網絡接入控制在福建省審計廳的應用
【51CTO.com 綜合報道】伴隨著國內信息化建設的高度發展,審計機構也迎來了信息化高速發展的良好機遇,借助IT技術的審計工作已受到政府部門的高度重視,但同時也承受著巨大的保障IT系統安全的風險。
如何確保審計機構的IT系統安全運行已經成為審計機構面臨的嚴峻課題,特別是在當前進入使用IT系統進行審計工作的時代顯得尤為重要。福建省審計廳在有限的資金投入下主要通過狠抓IT系統的安全管理工作,著力構筑IT系統的穩定運行和安全保障的平臺,不斷提高IT管理水平,努力確保審計工作高效和順利的進行。
本文以福建省審計廳網絡接入控制管理系統的建設為例,為審計機構進行網絡接入控制管理系統的建設提供借鑒。
前言
在國內信息化高度發達的今天,任何IT技術都是把“雙刃劍”,IT技術在給審計工作帶來巨大便利的同時,也往往會因為IT系統的安全管理失控,導致巨大損失。如何確保IT系統有足夠安全的保障,進而確保審計工作安全和順利地進行,這是亟待解決的問題。
福建省審計廳安全管理現狀
福建省審計廳是福建省人民政府的職能部門,其主要職責包括制定本省審計工作的政策和規劃,確定審計工作重點;負責本級審計機關審計范圍的審計事項。對市縣審計機關審計工作進行領導;對全省內部審計工作進行指導、監督;對全省社會審計組織的審計質量進行監督;完成審計署和福建省政府交辦的其他事項。現有財政、金融、固定資產投資、行政事業、企業、外資運用等審計對象 2700多個單位。
近幾年來,福建省審計廳IT系統的建設取得了長足的進步,從IT技術的應用中感受到“種種好處”。隨著借助IT系統的審計模式的出現,使福建省審計廳形成了一個能夠觸及全省的審計網絡。全面且高效的從事基于IT系統的審計工作,不僅大大擴展了審計的范圍,而且有效地縮短了審計時間,降低了審計成本。IT系統在提高審計工作的質量和效率方面,發揮著不可替代的作用。
然而, IT系統建設為審計廳帶來巨大價值的同時,也暴露出了IT系統的安全隱患。具體表現在以下三方面:
1、終端私自更換IP地址的情況時有發生
福建省審計廳在進行IT系統建設時,為了防止外部攻擊以及本地網絡安全邊界問題,采用了訪問控制、入侵檢測、網絡隔離和病毒防范等方法來解決IT系統的安全問題。通過部署很多的安全設備后,來自于外部的問題得到了一定解決。但內部IP地址的非法盜用時有發生,導致正常的審計工作受到了嚴重影響。
2、部門間私換座位的情況經常發生
福建省審計廳內部設有多個職能部門,根據每個部門人員的職責范圍和日常工作內容,進行了制度上的訪問權限劃分。但由于部門間互換座位的情況時有發生,導致審級廳的信息安全和保密工作受到了一定影響。
3、對外來設備的私自接入無法有效管控
經過幾年的實際統計發現,福建省審計廳的網絡安全事件大多數是由于網絡內部的終端接入無法控制所引起的,僅僅關注來自外部威脅的防火墻、入侵檢測系統等傳統安全措施,而無法對來自內部的終端接入進行有效管理,導致內網安全事件頻頻發生。
針對現狀,尋找行之有效的解決方法——北塔BTNM網絡接入控制
當前福建省審計廳的審計工作,不僅需要重視質量和效率,更要確保數據以及生成這些數據的信息系統的穩定和安全,這就需要有專門的準入控制管理措施提供保障。
因此,福建省審計廳需要建立一套確保IT系統安全的網絡接入控制管理系統,為審計工作開展搭建穩定的環境和安全的保障體系,同時將給審計工作的發展注入新的理念與活力,對于推動審計工作的發展具有重要的里程碑作用。
根據現狀,福建省審計廳選擇了以北塔BTNM為核心的網絡接入控制管理解決方案,來全面解決對全廳網絡接入的有效控制問題
針對福建審計廳的需求,北塔軟件設計了網絡接入控制管理的解決方案,具體如下:
1、有效杜絕IP地址私自更改的情況發生
通過北塔BTNM的布署,首先將所有福建審計廳全網合法終端的IP和MAC地址自動進行收集,并將對應關系實時登記在案,以此為合法依據,對全網IP地址進行實時監控。任何擅自修改IP地址的設備,都將被視為IP地址盜用,北塔BTNM系統將把它物理隔離。
2、堅決制止部門間私換座位的情況發生
通過對福建審計廳全網合法終端的MAC和端口信息匯總,并將兩者對應關系實時登記在案,并以此為合法依據,對部門間私換座位的情況進行實時監控。任何擅自變換座位的終端,都將被視為非法移動,BTNM系統將把它物理隔離。
3、對外來設備的接入控制實現有效管理
通過福建審計廳全網合法終端的IP、MAC和端口的信息實時登記在案,并將三者的對應關系實施登記在案,然后BTNM系統以這個登記表為合法依據,建立一個“警戒隔離帶”。任何想要通過這個隔離帶的非法設備(即合法登記表中不存在的設備),都將被視為非法接入即“外部入侵”,被物理隔離在警戒隔離帶之外。如下圖所示:
 |
| 圖1 |
如上圖所示,在隔離帶里面的設備都是合法設備,在隔離帶外面屬于非法設備。合法設備和非法設備的運行環境被“警戒隔離帶”一分為二,非法設備被隔離帶阻斷,無法連入合法設備運行的網絡,從而達到安全防范的目的。
北塔BTNM網絡接入控制管理助力福建審計廳安全審計
通過北塔BTNM網絡接入控制管理的部署,不僅很好的解決了福建審計廳對IP地址的有效管理,而且將內網終端的接入進行了嚴格控制。在充分保障審計工作順利進行的同時,大幅提高福建審計廳的內網安全的水平,真正實現了福建審計廳安全審計的目標。
網絡接入控制管理系統建設的成果
通過福建省審計廳網絡接入控制管理系統的建設,滿足了福建省審計廳對IT系統有效的接入控制管理的需求,實現了福建省審計廳的管理目標,在保障IT系統安全的前提下,充分保證了福建省審計廳審計工作的高效和安全的進行。
