安徽民政全網(wǎng)行為管理TPN組網(wǎng)迅速提升信息化水平

TPN系統(tǒng)將上網(wǎng)行為管理、內(nèi)網(wǎng)安全性管理、VPN接入技術(shù)及主機(jī)
行為控制技術(shù)融為一體，借助處于網(wǎng)絡(luò)邊界位置的TPN安全網(wǎng)關(guān)和
安裝在每臺(tái)主機(jī)上的主機(jī)威脅引擎的聯(lián)動(dòng)體系，將“本地局域網(wǎng)
—遠(yuǎn)地局域網(wǎng)—移動(dòng)接入節(jié)點(diǎn)”的資源和安全策略進(jìn)行統(tǒng)一管
理，一體化解決全網(wǎng)的外網(wǎng)訪問(wèn)威脅、內(nèi)網(wǎng)安全管理威脅、VPN接
入威脅和主機(jī)威脅的防護(hù)問(wèn)題，確保全網(wǎng)用戶(hù)的網(wǎng)絡(luò)平臺(tái)可信、
可控、可管，又被稱(chēng)為全網(wǎng)行為管理系統(tǒng)。
在安徽省民政廳的總部使用SJW74-T2000型安全網(wǎng)關(guān)作為邊界網(wǎng)關(guān)
部署在出口，分支機(jī)構(gòu)部署中低端TPN安全網(wǎng)關(guān)，構(gòu)建全網(wǎng)的可信
專(zhuān)用網(wǎng)絡(luò)平臺(tái)，并通過(guò)TPN網(wǎng)關(guān)和內(nèi)網(wǎng)主機(jī)上部署的主機(jī)威脅引擎
實(shí)現(xiàn)軟硬聯(lián)動(dòng)的安全防御體系，滿(mǎn)足用戶(hù)的各項(xiàng)需求。
TPN全網(wǎng)部署示意圖
如上圖所示，在總部接入互聯(lián)網(wǎng)的出口處部署安達(dá)通的TPN安全網(wǎng)關(guān)，在內(nèi)網(wǎng)個(gè)主機(jī)上安裝一個(gè)主機(jī)威脅引
擎(TPN客戶(hù)端)。由網(wǎng)關(guān)和TPN客戶(hù)端的實(shí)時(shí)連動(dòng)實(shí)現(xiàn)對(duì)全網(wǎng)行為的監(jiān)控，并將主機(jī)的各種需要被監(jiān)控的行
為實(shí)時(shí)的上報(bào)到TPN日志審計(jì)服務(wù)器。
內(nèi)網(wǎng)用戶(hù)(包括總部和分之機(jī)構(gòu))在首次使用時(shí)，只需打開(kāi)IE，輸入網(wǎng)管人員分配的用戶(hù)名和密碼，就能自
動(dòng)安裝TPN客戶(hù)端，無(wú)需網(wǎng)管人員依次安裝，非常方便。完成身份認(rèn)證后，安全網(wǎng)關(guān)對(duì)用戶(hù)主機(jī)進(jìn)行風(fēng)險(xiǎn)評(píng)
估檢查，只有達(dá)到TPN網(wǎng)絡(luò)管理員規(guī)定的安全級(jí)別，用戶(hù)才能夠接入到網(wǎng)絡(luò)中，訪問(wèn)對(duì)應(yīng)權(quán)限的網(wǎng)絡(luò)資源，
以確保各種威脅不被用戶(hù)帶進(jìn)政府內(nèi)網(wǎng)。
根據(jù)上述的安徽省民政廳TPN部署方式，可實(shí)現(xiàn)以下激動(dòng)人心的優(yōu)異功能：
一、提升政府內(nèi)網(wǎng)安全性和可用性
(1)防范無(wú)意識(shí)的由內(nèi)部員工引入的安全風(fēng)險(xiǎn)
基于“主機(jī)風(fēng)險(xiǎn)評(píng)估”的“準(zhǔn)入控制技術(shù)”是安達(dá)通在TPN系統(tǒng)中采用的先進(jìn)技術(shù)。TPN系統(tǒng)會(huì)對(duì)接入內(nèi)網(wǎng)
的主機(jī)進(jìn)行全面的主機(jī)安全評(píng)估，如果發(fā)現(xiàn)主機(jī)上存在安全威脅或未達(dá)到該接入網(wǎng)絡(luò)要求的安全級(jí)別，則
不允許該主機(jī)訪問(wèn)外網(wǎng);通過(guò)該技術(shù)可以確保那些疏于防范的內(nèi)網(wǎng)主機(jī)不能輕易上網(wǎng)，避免將 Internet上
的木馬、病毒等風(fēng)險(xiǎn)帶進(jìn)內(nèi)網(wǎng);也不會(huì)使帶有安全風(fēng)險(xiǎn)的主機(jī)將風(fēng)險(xiǎn)通過(guò)VPN隧道帶進(jìn)政府內(nèi)網(wǎng)，從而確保
整個(gè)網(wǎng)絡(luò)平臺(tái)的安全可信。
(2)實(shí)名認(rèn)證，避免非法接入
TPN系統(tǒng)將根據(jù)所有合法用戶(hù)主機(jī)，生成一個(gè)“可信域”;其他用戶(hù)則被視為“非可信”。可信主機(jī)內(nèi)存放
一個(gè)只包含所有可信主機(jī)的ARP緩存表，所以只能訪問(wèn)可信用戶(hù)，或根據(jù)策略訪問(wèn)網(wǎng)絡(luò)資源和VPN資源;而非
可信的主機(jī)將被視為“非法接入”，無(wú)法和政府網(wǎng)絡(luò)中的合法可信主機(jī)進(jìn)行通信(即使在同一交換機(jī)下)，
更不能上網(wǎng)。TPN系統(tǒng)還能夠自動(dòng)識(shí)別、定位和記錄非法接入主機(jī)的網(wǎng)絡(luò)訪問(wèn)行為。
TPN網(wǎng)關(guān)支持多種用戶(hù)認(rèn)證方式，包括：用戶(hù)名+口令、數(shù)字證書(shū)、USB KEY等。
(3)虛擬VLAN技術(shù)限制內(nèi)部人員越權(quán)訪問(wèn)
虛擬VLAN功能支持在局域網(wǎng)中劃分邏輯VLAN，在不投入其他硬件設(shè)備(如：支持VLAN的交換機(jī))的前提下，
滿(mǎn)足不同安全等級(jí)或不同組的用戶(hù)進(jìn)行邏輯隔離的需求。例如：虛擬VLAN功能可以把財(cái)務(wù)室、資料室等重
要單位的主機(jī)單獨(dú)隔離到一個(gè)虛擬VLAN，這樣就在不增加額外投入的情況下，確保重要資料的安全。
(4)防范內(nèi)網(wǎng)病毒泛濫，確保網(wǎng)絡(luò)穩(wěn)定可靠
TPN的防ARP欺騙功能，是在主機(jī)登陸TPN系統(tǒng)后，在可信域中發(fā)布該可信IP/MAC表，使所有主機(jī)的中間層驅(qū)
動(dòng)綁定真實(shí)的IP/MAC列表，使ARP欺騙無(wú)空可鉆。同時(shí)TPN網(wǎng)關(guān)進(jìn)行定期的ARP欺騙檢測(cè)，以保證內(nèi)網(wǎng)的穩(wěn)定
性和可用性;TPN系統(tǒng)的主機(jī)微引擎CTE也會(huì)自動(dòng)檢測(cè)ARP欺騙并主動(dòng)報(bào)警和上報(bào)網(wǎng)關(guān)。
紅色代碼、沖擊波等洪流病毒的爆發(fā)，將會(huì)使中毒主機(jī)在短時(shí)間內(nèi)發(fā)送大量數(shù)據(jù)包文，嚴(yán)重影響網(wǎng)絡(luò)和其
他主機(jī)的正常通信。TPN系統(tǒng)并不是針對(duì)某種病毒的代碼特征進(jìn)行阻斷和分析，而是專(zhuān)門(mén)針對(duì)主機(jī)行為模式
的流量異常檢測(cè)和對(duì)網(wǎng)絡(luò)洪流爆發(fā)的判斷，做到準(zhǔn)確快速。
二、提升政府機(jī)關(guān)的形象
個(gè)別辦事窗口政府工作人員，工作時(shí)間使用與工作無(wú)關(guān)的各種軟件，不僅影響工作效率，而且對(duì)政府機(jī)構(gòu)
的形象也很大影響。對(duì)此TPN系統(tǒng)可采用了多種安全技術(shù)，合理控制工作人員的網(wǎng)絡(luò)行為。
具體為以下幾種方式：
(1)禁用程序管控。TPN安全網(wǎng)關(guān)對(duì)常用需管控的程序進(jìn)行了分類(lèi)，包括：遠(yuǎn)程管理類(lèi)、P2P/下載類(lèi)、網(wǎng)絡(luò)
聊天類(lèi)、游戲類(lèi)、炒股類(lèi)、代理軟件類(lèi)等。用戶(hù)可以根據(jù)自己的實(shí)際情況，禁止在工作時(shí)間使用哪些軟
件。如果在TPN網(wǎng)關(guān)上設(shè)置了某個(gè)軟件禁用，該軟件將不會(huì)在主機(jī)端執(zhí)行。例如禁止工作時(shí)間使用QQ。
值得一提的是，TPN的“程序管控”功能和和傳統(tǒng)的UTM防火墻有著本質(zhì)的區(qū)別
，TPN依靠TPN客戶(hù)端實(shí)時(shí)檢測(cè)用戶(hù)主機(jī)端的各種程序的運(yùn)行狀態(tài)，直接從主機(jī)端控制用戶(hù)程序的使用權(quán)
限，可以很好避免UTM防火墻在網(wǎng)關(guān)上處理此類(lèi)作業(yè)而消耗大量性能，而且TPN的處理方式更靈活，幾乎可
以管控任何程序。
(2)URL訪問(wèn)控制。TPN安全網(wǎng)關(guān)提供HTTP網(wǎng)址的URL過(guò)濾和異常URL檢測(cè)功能。對(duì)于URL網(wǎng)址和關(guān)鍵詞，TPN提
供白名單和黑名單兩種方式對(duì)HTTP數(shù)據(jù)進(jìn)行過(guò)濾，并可根據(jù)用戶(hù)不同區(qū)別靈活對(duì)待;對(duì)于有異常長(zhǎng)度和包含
異常代碼的URL，TPN提供檢測(cè)和過(guò)濾的功能。因此，可以將與工作相關(guān)的網(wǎng)址設(shè)置成一個(gè)白名單，工作時(shí)
間只允許訪問(wèn)該白名單中包含的網(wǎng)頁(yè)，其他時(shí)間不做限制。這樣達(dá)到禁止工作時(shí)間瀏覽與工作無(wú)關(guān)網(wǎng)頁(yè)的
目的。
(三)防范公務(wù)人員不當(dāng)言論
公務(wù)人員的某些不當(dāng)言論，會(huì)給民眾帶來(lái)不好的影響，甚至是引起法律問(wèn)題，TPN采用完善的日志審計(jì)手段
來(lái)解決這個(gè)問(wèn)題。
通過(guò)和TPN安全網(wǎng)關(guān)配套的“網(wǎng)絡(luò)行為審計(jì)”軟件，可以實(shí)時(shí)接收并分析來(lái)自全網(wǎng)所有TPN網(wǎng)關(guān)的大量日志
和數(shù)據(jù)，并提供各式各樣的網(wǎng)絡(luò)行為審計(jì)圖表和報(bào)表供網(wǎng)管員及其相關(guān)人員使用。可以實(shí)現(xiàn)實(shí)名審計(jì)、威
脅報(bào)告審計(jì)、系統(tǒng)日志審計(jì)、URL訪問(wèn)審計(jì)、特權(quán)客戶(hù)端功能和內(nèi)容審計(jì)，功能齊全性能優(yōu)異。
(四)實(shí)現(xiàn)政務(wù)機(jī)構(gòu)的VPN安全互聯(lián)
VPN(虛擬專(zhuān)用網(wǎng))是指通過(guò)公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道(即隧道)，將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)
辦公用戶(hù)等安全連接起來(lái)的一種專(zhuān)用網(wǎng)絡(luò)技術(shù)。對(duì)于政府機(jī)構(gòu)而言， VPN可以替代傳統(tǒng)租用線來(lái)連接計(jì)算
機(jī)或局域網(wǎng)等。政府機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專(zhuān)線，連接上本地的公網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信
息;使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。
(1)全面集成VPN技術(shù)。TPN系統(tǒng)具備IPSec/SSL二合一、移動(dòng)加速、虛地址互聯(lián)、自動(dòng)路由，雙網(wǎng)隔離等安
達(dá)通專(zhuān)有的各種VPN技術(shù)，充分分享安達(dá)通VPN領(lǐng)域的領(lǐng)先成就。
(2)VPN準(zhǔn)入控制。VPN接入用戶(hù)接入到總部后，首先需要通過(guò)TPN安全網(wǎng)關(guān)的風(fēng)險(xiǎn)評(píng)估檢查。如果接入用戶(hù)
的機(jī)器上運(yùn)行有惡意程序(如：木馬、病毒等)或沒(méi)有達(dá)到管理員規(guī)定的安全級(jí)別，TPN網(wǎng)關(guān)會(huì)阻止該VPN用
戶(hù)的接入。只有達(dá)到TPN網(wǎng)絡(luò)管理員規(guī)定的安全級(jí)別，VPN接入用戶(hù)才能夠順利接入到總部，以確保各種威
脅不會(huì)被VPN用戶(hù)帶進(jìn)內(nèi)網(wǎng)。
(3)Qos功能——確保語(yǔ)音暢通。利用安全網(wǎng)關(guān)的Qos功能，能夠?yàn)樘厥獾木W(wǎng)絡(luò)應(yīng)用和IP地址/范圍保留網(wǎng)絡(luò)
帶寬，調(diào)整這些網(wǎng)絡(luò)任務(wù)的優(yōu)先級(jí)別。特別適合與VOIP、VOD等語(yǔ)音、視頻應(yīng)用結(jié)合使用。