华为赛门铁克助力某省国资委打造信息监管平台

近日,全球网络安全与信息存储专家—-华为赛门铁克科技有限公司(以下简称:华为赛门铁克)宣布,凭借强大的安全系统融合与后期综合服务能力,华为赛门铁克已经为国内某省国资委构建了完整的高性能、专业级信息监管平台。据悉,新平台以华为赛门铁克新一代VPN系统为核心,不仅弥补了传统安全厂商在单一设备集成上的短板,而且完美地从后期能力支持上保证了用户的稳定运营。

“管家”的烦恼

对一省的国资委而言,好比是大型国企的直接管家。效率、监督、管理,已经成为当前各省国资委的主要任务之一。为此,越来越多的省级国资委选择构筑信息监管平台的方式,来实现对大型国企的管控。

无疑,平台化思路的出发点是好的,但是实现起来并非一蹴而就。对某省国资委而言,表现的更加明显。据悉,该省国资委希望通过建设信息监管平台来服务于下属监督企业及市国资委所有应用系统,从而实现各单位信息交流,满足对国有资产监督管理和决策支持的需要,并进一步为国资监督提供更好的网络和数据服务。

然而,现实的挑战是,该省国资委有数个应用系统需与各国企的相应系统进行数据交互。现有的各大国企基本上都已接入了政务外网,但出于安全考虑,监管系统之间没有通过政务外网进行数据传输,各监管及被监管系统基本还是独立的信息孤岛。为此,目前只能采用手工导出数据、离线数据运送来工作,效率和实时性大打折扣。

对此,该省国资委提出了建设新一代信息监管平台的五大要求:

l 新平台要为其它各系统提供网络互联,保证各系统网络通畅。

l 新平台需要提供基本的域名解析(DNS)、文件传输(FTP)、电子邮件等网络服务。

l 新平台需要保证网络系统的稳定可靠与不间断运行。

l 新平台必须能够保证网络安全。

l 新平台需要实现便捷的网络管理。

华为赛门铁克的思考

经过长达2个月的深入调查和研究,该省国资委与旗下大型国企多次反复沟通,明确表示要建立一个高性能、专业级且具备业务支撑能力的统一平台。

为此,该项目实施方华为赛门铁克公司表示,为了满足国资委的需求,新平台必须确保全天24小时不间断稳定运行,并且要实现完整的安全防护和检查体系,满足至少5年以后业务的扩展升级能力,同时后期维护管理也要清晰简单。另外,华为赛门铁克公司考虑到国资委相关领导及机要人员出差办公需要,确定将新平台设计为允许在Internet上对监管应用系统进行受控访问。

华为赛门铁克最后确定,监管平台总体设计方案指导思想是国际化、高起点、统一规划、整体设计、规范实施、滚动发展,以满足政务信息化建设的完整性、统一性。

基于以上分析,华为赛门铁克决定采用新一代VPN技术来实现,同时着重考虑网络安全性与攻击防范能力。为此,华为赛门铁克提出采用双VPN方式搭建该省国资委监管平台:固定机构采用IPSec VPN,移动用户采用当前流行的SSL VPN。

从具体实施上看,该省国资委采用华为赛门铁克安全网关USG5000来提供强大的IPSec VPN中央接入点,SVN3000作为SSL VPN接入服务器,保证至少24家企业和11个地市国资委接入性能需要。国资委下属企业或者地市国资委,使用华为赛门铁克安全网关USG 3000来低成本高效率地与省国资委形成VPN连接,同时为分支机构的接入做VPN服务器。与此同时,省国资委核心交换机建设利用原有的核心交换机,节约成本。

为了进一步确保整套系统的万无一失,与安全网关配套使用华为Quidway S2000系列交换机,此款交换机是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。

另外,国资委下属各个企事业单位分支机构后续接入,则选择华为赛门铁克专为中小企业量身定做的专业VPN安全网关USG2000,功能完善,扩展性强。监控软件选择iManager N2000 DMS For SMB。该软件以全网资源管理为基础,实现配置管理、性能管理、故障管理、资源管理、安全管理、QoS 管理、LSP 管理、VPN 管理等功能,为维护人员管理和维护网络提供充分而准确的网络信息,协助维护人员快速发现和定位故障、解决网络问题,从而为业务部署和开通提供强有力的支持,满足对IP承载网的管理和质量保证要求。

总体看来,华为赛门铁克的设计思路充分利用了原有设备,新加安全网关提供了足够的扩展能力,其安全网关的优异性能充分保障和满足后续其它企业或其它地市国资委的接入。该方案主要有三大亮点:

第一, 选用了IPSEC+SSL VPN融合技术。根据两种VPN技术的不同特点融合到同一环境中,同时解决了稳定可靠的VPN和移动方便接入的需求。

第二, 实现了完全的安全访问控制和全局一致的安全策略。方案中两端均设置安全网关,提供了一道安全屏障。在双方的安全网关上将设置严格的访问策略,只允许指定的用户(IP)访问指定的资源(IP+Port),杜绝非授权用户对对方资源的访问,及访问到其他受保护的资源。双方的安全网关策略可由各自管理员自己配置,当然也可由统一网管员处理。

第三, 考虑到不同企业的网络现状不尽相同,每个企业的VPN网络不改变原来的网络结构,新建的监管平台和原网络物理隔离,网络结构清晰明了。

能力是保证

对华为赛门铁克而言,为了保证用户对新平台使用的万无一失,公司建立了一整套售后与运营保障措施。

据悉,目前华为赛门铁克在国内拥有一流的售后服务保障体系,在各个省市都具备完整的备件库,在全国各大城市均设立了完善的售后中心与服务团队,在国内各大运营商和大型企业中的评价有口皆碑。

不仅如此,华为赛门铁克还具备金牌24小时更新维修保障能力。事实上,在全国28个主要城市中,华为赛门铁克都能跟用户签属金牌维修保障协议,从而实现了在全国范围内,所有设备的维修保障支持,从网络设备、安全设备、存储设备、服务器设备,都实现了完整的售后维护配套,从而大大降低了用户的后顾之忧。

不仅如此,此次该省国资委选择华为赛门铁克的主要原因,除了公司本身的产品技术实力外,还因为公司拥有国内最尖端的“安全能力中心”。

据悉,该安全能力中心由200多位顶级安全专家组成,这些专家每天都在研究全球2千种协议、上百万的应用程序。而计划到明年年底,研究的范围将达到全球1300种协议,其中仅P2P协议就超过70种。事实上,即使是IPS厂商,也只能做到100多个协议而已。不仅如此,依托全球网络的支持,该安全能力中心每2天就可以遍历国内1千万个网站,每两周能遍历全球9千万个网站,从而具备完整的URL过滤与保护实力。

无疑,这种巨大投入是普通的安全公司难以企及的。在这个安全能力中心里所有的研发成果将会被融入到公司全线产品中,从而进一步形成一个综合的安全云的概念。换言之,只要是华为赛门铁克的用户,就不用担心新型攻击对自身网络的威胁。而这也是该省国资委最为在意的,毕竟平台建设不是一蹴而就的行为,长期、稳定、安全、维护,将会确保新平台的稳定运营和良好发展。