冠群金辰打造公安部出入境管理局安全边检网络

筑起第一道网络安全国门

在我国的各个对外开放的口岸城市，都有公安部下属出入境管理局设立的边防检查站，他们的任务，就是在这些对外开放的口岸充当第一道国门，执行出入境边防检查任务。由于他们需要承担起查处违反出入境管理法律、法规的行为；负责出入境边防检查工作；管理国籍和口岸签证事务；承办对外国人开放地区的审核报批、公布等工作，因此，每天的工作都非常繁忙， 尤其是分布在北京、上海、广州、深圳、珠海、厦门、海口、汕头这9个城市的出入境边防检查总站，更是满负荷运转。

一方面，做为国家重要的职能机构和对外的“窗口”，为了适应国际、国内快速发展的交流节奏，传统的边检业务系统手工作业模式显然已经不能满足边检业务应用快速膨胀的发展需要，边检业务系统信息化建设势在必行，也已经有了一定的建设成果；另一方面，做为现阶段边检业务系统信息化的支撑平台，九总站边检业务网络信息平台的重要性不言而喻，尤其是边检数据信息的重要性、公安涉密网络的特殊性质，九总站边检业务网络信息平台对于网络安全性的要求，更是突出。

安全是第一衡量标准

于是，作为公安部出入境管理局网络安全服务商的冠群金辰，很快派出工程师对九总站边检业务网络信息平台进行了深入的分析。他们认为，在相当长的一段周期内，边检业务系统信息化建设的重心主要分布在信息网络支撑平台基础建设和业务应用系统的开发环节，对网络信息平台的稳定性、安全性、畅通性和可控性缺乏应有的技术保障能力，对数据的完整性、保密性、可用性和可靠性缺乏有效的保障机制。

与此同时，网络技术的高速发展，伴之而来的各种新型未知病毒也开始层出不穷，特别是近几年来造成一定社会影响的黑客攻击、间谍事件屡屡发生，各种新型病毒在全球范围内对企业级网络的大规模破坏的频率不断提高，新的混合型威胁（病毒、蠕虫、木马、间谍软件、黑客攻击、内部违规行为等）每天都在发生，这些威胁可能危及业务安全、破坏数据完整性、中断业务连续性、导致业务效率下降、损坏声誉，以致可能造成正常工作秩序的被迫调整……

在这种尖锐的矛与盾的背景下，必然要求中国边检这样核心业务应用系统对网络信息平台具有较大依赖性而且缺乏安全保障手段和能力的机构必须及时做出调整，加强网络安全整理规划建设力度，通过合理的网络安全体系化建设提高对网络信息平台的稳定性、安全性、畅通性和可控性的技术保障能力，完善对数据的完整性、保密性、可用性和可靠性的安全保障机制。从而为业务应用系统的持续发展和稳定、高效运行提供有力的安全保障。

层层剖析边检网络信息平台

中国边检广域网是一个典型的星型结构以太网络，对外属于涉密网。由核心层、汇聚层、接入层组成，核心层向下衔接着北京、上海、深圳等九个边检总站汇聚层交换机，每个边检总站下属的多个边检站通过接入层交换机将各服务和业务终端接入边检广域网络，从而形成了三级架构边检网络信息支撑平台。

冠群金辰公司的网络安全工程师指出，中国边检目前所采用的仅仅为传统AV的解决方案，显然已经远远不能满足现阶段边检业务系统的安全保障需要。首先，边检网络所面临的风险不仅仅是病毒威胁，可能引发安全风险的因素众多，如：内部攻击事件的威胁、网络平台的安全管理因素、数据传输加密的强化、网络安全管理制度的缺失（如：USB管理技术手段）等；其次，网络内虽已部署了网络防病毒软件，但是品牌杂乱，产品间缺乏相互的关联性导致对紧急病毒事件缺乏统一控管、响应和协调能力，并且随着服务期限的临近，边检网络已经开始面临无病毒保护措施的风险。

我们可以将中国边检网络信息平台现阶段的安全需求归结如下：首先，缺乏网络安全体系化建设，急需通过合理的部署相应的安全技术手段规划建立网络安全的完整体系。其次，急需建立网络安全监控管理手段与业务应用的关联性，改变现阶段对安全事件无法准确的定位并分析，从而对业务造成影响的尴尬局面，实现业务系统安全运行与技术设备及系统安全运行的紧密结合。最后，要加强安全运行管理制度的量化评估综合技术手段；提高整体安全态势和细节安全评估的综合能力。

建立第一道网络安全国门

我们知道，网络安全建设并非产品的简单堆砌，中国边检网络安全整体规划建设必须是一个具有先进性、合理性的体系化规划与建设方案。因此整个中国边检网络安全网络实施团队依托边检网络结构的特点，在边检现有安全防护手段的基础上通过合理的规划、改造和建设，实现建立中国边检网络安全预警体系、防护体系、监控体系、管理保障体系和恢复响应体系和一个集中控管中心的规划建设目标。通过“五大体系，围绕一个中心”不仅要形成安全体系高效的闭环系统，提高信息系统的预警、防御、监控、响应恢复和管理保障能力；同时还要以控管中心为技术支撑，提高整体宏观监控与局部监控的统一能力，建立协调指挥、多级管理的安全机制，从而更好的实现中国边检保证网络信息平台的稳定性、畅通性、可控性和安全性；保证数据信息的完整性、可靠性、可用性和保密性的业务安全运营的根本目标。

同时，由于中国边检网络病毒立体防御体系是其网络安全防护体系的核心主体，对于中国边检这样业务应用系统具有数据重要性高、数据量大、实时性要求高；同时对数据的完整性和保密性也具有特殊要求等业务特性的星型结构广域网络信息平台而言，对于病毒的防御需求不仅远远高于普通企业网络，而且相对于其自身的其他安全需求，病毒防御工作显然是整个安全体系建设的重中之重。

通过深入分析中国边检网络信息平台的安全需求，依据“切断传播途径、控制传染源、保护易感人群”的防治病毒三要素原则，冠群金辰提出了“统一控管，立体部署，纵深防御”的中国边检病毒立体、纵深防御体系建设方案：通过全方位立体部署，全面保护易感人群；通过纵深防御，建立多层次的病毒主动防御手段全面切断病毒的传播途径，主动抵御新复合型病毒、蠕虫为首的病毒威胁；同时通过中心集中控制、多级部署和分级管理，不仅使病毒的防御工作趋于灵活和精确，而且保证了可以第一时间发现病毒疫情，能够快速定位病毒源，准确有效清除或隔离病毒源，同时最新病毒防护策略可以及时分发，使网络整体病毒防护策略的实施能够得到有效保障，及时控制传染源。通过这种全方位的、多层次的病毒主动防御体系建设，提高边检对网络病毒事件进行响应和恢复的能力，最大程度的将边检网络病毒风险降低到一个可以接受的水平，实现了边检网络安全建设的首要目标。

例如，在新的安全体系中，在边检网络信息平台的不同域边界部署了网关级边界病毒过滤设备防病毒网关，进行有效的蠕虫和新复合型病毒的主动防御。通过在各边检总站域边界防病毒网关的部署，当内部网络再触发某蠕虫病毒，进而对整个网络发起攻击的时候，防病毒网关可以将其控制在一个边检总站安全域之内，避免其进一步大面积扩散，造成整个网络瘫痪等严重事件的发生，域边界的病毒防御建设提高了网络管理人员对网络内病毒事件的控制能力，有效的防御了病毒、木马、蠕虫等病毒威胁在内部网络不同区域内的破坏、扩散，切断了其在网络内部的传播途径。

项目成功的七大因素

此次中国边检与冠群金辰合作，通过网络病毒立体防御体系的建设，不仅提高了边检网络信息平台自身对病毒的防御能力，同时也完善了对网络病毒事件的恢复和响应能力。通过这次成功实施中国边检网络病毒立体防御体系建设方案，参与此次实施的工程师和出入境管理局用户们一同总结出了此次项目成功的关键因素：

体系化建设是关键，网络安全建设并非简单的产品堆砌，缺乏体系化规划的直接后果极易造成产品间相互的孤立和堆叠现象的发生；

要充分考虑自身网络业务应用特点，网络安全建设成功与否的关键在于是否充分考虑自身的网络业务应用特性，安全建设的最终目的是保证信息的安全，保证业务应用系统的稳定运行；
防御与管理并重，要多级部署、分级管理建立中心统一控管机制；

要结合网络结构特性，区域分割，域边界控制；

要实现网络连续性保障，比如方案中选择的KILL 防病毒网关产品（KSG-V）通过多种措施保障自身安全工作包括：软件 watchdog，硬件 Bypass，通过专有安全操作系统避免漏洞攻击；通过加密和认证的安全管理防止管理失控。这样可以有效减少产品自身出现故障和被攻击破坏的频率，同时保证在网络边界产品自身发生故障时，可以在最短的时间内恢复网络的正常运行和数据的及时传输。

要合理搭建双重病毒引擎保障，没有任何一款防病毒产品能够保证对所有的病毒进行有效查杀和处理。基于这种现状，边检通过合理的病毒立体防御体系的建设为其网络信息平台带来了双重病毒引擎的安全保障。

要注意合规性，参见等级保护《信息系统安全等级保护测评准则》。比如在《信息系统安全等级保护测评准则》中6.1.3.6恶意代码防范章节中在测评项和结果判定中明确“主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库”。