在国家“金土”工程的政策指引下，四川省国土资源厅已经完成了全省的“金土”一期工程建设，搭建了较为完善的国土电子政务内外网基础设施，取得了显著的成绩。在网络安全建设方面，四川国土也进行了相应的投资，部署了防火墙、IPS、网络隔离系统、终端防病毒等系统，但是整体安全水平依然有待提升。为此，四川省国土经过细致调研，提出了以下网络安全需求：

　　外网的监控和管理：外网既有日常查询互联网信息的功能，又是单位信息发布的重要出口，而外网出现故障的概率远远大于内网，而且由于用户使用频繁，外网的全网监控显得尤为重要。具体体现在：

　　1. 外网的服务器实时状态实时监控，避免出现故障。

　　2. 外网网络的运转情况、速度流量、安全设备的报警

　　3. 所有设备日志的综合收集和分析

　　4. 图形化展现全网运转状态，报告故障点，提高管理员发现问题解决问题的效率。

　　5. 利用优化现有设备：调整IPS、防火墙的策略，提高规则的实用性，增强安全性。

　　6. 需要对全网集中安全监控，而现在缺乏有效的手段监视、无法及时实时了解全网状态，监控所有设备的运转状况。

　　内网全网实时监控：一个信息化系统建成后都应该建立相应的自动化监控系统，而单位的信息化系统采用人工监控，无法及时发现故障和隐患，被动的等待问题和隐患的发生，而当故障发生的时候又无法及时、简单的查处问题，管理员一直处于被动救火的情况中，大量消耗本来就不多的人力和时间。

　　内网终端的管理问题，具体表现在：

　　1. 第三方维护人员接入控制、携带的维护设备的基准安全、操作审计问题：我单位时常会遇到第三方维护人员，如服务器、网络等厂商或代理商的人员携带个人笔记本进入我单位网络，而这些设备的安全程度无法估计，随时有可能在无意中破坏我单位的信息系统的安全性和稳定性，导致断网或传播病毒。而这些人员接入我单位后对服务器、交换机或其他设备进行操作，是否在安全范围，或是否对无关的设备进行了操作，以及当出现配置失误无法查出责任人等问题，一直对我单位信息系统的稳定和可审计带来威胁。

　　2. 内网终端准入无法控制：就现在的情况而言终端只需要插入网线，配置IP地址就可以接入国土资源厅内网，这样对内网的威胁相当严重。

　　3. 内网终端无法达到基准安全：基准安全是对终端的操作系统，软件等实现的最基本的接入安全，不能容忍某台PC机的安全等级降低威胁到整体信息系统的安全等级。

　　4. 公用配置机无法审计操作：通过公用的计算机配置网络，数据库，服务器等设备的操作无法审计，出现问题无法回放，无法定位，导致问题无法回退直接影响故障的排除速度。

　　5. 固定资产无法实时监控：计算机系统属于国家固定资产投资，而计算机的特点可以插拔配件的特性导致计算机的硬件容易遗失，目前无发实时监控计算机固定资产的遗失和更换。

　　针对四川国土的上述需求，网御神州深入与客户沟通，并为客户制定一份完善内外网的安全建设解决方案，并得到了用户的认可。在这个解决方案中，最核心的就是为四川国土客户建立一套集成网络管理与安全管理的统一管理平台，分别部署在内网和外网，并在内网部署一套终端安全管理系统。

　　通过在内外网部署网御神州的SecFox统一管理平台，可以实现以下安全目标：

　　1. 采用图形化界面显示国土资源厅外网、服务器、中间件、网站、网络、安全设备、DHCP服务器的运转情况，出现故障及时报警。今后还可以将机房、UPS、温湿度监控纳入到全网监控范围，实现从物理层、网络层、安全层、主机层、操作系统层的全部监控。

　　2. 实时连续的监测网络设备运转情况（交换机、路由器）、流量异常、网线通断情况。

　　3. 安全审计（日志审计）：实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。还能够实时地对采集到的不同类型的信息进行归一化和实时关联分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。对于集中存储起来的海量信息，可以让管理人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。

　　4. 集中报警：采用短信，邮件，大屏幕显示等手段及时报警故障点和问题。

　　5. WEB页面防篡改：外网网站是我单位重要的信息发布平台，可以通过安全管理平台实现对外网WEB网页防止篡改。

　　6. 借助统一安全管理平台，有助于省厅紧扣公安厅等级保护要求，在针对信息系统的监控和运行维护上增强管理的一致性，提高管理的流程化程度和合规性。

　　通过在内网部署网御神州SecFox-EPS终端安全管理系统，能够实现以下安全目标：

　　1. 终端接入控制

　　采用IP地址+MAC地址+软件