全国“金审工程”网络防病毒体系案例
来源:计算机世界 更新时间:2012-04-15

 
  一、 案例背景:

“金审工程”是中国国家审计信息化建设项目的简称。2002年7月,国家发展和改革委员会(时称国家计划委员会)批复了审计署申请的金审工程一期项目,成为列入国家基

本建设投资计划的第一个电子政务建设项目,同年8月,金审工程列为国家电子政务重点启动的12个重要业务系统之一。

根据金审工程总体目标和总体框架要求,确定了六个方面的建设内容及其规模,其中安全系统更是重中之重。根据国家保密规定和国家电子政务安全规划的要求,结合审计系统实际,确定了三个不同安全等级和内容的网络:其中审计内网运行涉及国家秘密和机密信息,审计专网运行审计工作内部信息,审计机关门户网运行公开披露信息。规划建设包括:中央、省级审计机关的审计内网和审计专网,地市级和县级审计机关的审计专网。

二、“金审工程”防病毒系统技术解决方案的基本思想

1、管理是重点

没有集中管理的防病毒系统是无效的防毒系统。审计署网络整体防病毒的方案,结合审计署网络结构以及行政管理结构,构建了集中统一管理与分级管理相结合的管理系统,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得各级管理人员可以在任何时间、任何地点通过管理控制台对整个防毒系统进行管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。

确立集中管理与分级管理相结合的原则,既能够保证管理的统一性,又能够做到责权分明;既能够达到病毒防护策略的统一性,又能够实现某一具体网络环境、网络应用服务下的病毒防护策略的具体应用。

通过对整个网络防病毒系统病毒日志的统计分析,及时发现病毒爆发疫情状况、网络防病毒系统新的脆弱性。

2、技术是保障

通过引进瑞星网络版杀毒软件,实现对审计机关信息系统的全方位、多层防护,在服务器、工作站等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。

3、服务是后盾

服务是整体防病毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。

北京瑞星科技股份有限公司的本地化服务为防病毒提供了坚强后盾。一是研发本地化服务;一是售后服务本地化。研发本地化服务可以根据国内实际情况快速提供病毒代码更新、软件功能更新等;售后服务本地化可以为审计署网络系统防病毒提供瑞星公司专业的售后技术支持服务,为用户购买的产品提供技术保障。

三、审计内网防病毒系统设计、部署和升级

3.1 建立两级防病毒监控管理体系

根据审计内网的网络结构,我们建议使用两级防病毒监控管理体系来进行全网病毒监控和管理。内网两级防病毒监控管理体系的划分原则是按行政单位来划分的。

首先,在审计内网中建立内网一级防病毒监控管理中心,负责管理下属的二级防病毒监控管理中心(二级防毒中心)。并在所属的服务器和工作站上安装防病毒客户端。

其次,在审计内网、18个外派办和部分省级审计厅建立内网二级防毒中心,各中心负责管理所属单位的服务器、工作站上的防病毒客户端和升级病毒码等。

在审计内网设立若干二级防毒中心,其中一个负责审计署机关、25个派出局和在京事业单位内网的服务器、工作站的病毒防护;其余的二级防毒中心负责未建立二级防毒中心的省审计厅(局)内网的服务器、工作站的病毒防护。

综上所设计,在整个内网中构建了一套两级结构的网络防病毒监控管理体系。每级系统中心可以独立运行,管理自己本级网络的全部客户端、服务器端,实现对属于本级的客户端和服务器的防病毒监控和管理,并将本中心内病毒爆发情况的统计信息上报给一级系统中心的管理者。

审计内网防病毒系统部署示意图如下:

 

审计内防病毒系统部署示意图

3.2多级管理体系实现的功能

1)上级中心可以对下级进行管理,并接收由下级传送过来的数据。

2)下级中心接收到上级中心系统发出的命令,并将命令转发给本级的所有客户端。

3)定时收集本中心系统的病毒信息,在分析处理后上传到上级中心,以便上级及时得到下级的病毒信息,及时做出相应的处理。这样既避免了由于过度的信息传输给网 络资源造成的影响,也能够及时让管理员得到最新的病毒分布情况。

4)通过该系统,可实现反病毒的统一管理和分布管理。

3.3审计内网防病毒系统的升级

1、 一级防病毒监控管理中心的升级:

由于审计内网与INTERNET物理隔离,内网一级防病毒监控管理中心无法自动和瑞星升级网站进行连接,实现自动升级,所以只能采取手动下载升级包的方式对内网一级防病毒系统监控管理中心进行手动升级。

2、 二级防病毒系统监控管理中心与客户端的升级

二级防病毒系统监控管理中心与客户端将在一级防病毒监控管理中心升级后实现自动升级。

审计内网防病毒系统升级示意图如下:

审计内网防病毒系统升级示意图

(审计专网和审计外网的防病毒系统设计、部署及升级,与审计内网相类似)

四、全国审计机关防病毒系统达到的目的

通过在审计机关网络建立统一的整体网络病毒防范体系和统一的病毒防范策略,从而使审计机关网络达到以下病毒防范效果:

 

1、 建立网络防病毒中央控管系统

在审计署构建一个防病毒管理运维区,分别建立三套防病毒管理服务器:内网防病毒服务器、专网防病毒服务器和INTERNET防病毒服务器。管理员可以通过这三套服务器——中央控管中心分别对各自网络内的服务器、客户机进行远程策略设置、病毒查杀、远程安装等各种管理操作。

2、 建立多级病毒监控管理系统

在审计内网构建一套二级中心结构的网络防病毒体系。即在审计署建立一级病毒监控管理中心和若干二级瑞星病毒监控管理中心,实现审计署机关、25个派出局和在京事业单位的网络(终端)的病毒防护,在18个外派办和部分省级审计厅分别建立二级瑞星病毒监控管理中心,每级中心分别管理自己本级的客户端,同时,实现上级中心管理下级中心。

在审计专网构建一套中央、省、地(市)、县的四级(中心)结构的网络防病毒体系。即在审计署建立一级病毒监控管理中心,在省审计厅建立二级病毒监控管理中心,在地(市)审计机关建立三级病毒监控管理中心,在县审计机关建立四级病毒监控管理中心,每级中心分别管理自己本级的客户端,同时,上级中心可管理下级中心。在审计署与省、市、县的专网未连通之前,各单位可独立建立单级的病毒监控管理中心,每个中心分别管理自己的客户端。

审计署、省、市、县分别在因特网接入网建立各自的网络防病毒体系,每个中心分别管理自己的客户端。

五、全国审计机关防病毒系统达到的效果

这是有史以来,国内厂商利用自己的技术力量和产品防卫的较大规模重要网络之一。本期工程部署完成之后,处于瑞星杀毒软件保护下的“金审工程”计算机终端超过7万台,全国审计机关都将拥有统一的网络信息安全防护设备,避免了以前由于网络安全设备不兼容、发生软件冲突的事件。

部署完成之后,“金审工程”网络将有效应对蠕虫、木马、黑客和流氓软件等安全威胁,提高审计系统的信息安全性。