1 前言
1.1电子政务安全建设背景
电子政务使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。要趋利避害,电子政务安全防护体系的构建至关重要。电子政务作为政府业务枢纽,只有构建在安全可靠的网络平台上,才能防止重要信息被攻击、窃取或泄露,安全地连接因特网或其他组织,才能确保政府顺利开展日常工作。
1.2电子政务网络安全架构
电子政务网络涵盖了政务内网、政务外网和互联网三种类型网络。政务内网为政府部门内部的关键业务管理系统和核心数据应用系统;政务外网为政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,与互联网相联的网络,面向社会提供的一般应用服务及信息发布,包括各类公开信息和非敏感的社会服务。面对如此复杂的应用环境,整个系统中任何一个不安全因素都会造成在平台上传送和存储的政务信息面临风险,产生不良后果。电子政务网络是整个电子政务系统的基础设施,政务网络安全是电子政务安全的重要组成部分。H3C多年来建设了大量国家级、省部级和各级政府的电子政务网络,具有丰富的电子政务网络和安全建设经验,对于电子政务安全建设,H3C提供了整体安全解决方案,包括五大解决方案:边界防护方案、远程安全接入方案、行为监管方案、数据中心保护方案、内网安全方案。
2政务安全解决方案
2.1远程安全接入解决方案
电子政务网络的一个基本功能是为政府各局委办部门提供接入服务,大部分政府部门通过专线接入政务网核心,但一些部门往往分散分布在城市各个区域,所处的地点难以提供专线线路,有的派出机构人数较少,使用专线成本较高,还有数量众多的基层单位,难以一一通过专线线路接入。此外,政府工作人员在出差、在家办公也需要访问政务网络中的应用系统,这些都要求提供一种低成本的安全接入方式。
H3C的远程接入解决方案是一种高性价比的安全的接入方案,在INTERNET上提供虚拟专线的服务,为分散单位和个人接入政务网络提供可能。远程安全接入解决方案包括IPSec VPN和SSL VPN方案,IPSec VPN提供虚拟专线服务,主要用于连接分散部门的网络和政务核心网络。SSL VPN主要用于个人接入,可以用浏览器的方式直接访问政务网业务系统,不需要安装客户端,使用比较方便。
H3C的远程接入方案由安全接入网关和安全管理平台组成。安全接入网关是SecPath防火墙/UTM或者专业VPN网关,能够统一提供IPSEC VPN、SSL VPN、MPLS VPN等多种VPN技术和专业防火墙功能,实现分支机构、合作伙伴、移动用户的一体化远程安全接入。
对于大型政府网络或者大量基层单位接入的政务网络,安全接入网关的数量可能达到上百个甚至几百个,对于如此众多的安全接入网关,VPN的建立、删除、修改的工作量非常巨大,日常维护管理非常困难。为此,H3C还提供了专业的安全管理平台,来实现众多SecPath防火墙/UTM的统一部署、监控、管理,无论对设备的管理还是对VPN的管理都可以便捷的实现。
2.2边界防护解决方案
电子政务网络的边界防护是基本的安全建设内容,互联网出口安全防护就是典型的边界防护,除此之外,上下级政务网络边界,政务园区内部不同区域之间的边界也属于边界防护的范围。
以互联网出口安全防护为例,除了传统的安全防护所关注的网络层的安全防护之外,还需要考虑应用层安全防护、应用管理、负载均衡等内容。应用层安全防护主要解决4-7层的安全防护,包括网络型病毒、蠕虫、页面篡改及恶意入侵行为。
网站群安全防护是政务网络安全防护比较关注的内容,在安全防护中也属于应用层安全防护,通过部署入侵防御系统能有效保护Web服务器、邮件服务器、FTP服务器等,全面防御跨站脚本、SQL注入、DNS漏洞、DDOS等针对网站的攻击。
H3C边界防护解决方案由安全网关、入侵防御系统和安全管理平台组成。安全网关SecPath防火墙/UTM融合2-4层的包过滤、状态检测等技术,配合SecPath IPS 4-7层的入侵防御系统,实现全面的2-7层安全防护,有效地抵御了非法访问、病毒、蠕虫、页面篡改等攻击;并通过安全管理平台对安全网关、入侵防御系统以及网络设备进行统一安全管理。
2.3内网控制解决方案
近年来,随着政府信息安全建设的不断深入,网络出口安全建设逐渐受到重视,有效防护了来自于外部的安全威胁,但是与此同时,内网安全事件越来越多,诸如:移动电脑和存储设备随意接入网络、内网设备非法外联、客户端感染病毒、蠕虫导致大面积传染等等。H3C提供的内网控制解决方案EAD可以有效解决上述内网安全问题,。
H3C内网控制解决方案由安全管理平台、安全防护设备和终端软件组成。通过终端软件接入并由安全管理平台进行身份认证和终端安全认证,确保每一个接入用户的身份合法,终端的状态安全,预防内网病毒、蠕虫的泛滥;安全监控和防护设备实时监控分析网络流量,并对发现的内网攻击进行阻断,同时上报安全管理平台进行分析;安全管理平台分析后与网络和安全设备联动,控制攻击来源,避免威胁的再次发生,并且为用户提供整网安全审计报告,从而得出整改策略和下一步建设方案。通过点(端点准入)、线(在线控制)、面(统一管理)相结合的立体防护,为用户提供最有效的内网安全解决方案。
2.4行为监管解决方案
随着政务网络建设规模越来越大,接入的单位越来越多,在政务网络中应用管理问题越来越突出,少数用户利用政务网P2P下载、在线观看外部视频娱乐网站大量耗费了宝贵的出口带宽,还有用户利用政务网进行网络游戏、炒股、访问娱乐或非法网站,降低了工作效率,影响了政府的公众形象。H3C的行为监管解决方案可以有效解决网络应用控制、用户行为审计和分析。
H3C行为监管解决方案由应用控制网关,安全管理平台,用户管理平台组成,是业界应用识别最全面的解决方案。应用控制网关由H3C SecPath ACG盒式设备、SecBlade ACG插卡或SecPath UTM组成,可针对P2P/IM、网络游戏、炒股、非法网站访问等行为,进行精细化识别和控制,有效解决带宽滥用、访问非法网站感染病毒等问题。安全管理平台由SecCenter硬件或ACG Manager软件组成,帮助管理员全面了解用户行为和流量趋势,为加强整网安全、满足合规性要求提供决策依据,并且能够与用户管理平台联动,提供基于用户的分析、控制和审计。
用户管理平台由H3C iMC UAM用户管理平台与iNode客户端及相应的接入设备组成,对接入用户进行身份认证,从而能够准确识别接入网络的用户。
2.5数据中心保护解决方案
随着IT应用程度的日益提高,数据中心对于政务客户的价值与日俱增,相应的,数据中心的安全建设也迫在眉睫。面对日益繁复的应用和日渐频繁的外界攻击,一个好的数据中心除了应对数据的存储和传递之外,能否保证数据的安全性也是衡量其合格与否的重要标志。而面对不断变化的外来攻击,数据中心的建设对安全也有了更高的要求。
H3C数据中心保护解决方案由安全防御系统、应用优化系统、安全管理平台组成。安全防御系统融合DDoS防御、区域安全隔离、深度入侵防御等技术,实现对2~7层攻击的防御,并在部署时充分考虑可靠性,保障业务持续不间断地运行;应用优化系统包括负载均衡设备和网流分析设备。负载均衡设备能够以5~10倍的效能提升服务器响应速度和处理能力,为用户提供更佳体验;网流分析设备能够帮助管理员了解网络的流量状况,为排除网络故障和网络优化提供参考。同时,通过安全管理平台实现对设备、服务器的统一配置、监控和管理。
3 H3C政务安全解决方案方案特点
3.1五大解决方案组件
从用户的基础安全需求来看,H3C提出了政务安全解决方案的五大功能组件:“远程安全接入”、“边界防护”、“内网控制”、“行为监管”及“数据中心保护”。重点关注的是如何从安全功能角度来解决用户的实际问题。比如,“内网控制”组件关注的是如何识别从内网发起的攻击并加以控制,它由安全管理平台、安全防护设备和终端软件组成,任何一个防护设备或终端软件发现威胁即时告警后,安全管理平台就能够智能分析定位威胁源头,并做出响应的控制策略,避免威胁的再次发生。“远程安全接入”组件则可以实现:一台设备满足IPSec、GRE、SSL、MPLS VPN多种技术的整合,内网、无线、VPN统一准入认证,数千台分支机构设备管理简化等等。
3.2三大应用场景
从用户的网络建设模式来看,H3C将前面的五大功能组件,按照网络建设的三大场景进行了整合,形成了:广域网安全解决方案、园区网安全解决方案、数据中心安全解决方案。这一阶段,H3C重点关注的是如何将各个安全功能组件与网络无缝对接融合,避免让安全成为网络的性能瓶颈、可靠性瓶颈、管理瓶颈。比如,广域网安全解决方案关注的是在保证安全的前提下如何让有限的带宽资源得到合理的利用,它通过ACG、UTM等设备可以实现深度防护与识别、流量分析、带宽优化保障的三合一。园区网安全解决方案关注的是如何在安全性、易操作性、可靠性、成本等因素间取得平衡,它通过基于用户的统一管理、嵌入式的安全模块、以及安全威胁的智能联动等关键技术,寻找到了一个和谐的平衡点。
3.3行业典型解决方案
从用户的行业应用特性来看,H3C在“五大功能组件、三大方案场景”的基础上,结合政府行业应用特性又推出了多种定制化的典型安全解决方案,比如:网上报税数据中心安全解决方案、网站保护解决方案、政务外网出口多链路安全解决方案、大型政务园区网安全解决方案、公安“金盾”广域网提速安全解决方案等等。将政务用户的行业应用特性与网络安全技术相结合,为用户提供定制化的精品解决方案。比如,政务网出口多链路安全解决方案不单可以提供高可靠、高性能路由设备,还可以提供模块化的应用层安全优化网关,将流量优化、内容审计、多链路智能负载均衡技术相结合;既保证了今后功能可扩展性,又是实现了性能的线性提升,极大地保护了用户投资。