1 宜昌市電子政務的現狀及面臨的威脅
宜昌市現轄3市(縣級市)、5縣、5區以及100多個基層政務單位。近幾年來在政府信息化的大趨勢下,宜昌市政府行政管理體制也朝著精簡、統一、高效的方向發展。目前各級政務單位根據自身的情況都已經建立起形式各異、規模不等的辦公網絡,但由于缺乏互聯,彼此形成了信息孤島,建立統一的電子政務外網平臺、充分實現網絡資源共享勢在必行。但是各級政務單位在建網時由于缺乏統一的規劃,在安全防護和安全管理方面的考慮有所欠缺。這成為了電子政務外網平臺建設必須首先解決的問題。
Ø 安全防護問題:大多數政務單位在網絡安全問題上考慮較少,在沒有采取足夠的安全防護措施的情況下隨意接入互聯網,給整個電子政務平臺的整體安全性帶來很大的挑戰。
Ø 安全管理問題:部分政務單位雖然在廣域網出口部署了防火墻或者防病毒產品,但所選擇的產品比較雜亂,品質良莠不齊,根本不可能形成有效的統一安全風險管理體系。
基于這樣的現狀,宜昌市政府作出對全網的安全防護體系統一整改的決定,提出四個“統一”的建設思路。
Ø 統一建設:整個電子政務外網平臺的安全體系由市政府統一規劃,建成覆蓋“市-縣-鄉鎮”的網絡安全防護體系。
Ø 統一出口:各級政務單位不得獨自接入互聯網,必須從電子政務外網平臺的市中心節點統一接入。
Ø 統一防御:加強對互聯網出口和廣域網出口的安全風險控制,降低網絡威脅對電子政務平臺造成的沖擊。
Ø 統一管理:由市政府信息中心統一對整個網絡的安全基礎設施進行統一維護和管理。
電子政務外網平臺的建設充分體現了政府既要通過信息化實現資源共享、節約投資,又要確保信息安全的思想。為了實現整個電子政務外網資源共享,在信息安全保障方面必然會存在許多不確定因素。比如說:有一些沒有正確實施安全策略的政務單位,因為個別用戶不當操作感染了病毒,病毒迅速感染到局域網內其它的主機,進而形成在整個電子政務外網平臺的蔓延,導致網絡的癱瘓。盡管網絡管理員已經認識到來自網絡的惡意行為對電子政務外網平臺可能造成的嚴重威脅,但鑒于目前人手的匱乏、防御措施的不足,對網絡威脅的防范顯然的力不從心。如何去選擇一個能夠給電子政務外網帶來一體化安全的解決方案是宜昌電子政務用戶的當務之急。
圖片1:宜昌電子政務網絡結構
下面我們從宜昌電子政務外網平臺安全需求的角度來分析一下什么樣的解決方案最適合的電子政務外網平臺的安全體系的建設。
2 宜昌市電子政務對網絡安全的需求分析
2.1 訪問控制需求
宜昌市各級政府和委辦局單位很多,用戶數量龐大,對于某個委辦局單位而言,很多本系統內部的信息需要讓上級單位和相關單位訪問,但對于政務外網的其它單位需要嚴格保密(如:財政局的財政資金信息等)。而電子政務外網中大量的委辦局單位用戶,這些人中如果有別有用心者想要竊取機密,就會出現“家賊難防”的情況,后果不堪設想。在各級政務單位的廣域網邊界如果沒有一個可集中控制訪問請求的措施,很容易被惡意攻擊者或有其它企圖的人員利用系統的弱點進行非法入侵。入侵者可以利用多種入侵手段(如:網絡掃描、獲取口令、拒絕服務攻擊、IP欺騙攻擊等等)獲取系統權限,進入網絡內部。
因此需要在電子政務外網平臺的各級政務單位廣域網出口部署訪問控制產品,有效地監控內部網和廣域網之間的活動,并對數據進行過濾與控制,保證內部網絡的安全。
2.2 入侵防御需求
訪問控制系統可以靜態的實施訪問控制策略,防止一些非法的訪問。但對利用合法的訪問手段或其它的攻擊手段(比如利用內部系統的漏洞等)對系統入侵和內部用戶的入侵等是沒有辦法控制的。因此系統內需要建設統一的符合國家規定的安全檢測機制,實現對網絡系統進行自動的入侵檢測和分析,對非法信息予以過濾,提高系統整體安全性。
2.3 防病毒需求
防病毒必須立足于系統全網的角度,除了在終端上部署放病毒產品控制病毒對終端的破壞之外,更應該在各級政務單位廣域網出口部署網關防病毒產品,以控制病毒的傳播。終端防病毒產品關于病毒對終端系統和文件的破壞,而網關防病毒產品通過檢測進出網絡邊界的數據流量,一方面控制病毒通過網絡(HTTP/FTP/郵件等方式)的傳播,另一方面抑制蠕蟲病毒爆發時候對網絡造成的影響。
終端防病毒產品和網關防病毒產品配合使用,能夠為用戶的網絡形成一道立體的病毒防御體系,從而更好地避免用戶網絡遭受病毒的侵害。
2.4 虛擬專網的需求
隨著電子政務的發展,越來越多的應用會逐漸開展起來,為了保障各職能部門內部數據的傳播的保密性,客觀上需要在電子政務外網平臺上再建設起獨立的虛擬專用網(VPN)。所有政務系統的內部數據傳輸都經過加密,通過各職能部門獨立的VPN隧道進行安全傳輸。電子政務外網平臺的其他委辦局用戶就無法截取應用系統傳輸的數據。
通過建立虛擬專用網不僅能充分應用電子政務外網平臺的公用基礎設施,避免了基礎設施的重復投資,而且能夠保證機密信息傳輸的安全性和保密性。
2.5 安全審計需求
日志審計是信息安全的重要方面,它是實現安全事件的可追查性、不可否認性的重要數據環節。對于宜昌電子政務外網平臺由于數據來源多、數據量大、數據類型復雜,將面臨大量的攻擊事件和流量事件。良好的安全審計能力是分析電子政務外網平臺安全狀況的必要條件。
2.6 集中管理的需求
宜昌市電子政務外網平臺的應用覆蓋面了全市各級政府行政機關,分散的網絡安全設備的部署,讓網絡管理員對全網的網絡安全設備進行管理造成很大的困難。由于人手的匱乏,不可能在每個分支機構安排專人來對安全設備進行管理和維護,集中管理的需求應運而生。
2.7 簡化安全管理的需求
宜昌市電子政務外網平臺的安全需求是非常明顯的,如果對每個需求采用單獨的安全防護產品來部署的話,成本很難控制,更重要的是由于政府機構的精簡,不可能培養更多的IT管理員來對這個安全體系進行管理,往往是兩三個管理員要維護整個網絡的安全產品。因此,要求對全網部署的安全產品具備“簡單管理”的特性成為衍生出來的新的需求。
3 宜昌市電子政務整體解決方案
通過對宜昌電子政務外網平臺的安全需求分析,可以看出宜昌市電子政務用戶最關心的問題是如何采用比較簡單的方式實現一體化的前面安全防護。啟明星辰公司提出的“全網部署,一體安全、安全為本”的解決方案是解決上述問題、滿足用戶需求的理想選擇。
全網部署
在電子政務外網平臺各級政務單位的廣域網出口部署天清漢馬USG一體化安全網關。通過在市政府信息中心部署集中管理系統,實現對整個網絡的安全設備的統一管理,通過集中管理讓管理員坐在辦公室里就能夠實時掌控各級政務單位的網絡情況以及面臨的風險威脅,如果發現局部突發的異常事件,可以立即對全網的安全策略做出調整并且統一下發,以控制網絡威脅對網絡造成的影響。以此構成實時監控,實時防護的統一安全風險管理體系。
一體安全
天清漢馬USG一體化安全網關采用高性能的硬件架構和一體化的軟件設計,集防火墻、VPN、網關防病毒、入侵防御(IPS)等多種安全技術于一身,同時全面支持QoS、負載均衡、高可用性(HA)、日志審計等功能,為網絡邊界提供了全面實時的安全防護。這是“一體安全”的一個含義。
另外,通過集中管理與控制技術實現對多臺設備的同時安全策略下發和日志的統一收集、分析,更加簡化了安全策略實施和風險管理的過程。集中管理中心和分散部署的一體化安全網關成為一個有機結合的整體,共同為電子政務的網絡安全保駕護航。這是“一體安全”的又一內涵。
簡單為本
面對宜昌電子政務復雜的網絡環境對安全提出的需求,如何簡單地實現安全防護的需求是整個方案的關鍵。“簡單”是安全的外在表現形式,而技術上的創新是成就“簡單”的基石,是“簡單”的內涵。
作為國內信息安全市場的領航者,啟明星辰憑借多年的技術積累和強大的研發實力,通過多項專利和創新技術,將“簡單”的理念發揮到極致,并在天清漢馬USG一體化安全網關中得到了完美體現。
設備部署變得簡單
作為網關技術集大成者,天清漢馬USG集防火墻、防病毒(AV)、入侵防御(IPS)等多種功能于一體。這樣用戶只需要一個硬件平臺即可實現簡單的部署。采用透明模式接入網絡,甚至不需要對現有網絡結構拓撲做出任何改動。
防御威脅變得簡單
治病講究“對癥下藥”,確定病因是關鍵。防范威脅也是同樣的道理,準確、全面地識別威脅是關鍵,之后才能進行相應控制。天清漢馬USG中使用“基于插件的協議識別技術”、“自適應多模式匹配算法”、“可追查性檢查”、“基于知識庫的非法連接請求動態抽樣與分析技術”等專利技術,大大提升了防御威脅的全面性和準確度,使對于威脅的防御變得簡單。
策略實施變得簡單
為了使各個軟件功能模塊無縫融合,天清漢馬USG在設計之初就采用了一體化的軟件體系架構設計,并采用了綜合分析引擎技術,使各模塊之間的耦合度達到最佳,各功能模塊的協調性達到了前所未有的默契,這讓安全策略實施過程變得簡單。另外,安全策略模版的使用,通過集中管理與控制技術實現對多臺設備的同時安全策略部署,都更加簡化了安全策略的實施過程。
管理維護變得簡單
天清漢馬USG創新采用“先界面、后功能”的研發模式,通過加強集中管理與控制技術,建設“六化”,使管理維護變得簡單。
Ø 界面定位快捷化,配置界面三鍵到位率達90%以上。
Ø 配置操作簡單化,任一配置在兩個界面內完成。
Ø 安全策略模板化,所有安全服務配置在一個模版上完成。
Ø 關鍵業務自動化,自動升級、自動報警、自動報表。
Ø 安全監控方便化,定制化報表、圖形化展示、LCD展示
Ø 集群管理統一化,基于組的集群管理、一次配置整體生效
繁到終處自成簡,啟明星辰公司提出的“全網部署、一體安全、簡單為本”的網絡安全整體解決方案,成為了“簡單安全”的解決之道。將為宜昌市電子政務把好安全這道大門。
