業(yè)務(wù)背景

政務(wù)信息化建設(shè)從20世紀(jì)80年代末開始起步，經(jīng)歷了從單機到聯(lián)網(wǎng)、從分散到集成、從辦公自動化到政務(wù)信息化三個發(fā)展階段。創(chuàng)建服務(wù)型政府已逐漸成為各國政府的發(fā)展趨勢，政府由“管理型政府”向“服務(wù)型政府”的轉(zhuǎn)型加速，對以電子政務(wù)為核心的政府信息化建設(shè)提出了更高的要求。

電子政務(wù)網(wǎng)絡(luò)涵蓋了政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)三種類型網(wǎng)絡(luò)。政務(wù)內(nèi)網(wǎng)為政府部門內(nèi)部的關(guān)鍵業(yè)務(wù)管理系統(tǒng)和核心數(shù)據(jù)應(yīng)用系統(tǒng)；政務(wù)外網(wǎng)為政府部門內(nèi)部以及部門之間的各類非公開應(yīng)用系統(tǒng)，所涉及的信息應(yīng)在政務(wù)外網(wǎng)上傳輸，與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)，面向社會提供的一般應(yīng)用服務(wù)及信息發(fā)布，包括各類公開信息和非敏感的社會服務(wù)。目前網(wǎng)上辦公、網(wǎng)上稅務(wù)、網(wǎng)上信訪等等政務(wù)信息化公開系統(tǒng)相繼開通以及政府部門對信息安全的要求越來越高，電子政務(wù)的信息安全受到各方面的威脅越來越多；威脅電子政務(wù)信息安全的主要行為有非法使用資源、惡意破壞、盜竊數(shù)據(jù)等，同時病毒破壞、黑客入侵、重要信息泄漏等各種安全隱患普遍存在。

為推動國家電子政務(wù)外網(wǎng)信息安全建設(shè)和安全管理工作， 滿足《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作意見》 （ 中辦發(fā)?[2003]27?號） 文中提出的相關(guān)要求，需要實現(xiàn)針對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)控體系的建設(shè)，及時發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊，防止有害信息傳播，對網(wǎng)絡(luò)和系統(tǒng)實施保護。基礎(chǔ)信息網(wǎng)絡(luò)的運營單位和各重要信息系統(tǒng)的主管部門或運營單位要根據(jù)實際情況建立和完善信息安全監(jiān)控平臺，提高對網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密的防范能力，防止有害信息傳播。保障電子政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全。

安全問題將是考慮的重點，如何圍繞國家等級保護政策進(jìn)行各級政務(wù)外網(wǎng)的安全保障體系設(shè)計是各級主管機構(gòu)需要考慮的問題。

安全挑戰(zhàn)

由于政務(wù)網(wǎng)業(yè)務(wù)應(yīng)用不斷整合集中，加之網(wǎng)上辦事系統(tǒng)面向復(fù)雜多變的開放網(wǎng)絡(luò)，其系統(tǒng)建設(shè)不僅涉及面廣，也十分復(fù)雜，政務(wù)外網(wǎng)面臨著如下幾個需求挑戰(zhàn)：

1.基礎(chǔ)網(wǎng)絡(luò)面臨的威脅，網(wǎng)絡(luò)入侵、病毒入侵、僵尸網(wǎng)絡(luò)等攻擊行為嚴(yán)重威脅到網(wǎng)絡(luò)的可用性、安全性；
2.政府網(wǎng)站和對外業(yè)務(wù)系統(tǒng)極易受到篡改、SQL注入、跨站攻擊、網(wǎng)站掛馬、網(wǎng)絡(luò)輿情、網(wǎng)站服務(wù)中斷的威脅；
3.應(yīng)用系統(tǒng)面臨的挑戰(zhàn)，單一的鏈路發(fā)布時在跨運營商訪問網(wǎng)絡(luò)延時大，存在鏈路單點故障隱患；

4.在一些“窗口”部門，政府工作人員被曝光在上班時間從事與工作無關(guān)的行為，如打游戲、炒股、看電影等，直接影響到單位的績效和形象；

5.外網(wǎng)中資產(chǎn)包括路由器、交換機、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、終端、中間件等眾多產(chǎn)品，不僅品牌不一，部署地點不同，而且操作系統(tǒng)和操作界面完全不同，使得網(wǎng)絡(luò)管理人員運維復(fù)雜度直線上升；

6.政務(wù)外網(wǎng)應(yīng)用眾多，同時存在了眾多系統(tǒng)運維人員，包括第三方系統(tǒng)和設(shè)備廠商維護人員等，眾多運維人員均會在不同節(jié)點對產(chǎn)品進(jìn)行配置升級，操作修改等，如果一旦出現(xiàn)惡意操作或者誤操作，將對業(yè)務(wù)系統(tǒng)帶來重大影響，甚至導(dǎo)致全網(wǎng)斷網(wǎng)，這對政務(wù)外網(wǎng)來說會造成不可估量的嚴(yán)重后果。

解決方案

沃思信安根據(jù)政務(wù)外網(wǎng)的特點和自身的技術(shù)積累，推出了政務(wù)外網(wǎng)安全解決方案。整體解決方案如下圖：

整體解決方案按照“信息安全等級保護”為設(shè)計指導(dǎo)，采用安全域的方式進(jìn)行方案設(shè)計，分為出口安全區(qū)、DMZ防護區(qū)、核心安全區(qū)、運維管理區(qū)和辦公區(qū)五大塊。各個安全域建設(shè)要點如下：

1?出口安全區(qū)

電子政務(wù)外網(wǎng)出口的邊界防護是第一步安全建設(shè)內(nèi)容，作為政務(wù)外網(wǎng)出口，所有流量均由此進(jìn)出，由于目前對于網(wǎng)絡(luò)健壯性考慮，ISP鏈路至少為2條，而且不同ISP的鏈路價格質(zhì)量也具備很大不同，比如可能同時租用電信、聯(lián)通、廣電3條鏈路，鏈路帶寬均為100M，但是電信、聯(lián)通的鏈路時效明顯要好于廣電鏈路，所以如何高效利用3條鏈路，并且出口流量通過這3條鏈路如何選擇也是需要重點考慮的。同時，目前DDoS攻擊流量越來越大，常見的10G攻擊流量已然普遍，甚至有些攻擊者組織過100G的攻擊流量，如果出口設(shè)備一旦被超大攻擊流量攻癱，那么整網(wǎng)網(wǎng)絡(luò)全宕，對外業(yè)務(wù)也會瞬間驟停，對政務(wù)工作造成極壞的影響。

針對這個問題，出口安全區(qū)建議部署2臺負(fù)載均衡產(chǎn)品和2臺流量清洗設(shè)備，這2類產(chǎn)品均采用主備方式部署。

負(fù)載均衡主要工作為對外鏈路選路和3條鏈路的負(fù)載調(diào)度，主要功能為：

1.1 當(dāng)外部民眾訪問對外發(fā)布服務(wù)器業(yè)務(wù)時，移動用戶訪問還從移動的鏈路回應(yīng)，聯(lián)通用戶訪問從聯(lián)通鏈路回應(yīng)，這樣的好處是能夠避免跨運營商鏈路產(chǎn)生的時延，從而大大提高政務(wù)業(yè)務(wù)的體驗。

1.2 外網(wǎng)用戶自己訪問Internet時也會面臨鏈路選擇的問題，負(fù)載均衡產(chǎn)品會根據(jù)網(wǎng)絡(luò)管理員的配置，采用輪訓(xùn)或者權(quán)重的算法進(jìn)行均衡的調(diào)度，保證3條鏈路的正常使用，不會出現(xiàn)某條忙的擁堵的鏈路。

1.3 政務(wù)外網(wǎng)用戶日常工作還包括電話會議，視頻會議，地市區(qū)縣各級郵件往來等工作，這時如果民眾對政務(wù)應(yīng)用訪問較大時，會出現(xiàn)用戶內(nèi)部應(yīng)用質(zhì)量很差，比如視頻會議時延超大，畫面不通或者滯后嚴(yán)重，針對這種情況，管理員可以提前設(shè)置視頻會議的時間段內(nèi)，視頻會議的數(shù)據(jù)包均從網(wǎng)絡(luò)質(zhì)量好的鏈路發(fā)送，這樣既可以保證正常工作業(yè)務(wù)開展，也可以保證正常對外業(yè)務(wù)的使用。

1.4 流量清洗產(chǎn)品的作用就是針對大流量DDoS攻擊，防患于未然，如果發(fā)現(xiàn)異常流量的DDoS攻擊，及時阻斷，保證整網(wǎng)的正常使用。

2?核心安全區(qū)

這個區(qū)域為政務(wù)外網(wǎng)的安全核心防護區(qū)域，主要部署常見的FW、IPS、上網(wǎng)行為管理等產(chǎn)品。和外網(wǎng)鏈路健壯性考慮相同，采用冗余方式部署。具體方案如下：

沃思FW產(chǎn)品融合二到七層全面的安全防護能力，有效地抵御了非法訪問、病毒、蠕蟲、頁面篡改等攻擊，同時上網(wǎng)行為管理產(chǎn)品的網(wǎng)絡(luò)流控，應(yīng)用管控和行為審計功能有效的保證了整個外網(wǎng)的網(wǎng)絡(luò)暢通。

2.1 沃思FW產(chǎn)品以用戶、應(yīng)用、內(nèi)容為核心，在訪問控制的基礎(chǔ)上，融合內(nèi)容過濾、大數(shù)據(jù)風(fēng)險分析、智能產(chǎn)品聯(lián)動推出的新產(chǎn)品。FW對整個政務(wù)網(wǎng)進(jìn)行重要的安全域劃分，并針對各個安全域配置專用的安全配置，保證整個外網(wǎng)區(qū)域結(jié)構(gòu)清晰，策略明晰。

2.2 沃思IPS產(chǎn)品內(nèi)置強大的攻擊庫，全面抵御網(wǎng)絡(luò)常見的蠕蟲、病毒、木馬、間諜軟件等惡意程序。

2.3 政務(wù)外網(wǎng)用戶會在空閑時間進(jìn)行P2P下載、在線觀看外部視頻娛樂網(wǎng)站等網(wǎng)絡(luò)活動，這樣會大量耗費了寶貴的出口帶寬，還有用戶利用政務(wù)網(wǎng)進(jìn)行網(wǎng)絡(luò)游戲、炒股、訪問娛樂或非法網(wǎng)站，降低了工作效率，影響了政府的公眾形象。沃思上網(wǎng)行為管理產(chǎn)品可以有效解決網(wǎng)絡(luò)應(yīng)用控制、用戶行為審計和分析。

3?DMZ防護區(qū)

這個區(qū)域通常會放置對外發(fā)布業(yè)務(wù)服務(wù)器和內(nèi)外網(wǎng)均會訪問的業(yè)務(wù)服務(wù)器，比如網(wǎng)站服務(wù)器、郵件服務(wù)器、對外政務(wù)服務(wù)器等。同時這些服務(wù)器通常采用WEB方式對外提供應(yīng)用，這個區(qū)域的安全防護除了考慮網(wǎng)絡(luò)層面攻擊，而應(yīng)該上升至應(yīng)用層安全防護。

3.1 沃思Web應(yīng)用防火墻主要針對WEB層的安全防護，全面防御跨站腳本、SQL注入、DNS漏洞、DDoS等針對WEB層攻擊。

3.2 沃思網(wǎng)頁防篡改軟件主要針對網(wǎng)站發(fā)布服務(wù)器，避免網(wǎng)站被惡意篡改。

4?辦公區(qū)

雖然以上幾個區(qū)域的安全產(chǎn)品抵御了外部的安全威脅，但是與此同時，網(wǎng)絡(luò)內(nèi)部安全事件越來越多，諸如：移動電腦和存儲設(shè)備隨意接入網(wǎng)絡(luò)、設(shè)備非法外聯(lián)、客戶端感染病毒、蠕蟲導(dǎo)致大面積傳染等等。沃思提供的內(nèi)網(wǎng)安全解決方案可以有效解決上述內(nèi)網(wǎng)安全問題。

4.1 沃思終端安全綜合管理平臺通過終端軟件接入并由安全管理平臺進(jìn)行身份認(rèn)證和終端安全認(rèn)證，確保每一個接入用戶的身份合法，終端的狀態(tài)安全，預(yù)防內(nèi)網(wǎng)病毒、蠕蟲的泛濫；安全監(jiān)控和防護設(shè)備實時監(jiān)控分析網(wǎng)絡(luò)流量，并對發(fā)現(xiàn)的內(nèi)網(wǎng)攻擊進(jìn)行阻斷，同時上報安全管理平臺進(jìn)行分析；安全管理平臺分析后與網(wǎng)絡(luò)和安全設(shè)備聯(lián)動，控制攻擊來源，避免威脅的再次發(fā)生，并且為用戶提供整網(wǎng)安全審計報告，從而得出整改策略和下一步建設(shè)方案。通過點（端點準(zhǔn)入）、線（在線控制）、面（統(tǒng)一管理）相結(jié)合的立體防護，為用戶提供有效的內(nèi)網(wǎng)安全解決方案。

4.2 沃思主機監(jiān)控與審計系統(tǒng)可以對網(wǎng)絡(luò)主機進(jìn)行監(jiān)控，實時監(jiān)管內(nèi)部敏感信息、機密數(shù)據(jù)的訪問、存儲，及時阻斷網(wǎng)絡(luò)安全違規(guī)事件。

5?運維管理區(qū)

針對整網(wǎng)設(shè)備多，運維人員雜亂，運維程度復(fù)雜的問題，沃思建議劃分運維管理區(qū)，放置堡壘機、SOC和漏掃產(chǎn)品對整網(wǎng)進(jìn)行管理。

5.1 沃思SOC可以自動發(fā)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，并且以設(shè)備碼的形式對其進(jìn)行分類，以可視化的拓?fù)鋱D形式對其進(jìn)行管理。該產(chǎn)品以集中統(tǒng)一的方式收集、存儲整個系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)、主機服務(wù)器的日志和報警信息。并對所有的日志進(jìn)行關(guān)聯(lián)分析，收集和整合所有重復(fù)的和相似的事件到單一的事件，采用統(tǒng)一的數(shù)據(jù)定義格式，形成專業(yè)的分析報告。

5.2 沃思堡壘機針對運維人員進(jìn)行權(quán)限劃分和認(rèn)證，針對核心資產(chǎn)的運維管理，進(jìn)行操作記錄及過程，同時提供操作審計，支持時候操作過程回放功能，實現(xiàn)整個運維的簡單化，可審計化。

5.3 沃思漏掃產(chǎn)品針對全網(wǎng)資產(chǎn)，進(jìn)行細(xì)致深入的配置檢查、漏洞檢測、分析，主動診斷安全漏洞，提供專業(yè)防護建議，幫助運維人員全面、快速定位企業(yè)信息資產(chǎn)中的風(fēng)險情況。

客戶價值

該解決方案符合國內(nèi)相關(guān)安全法規(guī)和標(biāo)準(zhǔn)要求。

保障政務(wù)外網(wǎng)對民眾的開放業(yè)務(wù)正常高效應(yīng)用。

保證政務(wù)外網(wǎng)用戶安全高效開展內(nèi)部業(yè)務(wù)應(yīng)用。

全面深度防御內(nèi)外部攻擊威脅，再現(xiàn)一個立體防御系統(tǒng)。

實現(xiàn)全網(wǎng)產(chǎn)品統(tǒng)一管理，極大降低運維復(fù)雜度。