行业背景
伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄漏、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
近年来为加强政府机构的信息安全管理,相应出台了针对信息安全的相关政策法规《信息系统安全等级保护实施指南》,在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》、《信息安全技术网络基础安全技术要求》、《信息安全技术操作系统安全技术要求》、《信息安全技术数据库管理系统安全技术要求》、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》等技术标准同步建设符合该等级要求的信息安全设施。运营、使用单位应当参照《信息安全技术信息系统安全管理要求》、《信息安全技术信息系统安全工程管理要求》、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
行业现状
目前政府的网络分为接入Internet网络和政务专网两个部分,它们之间物理隔离。
其中接入Internet网络部署多种应用系统,如网站系统、邮件系统、办公系统等。
CNCERT/CC的2009年11月份的统计报告很说明问题,大约平均每5个政府网站,就有一个网站被黑!而且,近年来,政府网站被篡改的数目仍然以每年2~3倍的速度在不断递增。根据这些材料可以知道,网站被篡改、被攻击的数量是非常大的,并且递增的速度也是比较快的。
政府的邮件系统多数采用集采的exchange邮件服务器,存在不能有效对非法言论、有害信息进行高效过滤。不能有效地防止病毒蔓延、防止邮件病毒导致的信件内容外泄等问题。
政府的办公网有大量用户需要访问Internet ,导致关键应用如邮件系统、ERP系统、视频会议等系统的带宽无法得到保障,有限的 Internet 带宽中充斥着 P2P 下载、游戏、在线视频等非关键应用。内部员工的 Internet 访问不受限制,经常由于访问非法网站,导致感染病毒,影响整个内部局域网。
政务专网由于属于可信任网,一直以来对安全防护的重视程度较低,主要出现的问题为蠕虫爆发、arp病毒等,造成断网现象,影响整个专务专网的正常运行。
政府一般都有Internet接入和政务专网两种接入方式,以往的防护方式已经引起不止一次的风险发生,而政府部门对政务专网的安全和应用更是缺乏有效防护和管理意识,严重影响办事效率。以下我们根据以往的经验针对政府网络构架的防护和优化提供完整的建议方案:
应用层安全防护:
根据CNCERT/CC的2009年11月份的统计报告,大约平均每5个政府网站,就有一个网站被黑! 对于网站系统, web应用防火墙采用多重安全防护提供最高级别的保护。这些防护包括动态配置文件、HTTP 协议验证、平台攻击安全和关联攻击确认。对于数据库系统, 数据库应用监控防护系统可为 Oracle、MS-SQL 、DB2(包括主机)和 Sybase 数据库提供自动化评估、审计和保护功能。动态建模技术可自动创建数据库使用业务模型和细化到访问数据库的每个用户和应用程序的查询级别的安全策略。详细的数据库活动审计和报告功能使得满足审计规定要求更方便,且不会对数据库性能产生任何影响。独特的业务活动分析和相关性技术可将真正的攻击与无害的用户行为变化分离开来,从而提供实时保护。
邮件审计和安全防护:
目前政府集采的邮件服务器,存在不能有效对非法言论、有害信息进行高效过滤。不能有效地防止病毒蔓延、防止邮件病毒导致的信件内容外泄等问题。如何解决?
我们提供业界中最有效的两层垃圾控制技术。在外层,提供独特的信誉过滤功能,在内层,提供深层内容过滤的技术。
网络攻击及入侵(入侵防御系统防护):
当业务系统遇到互联网的非法攻击和入侵的时候,势必对业务系统产生影响,造成访问效率下降、网络拥堵等状况,采用主动式入侵防御系统利用高可靠识别攻击,精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述问题。
移动办公接入(SSLVPN网关):
客户为加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便的需求。
带宽管理 :
政府的互联网带宽通常在200M左右,而政府有大量的的内部用户访问互联网,其关键应用的保障以及非关键应用的限制以监控需要使用带宽管理产品对Internet 出口带宽进行控制,通过深入识别流量与应用,结合丰富的流量管理策略对某种应用进行带宽的保证、带宽限制、按照优先级处理等。
服务器负载均衡 :
多种应用系统服务器的负载均衡和冗余:不同的政府职能部门部署不同的应用系统,如公安的综合查询系统、应急指挥系统,税务的金税工程等,如何保证这些系统稳定、可靠运行?对于各种应用系统,可以采用服务器负载均衡的方式提高应用的可用性。采用负载均衡产品把大量用户的请求平均分发到多台服务器上面,并实时监控服务器运行状态,快速发现服务器的故障,把用户请求转发到其他正常的服务器上面。
链路负载均衡 :
作为电子政务网平台的一部分,多条 Internet 接入是必须的,能够防止单点故障,减少停机时间。如何把外网用户的请求负载均衡到两条链路上面,同时把内网用户访问外网的请求负载均衡到两条链路上面,并且在某一条链路出现故障时,能够及时把上述两种请求切换到正常的链路?
我们采用链路负载均衡产品,把访问外网资源的内网用户按照要求负载均衡到两条链路,任何一条链路出现故障,都能够实时发现,自动把请求转发至正常的链路;同时把访问内网资源的用户自动导向到访问质量最优的链路,并实时监控链路的状态,如果某一链路出现故障,自动切换到其他正常链路。
安全防护 :
为了提高整个网络的安全性,如何进行安全区域的划分,保护内网服务器资源,同时进行入侵检测,保护服务器资源免受各种攻击的侵害?
我们使用防火墙对内外网、 DMZ 等安全区域进行隔离,并进行入侵防护。通过高性能的防火墙产品对不同的安全区域进行访问控制,并通过多种检测机制,发现攻击流量,实时进行阻断,提高应用系统的安全性。
Internet 安全访问网关:
采用 Internet 安全访问网关设备,对员工上网行为进行管理,提高工作效率。
统一访问控制 :
网络在不断扩展,但是安全性却在不断下降,新的威胁出现在可信的用户流量中,如何在客户端在接入网络之前评估其安全状态,对不符合要求的用户进行隔离或者修复?如何建立基于身份的和策略的网络准入控制?
我们对整个网络采用一套网络控制器,对终端进行统一的认证授权和策略的下发。
采用统一的认证和授权机制,对内部网络的终端进行验证,认证和授权的内容不再局限于简单的用户名和密码。实现基于用户身份、所处网络位置(用户 IP 地址)、终端主机的安全状况的统一的授权。
根据终端用户认证信息的不同(用户身份、 IP 地址、终端主机的安全状况),在边界控制防火墙上动态的为该终端动态加载策略,实现不同的访问权限。
对于不符合安全策略的终端,防火墙上阻断其访问权限,同时对其进行修复。
发表评论