概述

隨著政務(wù)外網(wǎng)建設(shè)的逐漸完善，承載單位業(yè)務(wù)逐漸增多，作為國(guó)家、省、市、縣的政務(wù)基礎(chǔ)網(wǎng)絡(luò)，安全問(wèn)題將是考慮的重點(diǎn)，如何圍繞國(guó)家等級(jí)保護(hù)政策進(jìn)行各級(jí)政務(wù)外網(wǎng)的安全保障體系設(shè)計(jì)是各級(jí)主管機(jī)構(gòu)需要考慮的問(wèn)題。

目前黑客針對(duì)電子政務(wù)網(wǎng)絡(luò)攻擊呈現(xiàn)攻擊主體組織化，目標(biāo)趨利化、政治化，手段智能化、網(wǎng)絡(luò)化的趨勢(shì)，以APT攻擊特征為主。APT攻擊是針對(duì)特定組織所作的復(fù)雜且多方位的網(wǎng)絡(luò)攻擊，攻擊后留給安全管理人員響應(yīng)的時(shí)間越來(lái)越短，使政府用戶來(lái)不及對(duì)入侵做出響應(yīng)，目的是獲取政府內(nèi)部敏感信息或者對(duì)政務(wù)網(wǎng)絡(luò)造成破壞。

為推動(dòng)國(guó)家電子政務(wù)外網(wǎng)信息安全建設(shè)和安全管理工作，滿足國(guó)家電子政務(wù)外網(wǎng)管理中心《關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知》（政務(wù)外網(wǎng)〔2011〕15號(hào)）文中提出的相關(guān)要求，需要實(shí)現(xiàn)針對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)控體系的建設(shè)，及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊，防止有害信息傳播，對(duì)網(wǎng)絡(luò)和系統(tǒng)實(shí)施保護(hù)?；A(chǔ)信息網(wǎng)絡(luò)的運(yùn)營(yíng)單位和各重要信息系統(tǒng)的主管部門或運(yùn)營(yíng)單位要根據(jù)實(shí)際情況建立和完善信息安全監(jiān)控平臺(tái)，提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密的防范能力，防止有害信息傳播。保障電子政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全。

2. 防護(hù)方案

本方案描述了國(guó)家電子政務(wù)外網(wǎng)為達(dá)到國(guó)家等級(jí)保護(hù)等相關(guān)標(biāo)準(zhǔn)規(guī)定和政務(wù)外網(wǎng)的基本要求的方法和手段。

電子政務(wù)外網(wǎng)安全保障體系建設(shè)應(yīng)首先滿足適度安全原則以及標(biāo)準(zhǔn)化、可控性、完備性和最小影響的原則，為所承載的各級(jí)政務(wù)部門信息系統(tǒng)提供網(wǎng)絡(luò)傳輸通道的安全保障。在此基礎(chǔ)上，電子政務(wù)外網(wǎng)信息安全建設(shè)在設(shè)計(jì)過(guò)程中應(yīng)重點(diǎn)考慮以下幾點(diǎn)：

? 電子政務(wù)外網(wǎng)與所承載的信息系統(tǒng)區(qū)分防護(hù)

各接入電子政務(wù)外網(wǎng)的政務(wù)部門負(fù)責(zé)各自局域網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全，并按國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)的法規(guī)和標(biāo)準(zhǔn)要求實(shí)施定級(jí)與保護(hù)，應(yīng)與電子政務(wù)外網(wǎng)的管理、安全防護(hù)與運(yùn)維保障系統(tǒng)分別進(jìn)行安全防護(hù)。

? 安全域劃分保護(hù)

電子政務(wù)外網(wǎng)等級(jí)保護(hù)根據(jù)所承載的業(yè)務(wù)應(yīng)用系統(tǒng)實(shí)際的需要，將政務(wù)外網(wǎng)劃分為公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)訪問(wèn)區(qū)、托管服務(wù)區(qū)、安全接入?yún)^(qū)等不同的安全區(qū)域，實(shí)施不同的安全策略進(jìn)行邊界防護(hù)。

? 基礎(chǔ)網(wǎng)絡(luò)邊界防護(hù)

邊界安全解決方案應(yīng)該能夠根據(jù)用戶訪問(wèn)的IP地址、服務(wù)端口、MAC地址、物理網(wǎng)絡(luò)區(qū)域等網(wǎng)絡(luò)要素和用戶身份、應(yīng)用等要素設(shè)計(jì)具體的訪問(wèn)控制策略，對(duì)不同安全等級(jí)網(wǎng)絡(luò)的互聯(lián)及各用戶局域網(wǎng)的接入，采用有效的邊界訪問(wèn)控制策略，對(duì)非授權(quán)訪問(wèn)、異常流量、病毒木馬、網(wǎng)絡(luò)攻擊等行為進(jìn)行控制和監(jiān)測(cè)，保證網(wǎng)絡(luò)和政務(wù)業(yè)務(wù)的安全。

? 安全監(jiān)控預(yù)警平臺(tái)

電子政務(wù)外網(wǎng)安全監(jiān)控平臺(tái)建設(shè)是應(yīng)該作為核心內(nèi)容。在政務(wù)外網(wǎng)互聯(lián)網(wǎng)出入口、重要網(wǎng)絡(luò)節(jié)點(diǎn)嚴(yán)密監(jiān)控、及時(shí)預(yù)警大規(guī)模網(wǎng)絡(luò)攻擊和病毒傳播，監(jiān)控保障外網(wǎng)的網(wǎng)絡(luò)安全，協(xié)同各個(gè)安全設(shè)備，切實(shí)防范來(lái)自互聯(lián)網(wǎng)的大規(guī)模病毒攻擊和網(wǎng)絡(luò)攻擊，并具備安全事件的路徑分析和溯源能力，真正實(shí)現(xiàn)安全事件的預(yù)警、檢測(cè)、響應(yīng)、審計(jì)，同時(shí)作為可持續(xù)性運(yùn)營(yíng)的基礎(chǔ)平臺(tái)。

3. 方案價(jià)值

? 可知：建立了統(tǒng)一電子政務(wù)外網(wǎng)安全監(jiān)控預(yù)警平臺(tái)，對(duì)網(wǎng)絡(luò)運(yùn)行指標(biāo)和信息安全事件集中展現(xiàn)、集中分析，掌握運(yùn)行狀態(tài)和安全風(fēng)險(xiǎn)。

? 可管理：建立健全組織、制度、標(biāo)準(zhǔn)體系，推動(dòng)信息安全策略的制定、落實(shí)和執(zhí)行。

? 可控：集中管理安全設(shè)備，實(shí)現(xiàn)電子政務(wù)外網(wǎng)安全策略統(tǒng)一管理，對(duì)安全策略發(fā)布、變更和執(zhí)行進(jìn)行流程化管理，確保安全設(shè)備防護(hù)有效。

? 可運(yùn)維：安全工作的自動(dòng)調(diào)度、自動(dòng)執(zhí)行、自動(dòng)核查、自動(dòng)報(bào)告等機(jī)制，實(shí)現(xiàn)主動(dòng)安全工作自動(dòng)化。

? 可測(cè)量：對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)定期的專項(xiàng)合規(guī)符合性檢查，形成符合等級(jí)保護(hù)要求的安全基線達(dá)標(biāo)體系。

4. 方案優(yōu)勢(shì)

? 立體性：通過(guò)在電子政務(wù)外網(wǎng)的管理、技術(shù)和運(yùn)維不同層次上實(shí)施不同的安全機(jī)制，形成多視角，立體化的信息安全體系，極大提高了檢測(cè)的準(zhǔn)確性，避免單一類型安全系統(tǒng)失效導(dǎo)致的檢測(cè)盲角。

? 先進(jìn)性：充分利用先進(jìn)的高考靠性的安全服務(wù)及安全產(chǎn)品，達(dá)到針對(duì)電子政務(wù)外網(wǎng)持續(xù)高效防御的目的。

? 綜合性：通過(guò)安全監(jiān)控預(yù)警平臺(tái)關(guān)聯(lián)使用，互相彌補(bǔ)各安全措施的功能劣勢(shì)，實(shí)現(xiàn)統(tǒng)一監(jiān)控、管理、維護(hù)，實(shí)現(xiàn)統(tǒng)一管理和安全指揮的目的。