安全資訊

概述

隨著(zhù)政務(wù)外網(wǎng)建設的逐漸完善，承載單位業(yè)務(wù)逐漸增多，作為國家、省、市、縣的政務(wù)基礎網(wǎng)絡(luò )，安全問(wèn)題將是考慮的重點(diǎn)，如何圍繞國家等級保護政策進(jìn)行各級政務(wù)外網(wǎng)的安全保障體系設計是各級主管機構需要考慮的問(wèn)題。

目前黑客針對電子政務(wù)網(wǎng)絡(luò )攻擊呈現攻擊主體組織化，目標趨利化、政治化，手段智能化、網(wǎng)絡(luò )化的趨勢，以APT攻擊特征為主。APT攻擊是針對特定組織所作的復雜且多方位的網(wǎng)絡(luò )攻擊，攻擊后留給安全管理人員響應的時(shí)間越來(lái)越短，使政府用戶(hù)來(lái)不及對入侵做出響應，目的是獲取政府內部敏感信息或者對政務(wù)網(wǎng)絡(luò )造成破壞。

為推動(dòng)國家電子政務(wù)外網(wǎng)信息安全建設和安全管理工作，滿(mǎn)足國家電子政務(wù)外網(wǎng)管理中心《關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護工作的通知》（政務(wù)外網(wǎng)〔2011〕15號）文中提出的相關(guān)要求，需要實(shí)現針對電子政務(wù)外網(wǎng)網(wǎng)絡(luò )的信息安全監控體系的建設，及時(shí)發(fā)現和處置網(wǎng)絡(luò )攻擊，防止有害信息傳播，對網(wǎng)絡(luò )和系統實(shí)施保護?；A信息網(wǎng)絡(luò )的運營(yíng)單位和各重要信息系統的主管部門(mén)或運營(yíng)單位要根據實(shí)際情況建立和完善信息安全監控平臺，提高對網(wǎng)絡(luò )攻擊、病毒入侵、網(wǎng)絡(luò )失竊密的防范能力，防止有害信息傳播。保障電子政務(wù)信息系統的網(wǎng)絡(luò )安全。

2. 防護方案

本方案描述了國家電子政務(wù)外網(wǎng)為達到國家等級保護等相關(guān)標準規定和政務(wù)外網(wǎng)的基本要求的方法和手段。

電子政務(wù)外網(wǎng)安全保障體系建設應首先滿(mǎn)足適度安全原則以及標準化、可控性、完備性和最小影響的原則，為所承載的各級政務(wù)部門(mén)信息系統提供網(wǎng)絡(luò )傳輸通道的安全保障。在此基礎上，電子政務(wù)外網(wǎng)信息安全建設在設計過(guò)程中應重點(diǎn)考慮以下幾點(diǎn)：

? 電子政務(wù)外網(wǎng)與所承載的信息系統區分防護

各接入電子政務(wù)外網(wǎng)的政務(wù)部門(mén)負責各自局域網(wǎng)絡(luò )及業(yè)務(wù)應用系統和數據的安全，并按國家信息系統安全等級保護的法規和標準要求實(shí)施定級與保護，應與電子政務(wù)外網(wǎng)的管理、安全防護與運維保障系統分別進(jìn)行安全防護。

? 安全域劃分保護

電子政務(wù)外網(wǎng)等級保護根據所承載的業(yè)務(wù)應用系統實(shí)際的需要，將政務(wù)外網(wǎng)劃分為公用網(wǎng)絡(luò )區、專(zhuān)用網(wǎng)絡(luò )區、互聯(lián)網(wǎng)訪(fǎng)問(wèn)區、托管服務(wù)區、安全接入區等不同的安全區域，實(shí)施不同的安全策略進(jìn)行邊界防護。

? 基礎網(wǎng)絡(luò )邊界防護

邊界安全解決方案應該能夠根據用戶(hù)訪(fǎng)問(wèn)的IP地址、服務(wù)端口、MAC地址、物理網(wǎng)絡(luò )區域等網(wǎng)絡(luò )要素和用戶(hù)身份、應用等要素設計具體的訪(fǎng)問(wèn)控制策略，對不同安全等級網(wǎng)絡(luò )的互聯(lián)及各用戶(hù)局域網(wǎng)的接入，采用有效的邊界訪(fǎng)問(wèn)控制策略，對非授權訪(fǎng)問(wèn)、異常流量、病毒木馬、網(wǎng)絡(luò )攻擊等行為進(jìn)行控制和監測，保證網(wǎng)絡(luò )和政務(wù)業(yè)務(wù)的安全。

? 安全監控預警平臺

電子政務(wù)外網(wǎng)安全監控平臺建設是應該作為核心內容。在政務(wù)外網(wǎng)互聯(lián)網(wǎng)出入口、重要網(wǎng)絡(luò )節點(diǎn)嚴密監控、及時(shí)預警大規模網(wǎng)絡(luò )攻擊和病毒傳播，監控保障外網(wǎng)的網(wǎng)絡(luò )安全，協(xié)同各個(gè)安全設備，切實(shí)防范來(lái)自互聯(lián)網(wǎng)的大規模病毒攻擊和網(wǎng)絡(luò )攻擊，并具備安全事件的路徑分析和溯源能力，真正實(shí)現安全事件的預警、檢測、響應、審計，同時(shí)作為可持續性運營(yíng)的基礎平臺。

3. 方案價(jià)值

? 可知：建立了統一電子政務(wù)外網(wǎng)安全監控預警平臺，對網(wǎng)絡(luò )運行指標和信息安全事件集中展現、集中分析，掌握運行狀態(tài)和安全風(fēng)險。

? 可管理：建立健全組織、制度、標準體系，推動(dòng)信息安全策略的制定、落實(shí)和執行。

? 可控：集中管理安全設備，實(shí)現電子政務(wù)外網(wǎng)安全策略統一管理，對安全策略發(fā)布、變更和執行進(jìn)行流程化管理，確保安全設備防護有效。

? 可運維：安全工作的自動(dòng)調度、自動(dòng)執行、自動(dòng)核查、自動(dòng)報告等機制，實(shí)現主動(dòng)安全工作自動(dòng)化。

? 可測量：對電子政務(wù)外網(wǎng)網(wǎng)絡(luò )定期的專(zhuān)項合規符合性檢查，形成符合等級保護要求的安全基線(xiàn)達標體系。

4. 方案優(yōu)勢

? 立體性：通過(guò)在電子政務(wù)外網(wǎng)的管理、技術(shù)和運維不同層次上實(shí)施不同的安全機制，形成多視角，立體化的信息安全體系，極大提高了檢測的準確性，避免單一類(lèi)型安全系統失效導致的檢測盲角。

? 先進(jìn)性：充分利用先進(jìn)的高考靠性的安全服務(wù)及安全產(chǎn)品，達到針對電子政務(wù)外網(wǎng)持續高效防御的目的。

? 綜合性：通過(guò)安全監控預警平臺關(guān)聯(lián)使用，互相彌補各安全措施的功能劣勢，實(shí)現統一監控、管理、維護，實(shí)現統一管理和安全指揮的目的。