访问所有业务,非授权的访问带来的安全风险?当前的政务网络中业务众多,涉及到的人员也不同,例如典型的行政审批和电子监察业务,属于监管与被监管的关系,这两种业务的使用人群和功能均不相同,如果放在一起无疑会带来“监守自盗”的风险,所以需要加以进一步的隔离。

在《等级保护网络技术要求》中,第一次提到了“安全域”这个概念,指的是根据业务的安全等级不同,将相同等级的业务系统服务器划分到同一块隔离的网络区域中,只授权给有访问权限的用户使用。这就给政务网络的建设提出了一个标准,即在同一套物理网络中,如果存在安全等级不同的业务,则需要将其在网络中的位置划分为不同的安全域,我们将这一条进一步扩展,可以继续在同一安全等级中将不同类别的业务划分开来,实现基于业务种类和安全登记的矩阵式划分。

这种矩阵式划分之后,就会面对终端用户的业务访问难题,终端是一套,业务网络却被分割成了多个区域,又不能互通,那么用户如何访问不同的业务呢?由于政务业务的特性,可以采用“分时复用”的方式来解决这个问题,即同一时间只办理一个业务,也只访问一个安全域。

 

锐捷网络应用安全域解决方案价值点:

1.实名准入

做安全的第一步就是明确身份,通过实名制准入,可以让一切安全事件迅速定位,追根述源。同时,权限的划分也是基于身份信息,从而做到权限到人,并能够跟随用户而漫游。

2.权限划分 

针对不同用户提供不同的访问权限,有效保障重要数据的安全。这种划分是构建于用户登录网络这一动作之上的,而不是划死的权限,用户登录,权限生成,用户注销,权限回收,也不会占用多余的设备资源。 

3.灵活跳转 

对于拥有多域访问权限的用户,可方便的在多域之间跳转。这也是应用安全域解决方案区别于传统解决方案的地方之一。通过身份系统的介入,用户可以在每次登录时选择自己权限内的任意安全域登录,这使权限划分方便了很多。

4.严密隔离同一用户同一时间只能访问一个安全域,同一物理网络上不同业务数据绝不交叉。这种隔离是基于网络层ACL实现的,其安全程度要高于应用层的隔离手段,其被攻破的几率非常之低。

 5.便捷访问登陆后即弹出安全域资源列表,便捷访问各种业务系统,一方面可以让用户了解当前安全域中他所拥有的全线,另一方面也免去了用户记忆各种业务系统的复杂地址。 

6.合规合法 

符合三级等保要求。

有帮助?

%的人认为这有帮助

相关产品

请您留下联系方式! 以便为您提供更专业的服务!

姓       名
单       位
手机号码
电子邮箱
联系地址
提      交