中科网威电子政务网络安全解决方案

一、电子政务需求背景

随着政务外网建设的逐渐完善，承载单位业务逐渐增多，作为国家、省、市、县的政务基础网络，安全问题将是考虑的重点，如何围绕国家等级保护政策进行各级政务外网的安全保障体系设计是各级主管机构需要考虑的问题。目前黑客针对电子政务网络攻击呈现攻击主体组织化，目标趋利化、政治化，手段智能化、网络化的趋势，以APT攻击特征最为明显。APT攻击是针对特定组织所作的复杂且多方位的网络攻击，攻击后留给安全管理人员响应的时间越来越短，使政府用户来不及对入侵做出响应，目的是获取政府内部敏感信息或者对政务网络造成破坏。

政务专网由于属于可信任网，一直以来对安全防护的重视程度较低，主要出现的问题为蠕虫爆发、网络病毒、非法入侵等，造成断网现象、影响整个政务专网运行及信息泄露。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄漏、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。 

二、电子政务等保网络安全方案要求

电子政务网络安全保障体系建设应首先满足等保安全原则以及标准化、可控性、完备性和最小影响的原则，为所承载的各级政务部门信息系统提供网络传输通道的安全保障。在此基础上，电子政务外网信息安全建设在设计过程中应重点考虑以下几点：

1、电子政务外网与所承载的信息系统区分防护

各接入电子政务外网的政务部门负责各自局域网络及业务应用系统和数据的安全，并按国家信息系统安全等级保护的法规和标准要求实施定级与保护，应与电子政务外网的管理、安全防护与运维保障系统分别进行安全防护。 

2、安全域划分保护

电子政务外网等级保护根据所承载的业务应用系统实际的需要，将政务外网划分为公用网络区、专用网络区、互联网访问区、托管服务区、安全接入区等不同的安全区域，实施不同的安全策略进行边界防护。

3、基础网络边界防护

边界安全解决方案应该能够根据用户访问的IP地址、服务端口、MAC地址、物理网络区域等网络要素和用户身份、应用等要素设计具体的访问控制策略，对不同安全等级网络的互联及各用户局域网的接入，采用有效的边界访问控制策略，对非授权访问、异常流量、病毒木马、网络攻击等行为进行控制和监测，保证网络和政务业务的安全。

4、监控审计预警平台电子政务外网安全监控审计平台建设是应该作为核心内容。

在政务外网互联网出入口、重要网络节点严密监控、及时预警大规模网络攻击和病毒传播，监控保障外网的网络安全，协同各个安全设备，切实防范来自互联网的大规模病毒攻击和网络攻击，并具备安全事件的路径分析和溯源能力，真正实现安全事件的预警、检测、响应、审计，同时作为可持续性运营的基础平台。 

三、中科网威政府行业网络安全方案

电子政务等级保护信息安全方案图

1、信息系统等保安全方案说明：

在上述几个安全方面的建设中，中科网威结合自身优势为政府行业提供了一套完整、安全、可行的政府行业信息安全解决方案。

• 电子政务信息安全建设将从事前预防，事中减损，和事后纠正三个方面提供全面的防护策略，全面提升提高电子政务安全防护能力；

• 重点防护对外WEB应用，降低数据泄露风险、支撑WEB可用性以及控制恶意访问；

• 采用VPN技术保证电子政务与下属机构、电子政务与上下级机构以及电子政务与移动办公工作者的的安全数据交换；

• 加强主动防御能力，通过全方位、多视角的风险分析，完善电子政务信息系统漏洞，降低安全风险，提高信息系统健壮性；

• 提升电子政务IT设备运维审计能力，最小化避免操作失误以及蓄意破坏带来的损失。采用集中统一的安全管理形式，提高安全管理效率；

电子政务网络安全等保方案通过中科网威SSL/IPSEC VPN网关、下一代防火墙、IPS入侵检测、网络行为审计、运维审计堡垒机、中科网警网管系统与Web应用防火墙、数据库及业务审计系统等安全产品，共同构建出了一个固若金汤的多层安全防御预防体系。

1）网络攻击防护（入侵防御系统）

当电子政务网络系统遇到互联网的非法攻击和入侵的时候，势必对网上应用和交易系统产生影响，造成访问效率下降、网络拥堵等状况，采用主动式入侵防御系统利用高可靠识别攻击，精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述问题。

2）链路负载均衡（下一代防火墙）

为了避免出现链路单点故障，保证链路接入的高可用性，政府事业单位一般采用不同运营商的多条链路接入，采用链路负载均衡产品，把访问外网资源的内网用户按照要求负载均衡到两条链路，任何一条链路出现故障，都能够实时发现，自动把请求转发至正常的链路；同时把访问内网资源的用户自动导向到访问质量最优的链路，并实时监控链路的状态，如果某一链路出现故障，自动切换到其他正常链路。

3）安全区域划分和隔离（入侵防火墙）

政府事业单位网络在数据中心根据不同的安全级别划分出不同的访问区域，不同的区域之间互相访问需要通过安全设备进行隔离，根据不同的安全级别设定策略进行访问控制，通过多种检测机制，发现攻击流量，实时进行阻断，提高应用系统的安全性。

4）远程办公安全接入（VPN安全网关）

电子政务网络为加强远程办公终端的安全性和易用性，采用SSLVPN的接入方式，利用对客户端安全检查、灵活定制访问策略和权限的技术手段，满足远程下属单位办公用户或移动办公接入数据中心简单方便。

5）Web应用安全防护，服务器防护（WEB应用防火墙）

电子政务网络在数据中心的建设过程中政府公开网站或政务办事平台可以说是核心业务系统，建议采用Web防火墙对电子政务Web服务器进行安全保护，避免针对服务器应用层和源代码攻击的风险，中科网威Web应用防护系统（ANYSEC-WAF）是中科网威公司结合多年在应用安全领域实践经验积累的基础上，自主研发的一款Web应用安全防护系统。在提供Web应用实现深度防御的同时，实现Web应用安全防护，黑客漏洞攻击防护，恶意扫描及探测防护，DDOS/CC攻击防御，URL自学习保护、Web漏洞扫描、服务器防护、网页防篡改，数据库防篡改，网站访问统计，Web负载均衡等常见及最新的安全问题，为Web应用提供全方位的安全防护解决方案。

6）服务器、网络设备运维操作审计（运维审计堡垒机系统）

电子政务网络在数据中心的建设过程中最重要的就是核心业务系统，它包含了至关重要的电子政务系统服务器和核心数据服务器，因此各类服务器及电子政务应用系统的安全防护是客户最关心的重点，建议采用运维审计（堡垒机）系统进行安全审计保护，避免针对服务器应用层和源代码攻击的风险，采用堡垒机系统安全审计平台对各类数据库操作，数据表调用和修改的动作进行审计和告警，保证在数量繁多的用户访问数据库的情况下行为能够进行审计。中科网威堡垒机系统动态口令认证系统确保网上交易系统用户帐户和口令的密码保护，形成"双因素"强身份认证。

中科网威运维堡垒机（又称IT运维管理系统/设备）是针对管理“IT管理员”的设备，可对企业IT运维人员在运维操作过程中进行统一身份认证、统一授权、统一审计、统一监控，消除了传统运维过程中的盲区，实现了运维简单化、操作可控化、过程可视化，它通过Web方式对主机、服务器、网络设备、安全设备、数据库、应用等实施统一认证、授权、审计、分析；具有与身份认证系统无缝结合接口,支持用户密码、手机动态口令双因子认证。实现对操作过程的全程监控与审计录像回放，以及对违规操作行为的实时阻断,保证只有合法用户才能使用其拥有运维权限的关键资源。为电子政务在操作风险控制、内控安全及规范性等提供一套完善、有效的审计手段。

7）机房服务器、网络设备、动力环境运维监控报警（运维监控系统）

政府事业单位信息中心运维管理层部署一套运维监控网管系统，为电子政务运维人员提供统一的运维设备状态短信报警。中科网威自主研发的运维审计系统（中科网警系统）产品以高性能、高稳定性和实用设计为原则，运行于安全可靠的Linux操作系统，采用多层高性能架构设计，可管理上万个监控对象。全中文WEB架构，全面支持IP网络上的SNMP、WMI、SYSLOG和IPMI协议以及自有的SECROS协议，动力环境监控的Modbus协议，提供非常丰富IT网络监控和动力环境监控功能，操作简单，是追求高稳定性和高性价比的企业用户、政府、电子政务单位的首选产品，通过中科网警系统，电子政务系统运维人员可对单位内所有网络安全设备、应用系统服务器、机房动力环境的运行状况进行全方面的动态监控及故障短信告警。

2、电子政务信息安全方案价值

集中管理：建立了统一电子政务外网安全监控预警平台，对网络运行指标和信息安全事件集中展现、集中分析，掌握运行状态和安全风险。集中管理安全设备，实现电子政务外网安全策略统一管理，对安全策略发布、变更和执行进行流程化管理，确保安全设备防护有效。对电子政务外网网络定期的专项合规符合性检查，形成符合等级保护要求

立体性：通过在电子政务外网的管理、技术和运维不同层次上实施不同的安全机制，形成多视角，立体化的信息安全体系，极大提高了检测的精确性，避免单一类型安全系统失效导致的检测盲角。

先进性：充分利用先进的高考靠性的安全服务及安全产品，达到针对电子政务外网持续高效防御的目的。

综合性：通过安全监控预警平台关联使用，互相弥补各安全措施的功能劣势，实现统一监控、管理、维护，实现统一管理和安全指挥的目的。