锐捷网络GSN全局安全政府行业解决方案

随着网络技术的不断进步以及国家对于电子政务的不断加大投入，政府行业的信息化建设突飞猛进，国务院新闻办公室 2008年 2月 28日 发表的《中国的法治建设》白皮书指出，中国 80％县级以上政府和政府部门建立了门户网站，中央政府门户网站于 2006年正式开通。

政府行业网络的不断开放，也使得网络安全和信息安全建设变得更加重要，在政府的网络安全建设过程中，主要面临以下几个方面的问题：

1)    病毒入侵

“熊猫烧香”、“机器狗”，这些耳熟能详的病毒，让我们见识了有组织的地下病毒产业链，病毒入侵已经由无目标的“事故”变成了有目标的“谋杀”，据统计，这种地下病毒产业每年的产值达到了 2亿元人民币，而它所造成的损失要数十倍于这个数字。

2)    网络攻击

ARP欺骗、 DDoS攻击这些常见的网络攻击手段，在政府网络中也屡见不鲜，这些攻击会导致服务器瘫痪、用户无法上网，随之而来的就是业务无法正常进行。同时， IP盗用等非法上网行为也会使得政府业务受到影响。

3)    信息泄露

在政府单位中，信息安全无疑是重中之重，各种公文、信息都需要严格的保密，除了被病毒、木马攻击导致信息泄露外，也会出现认为的恶意拷贝、泄密事件，这也是政府网络信息安全建设需要考虑的。

 

如果说无目标攻击时代，我们要对抗的是攻击的工具――病毒，那么在有目标攻击的时代，我们要对抗的就是网络攻击的发起端――攻击者。面对这些形形色色的安全事件，我们需要的是一个联合网络安全解决方案。这个方案应包括以下几个部分：

1)    网络准入控制

在政府网络中引入网络准入控制是非常必要的，让每一个入网的用户的上网行为都能得到完善的监控，而在发生安全事件时，也能准确的定位责任人，这不论从网络安全角度还是网络管理的角度，都是非常必要的。

2)    主机安全检测

在政府网络中，都布置了各种防护软件，但是如何保证入网用户都安装并都开启是一个问题，一个完善的主机安全检测机制应能够实现用户的“安全入网”，从另一个角度说，就是“不安全不能入网”，同时对于“不安全”的用户，要有一套修复系统来帮助它变得“安全”。

3)    安全联动

对于网络安全和网络管理来说，多种多样的安全设备带来的是复杂的管理和维护，而各种安全设备“分而治之”也使的安全变成了设备的堆砌。让安全设备与身份验证、主机检测等系统联动起来，才是一套完整的安全体系。

4)    信息安全

对于敏感的信息，一定要控制好其出口，不论是网络传播，还是通过移动存储介质拷贝、或者打印等行为，都要在安全系统的控制范围之内。

通过以上各种安全手段的联合，实现软硬联合、 PC和服务器与网络的联合，才能实现真正的信息安全。

 

锐捷网络 GSN全局安全解决方案

1.    GSN的工作原理简介

GSN全局安全解决方案融合了网络准入、端点防护、网络攻击防护、信息安全等多个部分，基于 IEEE 802.1X标准协议开发而来。 GSN解决方案由安全管理平台、身份认证系统、安全客户端、安全智能交换机以及入侵检测系统几大部分构成。

1)    GSN全局安全解决方案的构成

2)    GSN的工作流程：

 

2.    GSN在政府行业的应用

GSN全局安全解决方案通过严格的网络准入、端点防护、网络攻击防护和信息安全防护，为政府网络构建了全局的安全平台

1)    网络准入

GSN全局安全解决方案基于 IEEE 802.1X标准协议构建了完善的网络准入体系。用户入网之前必须要通过身份验证，通过信息安全部门指派的用户名和密码进行网络登录，登录之后即可获得该身份对应的具体权限。

网络准入系统保证了接入网络的用户的身份的合法性，使得未授权的访问被禁止，合法用户的网络访问行为可以被追溯，在发生网络安全事件的时候做到有据可查、追根溯源。

2)    端点防护

GSN全局安全解决方案的端点防护策略包含主机软件安装情况检测、后台服务检测、注册表项目检测、 Windows补丁检测与更新、杀毒软件联动、主机外联端口检测等多种功能。用户身份验证通过入网后，即对用户的主机按照管理员配置的规则进行检测，如果用户的主机无法满足安全要求，则会对其进行消息提醒、修复程序下发等操作，并能根据安全策略进行网络隔离或者阻断，以保证进入网络的主机本身的安全性，防止不安全的主机将病毒和网络攻击带入网络。

3)    网络攻击防护

GSN全局安全解决方案采用专用的入侵检测设备 RG-IDS对网络中的流量进行监控，当发生异常流量时， IDS设备与安全管理平台 SMP进行联动，可根据配置对管理员进行提醒或按照配置好的规则对相关用户和主机进行自动的处理。 IDS检测基于全面的并及时更新的事件库，保障对最新的网络病毒和攻击进行有效的检测并提出合理的建议，最大化降低了网络防护的难度，做到简单、有效的网络安全防护。

4)    信息安全防护

GSN全局安全解决方案通过多种方式实现对于政府网络的信息安全防护。在端点防护策略中， GSN可以对接入网络的主机的外联端口进行控制，如常见的 USB口、光驱、软驱、串口、并口、红外线等外联端口，均可对其进行启用和禁用的操作。同时，通过对于软件安装、后台服务和注册表的检测，杜绝了信息流出的途径，例如对于 P2P软件、即时通讯软件、非认证邮件程序的限制，防止信息在非授权的情况下流出，而通过对于后台服务和注册表的检测，防止木马程序在后台偷窃信息等。

 

随着网络攻击从无目标向有目标的发展，以及攻击手段的不断变化，政府网络的信息安全必须改变以前“头痛医头，脚痛医脚”的做法，建设一个全局安全网络，从网络安全的多角度、全方位建设网络的安全，才是克敌制胜的法宝。 GSN全局安全网络解决方案正是这样一个平台，通过强制、联动的理念，融合网络准入、端点防护、攻击防护和信息安全，助力政府单位建设真正的全局安全网络平台。