政务信息化网络安全解决方案--背景
政务信息化的发展始于20世纪80年代末,经历了三个发展阶段:从单机到网络,从分散集成,从办公自动化到政府信息。建立服务型政务信息化已逐渐成为各国政府的发展趋势。政府从“管理型政府”向“服务型政府”的转变正在加快,这对以电子政务为核心的政府信息化建设提出了更高要求。
电子政务网络包括三种类型的网络:国家内联网、国家外联网和因特网。政府内部网是中央企业管理系统,是政府部门的核心数据应用系统。国家外联网是政府机构内部和之间的各种非公共应用系统。应通过公共外部网络、网络连接、一般应用服务和信息共享向社会传播相关信息。这包括所有类型的公共信息和非敏感社会服务。目前,随着网络办公、网络税务、网络信访等政府信息公开制度的开放,政府机构对信息安全的要求越来越高。电子政务的信息安全受到越来越多方面的威胁。威胁电子政务信息安全的主要行为包括非法使用资源、恶意破坏、数据盗窃等,同时,病毒破坏、黑客入侵、重要信息泄露等各种安全风险普遍存在。
为促进国家电子政务外网信息安全和安全管理的发展,满足相关要求《 国家信息化领导小组关于加强信息安全保障工作意见》 ( 中办发 [2003]27 号) ,建立电子政务外联网信息安全监控系统,及时检测和管理网络攻击,防止恶意信息传播,保护网络和系统。基础信息网络运营单位和各大信息系统相关部门或运营单位应根据实际情况建立健全信息安全监控平台,提高防范网络攻击的能力。防止病毒入侵和网络盗窃传播有害信息。确保电子政务信息系统的网络安全
安全问题将成为焦点。如何围绕各级国家保护政策设计国家附加网的安全保障体系,是各级主管部门必须考虑的问题。
政务信息化网络安全解决方案--安全问题
由于政府网络业务应用的不断融合和集中,以及复杂多变的面向开放网络的在线服务系统,其系统建设不仅覆盖范围广,而且非常复杂。政府事务外联网面临以下问题:
1、基础网络面临的威胁、病毒入侵、僵尸网络等攻击严重威胁网络的可用性和安全性。
2、政府网站和外部业务系统容易受到扭曲、SQL注入、跨网站攻击、网站停机、网络舆论和网站服务中断的影响。
3、应用系统挑战:当释放单个连接时,运营商之间的网络连接延迟较大,存在单个连接失败的风险。
4、在一些窗口部门,政府工作人员在工作时间内暴露于赌博、股票投资、看电影等与业务无关的行为,它直接影响机组的性能和形象。
5、外部网络资产包括路由器、交换机、网络安全设备、服务器、终端、中间件和许多其他产品。
6、它包括许多政府外部网络应用程序、许多系统操作和维护人员以及来自第三方系统和设备制造商的维护人员。许多操作和维护人员更新产品设置并更改操作,在其他节点上。如果发生恶意操作或故障,将对业务系统造成重大影响,甚至导致整个网络中断。这将对政府的外部网络造成无法估量的严重后果。
政务信息化网络安全解决方案--详解
根据政府外网的特点和自身的技术积累,沃思提出了政府外网安全解决方案。整个解决方案包括:
总体解决方案根据“信息安全级别保护”的设计策略和安全区域的类型进行设计。分为出口安全区、非军事区保护区、核安全区、运行管理区和办公区。构建安全域的关键因素包括:
1、出口安全区
电子政务外网出口的边境保护是建立安全的第一步。作为电子政务外联网的出口,所有数据都将进出。由于目前对网络健壮性的看法,至少有两个ISP连接,不同ISP之间的连接价格和质量也非常不同。例如,电信、连接和光电可以同时租用三个连接,链路带宽为100m。中国联通的连接效率明显优于广播电视。因此,有必要考虑如何有效使用这三条路线,以及如何选择出口流通过的三条路线。与此同时,DDOS攻击流量不断增加。传统的10G攻击数据非常常见。一些攻击者甚至组织100G攻击流量。如果出口设备被巨大的攻击流量瘫痪,整个网络将瘫痪,外部业务将突然停止,这将对政府事务产生非常坏的影响。
为了解决这个问题,建议在出口安全区使用两个负载平衡产品和两个流量净化器作为主/备用型号。
负载平衡主要用于外部链路和三个链路的负载规划。
1.1、当外部公众访问外部发布者服务时,移动用户访问也将在移动快捷键中响应,连接用户访问也会在连接快捷键中进行响应。这可以避免交叉运营商连接的延迟,并大大改善政府经验。
1.2、当互联网用户自己访问互联网时,他们将面临链接选择问题。根据网络管理员的设置,负载平衡产品使用旋转训练或权重算法进行平衡规划,以确保在繁忙和非过载连接下三个链路的正常使用。
1.3、境外互联网用户的日常业务还包括市、区、县各级的电话会议、视频会议和电子邮件交流。此时,当公众访问大量政府应用程序时,用户内部应用程序的质量将很差。由于视频会议的延迟太大,图像不可用或延迟严重。在这种情况下,管理员可以提前设置视频会议周期。视频会议数据包通过网络质量良好的连接发送,可以保证正常的业务运营和外部存储的正常使用。
1.4、数据清理产品的功能是在高流量DDOS攻击发生之前防止其发生。如果发现异常流量DDOS攻击,可以快速拦截,确保整个网络的正常使用。
2、核心安全区
该区域是国家外部网络的安全核心保护区域,主要提供通用FW、IPS、网络行为管理等产品实施保护。考虑到外部网络连接的鲁棒性和其他因素,采用不必要的模型进行部署。具体方案如下:
沃思FW产品集成了2-7层全面的安全功能,有效防止非法访问、病毒、蠕虫、页面操作等攻击。同时,网络行为管理产品的网络流量控制、应用程序控制和行为审计功能有效保证了整个外部网络的畅通。
2.1、沃思信安产品以用户、应用程序和内容为核心。基于访问控制,集成内容过滤、大数据风险分析和智能产品,推出新产品。FW划分了整个政府网络的关键安全区域,并在每个安全区域设置了具体的安全设置,以确保整个外部网络具有明确的区域结构和政策。
2.2 、沃思信安产品内置强大的攻击库,全面防御网络上常见的蠕虫、病毒、木马、间谍软件和其他恶意程序。
2.3、内部用户在业余时间在线观看P2P下载、外部视频娱乐网站和其他网络活动,这消耗了大量宝贵的出口带宽。用户还利用政府以外的互联网访问网络游戏、股票投资、娱乐或非法网站,降低工作效率,损害政府的公共形象。华思网络行为管理产品可以有效解决网络应用控制、用户行为审计和分析。
3、DMZ保护区
该区域通常包括外部发布服务服务器和访问内部和外部网络的服务服务器,如网站服务器、邮件服务器、外部政府服务器等。此外,这些服务器通常以WEB模式提供外部应用程序。除网络级攻击外,该区域的安全保护也应升级为应用级安全保护。
3.1、 沃思Web应用防火墙主要用于保护Web层免受站点脚本、SQL注入、DNS漏洞、DDOS和其他攻击。
3.2、沃思网页防篡改软件主要针对网站发布服务器,避免恶意操纵网站。
4、办公室保护
尽管上述领域的安全产品抵御了外部安全威胁,但内部安全事件越来越多,如移动计算机和存储设备随意接入网络、设备非法连接、客户端感染病毒、蠕虫广泛传播等。沃思内网安全解决方案可以有效解决上述内网安全问题。
4.1、 沃思终端安全综合管理平台在终端软件搜索和安全管理平台上进行身份认证和终端安全认证,确保所有接入用户具有合法身份。终端可以安全地防止内部网病毒和蠕虫的传播。分析安全监控和保护设备的实时监控和网络流量,防止检测到的内网攻击,并报告安全管理平台进行分析。通过分析,安全管理平台连接网络和安全设备,控制攻击源,防止威胁再次发生,为用户提供整个网络的安全审计报告,并获得下一步的纠正策略和蓝图。通过对点(端点访问)、线(在线控制)和区域(集成管理)的三维保护,为用户提供有效的内部网络安全解决方案。
4.2、沃思主机监控与审计系统能够实时监控网络主机,监控内部敏感信息和机密数据的访问和存储,及时堵塞网络安全漏洞。
5、操作和维护
面对设备数量多、运输人员无序、运输复杂等问题,沃思提出划定运输管理区域,建立堡垒计算机、SOC和产品管理的整体网络。
5.1、沃思SOC可以自动检测网络上的网络设备和安全设备,以设备代码的形式进行分类,并以可视化拓扑的形式进行管理。该产品以集中统一的方式收集和存储整个系统的网络设备、安全系统和主机服务器上的日志和警报信息。此外,对所有日志进行相关性分析,收集所有重复和类似事件并将其集成到一个事件中。采用统一的数据定义格式形成专项分析报告。
5.2、 沃思堡垒机机器共享和认证运维人员的权限,记录和处理核心资源运维管理的操作,并提供运营审计。支持工作流回放,简化整个工作维护和审核。
5.3、沃思漏扫产品对所有网络资源进行详细深入的配置检查、漏洞检查和分析,主动诊断漏洞,提供专业防护建议,帮助运营商全面快速定位企业信息风险。
政务信息化网络安全解决方案--价值
1、该解决方案符合相关国家安全法规和标准。
2、确保公共外部网络开放服务的正常高效使用。
3、确保政府外网络用户内部业务应用程序的安全性和效率。
4、全面彻底防御内外部攻击威胁,复制立体防御体系。
5、通过网络实现产品的统一管理,大大降低了操作和维护的复杂性。
