编者按：冠群金辰深层防御安全体系投入使用后，科技日报的信息系统现在可以说真正做到了安全无忧。系统不仅保护了数据，更体现出科技日报积极利用信息技术改造管理模式和业务流程，向更为现代化的信息服务提供商迈进。

　　由于日常作业流程的信息化和网络化，使得科技日报社的业务面临着新的风险，这些风险可能给报社业务带来诸多不便，经过慎重的调研与挑选，鉴于冠群金辰公司在技术、产品方面的优势，科技日报社最终选用了冠群金辰软件有限公司的产品，并指定由北京意畅IT信息技术服务有限公司作为总集成商进行整个项目的实施及后期维护。

　　作为中国领先的网络安全解决方案提供商，冠群金辰公司拥有包括入侵检测、服务器核心防护、企业级防火墙、虚拟专用网、网关级因特网内容检测与病毒防护等一整套企业级网络安全解决方案，以及KILL系列反病毒软件。由于采用了CA公司Unicenter TNG的无缝连接技术，冠群金辰的产品具备了操作平台的连接性，并拥有强大的网络管理功能。

　　具体方案与实施

　　在具体实现上，科技日报社与总集成商意畅IT公司共同从信息安全和管理的四个方面制定了信息安全保障深层防御战略体系，并加以贯彻和实现，这四个方面是：网络防毒系统、网络防黑系统、主机容灾和信息的存储恢复系统、信息系统的统一管理。

　　·网络防毒系统

　　根据深层防御战略的思想，该方案采用了层次化的网络防病毒体系，即在病毒的可能传播途径都实施查、防、杀多种技术和管理手段：在邮件网关处配置冠群金辰公司的邮件网关过滤系统防止病毒通过电子邮件方式传播；在内部网络中部署冠群金辰公司的eID系统对网络中流动的病毒进行检测；对通过主机介质和其它方式的病毒传播采用KILL安全胄甲加以查杀堵；另外还通过管理手段要求采编网中的机器尽量关闭不必要的文件共享。通过这种全方位、层次化的综合防毒体系有效地抑制了计算机病毒在科技日报社的传播和破坏。

　　这个层次化的防毒体系的另一个特点是对各防毒部件的策略化集中控管：由集中的管理服务器统一制定防杀毒策略，并发布到各个节点。这种一致性杀毒策略是保证系统杀毒效率的关键。

　　在实际实现中，方案在管理上进行了以下强化：

　　一、对客户端进行强制策略锁定和防卸载功能，这是因为采编人员的信息技术和安全意识层次参差不齐，为保证统一的安全策略能在全网得到贯彻执行，必须禁止客户端对安全策略自行修改。由于病毒的网络化新特点，网络中任何一个节点的安全疏漏，都会带来全网的不安全。

　　二、及时升级病毒特征库，并且由升级服务器自动统一发布到全部客户端，保证科技日报社网络系统对新病毒具有最新、极强的免疫能力。

　　三、严格值班制度，对任何新病毒的发现，都及时和厂商联系，取得他们高效的服务。

　　·网络防黑系统

　　根据深层战略防御的思路，最终确定了从系统边界到内部网络，再到采编服务器，采用了全方位的保护、检测、响应和恢复的防护措施。

　　网络边界作为内部网与外部非信任网络的连接点，是整个科技日报社网络的安全大门，如同报社的传达室一样，所以，该方案确定采用以下方法来防范黑客。首先检验并阻挡非法人员进入内部系统。科技日报社在系统与Internet连接处部署了冠群金辰公司的eTrust Firewall防火墙，通过防火墙监测、限制、控制所有进出的数据流，保护报社内部网络系统不受来自Internet的外部攻击，保护报社关键系统，尤其是采编和出版系统。科技日报社还通过eTrust Firewall来实现网络安全区域的划分和隔离，比如采编系统定义为安全内部网络，而邮件服务器则放置在系统的DMZ区，对不同的安全区域制定不同的安全策略，适应系统的安全需求。

　　典型用户系统的安全框架划分

　　对报社外部的作业人员，包括出差、外地办事处、在家上网人员，系统应该考虑支持他们远程访问系统内各种资源，方便他们的工作，提高办报效率。这种远程访问的要求就是安全、方便、低成本。经过比较，方案最终选用了冠群金辰公司的eTrust VPN。通过eTrust VPN系统，远程用户可以通过互联网访问报社内部系统，如同在报社内部一样方便；其次，这种远程用户和报社内部系统之间的访问通信采用了安全可靠的加密算法，通过密文在网上传送，保证了通信安全；再次，远程用户可以通过当地的互联网入口，比如当地163接入，就可以访问报社内部，成本非常低廉。

　　为了防范来自内部的安全威胁，方案加强了对网络通信的安全控制，对网络行为、通信进行全面监控。方案最终选用了eID作为报社内部网络的入侵检测工具。除了实现了上述安全要求外，方案在运行系统上还实现了：如果网上出现方案定义的非法访问活动，除了报警、记录外，还可以通过eID与防火墙的联动功能或者eID的主动阻断功能实时切断非法网络访问；利用eID的动态URL库限制报社内部人员到不良网站的访问；检测网络传播的病毒，及时报警。

　　·主机容灾和信息的存储恢复系统

　　深层战略防御体系的一个重要思想就是一旦系统出现故障或遭到入侵，一定要有自恢复功能，保证系统的可用性。对科技日报社来说，采编信息和数据安全是至关重要的，它直接关系到能否正常出报。因此方案在系统设计时格外考虑采编服务器的正常工作和系统可靠性：对采编系统采用双机冗余、存储备份的安全策略。

　　在采编系统中，方案采用了两台服务器作主机热备冗余工作模式，主服务器和备份服务器完全同步，一旦主服务器出现重大故障，马上可以切换到备份服务器上。

　　为进一步提高采编系统的可靠性，方案还选用了CA公司BrightStor ARCserve产品，对服务器系统进行集中存储备份。它的并行流处理功能可以大大提高系统的备份效率，保证采编数据在有限的时间内备份到带库中。在管理上方案定制了严格的系统数据存储备份及恢复策略，保证了数据在遭到毁坏时，可以迅速地将服务器上的操作系统和数据完全恢复，保证采编系统的连续性运行。

　　方案实施效果

　　方案投入使用后，凭借着技术做后盾，管理做保障，科技日报的信息系统现在可以说真正做到了安全无忧。安全的系统不仅为科技日报的数据起到了保险作用，更体现出科技日报积极探索利用信息技术改造管理模式和业务流程，向更为现代化的信息服务提供商迈进。科技日报信息系统升级背后的动力，是管理观念的升级，服务质量的升级。它所为科技日报引领的，是一段全新的航程。