華為電子政務外網安全解決方案
1. 背景及挑戰
隨著互聯網的飛速發展,各省(市)電子政務統一應用大平臺的建設步伐加快,逐步實現了黨政機關網上協同辦公和公文傳輸。電子政務資源信息中心將集中多個委辦局重要信息的資產,實現政府部門的橫向互聯,多個區縣的縱向接入,電子政務網實現了橫向網絡互訪、互聯網接入、公共資源共享的需求;同時也面臨著互聯網接入安全,關鍵信息資源的安全性,云數據中心隔離等安全問題。按照國家安全等級保護三(二)級所規定的安全強度進行建設,是電子政務外網安全建設的根本。
2.安全解決方案介紹
華為電子政務網組網圖如下圖所示:
以市電子政務網建設為例,網絡可劃分成政務廣域網、政務城域網及數據中心三部分,政務廣域網負責各級電子政務網的互聯,政務城域網負責各個委辦局及互聯網接入,數據中心部署各服務器和存儲系統,承載所有的辦公業務。
政務網的安全建設以滿足ISO27001、等級保護二級和三級等法律法規要求為前提條件,華為從網絡建設層面提出了網絡安全、數據傳輸安全、應用系統安全、虛擬化安全、管理安全多維度的建設思路。
●網絡安全
網絡安全主要解決的是區域隔離和邊界安全防護,在城域網互聯出口部署DDoS、NGFW、SSL VPN、IPS,解決網絡區域隔離、大流量攻擊、L2-L7層攻擊、網絡入侵、病毒傳播、遠程用戶接入合法性等安全問題,與沙箱配合使用,解決APT攻擊,保證網絡的安全性和有效性;在數據中心出口部署高性能綜合安全網關,并啟用網關中的多虛擬系統,對政務網用戶訪問服務器的南北訪問流量,以及服務器區橫向跨區訪問的東西向流量,提供設備虛擬化安全能力,滿足委辦局租戶業務隔離,獨立安全配置和管理需求。
●數據傳輸安全
電子政務的各個政府部門之間都是縱向管理的網絡,通過在政府部門網絡出口部署NGFW安全網關,可以在各部門縱向網絡間建立安全IPSec VPN加密通道,保證數據傳輸的安全性;通過部署SSL VPN網關,使得遠程移動辦公的用戶也可以通過加密通道安全訪問公司內部資源,保證了遠程接入的安全性。
●應用系統安全:
電子政務網絡的數據中心內部署了大量服務器和存儲系統,承載電子政務網的關鍵業務和重要數據,該網絡是安全防范的重點,數據中心網絡的出口部署高性能數據中心網關,開啟入侵防御功能,可以有效阻止針對數據中心網絡的攻擊行為,復用互聯網出口的Anti-DDoS拒絕服務攻擊防護系統,對服務器的應用層攻擊進行清洗,防止針對網站和郵件系統的惡意攻擊,保證系統的正常運行;WEB服務器前端部署WEB防護網關,保護WEB服務器免受SQL注入、跨站點攻擊等威脅,保障WEB業務的正常運行。
●虛擬化安全:
隨著電子政務云的發展,如何有效隔離,如何有效防護虛擬機安全,成為虛擬化安全的重點,在數據中心出口通過綜合安全網關的多虛擬系統,為不同的委辦局和不同的業務分配不同的虛擬系統,在網絡層面進行隔離;在云平臺安裝軟件虛擬防火墻vFW,解決VM之間的互訪安全,對網絡不可見的東西向流量進行隔離和防護,從網絡層和VM多層面解決虛擬化網絡安全問題。
●管理安全:
在管理中心部署統一網管系統,集中管理網絡中的安全設備,監控安全設備的狀態,集中處理安全日志,統一制定安全策略,能夠全盤呈現網絡中的安全狀態、業務環境,實施主動監控,通過安全事件關聯分析,及時發現存在的安全隱患;在出口防火墻設置管理員訪問權限,要求密碼復雜度,可部署堡壘主機分配管理資源,限制管理權限,審計管理行為,達到統一管理,安全管理的目的。
3.方案優勢
1)多層次安全,全面防護
根據電子政務網組網特點,在不同的網絡層面部署專業的安全設備,為電子政務網Internet網絡邊界提供了L2-L7的實時安全防護,專業的DDoS防護保障網絡帶寬和服務器安全,多級安全設備、多維度全局環境感知提供更全面的安全防護,NGFW高效的應用感知,識別應用更清晰,管控更精細,利用設備及軟件的虛擬化技術實現多層次的虛擬化安全,使集中管理中心和分散部署的一體化安全網關成為一個有機結合的整體,既防范外網到公眾服務器的訪問安全,又對電子政務內部用戶及數據中心進行保護,共同為電子政務的網絡安全保駕護航。
2)統一管理,簡單易用,降低管理維護成本
統一管理:通過統一管理軟件實現全網安全和網絡設備的統一管理,集中管理與控制技術實現了對多臺設備的同時安全策略下發和日志的統一收集、分析,更加簡化了安全策略實施和風險管理的過程。
策略實施簡單:綜合安全網關的利用,使各安全模塊之間的耦合度和協調性都達到最佳,流量自學習和策略模板化,讓安全策略實施過程變得簡單。設備部署后,可持續學習現網流量模型,根據現網流量情況,與當前配置的安全策略進行對比,給出策略調優建議,將安全風險減到最低,同時減輕了管理人員的部署維護壓力。
3)性能優異,穩定可靠,確保業務正常運行
選用高性能設備,實現海量業務處理;高密度接口,滿足不同場景需求;直路部署設備均采用雙機組網,提高網絡可靠性,確保電子政務業務連續性。
華為電子政務網安全解決方案,為客戶提供靈活、可靠、高效的網絡。
