【51CTO.com 综合报道】伴随着国内信息化建设的高度发展,审计机构也迎来了信息化高速发展的良好机遇,借助IT技术的审计工作已受到政府部门的高度重视,但同时也承受着巨大的保障IT系统安全的风险。
如何确保审计机构的IT系统安全运行已经成为审计机构面临的严峻课题,特别是在当前进入使用IT系统进行审计工作的时代显得尤为重要。福建省审计厅在有限的资金投入下主要通过狠抓IT系统的安全管理工作,着力构筑IT系统的稳定运行和安全保障的平台,不断提高IT管理水平,努力确保审计工作高效和顺利的进行。
本文以福建省审计厅网络接入控制管理系统的建设为例,为审计机构进行网络接入控制管理系统的建设提供借鉴。
前言
在国内信息化高度发达的今天,任何IT技术都是把“双刃剑”,IT技术在给审计工作带来巨大便利的同时,也往往会因为IT系统的安全管理失控,导致巨大损失。如何确保IT系统有足够安全的保障,进而确保审计工作安全和顺利地进行,这是亟待解决的问题。
福建省审计厅安全管理现状
福建省审计厅是福建省人民政府的职能部门,其主要职责包括制定本省审计工作的政策和规划,确定审计工作重点;负责本级审计机关审计范围的审计事项。对市县审计机关审计工作进行领导;对全省内部审计工作进行指导、监督;对全省社会审计组织的审计质量进行监督;完成审计署和福建省政府交办的其他事项。现有财政、金融、固定资产投资、行政事业、企业、外资运用等审计对象 2700多个单位。
近几年来,福建省审计厅IT系统的建设取得了长足的进步,从IT技术的应用中感受到“种种好处”。随着借助IT系统的审计模式的出现,使福建省审计厅形成了一个能够触及全省的审计网络。全面且高效的从事基于IT系统的审计工作,不仅大大扩展了审计的范围,而且有效地缩短了审计时间,降低了审计成本。IT系统在提高审计工作的质量和效率方面,发挥着不可替代的作用。
然而, IT系统建设为审计厅带来巨大价值的同时,也暴露出了IT系统的安全隐患。具体表现在以下三方面:
1、终端私自更换IP地址的情况时有发生
福建省审计厅在进行IT系统建设时,为了防止外部攻击以及本地网络安全边界问题,采用了访问控制、入侵检测、网络隔离和病毒防范等方法来解决IT系统的安全问题。通过部署很多的安全设备后,来自于外部的问题得到了一定解决。但内部IP地址的非法盗用时有发生,导致正常的审计工作受到了严重影响。
2、部门间私换座位的情况经常发生
福建省审计厅内部设有多个职能部门,根据每个部门人员的职责范围和日常工作内容,进行了制度上的访问权限划分。但由于部门间互换座位的情况时有发生,导致审级厅的信息安全和保密工作受到了一定影响。
3、对外来设备的私自接入无法有效管控
经过几年的实际统计发现,福建省审计厅的网络安全事件大多数是由于网络内部的终端接入无法控制所引起的,仅仅关注来自外部威胁的防火墙、入侵检测系统等传统安全措施,而无法对来自内部的终端接入进行有效管理,导致内网安全事件频频发生。
针对现状,寻找行之有效的解决方法——北塔BTNM网络接入控制
当前福建省审计厅的审计工作,不仅需要重视质量和效率,更要确保数据以及生成这些数据的信息系统的稳定和安全,这就需要有专门的准入控制管理措施提供保障。
因此,福建省审计厅需要建立一套确保IT系统安全的网络接入控制管理系统,为审计工作开展搭建稳定的环境和安全的保障体系,同时将给审计工作的发展注入新的理念与活力,对于推动审计工作的发展具有重要的里程碑作用。
根据现状,福建省审计厅选择了以北塔BTNM为核心的网络接入控制管理解决方案,来全面解决对全厅网络接入的有效控制问题
针对福建审计厅的需求,北塔软件设计了网络接入控制管理的解决方案,具体如下:
1、有效杜绝IP地址私自更改的情况发生
通过北塔BTNM的布署,首先将所有福建审计厅全网合法终端的IP和MAC地址自动进行收集,并将对应关系实时登记在案,以此为合法依据,对全网IP地址进行实时监控。任何擅自修改IP地址的设备,都将被视为IP地址盗用,北塔BTNM系统将把它物理隔离。
2、坚决制止部门间私换座位的情况发生
通过对福建审计厅全网合法终端的MAC和端口信息汇总,并将两者对应关系实时登记在案,并以此为合法依据,对部门间私换座位的情况进行实时监控。任何擅自变换座位的终端,都将被视为非法移动,BTNM系统将把它物理隔离。
3、对外来设备的接入控制实现有效管理
通过福建审计厅全网合法终端的IP、MAC和端口的信息实时登记在案,并将三者的对应关系实施登记在案,然后BTNM系统以这个登记表为合法依据,建立一个“警戒隔离带”。任何想要通过这个隔离带的非法设备(即合法登记表中不存在的设备),都将被视为非法接入即“外部入侵”,被物理隔离在警戒隔离带之外。如下图所示:
 |
| 图1 |
如上图所示,在隔离带里面的设备都是合法设备,在隔离带外面属于非法设备。合法设备和非法设备的运行环境被“警戒隔离带”一分为二,非法设备被隔离带阻断,无法连入合法设备运行的网络,从而达到安全防范的目的。
北塔BTNM网络接入控制管理助力福建审计厅安全审计
通过北塔BTNM网络接入控制管理的部署,不仅很好的解决了福建审计厅对IP地址的有效管理,而且将内网终端的接入进行了严格控制。在充分保障审计工作顺利进行的同时,大幅提高福建审计厅的内网安全的水平,真正实现了福建审计厅安全审计的目标。
网络接入控制管理系统建设的成果
通过福建省审计厅网络接入控制管理系统的建设,满足了福建省审计厅对IT系统有效的接入控制管理的需求,实现了福建省审计厅的管理目标,在保障IT系统安全的前提下,充分保证了福建省审计厅审计工作的高效和安全的进行。
