Date of completion: 05.08.2022
Project, URL: http://netsys.cn/an1.html
业务背景
政务信息化建设从20世纪80年代末开始起步,经历了从单机到联网、从分散到集成、从办公自动化到政务信息化三个发展阶段。创建服务型政府已逐渐成为各国政府的发展趋势,政府由“管理型政府”向“服务型政府”的转型加速,对以电子政务为核心的政府信息化建设提出了更高的要求。
电子政务网络涵盖了政务内网、政务外网和互联网三种类型网络。政务内网为政府部门内部的关键业务管理系统和核心数据应用系统;政务外网为政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,与互联网相联的网络,面向社会提供的一般应用服务及信息发布,包括各类公开信息和非敏感的社会服务。目前网上办公、网上税务、网上信访等等政务信息化公开系统相继开通以及政府部门对信息安全的要求越来越高,电子政务的信息安全受到各方面的威胁越来越多;威胁电子政务信息安全的主要行为有非法使用资源、恶意破坏、盗窃数据等,同时病毒破坏、黑客入侵、重要信息泄漏等各种安全隐患普遍存在。
为推动国家电子政务外网信息安全建设和安全管理工作, 满足《 国家信息化领导小组关于加强信息安全保障工作意见》 ( 中办发 [2003]27 号) 文中提出的相关要求,需要实现针对电子政务外网网络的信息安全监控体系的建设,及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护。基础信息网络的运营单位和各重要信息系统的主管部门或运营单位要根据实际情况建立和完善信息安全监控平台,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播。保障电子政务信息系统的网络安全。
安全问题将是考虑的重点,如何围绕国家等级保护政策进行各级政务外网的安全保障体系设计是各级主管机构需要考虑的问题。
安全挑战
由于政务网业务应用不断整合集中,加之网上办事系统面向复杂多变的开放网络,其系统建设不仅涉及面广,也十分复杂,政务外网面临着如下几个需求挑战:
1.基础网络面临的威胁,网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性;
2.政府网站和对外业务系统极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁;
3.应用系统面临的挑战,单一的链路发布时在跨运营商访问网络延时大,存在链路单点故障隐患;
4.在一些“窗口”部门,政府工作人员被曝光在上班时间从事与工作无关的行为,如打游戏、炒股、看电影等,直接影响到单位的绩效和形象;
5.外网中资产包括路由器、交换机、网络安全设备、服务器、终端、中间件等众多产品,不仅品牌不一,部署地点不同,而且操作系统和操作界面完全不同,使得网络管理人员运维复杂度直线上升;
6.政务外网应用众多,同时存在了众多系统运维人员,包括第三方系统和设备厂商维护人员等,众多运维人员均会在不同节点对产品进行配置升级,操作修改等,如果一旦出现恶意操作或者误操作,将对业务系统带来重大影响,甚至导致全网断网,这对政务外网来说会造成不可估量的严重后果。
解决方案
沃思信安根据政务外网的特点和自身的技术积累,推出了政务外网安全解决方案。整体解决方案如下图:
整体解决方案按照“信息安全等级保护”为设计指导,采用安全域的方式进行方案设计,分为出口安全区、DMZ防护区、核心安全区、运维管理区和办公区五大块。各个安全域建设要点如下:
1 出口安全区
电子政务外网出口的边界防护是第一步安全建设内容,作为政务外网出口,所有流量均由此进出,由于目前对于网络健壮性考虑,ISP链路至少为2条,而且不同ISP的链路价格质量也具备很大不同,比如可能同时租用电信、联通、广电3条链路,链路带宽均为100M,但是电信、联通的链路时效明显要好于广电链路,所以如何高效利用3条链路,并且出口流量通过这3条链路如何选择也是需要重点考虑的。同时,目前DDoS攻击流量越来越大,常见的10G攻击流量已然普遍,甚至有些攻击者组织过100G的攻击流量,如果出口设备一旦被超大攻击流量攻瘫,那么整网网络全宕,对外业务也会瞬间骤停,对政务工作造成极坏的影响。
针对这个问题,出口安全区建议部署2台负载均衡产品和2台流量清洗设备,这2类产品均采用主备方式部署。
负载均衡主要工作为对外链路选路和3条链路的负载调度,主要功能为:
1.1 当外部民众访问对外发布服务器业务时,移动用户访问还从移动的链路回应,联通用户访问从联通链路回应,这样的好处是能够避免跨运营商链路产生的时延,从而大大提高政务业务的体验。
1.2 外网用户自己访问Internet时也会面临链路选择的问题,负载均衡产品会根据网络管理员的配置,采用轮训或者权重的算法进行均衡的调度,保证3条链路的正常使用,不会出现某条忙的拥堵的链路。
1.3 政务外网用户日常工作还包括电话会议,视频会议,地市区县各级邮件往来等工作,这时如果民众对政务应用访问较大时,会出现用户内部应用质量很差,比如视频会议时延超大,画面不通或者滞后严重,针对这种情况,管理员可以提前设置视频会议的时间段内,视频会议的数据包均从网络质量好的链路发送,这样既可以保证正常工作业务开展,也可以保证正常对外业务的使用。
1.4 流量清洗产品的作用就是针对大流量DDoS攻击,防患于未然,如果发现异常流量的DDoS攻击,及时阻断,保证整网的正常使用。
2 核心安全区
这个区域为政务外网的安全核心防护区域,主要部署常见的FW、IPS、上网行为管理等产品。和外网链路健壮性考虑相同,采用冗余方式部署。具体方案如下:
沃思FW产品融合二到七层全面的安全防护能力,有效地抵御了非法访问、病毒、蠕虫、页面篡改等攻击,同时上网行为管理产品的网络流控,应用管控和行为审计功能有效的保证了整个外网的网络畅通。
2.1 沃思FW产品以用户、应用、内容为核心,在访问控制的基础上,融合内容过滤、大数据风险分析、智能产品联动推出的新产品。FW对整个政务网进行重要的安全域划分,并针对各个安全域配置专用的安全配置,保证整个外网区域结构清晰,策略明晰。
2.2 沃思IPS产品内置强大的攻击库,全面抵御网络常见的蠕虫、病毒、木马、间谍软件等恶意程序。
2.3 政务外网用户会在空闲时间进行P2P下载、在线观看外部视频娱乐网站等网络活动,这样会大量耗费了宝贵的出口带宽,还有用户利用政务网进行网络游戏、炒股、访问娱乐或非法网站,降低了工作效率,影响了政府的公众形象。沃思上网行为管理产品可以有效解决网络应用控制、用户行为审计和分析。
3 DMZ防护区
这个区域通常会放置对外发布业务服务器和内外网均会访问的业务服务器,比如网站服务器、邮件服务器、对外政务服务器等。同时这些服务器通常采用WEB方式对外提供应用,这个区域的安全防护除了考虑网络层面攻击,而应该上升至应用层安全防护。
3.1 沃思Web应用防火墙主要针对WEB层的安全防护,全面防御跨站脚本、SQL注入、DNS漏洞、DDoS等针对WEB层攻击。
3.2 沃思网页防篡改软件主要针对网站发布服务器,避免网站被恶意篡改。
4 办公区
虽然以上几个区域的安全产品抵御了外部的安全威胁,但是与此同时,网络内部安全事件越来越多,诸如:移动电脑和存储设备随意接入网络、设备非法外联、客户端感染病毒、蠕虫导致大面积传染等等。沃思提供的内网安全解决方案可以有效解决上述内网安全问题。
4.1 沃思终端安全综合管理平台通过终端软件接入并由安全管理平台进行身份认证和终端安全认证,确保每一个接入用户的身份合法,终端的状态安全,预防内网病毒、蠕虫的泛滥;安全监控和防护设备实时监控分析网络流量,并对发现的内网攻击进行阻断,同时上报安全管理平台进行分析;安全管理平台分析后与网络和安全设备联动,控制攻击来源,避免威胁的再次发生,并且为用户提供整网安全审计报告,从而得出整改策略和下一步建设方案。通过点(端点准入)、线(在线控制)、面(统一管理)相结合的立体防护,为用户提供有效的内网安全解决方案。
4.2 沃思主机监控与审计系统可以对网络主机进行监控,实时监管内部敏感信息、机密数据的访问、存储,及时阻断网络安全违规事件。
5 运维管理区
针对整网设备多,运维人员杂乱,运维程度复杂的问题,沃思建议划分运维管理区,放置堡垒机、SOC和漏扫产品对整网进行管理。
5.1 沃思SOC可以自动发现网络中的网络设备和安全设备,并且以设备码的形式对其进行分类,以可视化的拓扑图形式对其进行管理。该产品以集中统一的方式收集、存储整个系统中的网络设备、安全系统、主机服务器的日志和报警信息。并对所有的日志进行关联分析,收集和整合所有重复的和相似的事件到单一的事件,采用统一的数据定义格式,形成专业的分析报告。
5.2 沃思堡垒机针对运维人员进行权限划分和认证,针对核心资产的运维管理,进行操作记录及过程,同时提供操作审计,支持时候操作过程回放功能,实现整个运维的简单化,可审计化。
5.3 沃思漏扫产品针对全网资产,进行细致深入的配置检查、漏洞检测、分析,主动诊断安全漏洞,提供专业防护建议,帮助运维人员全面、快速定位企业信息资产中的风险情况。
客户价值
该解决方案符合国内相关安全法规和标准要求。
保障政务外网对民众的开放业务正常高效应用。
保证政务外网用户安全高效开展内部业务应用。
全面深度防御内外部攻击威胁,再现一个立体防御系统。
实现全网产品统一管理,极大降低运维复杂度。