收藏 [登录/注册] 欢迎
榕基门户网及子站
联系我们
  • 福建榕基软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
您的当前位置:首页 > 成功案例

煤矿行业某中心信息化建设

1项目背景
国家安全生产监督管理局和国家煤矿安全监察局大力推进煤矿安全生产信息系统的建设,分期分批建设全国各级生产安全监督管理和各级煤矿安全监察机构,以及联结其他相关单位的资源专网,开发并形成可供各级安全生产监管和煤矿安全监察主要业务信息化的数据库和应用系统。
该煤矿集团现有计算机网络于2002年建成。各矿使用不同的网段,采用三层网络交换机接入,通过光缆千兆汇聚到集团机关计算中心三层交换机,组成了星型快速交换局域网,集团机关三层交换机与路由器相连接入INTERNET。
随着集团公司的业务发展,网络应用层次的深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。许多子系统将接入网络,上网数据、医保系统数据、监测监控系统数据、住房公积金数据等等都在整个网络上传输,整个网络的用户规模是原计算机网络规模的数十倍。同时不断发展的新业务如网络视频会议、IP语音等对网络带宽、数据处理方式提出了更高要求。不断增加的工作站使现有网络响应速度变得很慢,原骨干网络设备的处理能力也达到极限,网络系统运行很不稳定,同时基于三层网络交换机的信息安全问题也日益严重,不具备抵抗蠕虫病毒冲击与黑客攻击的能力。安全日益成为影响网络效能的重要问题,而Internet所具有的国际性、开放性和自由性在增加应用自由度的同时,对安全性提出了更高的要求。
2需求分析
该煤矿集团前期建设的网络虽然一定程度上解决了集团机关与各矿的互联互通,为集团的信息化管理做出了贡献,但已不能满足集团信息化建设带来的日益增长的数据安全传输的需要。
该煤矿集团信息系统旨在建立高速、持续、稳定的网络体系,服务于企业,通过网络接入INTERNET,实现企业信息发布,成为集团公司了解信息及与外界沟通(浏览、电子邮件)的一个窗口。信息网络的建设主要是通过移植、改造原有的网络,构架在SDH综合传输平台上,提高各节点交换机处理能力,优化网络设备的整体性能,为生产数据网办公数据传输提供备用通道。因此,对各级、各部门信息快速的交互能力和有控制的访问能力提出了很高的要求,而且,对该网络承载的各个重要系统的安全保障能力也提出了很高的要求。
2004年上半年,该煤矿集团爆发了大范围蠕虫传播事件,影响最大的当属利用微软视窗LSASS漏洞的“震荡波”系列蠕虫,感染用户数量达到3323例。而且入侵者可以对该煤矿集团内部网上进行攻击、窃取或其它破坏,完全有可能在传输线路上安装窃听装置,窃取网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性。以上种种不安全因素都对该煤矿集团信息系统构成严重的安全威胁。
该煤矿集团信息系统对安全的需求是任何单元安全技术都无法解决的,整体解决方案的设计必须以科学的安全体系结构模型为依据,才能保证用户的数据业务、语音业务、视频实时传输等多业务实时高效的传输。
榕基企业的“信息安全工程建设项目组”通过综合分析、比较该煤矿集团信息系统的安全需求,经过客户的同意、确认。目前该煤矿集团信息安全工程建设必须首先加强病毒防治、漏洞扫描、入侵检测、网络加密和综合审计的建设,制订统一的安全策略,保障该煤矿集团信息安全工程有效运行。
本方案主要考虑建设网络隐患扫描系统,其他如防病毒系统、安全审计系统等已由其他项目综合考虑。网络设备、操作系统、应用程序和数据库扫描技术的实现,我们选用榕基网络隐患扫描系统RJ-iTop-I型增强型扫描系统,并且在本次方案中详细描述。
3解决方案
榕基网络隐患扫描系统RJ-iTop-I型增强型扫描系统由机架式扫描服务器及手持式扫描仪组成。该产品能够很好地满足该煤矿集团信息安全工程建设对安全漏洞扫描的所有技术需求。该产品同时具有以下特点,更加适合在该煤矿集团信息系统中进行部署:
?机架式扫描服务器可以很方便的管理信息点多、网络环境较固定、与企业的业务应用紧密相关的大型网络。同时可建立一个只有本机扫描权限的公用帐号,在全网授权范围内公开,则所有员工都可用该帐号发起自评估工作,即有效又方便管理。
?手持式扫描仪可以很方便的管理网络分段较多、地理分布较广、网络环境变化大的中小型网络,有效避免穿过防火墙之类的安全过滤设备进行扫描评估。
?榕基企业拥有该产品全部的知识产权与核心技术,并提供联动接口,配合其他安全产品构成完整的信息安全保障体系。
?该产品为专用硬件网络漏洞扫描系统,相比国内的其他纯软件扫描产品,该产品能够更加高效的执行扫描工作。该产品采用了先进的调度算法、执行引擎,集成了多种业界领先的扫描技术,拥有全面的漏洞库与及时的系统升级能力,这些都保证产品的检测准确率与扫描速度都大大高于其它同类型扫描产品。
榕基网络隐患扫描系统RJ-iTop是根据网络IP地址分布情况进行配置的,它可以部署在网络的任何地方,只要能够访问到要进行扫描评估的目标主机、网络设备等就能够进行工作。
由于该煤矿集团复杂的网络分布,出于安全性考虑,建议采用一台机架式扫描服务器,部署于该煤矿集团信息中心的机关交换机上,通过B/S模式管理,实现了对大规模网络进行实时及定时的漏洞扫描和风险评估,高效、稳定、统一地保障整个网络的安全。同时,采用一台手持式扫描仪分别对机关中心、机修厂、职教中心、电厂及其它节点的重要部门、重要服务器进行安全巡查,随时随地对网络上可能存在的安全隐患进行检测。(因保密需要,省略产品部署网络拓朴图)
4应用效果
该产品操作简单、部署方便,能够对常见的网络设备、操作系统、应用程序和数据库四个方面进行实时、定时的扫描,不仅方便该煤矿集团的管理人员采用系统的出厂默认配置就可以完成扫描任务,指出有关网络的安全漏洞及被检测系统的薄弱环节,给出详细的检测报告,而且具有极高的性价比;
该产品能够将扫描结果自动发送和保存,并给出可操作性很强的漏洞修复方案,或者通过与榕基风险管理系统等其它安全产品进行联动,及时对目标主机进行漏洞修复。方便该煤矿集团的管理人员通过邮件结果通知、结果对比分析、定时扫描等方式来验证漏洞是否修复,并持续进行改进,有效杜绝安全隐患;
该产品可以按照部门、操作系统、用途、重要性等不同类型划分资产,使漏洞扫描系统能够和该煤矿集团的网络逻辑拓扑结构图相结合,并根据每个资产的用途、重要性进行赋值,方便该煤矿集团的管理人员对重要资产进行优先的风险评估与管理;
该产品每周至少升级一次,保证技术在相当长的时间内不落后,避免投资的重复和浪费。系统整机平均无故障时间(MTBF)不低于10,0000小时,保障该煤矿集团的信息安全保障体系能够正常持续运行。该煤矿集团的管理人员通过对网络隐患扫描系统的日常使用,可以提高相关的安全技术与安全意识;
通过事前的漏洞检测与安全加固,利用软件漏洞而发生的病毒传播和黑客攻击事件大大减少,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险,构建动态安全防护体系,保护用户以往的投资,有效降低信息安全系统的TOC(总体拥有成本);
完善的三级售后服务体系:产品本身(提供详细的漏洞解决方案)、产品网站(为用户提供周到的会员制服务)、网络安全专业小组(免费800电话咨询服务、现场技术支持)。榕基企业的售后服务体系可以及时地响应客户需求,为用户提供专业的全方位服务。