长航体系背景介绍
长航总局的职能
长江航务管理局隶属于中华人民共和国交通运输部,是遵照国务院国发198350号文件精神,根据政企分开、港航分管的原则,在原长江航运管理局的基础上于1984年组建的,2002年,中编办《关于交通部长江航务管理局主要职责和人员编制的批复》(中编办复字20027号)明确对长江干线航运行使政府行业管理职能,受交通部委托或法规授权行使长江干线航运行政主管部门职责。
现今针对信息化板块,长航局主要负责组织航运重大科技开发、推动行业技术进步和信息化工作。
长航体系架构介绍
长航局现有5个直属单位,其中长江海事局、长江航道局、长江三峡通航管理局为正厅级单位,长江航运总医院、中国水运报刊社为正处级单位。
长航局官网组织架构图示意图
局直属单位中下设49个分支机构,其中,包含副局级单位1个,正处级单位38个,副处级单位10个。
下属机构涉及城市
长航下属机构在长江沿线七省二市下设长江宜宾、泸州、重庆、宜昌、武汉、南京区域航道局,下辖81个航道处,主要负责航道科研、航道测量、航道整治、航道档案等支持保障工作,并且统一管理长江口航道管理局、长江航道工程局有限责任公司。
安全体系国产化现状思考
2018年4月召开的全国网络安全和信息化工作会议曾指出:“信息化为中华民族带来了千载难逢的机遇。我们必须敏锐抓住信息化发展的历史机遇,加强网上正面宣传,维护网络安全,推动信息领域核心技术突破,发挥信息化对经济社会发展的引领作用,加强网信领域军民融合,主动参与网络空间国际治理进程,自主创新推进网络强国建设。”
2019年10月7日,美国商务部又把28家中国机构和公司列入美国出口管制“实体清单”。同时还在不断收紧对我国芯片业发展的限制。这一系列事件在不断地提醒我国网信工作者,我国网信工作的自主创新更加时不我待,关键核心技术必须尽快掌握在手,供应链安全问题也必须得到切实的保障。
如果说国产化是一场战争,那么基础软硬件,就是“正面战场”,是国家网络安全的基础和保障。毋庸置疑,占据中国市场长达几十年的国外产品在性能和速度上是优越的,国产化背后的核心逻辑是解决“卡脖子”的问题,也就是在CPU、操作系统等细分领域,逐步实现使用国产化软件、硬件体系。
长航国产化体系网络安全建设依据
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)
制度中针对整体安全建设部分提出的要求,以实现对长航体系相关物理环境、边界防护、身份认证、远程访问、资产数据等方面的全面安全管控;
《长航系统“十四五”发展规划》
其中的“三、主要任务”下属“(七)提高航运科学管理能力”小节提出:应当推进行业研发中心等创新平台建设,整合科研资源,提升政策研究和技术研发能力。加强发展战略、政策、规划、标准、技术等研究,建立高质量发展重大问题和科技创新关键技术攻关清单,开展高标准航道建设、深水航道减淤、三峡船闸运行管理控制国产化、航运服务品质化、安全监管精准化等关键技术研究;
《长航系统“十四五”发展规划》节选原文条例内容
《公路水路关键信息基础设施安全保护管理办法》
第十四条提出:运营者应当加强公路水路关键信息基础设施供应链安全管理,应当采购依法通过检测认证的网络关键设备和网络安全专用产品,优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
《公路水路关键信息基础设施安全保护管理办法》节选原文条例内容
以上法律法规、行业规范,均明确指出了长航等机构群体作为国家航运重要体系,需要按照最高标准建设可信可控的网络安全防御体系。
某航道局安全体系建设方案介绍
航道局标准的网络架构以内外网做边界区分,内外网均设有办公区域,且外网有互联网专线接入区,内网有专网接入区,中间设有DMZ区作为过渡。在2018-2019年,长航体系根据网络安全法、网络安全等级保护要求,针对核心城市航道、海事局开展了网络安全体系建设工作,因此长江流域大部分分支机构均落地了成熟的网络安全防护方案。
2022年交通运输部内部发文要求长航体系需在2027年前完成整体国产化替代工作,因此大部分航道、海事局的国产化安全建设工作刻不容缓。
以某航道局国产化安全体系建设方案为例,威努特部署了网络安全等级保护三级全套国产化设备。其中第二代防火墙、漏洞扫描系统、入侵防御系统、上网行为审计系统等设备,使用了飞腾芯片,并且搭载统信操作系统;态势分析与安全运营管理平台、日志审计与分析系统、安全运维管理系统、数据库审计系统等设备,则使用了飞腾芯片并搭载麒麟操作系统。
设备部署拓扑如下:
互联网接入区
航道体系通常有运营商的专线接入,以及办公传输数据所用的外网VPN专线,因此作为唯一的互联网出口处,接入交换机后方部署了国产化第二代防火墙、网络入侵防御系统、上网行为审计系统,并均采用主备的模式。
外网办公区
外网办公区数量较多,通常按照单位楼栋进行划分,每一个不同的办公区在接入外网核心交换机之前,都需要通过国产化第二代防火墙,以实现边界访问控制。
外网运维管理区
首先,外网运维管理区与其它分区也使用国产化第二代防火墙做边界访问控制,严格遵守区域划分管控原则。并且在运维区内,部署有国产化网络准入、外网整体态势分析平台、漏洞扫描设备,以实现对访客的管控、外网整体态势的清晰分析定位、漏洞处理的闭环处置。
DMZ区
航道体系单位,通常会通过DMZ区的设置,来防止外部网络直接访问内部网络,并且放置对外服务的服务器,诸如DHCP、DNS以及其它业务服务器等。通过在区域边界,部署国产化第二代防火墙,并设置不同的规则,来限制内外网区域间的通信,确保内外网隔离,保护内网安全。
专网接入区
航道体系单位需要与体系主管单位、直接上级单位、信息中心进行数据交互,因此存在专网接入区。而通过专网路由转换后,需要通过国产化第二代防火墙与国产化网络入侵防御系统,确保针对应用层的攻击,以及限制攻击者在渗透进内网后轻松提权横移的动作。
内网办公区
与外网办公区相同,通常按照单位楼栋进行划分,每一个不同的办公区在接入外网核心交换机之前,都需要通过国产化第二代防火墙,以实现边界访问控制。
内网运维管理区
内网运维管理区相较于外网运维区,多加入了国产化日志审计系统、数据库审计系统,需要同时满足国产化要求与等级保护要求,对内网整体态势有着直观的分析展示。
国产化安全防护体系的效果及意义
1
方案参照成熟体系,安全监测能力全面覆盖
国产化解决方案参照传统网络安全等级保护二级、三级标准,完成了设备功能的全面复制。针对边界防护、入侵监测、旁路审计、统一管理、态势监管等核心要求,均有对标的防护设备、手段。
国产化解决方案落地后,可以实现针对长航体系的全局安全监测能力覆盖,大力保障长航安全管理体系。
2
满足交通部门政策,加速推动长航体系数字化转型
威努特国产化安全防护方案将为长航局全线单位的信息化建设需求提供强有力的支撑,对于改善长航局管理信息化水平,促进经济结构布局调整和资源合理利用、提升政府社会公众服务水平、加强生态环境保护和推进可持续发展具有重要的意义。
3
国产化设备性能不落后,防护效果不打折
CPU是影响设备处理能力的最核心组件。虽然国产CPU如飞腾、鲲鹏等在处理能力依然落后于以intel为代表CPU的处理性能,但是通过持续优化,目前性能差距逐步缩短。
在国产化环境下,安全产品尤其是串联设备能否承载正常的业务流量,保证整个网络的可用性是很多客户担心的问题。威努特国产化安全设备种类、型号丰富,可以轻松覆盖客户现场各类带宽、功能需求,方案落地不打折扣,与传统安全设备运营效果毫无差别。
威努特部分产品与国产化CPU兼容认证
4
国产设备安全可靠,100%国产化部件
威努特国产化产品通过了严格的元器件审查过程,证明其操作系统、所有部件,均为国产生产、组装。真正意义上实现完全安全可靠。
威努特部分产品国产化部件分析报告
小 结
随着我国网信技术和产业的快速发展,威努特大量自主创新的技术、产品和解决方案广泛应用于政府单位等重要行业领域,一方面为相关行业领域的网络安全保障打下了良好的基础,另一方面也促进了我国国产化网安行业更好更快地发展。
在2024年9月25日,威努特与华为签署了鲲鹏全面合作协议,这无疑是在展示我司在国产化行业深耕的决心,同时,这也意味着在我国未来网络安全行业国产化发展的过程中,威努特将投入更多的科研力量、人员精力,力争为国家做出更专业的宣传、推广,为国产化产业大局的建立尽最大能力添砖加瓦。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...