1 前言
1.1電子政務(wù)安全建設(shè)背景
電子政務(wù)使政府社會(huì)服務(wù)職能得到最大程度的發(fā)揮���,但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前����。要趨利避害���,電子政務(wù)安全防護(hù)體系的構(gòu)建至關(guān)重要����。電子政務(wù)作為政府業(yè)務(wù)樞紐����,只有構(gòu)建在安全可靠的網(wǎng)絡(luò)平臺(tái)上,才能防止重要信息被攻擊��、竊取或泄露,安全地連接因特網(wǎng)或其他組織���,才能確保政府順利開展日常工作�。
1.2 電子政務(wù)網(wǎng)絡(luò)安全架構(gòu)
電子政務(wù)網(wǎng)絡(luò)涵蓋了政務(wù)內(nèi)網(wǎng)�����、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)三種類型網(wǎng)絡(luò)�����。政務(wù)內(nèi)網(wǎng)為政府部門內(nèi)部的關(guān)鍵業(yè)務(wù)管理系統(tǒng)和核心數(shù)據(jù)應(yīng)用系統(tǒng)���;政務(wù)外網(wǎng)為政府部門內(nèi)部以及部門之間的各類非公開應(yīng)用系統(tǒng)�,所涉及的信息應(yīng)在政務(wù)外網(wǎng)上傳輸��,與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)����,面向社會(huì)提供的一般應(yīng)用服務(wù)及信息發(fā)布,包括各類公開信息和非敏感的社會(huì)服務(wù)���。面對如此復(fù)雜的應(yīng)用環(huán)境����,整個(gè)系統(tǒng)中任何一個(gè)不安全因素都會(huì)造成在平臺(tái)上傳送和存儲(chǔ)的政務(wù)信息面臨風(fēng)險(xiǎn)����,產(chǎn)生不良后果。電子政務(wù)網(wǎng)絡(luò)是整個(gè)電子政務(wù)系統(tǒng)的基礎(chǔ)設(shè)施���,政務(wù)網(wǎng)絡(luò)安全是電子政務(wù)安全的重要組成部分���。H3C多年來建設(shè)了大量國家級(jí)、省部級(jí)和各級(jí)政府的電子政務(wù)網(wǎng)絡(luò)����,具有豐富的電子政務(wù)網(wǎng)絡(luò)和安全建設(shè)經(jīng)驗(yàn),對于電子政務(wù)安全建設(shè)�,H3C提供了整體安全解決方案,包括五大解決方案:邊界防護(hù)方案��、遠(yuǎn)程安全接入方案���、行為監(jiān)管方案��、數(shù)據(jù)中心保護(hù)方案�����、內(nèi)網(wǎng)安全方案�。
2 政務(wù)安全解決方案
2.1 遠(yuǎn)程安全接入解決方案
電子政務(wù)網(wǎng)絡(luò)的一個(gè)基本功能是為政府各局委辦部門提供接入服務(wù),大部分政府部門通過專線接入政務(wù)網(wǎng)核心�����,但一些部門往往分散分布在城市各個(gè)區(qū)域���,所處的地點(diǎn)難以提供專線線路����,有的派出機(jī)構(gòu)人數(shù)較少��,使用專線成本較高���,還有數(shù)量眾多的基層單位��,難以一一通過專線線路接入��。此外�,政府工作人員在出差、在家辦公也需要訪問政務(wù)網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)���,這些都要求提供一種低成本的安全接入方式。
H3C的遠(yuǎn)程接入解決方案是一種高性價(jià)比的安全的接入方案���,在INTERNET上提供虛擬專線的服務(wù)��,為分散單位和個(gè)人接入政務(wù)網(wǎng)絡(luò)提供可能��。遠(yuǎn)程安全接入解決方案包括IPSec VPN和SSL VPN方案�,IPSec VPN提供虛擬專線服務(wù)�,主要用于連接分散部門的網(wǎng)絡(luò)和政務(wù)核心網(wǎng)絡(luò)。SSL VPN主要用于個(gè)人接入����,可以用瀏覽器的方式直接訪問政務(wù)網(wǎng)業(yè)務(wù)系統(tǒng),不需要安裝客戶端��,使用比較方便�����。
H3C的遠(yuǎn)程接入方案由安全接入網(wǎng)關(guān)和安全管理平臺(tái)組成�����。安全接入網(wǎng)關(guān)是SecPath防火墻/UTM或者專業(yè)VPN網(wǎng)關(guān),能夠統(tǒng)一提供IPSEC VPN�、SSL VPN、MPLS VPN等多種VPN技術(shù)和專業(yè)防火墻功能�,實(shí)現(xiàn)分支機(jī)構(gòu)、合作伙伴����、移動(dòng)用戶的一體化遠(yuǎn)程安全接入。
對于大型政府網(wǎng)絡(luò)或者大量基層單位接入的政務(wù)網(wǎng)絡(luò)���,安全接入網(wǎng)關(guān)的數(shù)量可能達(dá)到上百個(gè)甚至幾百個(gè)�,對于如此眾多的安全接入網(wǎng)關(guān)��,VPN的建立����、刪除、修改的工作量非常巨大�,日常維護(hù)管理非常困難。為此�,H3C還提供了專業(yè)的安全管理平臺(tái),來實(shí)現(xiàn)眾多SecPath防火墻/UTM的統(tǒng)一部署���、監(jiān)控��、管理����,無論對設(shè)備的管理還是對VPN的管理都可以便捷的實(shí)現(xiàn)。
2.2邊界防護(hù)解決方案
電子政務(wù)網(wǎng)絡(luò)的邊界防護(hù)是基本的安全建設(shè)內(nèi)容����,互聯(lián)網(wǎng)出口安全防護(hù)就是典型的邊界防護(hù)�����,除此之外���,上下級(jí)政務(wù)網(wǎng)絡(luò)邊界����,政務(wù)園區(qū)內(nèi)部不同區(qū)域之間的邊界也屬于邊界防護(hù)的范圍�。
以互聯(lián)網(wǎng)出口安全防護(hù)為例,除了傳統(tǒng)的安全防護(hù)所關(guān)注的網(wǎng)絡(luò)層的安全防護(hù)之外���,還需要考慮應(yīng)用層安全防護(hù)�����、應(yīng)用管理���、負(fù)載均衡等內(nèi)容��。應(yīng)用層安全防護(hù)主要解決4-7層的安全防護(hù)���,包括網(wǎng)絡(luò)型病毒、蠕蟲��、頁面篡改及惡意入侵行為�。
網(wǎng)站群安全防護(hù)是政務(wù)網(wǎng)絡(luò)安全防護(hù)比較關(guān)注的內(nèi)容,在安全防護(hù)中也屬于應(yīng)用層安全防護(hù)��,通過部署入侵防御系統(tǒng)能有效保護(hù)Web服務(wù)器��、郵件服務(wù)器�����、FTP服務(wù)器等�,全面防御跨站腳本、SQL注入��、DNS漏洞、DDOS等針對網(wǎng)站的攻擊����。
H3C邊界防護(hù)解決方案由安全網(wǎng)關(guān)、入侵防御系統(tǒng)和安全管理平臺(tái)組成���。安全網(wǎng)關(guān)SecPath防火墻/UTM融合2-4層的包過濾��、狀態(tài)檢測等技術(shù)�����,配合SecPath IPS 4-7層的入侵防御系統(tǒng),實(shí)現(xiàn)全面的2-7層安全防護(hù)����,有效地抵御了非法訪問、病毒�、蠕蟲、頁面篡改等攻擊��;并通過安全管理平臺(tái)對安全網(wǎng)關(guān)����、入侵防御系統(tǒng)以及網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一安全管理���。
2.3內(nèi)網(wǎng)控制解決方案
近年來,隨著政府信息安全建設(shè)的不斷深入���,網(wǎng)絡(luò)出口安全建設(shè)逐漸受到重視�,有效防護(hù)了來自于外部的安全威脅�,但是與此同時(shí),內(nèi)網(wǎng)安全事件越來越多�����,諸如:移動(dòng)電腦和存儲(chǔ)設(shè)備隨意接入網(wǎng)絡(luò)、內(nèi)網(wǎng)設(shè)備非法外聯(lián)、客戶端感染病毒�����、蠕蟲導(dǎo)致大面積傳染等等�。H3C提供的內(nèi)網(wǎng)控制解決方案EAD可以有效解決上述內(nèi)網(wǎng)安全問題�����,��。
H3C內(nèi)網(wǎng)控制解決方案由安全管理平臺(tái)���、安全防護(hù)設(shè)備和終端軟件組成����。通過終端軟件接入并由安全管理平臺(tái)進(jìn)行身份認(rèn)證和終端安全認(rèn)證,確保每一個(gè)接入用戶的身份合法���,終端的狀態(tài)安全���,預(yù)防內(nèi)網(wǎng)病毒、蠕蟲的泛濫�����;安全監(jiān)控和防護(hù)設(shè)備實(shí)時(shí)監(jiān)控分析網(wǎng)絡(luò)流量�����,并對發(fā)現(xiàn)的內(nèi)網(wǎng)攻擊進(jìn)行阻斷���,同時(shí)上報(bào)安全管理平臺(tái)進(jìn)行分析;安全管理平臺(tái)分析后與網(wǎng)絡(luò)和安全設(shè)備聯(lián)動(dòng)����,控制攻擊來源���,避免威脅的再次發(fā)生,并且為用戶提供整網(wǎng)安全審計(jì)報(bào)告�����,從而得出整改策略和下一步建設(shè)方案��。通過點(diǎn)(端點(diǎn)準(zhǔn)入)���、線(在線控制)�、面(統(tǒng)一管理)相結(jié)合的立體防護(hù)����,為用戶提供最有效的內(nèi)網(wǎng)安全解決方案。
2.4行為監(jiān)管解決方案
隨著政務(wù)網(wǎng)絡(luò)建設(shè)規(guī)模越來越大����,接入的單位越來越多,在政務(wù)網(wǎng)絡(luò)中應(yīng)用管理問題越來越突出����,少數(shù)用戶利用政務(wù)網(wǎng)P2P下載、在線觀看外部視頻娛樂網(wǎng)站大量耗費(fèi)了寶貴的出口帶寬,還有用戶利用政務(wù)網(wǎng)進(jìn)行網(wǎng)絡(luò)游戲�����、炒股�、訪問娛樂或非法網(wǎng)站,降低了工作效率��,影響了政府的公眾形象��。H3C的行為監(jiān)管解決方案可以有效解決網(wǎng)絡(luò)應(yīng)用控制���、用戶行為審計(jì)和分析�。
H3C行為監(jiān)管解決方案由應(yīng)用控制網(wǎng)關(guān)�,安全管理平臺(tái),用戶管理平臺(tái)組成�����,是業(yè)界應(yīng)用識(shí)別最全面的解決方案�����。應(yīng)用控制網(wǎng)關(guān)由H3C SecPath ACG盒式設(shè)備���、SecBlade ACG插卡或SecPath UTM組成����,可針對P2P/IM���、網(wǎng)絡(luò)游戲�����、炒股���、非法網(wǎng)站訪問等行為,進(jìn)行精細(xì)化識(shí)別和控制���,有效解決帶寬濫用�、訪問非法網(wǎng)站感染病毒等問題�。安全管理平臺(tái)由SecCenter硬件或ACG Manager軟件組成,幫助管理員全面了解用戶行為和流量趨勢�����,為加強(qiáng)整網(wǎng)安全�����、滿足合規(guī)性要求提供決策依據(jù),并且能夠與用戶管理平臺(tái)聯(lián)動(dòng)�,提供基于用戶的分析、控制和審計(jì)�。
用戶管理平臺(tái)由H3C iMC UAM用戶管理平臺(tái)與iNode客戶端及相應(yīng)的接入設(shè)備組成,對接入用戶進(jìn)行身份認(rèn)證����,從而能夠準(zhǔn)確識(shí)別接入網(wǎng)絡(luò)的用戶。
2.5 數(shù)據(jù)中心保護(hù)解決方案
隨著IT應(yīng)用程度的日益提高���,數(shù)據(jù)中心對于政務(wù)客戶的價(jià)值與日俱增�����,相應(yīng)的��,數(shù)據(jù)中心的安全建設(shè)也迫在眉睫�。面對日益繁復(fù)的應(yīng)用和日漸頻繁的外界攻擊�����,一個(gè)好的數(shù)據(jù)中心除了應(yīng)對數(shù)據(jù)的存儲(chǔ)和傳遞之外���,能否保證數(shù)據(jù)的安全性也是衡量其合格與否的重要標(biāo)志��。而面對不斷變化的外來攻擊�,數(shù)據(jù)中心的建設(shè)對安全也有了更高的要求�。
H3C數(shù)據(jù)中心保護(hù)解決方案由安全防御系統(tǒng)、應(yīng)用優(yōu)化系統(tǒng)����、安全管理平臺(tái)組成。安全防御系統(tǒng)融合DDoS防御���、區(qū)域安全隔離�、深度入侵防御等技術(shù)����,實(shí)現(xiàn)對2~7層攻擊的防御,并在部署時(shí)充分考慮可靠性��,保障業(yè)務(wù)持續(xù)不間斷地運(yùn)行���;應(yīng)用優(yōu)化系統(tǒng)包括負(fù)載均衡設(shè)備和網(wǎng)流分析設(shè)備�。負(fù)載均衡設(shè)備能夠以5~10倍的效能提升服務(wù)器響應(yīng)速度和處理能力�,為用戶提供更佳體驗(yàn)�����;網(wǎng)流分析設(shè)備能夠幫助管理員了解網(wǎng)絡(luò)的流量狀況��,為排除網(wǎng)絡(luò)故障和網(wǎng)絡(luò)優(yōu)化提供參考�。同時(shí)��,通過安全管理平臺(tái)實(shí)現(xiàn)對設(shè)備�����、服務(wù)器的統(tǒng)一配置�����、監(jiān)控和管理��。
3 H3C政務(wù)安全解決方案方案特點(diǎn)
3.1 五大解決方案組件
從用戶的基礎(chǔ)安全需求來看�,H3C提出了政務(wù)安全解決方案的五大功能組件:“遠(yuǎn)程安全接入”、“邊界防護(hù)”�、“內(nèi)網(wǎng)控制”、“行為監(jiān)管”及“數(shù)據(jù)中心保護(hù)”��。重點(diǎn)關(guān)注的是如何從安全功能角度來解決用戶的實(shí)際問題�。比如���,“內(nèi)網(wǎng)控制”組件關(guān)注的是如何識(shí)別從內(nèi)網(wǎng)發(fā)起的攻擊并加以控制,它由安全管理平臺(tái)�、安全防護(hù)設(shè)備和終端軟件組成�,任何一個(gè)防護(hù)設(shè)備或終端軟件發(fā)現(xiàn)威脅即時(shí)告警后,安全管理平臺(tái)就能夠智能分析定位威脅源頭�,并做出響應(yīng)的控制策略,避免威脅的再次發(fā)生��?����!斑h(yuǎn)程安全接入”組件則可以實(shí)現(xiàn):一臺(tái)設(shè)備滿足IPSec �����、GRE ����、SSL 、MPLS VPN多種技術(shù)的整合�,內(nèi)網(wǎng)、無線���、VPN統(tǒng)一準(zhǔn)入認(rèn)證�����,數(shù)千臺(tái)分支機(jī)構(gòu)設(shè)備管理簡化等等�。
3.2 三大應(yīng)用場景
從用戶的網(wǎng)絡(luò)建設(shè)模式來看,H3C將前面的五大功能組件�,按照網(wǎng)絡(luò)建設(shè)的三大場景進(jìn)行了整合,形成了:廣域網(wǎng)安全解決方案��、園區(qū)網(wǎng)安全解決方案����、數(shù)據(jù)中心安全解決方案。這一階段��,H3C重點(diǎn)關(guān)注的是如何將各個(gè)安全功能組件與網(wǎng)絡(luò)無縫對接融合��,避免讓安全成為網(wǎng)絡(luò)的性能瓶頸�、可靠性瓶頸、管理瓶頸�。比如,廣域網(wǎng)安全解決方案關(guān)注的是在保證安全的前提下如何讓有限的帶寬資源得到合理的利用�����,它通過ACG、UTM等設(shè)備可以實(shí)現(xiàn)深度防護(hù)與識(shí)別���、流量分析�����、帶寬優(yōu)化保障的三合一。園區(qū)網(wǎng)安全解決方案關(guān)注的是如何在安全性�、易操作性、可靠性�、成本等因素間取得平衡,它通過基于用戶的統(tǒng)一管理�����、嵌入式的安全模塊���、以及安全威脅的智能聯(lián)動(dòng)等關(guān)鍵技術(shù)�����,尋找到了一個(gè)和諧的平衡點(diǎn)�。
3.3 行業(yè)典型解決方案
從用戶的行業(yè)應(yīng)用特性來看����,H3C在“五大功能組件����、三大方案場景”的基礎(chǔ)上����,結(jié)合政府行業(yè)應(yīng)用特性又推出了多種定制化的典型安全解決方案,比如:網(wǎng)上報(bào)稅數(shù)據(jù)中心安全解決方案����、網(wǎng)站保護(hù)解決方案、政務(wù)外網(wǎng)出口多鏈路安全解決方案����、大型政務(wù)園區(qū)網(wǎng)安全解決方案、公安“金盾”廣域網(wǎng)提速安全解決方案等等�。將政務(wù)用戶的行業(yè)應(yīng)用特性與網(wǎng)絡(luò)安全技術(shù)相結(jié)合,為用戶提供定制化的精品解決方案��。比如���,政務(wù)網(wǎng)出口多鏈路安全解決方案不單可以提供高可靠��、高性能路由設(shè)備���,還可以提供模塊化的應(yīng)用層安全優(yōu)化網(wǎng)關(guān)���,將流量優(yōu)化、內(nèi)容審計(jì)����、多鏈路智能負(fù)載均衡技術(shù)相結(jié)合;既保證了今后功能可擴(kuò)展性����,又是實(shí)現(xiàn)了性能的線性提升�����,極大地保護(hù)了用戶投資�。
