“金質工程”是國家電子政務建設的重要組成部分，是我國電子政務建設的12個重點應用系統之一。通過電子政務系統的建設，促進各級質檢機關向管理服務型轉變，提高質量監督檢驗檢疫執法的透明度，形成全國統一的質檢大網絡，促進質檢系統執法電子化、信息化。
　　廣西金質工程建設是國家“金質工程”建設的重要組成部分，作為全國金質工程建設應用的第一個試點單位，國家質檢總局予以了高度重視。
　　廣西金質工程整體網絡建設以區局為核心，連接8個直屬技術機構、14個市質監局和76個縣局，與國家質檢主干網互聯互通，建成統一、融合多業務數據通信平臺，全面地實現各個機構間的互聯互通。目前，廣西金質工程平臺上承載的IT應用系統主要包括視頻系統、12365系統、辦公OA、績效考評、內部郵件、行政審批內網、行政審批外網、質監業務應用內網、FTP、門戶網站和國家金質工程部署的所有業務應用系統，大部分的業務系統共享數據庫集中部署在區局的數據中心，以供各個分支機構訪問。
金質工程的信息安全要求高，網絡安全極為重要，因此必須保證質檢數據安全，實現金質工程網絡的高安全性、高可靠性、高可管理性。

金質工程信息安全形勢嚴峻
　　金質工程各業務系統全面部署和應用后，網絡應用在業務系統運行中的重要性與日俱增，系統的安全和穩定就更突顯其重要性，可是網絡系統面臨的風險卻也隨著網絡的發展不斷增加。其次，來自互聯網的惡意攻擊不斷的增多，對網絡信息的有效性和完整性造成破壞，主要表現為：偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執行；在中間站點攔截和讀取絕密信息等。同時內網的安全隱患也在不斷的增多，如ARP攻擊，DOS攻擊等。另外，多線程的下載應用給部分用戶帶來了享受，而機構內部的網絡帶寬資源卻受到了嚴重的影響，導致其他人員辦公效率低下。
　　新的安全問題還在不斷出現。現在的網絡安全已經不僅限于對網絡的攻擊和數據的安全，更包括網絡設備的穩定性安全，網絡接入者的安全，訪問者的權限安全。
通過分析以上存在的問題，我們將影響網絡安全和信息安全的因素分為以下幾類：
　　首先是身份認證不當，沒有嚴格的認證就無法有效的區分用戶，也就無法部署差異化授權和審計策略，自然無法有效防御身份冒充、權限擴散與濫用等。其次是傳輸過程中的數據沒有進行有效的加密，數據如果明文傳輸，會對數據安全造成嚴重的影響，面對組織內的電腦終端不斷增多，部分電腦經常出現病毒之后就會對內網的其他電腦造成危害，同時，終端電腦是否及時的進行了補丁的修復，是否有組織的機密文件存在，在上班時間是否運行了不允許的進程等，都需要進行嚴格的管控。
　　此外，對內部的不同部門的員工，為了防止越權訪問，需要根據其分工的不同進行有效的權限劃分，保證內網資源的安全并在產生安全問題時提供依據與手段。
最后，要滿足可被授權實體訪問并按需求使用的特性，即當需要時能否存取所需的信息。

多級網絡安全管理防御方案
　　面對多層級的安全威脅，需要不同的管理手段來實現管控。為此，在金質工程廣西項目的建設過程中，我們提出針對不同的安全威脅需要不同級別的安全防護手段，建立多級網絡安全管理防御方案。在業務專網中劃分生產區、決策區以及網管區邊界，增加防火墻設備，實現對內部不同安全區域之間的隔離，并在區域之間執行訪問控制策略，防止內部主機對關鍵應用服務器，以及關鍵網絡管理設備的攻擊。從身份認證到終端準入，從線路的傳輸到內部權限的劃分和服務器的穩定安全等部署嚴格和全面的安全保障措施，從而實現具有保密性，完整性，可用性，可控性，可審查性的整體解決方案。
　　通過對反復測試比較，最終我們選定深信服的前沿網絡技術管理技術作為解決方案，通過建立多級的安全策略，實現網絡安全互聯和傳輸安全，最終實現內網的全面防護。

 

 

　　市局、區信息中心和各區縣之間通過IPSec VPN組建加密傳輸網絡，通過VPN加密技術實現數據傳輸的安全。由于所有區縣局網絡出口處都在區信息中心，因此在區信息中心利用上網行為管理，做嚴格的身份認證、終端準入和行為監控，從而實現整個網絡的行為管理。同時，利用上網行為管理獨有的流量管理和帶寬保障技術，為關鍵的應用提供帶寬保障，促使視頻會議和ERP等系統的流暢使用。
　　由于上網行為管理具有防火墻、上網行為審計、VPN等多重的功能，因此不僅解決了VPN互聯的問題，為視頻會議系統和ERP系統的數據傳輸建立了通道，而且可應用于網絡監控和審計。上網行為管理自帶的防火墻功能可以有效的保障內網的安全，相比于之前服務器直接連接公網的情況在安全性上有了很大的提高。

金質安全
　　我們通過VPN組建加密網絡，并利用上網行為管理實現網絡的行為管理。但考慮到網絡的整體安全，我們還采用了一些安全加固措施。在業務專網的核心交換機上部署入侵檢測系統，與防火墻聯動，阻斷攻擊來源；在區局、市局平臺的業務專網內分別部署漏洞掃描系統，彌補漏洞，消除系統存在的安全隱患，提升業務專網整體的抗攻擊能力；部署終端安全管理系統，保障終端接入的安全；提供服務器核心防護系統，提升服務器的抗攻擊能力，更好地保障上層應用；在業務專網內部署日志審計系統，將原來分散在各個服務器、網絡設備以及安全設備的日志進行集中記錄，并提供給系統管理人員進行查詢和檢索，在系統發現安全問題后可以對訪問過程進行還原；包括終端和服務器防病毒、統一網絡管理平臺等均在廣西金質工程中提供著金質安全。
　　網絡威脅無時不在，但是威脅在足夠堅固的安全防線下會潰退。通過結合多種前沿網絡技術，廣西金質工程建成了包括防火墻，入侵檢測，風險評估，加密認證，審計，VPN，訪問控制等安全防護體系，實現了從身份認證、終端檢測到數據傳輸加密，從訪問開始、訪問傳輸一直到訪問結束，形成了一個全套的安全防護體系，建成了多級安全網絡管理手段，使得廣西區質監的“金質工程”得到了全面的安全防護，并獲得了同行的認可和學習。