1.应用背景

2001年，江苏省省级党政机关机构改革，省委、省政府将省级行政机关政府采购的具体组织实施的职能从原省财政厅划转到省级机关事务管理局，后经省编委批准成立了“江苏省省级行政机关政府采购中心”，隶属于江苏省省级机关事务管理局，为省级政府采购代理机构。目前中心下设二部一室共三个部、室。业务部主要负责具体采购操作工作，综合部主要负责中心对内、对外的综合性事务，内审室负责采购过程的动态监督、评价等工作。

江苏省政府采购中心前期网络存在很多问题，导致业务的应用存在很多安全隐患。政府采购中心服务器过多，且安全性较低。省平台为远程用户提供ＷＥＢ访问，并与市级系统通过ＨＴＴＰ协议实时通讯。在运行于互联网环境并通过公用网络传输部分明文数据的情况下，省平台目前主要存在下列网络安全隐患：

(1)      从外部网络发起的计算机网络攻击和入侵行为，如网络病毒、黑客攻击、主机入侵等，导致的系统瘫痪、数据篡改、信息泄漏等。

(2)      网络通信数据被窃听所导致的信息泄漏。

(3)      通过窃听数据，破解网络通信安全机制，导致网络通信失控和系统功能失控，造成系统被他人完全控制。

(4)      虚假路由信息导致主机与假冒的受信任对象通信，造成信息泄漏、主机被控制等现象。

(5)      合法的用户计算机或网络上发起的网络攻击和入侵行为。原因至少包括：用户计算机或网络上存在病毒或被恶意控制等。

2.解决方案

结合江苏省省级机关政府采购中心的业务特点，捷普公司对于采购中心的互联服务区、核心数据区和业务区的重点服务器，分别实施了定制化的防御策略，帮助用户精确地检测和阻断针对这些服务器入侵和SQL注入等破坏行为，保证了正常业务工作的开展。

由于省平台时刻面临着网络被攻击、系统被入侵、数据被窃听、口令被破解、身份被分被假冒等的网络安全威胁，因此捷普公司在深入分析网络结构和安全隐患的基础上，经过安全评估和详细设计，改善了网络环境，部署了捷普防火墙系统、入侵检测系统、信息审计系统、主机监控与审计系统以及服务器群组防护系统，最大程度的保证了政府采购中心的信息安全。并从物理层、网络层、系统层、应用层和安全服务层进行安全规划，部署并实施有效的安全策略，实现防御攻击、阻断入侵、身份认证、加密通信、安全加固、综合审计等多方位的安全防护，保障了系统的安全运行。

 捷普服务器群组防护系统根据服务器类型，针对不同应用协议特征采取分类检查的策略，一方面确保检查算法准确高效，另一方面也确保系统性能不受影响，减少无效计算。系统将消极安全模型与积极安全模型相结合，根据HTTP 协议特点，将协议完整性检测、基于特征的应用层攻击检测、基于访问行为的攻击检测等技术有机结合，有效的对各种安全攻击进行防护，提高WEB 应用系统的安全性，可以防止应用层DDOS 攻击，注入式攻击，跨站点脚本编写，非法命令执行等常见攻击；系统针对邮件服务则以防止垃圾邮件和病毒扫描为主；针对ftp 等其他应用则重在行为审计上。

捷普服务器群组防护系统具备 Web 防火墙和邮件网关的所有功能，并可以对用户行为进行审计。

3.小结

这个案例是需要在防火墙的访问控制功能基础上，实现对应用业务服务器的深层保障，这就要求入侵防御设备不但能够提供对应用层攻击和SQL注入攻击的精确阻断，实施有效的防御策略，同时还要能够提供良好的串行设备的性能和稳定性。捷普入侵防御系统在产品功能上提供了和用户业务紧密结合的定制化特色，有效解决用户的特定需求；同时在产品软硬件性能上能够兼顾速度和效率，从而为用户网络提供精确、可靠的入侵防御，保障正常业务的稳定可靠运行。