用戶概況
上海市國際機(jī)場公安分局隸屬上海公安局機(jī)場安全服務(wù)管理單位,主要負(fù)責(zé)上海國際機(jī)場、民用航空器的安全保衛(wèi)、治安管理、刑事偵查、交通管理、防火監(jiān)督等工作,同時(shí)承擔(dān)轄區(qū)內(nèi)部分民事安全管理工作等。
面臨問題
分局下設(shè)多個(gè)處級部門、派出所、以及各警備支隊(duì),對信息業(yè)務(wù)的處理需求各不相同。如地勤人員與隨航警務(wù)人員的移動(dòng)辦公需求,如虹橋浦東兩地機(jī)場的數(shù)據(jù)通信需求,如刑偵視頻系統(tǒng)的監(jiān)控傳輸保障需求,如交通系統(tǒng)的號牌發(fā)放管理審計(jì)需求,如消防系統(tǒng)的無人值守警戒需求等。信息安全保障的實(shí)施需對各級業(yè)務(wù)都具備兼容性,并能保障各類信息系統(tǒng)的關(guān)鍵業(yè)務(wù)安全。
解決方案
為滿足多樣化的業(yè)務(wù)兼容性,保障關(guān)鍵業(yè)務(wù)的順利進(jìn)行,方案結(jié)合了冰峰SSL VPN在移動(dòng)接入方面的突出優(yōu)勢,以及冰峰網(wǎng)極星流量管理的管控能力,為上海機(jī)場公安分局提供高效的內(nèi)外網(wǎng)安全保證。
方案概述
根據(jù)用戶需求按需實(shí)施,是冰峰網(wǎng)絡(luò)信息安全解決方案的核心思路。針對上海機(jī)場公安分局的應(yīng)用需求,主要從以下幾個(gè)方面入手。
一、移動(dòng)辦公用戶安全接入使用內(nèi)網(wǎng)資源,冰峰采用國家商用密碼管理局指定加密算法,支持多種移動(dòng)接入方式,結(jié)合虛擬站點(diǎn)技術(shù)、為各類移動(dòng)辦公用戶提供相互獨(dú)立的遠(yuǎn)程接入支持。保證用戶身份的合法性和數(shù)據(jù)傳輸?shù)陌踩浴R苿?dòng)辦公用戶包括以下類型:隨航班飛行外地的出勤警務(wù)人員;在機(jī)場執(zhí)行地勤的警務(wù)人員;交通執(zhí)勤人員;使用筆記本終端、智能手機(jī)和掌上電腦辦公的人員。
二、結(jié)合現(xiàn)有的20M寬帶,架設(shè)的VPN線路,可為虹橋機(jī)場與浦東機(jī)場專線互聯(lián)提供線路傳輸備份:兩條安全線路可任意挑選使用。任何一條線路出現(xiàn)問題,設(shè)備第一時(shí)間自動(dòng)切換到另一條線路,保障兩地的實(shí)時(shí)交互通信。
三、冰峰SSLVPN客戶端的無人值守機(jī)制,通過用戶定制,可對需要24小時(shí)數(shù)據(jù)傳輸?shù)墓?jié)點(diǎn)進(jìn)行布點(diǎn)實(shí)施,如消防安全監(jiān)控節(jié)點(diǎn)的監(jiān)控設(shè)備等。無人值守的特性可以保證在系統(tǒng)遭遇網(wǎng)絡(luò)故障后的10S自動(dòng)互聯(lián),使得各監(jiān)控點(diǎn)無需人工進(jìn)行操作重啟。
四、對于各部門的帶寬管理行為,可通過冰峰網(wǎng)極星流量管理實(shí)時(shí)保障工作帶寬,合理分配各部門對帶寬資源的占用。
1、為正常工作應(yīng)用預(yù)留足夠帶寬,例如視頻系統(tǒng)、業(yè)務(wù)系統(tǒng)、郵件系統(tǒng)等;
2、提供用戶分組管理,時(shí)間段管理,白名單管理,構(gòu)建系統(tǒng)懲罰機(jī)制,為不同用戶組設(shè)置不同網(wǎng)絡(luò)使用級別。各類流控策略可以根據(jù)用戶組情況任意組合。
五、針對交警、刑偵、治安等部門的上網(wǎng)審計(jì)需求,其目的是管控各類成員對內(nèi)部資源權(quán)限的合法應(yīng)用。通過對用戶進(jìn)行IP-MAC綁定,使所有上網(wǎng)記錄責(zé)任到人,流量數(shù)據(jù)以報(bào)表方式呈現(xiàn),有據(jù)可依。針對外來人員上網(wǎng),內(nèi)部公用電腦,網(wǎng)極星流量管理可以向此類非授權(quán)行為提出認(rèn)證需求,促使外來人員的外網(wǎng)訪問也在安全可控的范圍內(nèi)。
效果評述
通過冰峰VPN與流量管理相結(jié)合的方式,使得機(jī)場公安分局的各類業(yè)務(wù)系統(tǒng)可直接通過VPN在授權(quán)的安全范圍內(nèi)使用,讓工作流程變得更加合理化,加快了各類外勤人員的工作效率,同時(shí)又可利用冰峰VPN的安全線路備份能力服務(wù)于兩個(gè)機(jī)場之間的安全通信。對于流量管理方面,首先是視頻業(yè)務(wù)對于大帶寬占用的合理分配,其次是各類實(shí)時(shí)傳輸業(yè)務(wù)的流量保證。再次是行為審計(jì)的安全管理,都是機(jī)場公安分局在實(shí)現(xiàn)信息化安全管理中不可缺少的輔助能力。以上方案的實(shí)施,讓機(jī)場公安分局在信息化業(yè)務(wù)上更具安全性與高效性。
