隨著中央提出“建設網絡強國”戰略,政府機關的網絡安全問題成為全社會信息安全防護體系建設的重中之重。據國家互聯網應急中心(CNCERT)最近發布的《2013年我國互聯網網絡安全態勢綜述》顯示,2013全年,國家級有組織攻擊頻發,我國面臨大量境外地址攻擊威脅,其中地方政府網站及其信息系統成為黑客攻擊的“重災區”。
坪山新區是深圳市政府為推進以大工業區為中心的東部片區統籌發展,促進全市區域協調發展,全面提升城市化水平,于2009年設立的新的行政區,是深圳市東部主要的工業基地,被譽為“特區中的特區“。
為切實提升坪山新區政府的網絡安全等級,保障政務信息系統的安全和穩定運行,近日,坪山新區政府對其辦公網絡外聯區進行了安全升級,并在網絡邊界部署了網康科技提供的兩臺高端下一代防火墻。
“辦公網主要承載區政府1000多臺電腦日常訪問互聯網,網絡規模擴大后,資源濫用、病毒泛濫的問題開始凸顯“,坪山區政府網絡運維負責人介紹到,項目實施前,管理好如此大的一個辦公網并非易事,面對問題經常無從下手。
網絡可用始終是第一要務
據悉,網康下一代防火墻在坪山區政府網絡外聯區的成功部署,首先解決的是互聯網可用性的問題。在先前,用戶的兩條100M互聯網鏈路是獨立的,內網不同用戶由不同的鏈路轉發出局,但由于運營商鏈路的特點以及資源分配的局限性,雙鏈路接入并未產生理想的效果。
網康下一代防火墻實現了雙鏈路的統一接入,并基于運營商、應用類型、用戶屬性等將全網流量進行優先級區分,在此基礎上實現了最大化的雙鏈路負載均衡,并且做到了雙鏈路互為備份。
網康下一代防火墻鏈路負載均衡解決方案
“網絡可用性是我們日常運維首先要考慮的問題,政府機關的網絡承載大量應用,對實時性要求很高,按照等級保護要求,網絡中斷幾分鐘或長時間訪問遲緩,對于我們而言都算得上是安全事故“,用戶負責人說。
為了進一步提升辦公用戶的訪問質量,用戶利用網康下一代防火墻對帶寬資源分配做出了進一步優化,網絡中的一些特殊用戶、重要應用均被分配了保障帶寬,網絡操作遲緩的問題得到了徹底解決,這樣的控制措施得到了所有內網用戶的首肯。
下一代安全強調“人的參與“
用戶負責人坦言,對于網絡運維而言,下一代防火墻的可視化能力給工作帶來了很大幫助,“先前遇到網絡異常情況,我們總是很難確定問題的原因,為了排查一個故障點或攻擊源,往往采取最機械的手段,網康設備給我們提供了很多有價值的數據,這種智能化的挖掘代替人工分析,是下一代防火墻的進步“。
針對大量的境外地址攻擊,網康下一代防火墻提供了IP地理屬性,可以按照連接數和流量大小統計出源、目的IP所屬的國家,這樣的特性已經幫助大量管理者快速發現了異常的遠程連接。針對隱蔽性更強的僵尸網絡,網康下一代防火墻可以基于其常見的行為特征,判斷出可能受控的僵尸主機,基于行為的判別方式是對傳統安全技術的有益補充。
網康下一代防火墻中的異常流量統計和國家排名
網康科技產品市場經理熊瑛表示,“僅從技術角度看待下一代防火墻的演進并不全面,更廣義的’下一代安全’應當是以人的參與為基礎的,傳統的安全設備只是依靠技術手段做被動防御,在網康下一代防火墻中,通過可視化功能,將全網的狀態、異常情況全部挖掘出來提供給管理者,管理者基于這些信息作出及時、準確、有針對性的安全策略配置,再通過可視化驗證配置效果,在這樣的閉環下安全策略得以持續的調優,是對’技術管理并重、技術支撐管理’的最佳體現”。
深度應用識別是安全前提
根據權威定義,下一代防火墻應聚焦網絡應用層,具備深度應用識別能力是其提供有效防護的前提條件。據網康科技負責項目實施的技術經理賴先生介紹,能夠準確、深入識別網絡應用是當前用戶對于安全設備的基本需求,網康下一代防火墻所具備的超強應用識別能力為用戶需求的滿足提供了有力支撐。
網康下一代防火墻內嵌中國最大應用識別庫
“在進行鏈路負載優化配置時,我們發現用戶的一條鏈路在傳輸音、視頻流量時延時比較大,我們基于應用識別將所有對延時敏感的流量全部負載到了相對優質的鏈路上,保障了用戶音、視頻業務質量”,賴先生還介紹到,目前用戶制定的所有訪問控制策略,均是基于應用而非協議端口來實現的,這樣就很好的解決了復雜應用因端口跳變、端口復用而難以控制的問題,降低了流量繞過設備檢查的風險。
對于政府機關而言,敏感文件外傳造成信息泄密是當前面臨的主要挑戰之一,網康下一代防火墻對于流量的內容同樣具備精準的識別和過濾能力,基于這樣的特性,用戶實施了數據泄露防護策略,對進出網絡的敏感文件類型、內容關鍵字進行深度過濾,為數據安全加上了另一道保險。
“安全設備一旦上升到應用層的高度,給用戶的第一感覺是功能立刻變得強大了很多,設備中的每一項配置和日志報表都以應用作為中心,我們可以進行更精細化的控制并實現更準確的可視,安全性正是在這樣的基礎上得到了提升。另外,每種應用都有對應的命名和分類,對于管理者而言易用性反倒提升了很多”,坪山新區政府信息中心領導如是說。
京公網安備 11010502049343號