项目背景
中国海关系统的运行网是海关最重要的内网,省级海关40多个,地市级分关近500个,该网近3万多台H2000微机终端,肩负着国家数十万亿元的出入关检查流程处理,其运行的安全,至关重要。
为了应对日益严重和紧迫的信息安全问题,加强对接入海关H2000通关系统的专用微机、便携机的安全管理,根据总署对接入H2000系统微机的安全管理要求,宝信软件与海关总署共同完成了系统的技术需求和方案的设计工作。
管理上特点
1、涉密等级
内网管理制度非常严格,属于国家保密单位,单位领导非常重视涉密的信息安全,整个海关属于半军事化管理状态。
2、涉密单位结构
整个运行网上的每台H2000都很重要,包括了各个二级机构的参与报关手续的H2000,都纳入了严格地管理范围之中。同时为安全起见,运行网同OA进行了物理隔离。
3、信息化程度
单位人员素质较高,一般工作人员都是经过筛选考试的很优秀的公务员,对自己计算机能熟练操作,对自己负责的业务也很熟悉,信息化程度非常高;
4、技术处信息安全科人员素质
信息安全科是整个运行网的监管中心。信息安全科长在整个单位处于强势地位,对于eCop的实施,特别是客户端管理软件的实施和升级带来很大的便利。
信息安全科的业务员对于业务认真负责,思维也很活跃,很善于提出建设性的需求,这个的确利于我们在产品功能上的逐步完善,但同时也导致产品的需求比较容易变更,需要比较谨慎处理对待。
内网资源特点
1、终端分散程度
二级机构众多,内网节点总数大,位置非常分散;
2、软件自动分发
域管理很发达,有自己的专用分发工具CA;
3、是否允许使用个人防火墙
制度已经规定了不允许使用个人防火墙;
4、终端计算机性能
计算机品牌就像军队的服饰,非常标准化,硬件性能配置一样。
5、常用软件
H2000上都使用的是windows XP,运行网上运行的软件有海关报关用的专用软件,kill防病毒软件等专用软件,运行其他程序很少。
6、路由交换设备
网络路由交换设备单一,交换机、路由器品牌一般是一个厂家——思科。大部分地区网络通讯质量很好,比较偏远的分关,网络通讯质量受到很大影响,甚至有些分关采用拨号上网,同总部建立连接。
从而,参差不一的运行网通讯质量,客户端管理程序软件分发成功率降低,故而这就决定了客户端管理程序的安装需要同手工安装结合起来。
行业典型需求
海关运行网管理非常严格,属于国家保密单位,其内网信息安全的基本需求如下:
1、外联监控
海关H2000存储着国家通关检审的重要信息,要求严格保密,内部网络信息严格禁止与国际互联网直接或间接发生连接。
2、设备端口管理
不允许用USB等设备拷贝资料,特别是计算机的通讯端口,一般需要禁用掉。
3、资产管理
由于二级单位使用的计算机比较分散,台帐不好管理,对“基础信息”和“资产信息”的集中管理的需求强烈。
4、读卡器检查
读卡器检查是海关特殊的业务需求,主要用来检查IC卡使用是否符合标准表,读卡器使用是否符合标准注册登记表。
5、开关机检查
H2000一般都有自己正常使用时间,海关需要知道这些H2000是否有违规开机,比如在非上班时间开机的可能性,如果有,需要记录。非工作时间开机,可能会造成涉密信息的泄漏。
6、节点接入控制
对于不是该内网的计算机接入内网,希望能对该未登记注册的计算机进行快速隔离和阻断。
对于内部非法修改终端计算机网络设置的计算机能进行验证,即节点验证的需求。
方案设计
第一期实施方案重点在于客户端安全的管理,即满足外联监控和设备端口管理、资产管理、开关机检查、读卡器检查等需求。
eCop中心控制服务器部署在各级海关内网中心机房的服务器网段内。客户端管理程序安装在各个被管理机构的终端计算机上。
各个海关采用多级管理结构,海关总署可直接监控和管理各省级海关eCop系统。各省级海关独立管理所管辖范围的终端及下属各分关的终端,采用2级管理机构,实现数据汇总及统一策略配置。省级中心可集中管理分关终端,也可将权限下发给各分关自行管理。
整个方案部署示意图如下:
实施过程特点总结
整个方案的实施大致分为三个阶段:
1、信息安全科工作人员试用的阶段。信息中心的人员先在自己部门小范围内试用,积累初步经验。
2、大规模部署安装客户端阶段。在客户端功能特点试用比较成熟后,信息安全科工作人员在利用CA工具下推安装客户端管理程序。
3、拉网式盘点检查阶段。利用每年安全大检查,对各个二级单位各个终端计算机上安装的客户端管理程序进行检查,对于没有能否正常工作的客户端管理程序进行重新安装和升级。
使用效果
整个客户端管理经过三次较大的升级,完成了产品客户端所有的功能。海关信息安全科的工作人员已经能够非常熟练操作eCop中心控制器和部署客户端管理程序。
eCop的成功实施和稳定运行,减少了技术管理人员的工作量,提升了运行网安全管理的水平,达到如下效果:
1、加强了对内部计算机资产管理;
2、有效防范了信息泄漏,防止了“病从口入,祸从口出”;
3、杜绝了违规外联事件;
4、充分实现“以人为本”的理念,实现信息安全工作齐抓共管;
5、同时为设备维护人员提供了有效的管理平台;
6、提升了海关管理层次;
用户评价
客户在使用eCop过程中出现的问题,我们作出了快速反应,客户给予了充分的肯定,认为他们使用的产品有技术和服务保证。
海关H2000监控系统是海关和开发组一起开发完成的,海关总署信息安全人员在设计上提出了许多建设性的建议,很多业务上的逻辑是他们整理出来的。
eCop产品一期项目顺利实施,处于对我们开发力量、服务水平的认可,海关信息安全人员同我们正在商讨二期开发。
|
