您當(dāng)前的位置是:  首頁(yè) > 新聞 > 國(guó)內(nèi) >
 首頁(yè) > 新聞 > 國(guó)內(nèi) >

華為政務(wù)云安全方案:“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的堅(jiān)強(qiáng)后盾

2016-05-17 09:29:23   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊cti:

  近日,國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)國(guó)家發(fā)展改革委等10部門《推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”開(kāi)展信息惠民試點(diǎn)的實(shí)施方案》,在全社會(huì)引起廣泛關(guān)注。方案重點(diǎn)提出“一號(hào)一窗一網(wǎng)”為主要工作目標(biāo),”一號(hào)”申請(qǐng),簡(jiǎn)化優(yōu)化群眾辦事流程,變“群眾跑腿”為“信息跑路”,“一窗”受理,改革創(chuàng)新政務(wù)服務(wù)模式,變“群眾來(lái)回跑”為“部門協(xié)同辦”,“一網(wǎng)”通辦,暢通政務(wù)服務(wù)方式渠道,變“被動(dòng)服務(wù)”為“主動(dòng)服務(wù)”。這些無(wú)疑開(kāi)啟了政務(wù)服務(wù)新時(shí)代,但是其背后需要強(qiáng)大的ICT基礎(chǔ)設(shè)施的支撐,構(gòu)建統(tǒng)一政務(wù)云,實(shí)現(xiàn)信息的互通共享,同時(shí)也需要要確保數(shù)據(jù)信息的安全性。通常政務(wù)云面臨著如下安全挑戰(zhàn):
  • 政務(wù)云與互聯(lián)網(wǎng)的隔離及數(shù)據(jù)交換;
  • 零漏洞、高級(jí)持續(xù)威脅(APT)對(duì)政務(wù)云服務(wù)器帶來(lái)的威脅;
  • 各部委虛機(jī)、用戶之間的安全隔離,避免數(shù)據(jù)泄露及濫用;
  • 基于大數(shù)據(jù)的安全威脅分析,及時(shí)全面的掌握政務(wù)云整網(wǎng)安全態(tài)勢(shì)并及時(shí)處理;
  • 此外政務(wù)云還需要滿足國(guó)家信息安全二級(jí)/三級(jí)等保要求。
  華為政務(wù)云安全方案
  為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”加把鎖
  針對(duì)互聯(lián)網(wǎng)惡意攻擊、關(guān)鍵信息泄漏、安全事件難溯源等安全風(fēng)險(xiǎn),以及國(guó)家安全等級(jí)保護(hù)三(二)級(jí)的建設(shè)要求,華為提出政務(wù)云安全方案,根據(jù)統(tǒng)一電子政務(wù)云平臺(tái)標(biāo)準(zhǔn)、制度和技術(shù)體系,綜合運(yùn)用信息安全技術(shù),從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、虛擬化安全、數(shù)據(jù)安全等方面建立和完善信息安全保障體系,全面提升安全服務(wù)能力。
  華為政務(wù)云安全解決方案架構(gòu)圖
  根據(jù)服務(wù)對(duì)象的不同,政務(wù)云一般分為互聯(lián)網(wǎng)區(qū)和政務(wù)外網(wǎng)區(qū)兩大塊。互聯(lián)網(wǎng)區(qū)主要部署面向社會(huì)管理和公眾服務(wù)的業(yè)務(wù),其互聯(lián)網(wǎng)接入?yún)^(qū)用于公眾接入訪問(wèn)。政務(wù)外網(wǎng)區(qū)主要部署政府內(nèi)部業(yè)務(wù)類應(yīng)用和基礎(chǔ)服務(wù)類應(yīng)用,其互聯(lián)網(wǎng)安全接入?yún)^(qū)主要供各行政機(jī)構(gòu)、地方單位、出差人員遠(yuǎn)程VPN接入。
  針對(duì)不同區(qū)域的安全等級(jí)和防御特點(diǎn),華為結(jié)合ISO27001、等級(jí)保護(hù)二級(jí)和三級(jí)等法律法規(guī)的要求,從網(wǎng)絡(luò)安全、數(shù)據(jù)傳輸安全、應(yīng)用系統(tǒng)安全、虛擬化安全、大數(shù)據(jù)安全、管理安全幾個(gè)維度提出了政務(wù)云安全加固的建設(shè)思路。
  >>>>網(wǎng)絡(luò)安全
  網(wǎng)絡(luò)安全主要解決的是區(qū)域隔離和邊界安全防護(hù),在城域網(wǎng)互聯(lián)出口部署DDoS、NGFW、SSLVPN、IPS,解決網(wǎng)絡(luò)區(qū)域隔離、大流量攻擊、L2-L7層攻擊、網(wǎng)絡(luò)入侵、病毒傳播、遠(yuǎn)程用戶接入合法性等安全問(wèn)題,與沙箱配合使用,解決APT攻擊,保證網(wǎng)絡(luò)的安全性和有效性;在數(shù)據(jù)中心出口部署高性能綜合安全網(wǎng)關(guān),并啟用網(wǎng)關(guān)中的多虛擬系統(tǒng),對(duì)政務(wù)網(wǎng)用戶訪問(wèn)服務(wù)器的南北訪問(wèn)流量,以及服務(wù)器區(qū)橫向跨區(qū)訪問(wèn)的東西向流量,提供設(shè)備虛擬化安全能力,滿足委辦局租戶業(yè)務(wù)隔離,獨(dú)立安全配置和管理需求。
  >>>>數(shù)據(jù)傳輸安全
  電子政務(wù)的各個(gè)政府部門之間都是縱向管理的網(wǎng)絡(luò),通過(guò)在政府部門網(wǎng)絡(luò)出口部署NGFW安全網(wǎng)關(guān),可以在各部門縱向網(wǎng)絡(luò)間建立安全I(xiàn)PSecVPN加密通道,保證數(shù)據(jù)傳輸?shù)陌踩浴?/div>
  >>>>應(yīng)用系統(tǒng)安全
  電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)中心內(nèi)部署了大量服務(wù)器和存儲(chǔ)系統(tǒng),承載電子政務(wù)網(wǎng)的關(guān)鍵業(yè)務(wù)和重要數(shù)據(jù),該網(wǎng)絡(luò)是安全防范的重點(diǎn),數(shù)據(jù)中心網(wǎng)絡(luò)的出口部署高性能數(shù)據(jù)中心網(wǎng)關(guān),開(kāi)啟入侵防御功能,可以有效阻止針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的攻擊行為,復(fù)用互聯(lián)網(wǎng)出口的Anti-DDoS拒絕服務(wù)攻擊防護(hù)系統(tǒng),對(duì)服務(wù)器的應(yīng)用層攻擊進(jìn)行清洗,防止針對(duì)網(wǎng)站和郵件系統(tǒng)的惡意攻擊,保證系統(tǒng)的正常運(yùn)行;WEB服務(wù)器前端部署WEB防護(hù)網(wǎng)關(guān),保護(hù)WEB服務(wù)器免受SQL注入、跨站點(diǎn)攻擊等威脅,保障WEB業(yè)務(wù)的正常運(yùn)行。
  同時(shí),針對(duì)郵件、OA等文件系統(tǒng),部署APT未知威脅檢測(cè)系統(tǒng),通過(guò)還原交換機(jī)或者傳統(tǒng)安全設(shè)備鏡像的網(wǎng)絡(luò)流量,在虛擬的環(huán)境內(nèi)對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行檢測(cè),實(shí)現(xiàn)對(duì)未知惡意文件的檢測(cè)。
  >>>>虛擬化安全
  隨著電子政務(wù)云的發(fā)展,如何有效隔離,如何有效防護(hù)虛擬機(jī)安全,成為虛擬化安全的重點(diǎn),在數(shù)據(jù)中心出口通過(guò)綜合安全網(wǎng)關(guān)的多虛擬系統(tǒng),為不同的委辦局和不同的業(yè)務(wù)分配不同的虛擬系統(tǒng),在網(wǎng)絡(luò)層面進(jìn)行隔離;在云平臺(tái)安裝軟件虛擬防火墻vFW,解決VM之間的互訪安全,對(duì)網(wǎng)絡(luò)不可見(jiàn)的東西向流量進(jìn)行隔離和防護(hù),從網(wǎng)絡(luò)層和VM多層面解決虛擬化網(wǎng)絡(luò)安全問(wèn)題。
  >>>>大數(shù)據(jù)安全
  針對(duì)政務(wù)云可能遭遇的高級(jí)持續(xù)威脅(APT),華為提出了大數(shù)據(jù)安全分析解決方案。該方案通過(guò)采集全網(wǎng)的文件、日志和流量,真正做到基于行為異常的分析和檢測(cè),同時(shí)配合傳統(tǒng)安全產(chǎn)品,進(jìn)行全網(wǎng)的協(xié)防聯(lián)動(dòng)。通過(guò)多種安全產(chǎn)品的協(xié)同配合,過(guò)對(duì)APT攻擊進(jìn)行快速檢測(cè)、告警和報(bào)告呈現(xiàn),有效避免APT攻擊對(duì)政府核心信息資產(chǎn)造成風(fēng)險(xiǎn)。
  根據(jù)防御角度和力度的不同,大數(shù)據(jù)安全分析解決方案有輕量級(jí)和重量級(jí)兩種方案模型。
  1.輕量級(jí)解決方案
  只對(duì)APT攻擊中的關(guān)鍵惡意軟件、對(duì)外通道進(jìn)行深度檢測(cè)和攔截?蓪踩诚洳渴鹪诨ヂ(lián)網(wǎng)接入?yún)^(qū)和政務(wù)外網(wǎng)安全接入?yún)^(qū),檢測(cè)全網(wǎng)傳輸文件,發(fā)現(xiàn)和阻斷未知惡意文件,避免由此可能引發(fā)的APT攻擊。
  該解決方案以華為沙箱為基礎(chǔ),通過(guò)和華為NGFW進(jìn)行安全聯(lián)動(dòng)以及日志管理系統(tǒng)logcenter進(jìn)行APT攻擊展示構(gòu)成一個(gè)整體的解決方案。沙箱深度檢測(cè)惡意軟件和C&C通道,秒級(jí)同步這些信息給NGFW,防火墻自動(dòng)響應(yīng),生成相關(guān)的攔截策略,實(shí)現(xiàn)快速攔截。而logcenter采集兩個(gè)設(shè)備的相關(guān)日志信息,通過(guò)關(guān)聯(lián)分析,準(zhǔn)確的展示APT攻擊中惡意軟件的感染范圍,惡意文件下載的情況,以及整網(wǎng)的安全態(tài)勢(shì)情況。
  華為輕量級(jí)大數(shù)據(jù)安全解決方案架構(gòu)
  2.重量級(jí)解決方案
  重量級(jí)解決方案以CIS大數(shù)據(jù)安全分析平臺(tái)為基礎(chǔ),通過(guò)對(duì)現(xiàn)網(wǎng)關(guān)鍵路徑流量、關(guān)鍵系統(tǒng)日志等的采集,快速檢測(cè)各種異常行為,包括web異常、Mail異常、DNS異常等。
  重量級(jí)方案的組件較多,可將CIS大數(shù)據(jù)分析平臺(tái)部署在管理區(qū),通過(guò)探針采集和分析全網(wǎng)的文件、日志、流量,實(shí)現(xiàn)APT攻擊進(jìn)行快速檢測(cè)、告警和報(bào)告呈現(xiàn)。由于重量級(jí)方案的部署成本較高,推薦部署在省級(jí)及以上政務(wù)平臺(tái)。
  華為重量級(jí)大數(shù)據(jù)安全解決方案架構(gòu)
  >>>>管理安全
  在管理中心部署統(tǒng)一網(wǎng)管系統(tǒng),集中管理網(wǎng)絡(luò)中的安全設(shè)備,監(jiān)控安全設(shè)備的狀態(tài),集中處理安全日志,統(tǒng)一制定安全策略,能夠全盤呈現(xiàn)網(wǎng)絡(luò)中的安全狀態(tài)、業(yè)務(wù)環(huán)境,實(shí)施主動(dòng)監(jiān)控,通過(guò)安全事件關(guān)聯(lián)分析,及時(shí)發(fā)現(xiàn)存在的安全隱患;在出口防火墻設(shè)置管理員訪問(wèn)權(quán)限,要求密碼復(fù)雜度,可部署堡壘主機(jī)分配管理資源,限制管理權(quán)限,審計(jì)管理行為,達(dá)到統(tǒng)一管理,安全管理的目的。
  華為政務(wù)云安全方案
  為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”提供堅(jiān)強(qiáng)的后盾
  華為電子政務(wù)網(wǎng)安全解決方案,為政務(wù)信息化提供了多層次安全,實(shí)現(xiàn)全面防護(hù);同時(shí)安全設(shè)備簡(jiǎn)單易管理,且性能優(yōu)異,為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”提供堅(jiān)強(qiáng)的后盾。
  1.多層次安全,全面防護(hù)
  根據(jù)電子政務(wù)網(wǎng)組網(wǎng)特點(diǎn),在不同的網(wǎng)絡(luò)層面部署專業(yè)的安全設(shè)備,為電子政務(wù)網(wǎng)Internet網(wǎng)絡(luò)邊界提供了L2-L7的實(shí)時(shí)安全防護(hù),專業(yè)的DDoS防護(hù)保障網(wǎng)絡(luò)帶寬和服務(wù)器安全,APT沙箱檢測(cè)系統(tǒng),對(duì)可疑流量和內(nèi)容進(jìn)行模擬執(zhí)行測(cè)試,提供未知威脅防御功能,多級(jí)安全設(shè)備多維度全局環(huán)境感知提供更全面的安全防護(hù),NGFW高效的應(yīng)用感知,識(shí)別應(yīng)用更清晰管控更精細(xì),利用設(shè)備及軟件的虛擬化技術(shù)實(shí)現(xiàn)多層次的虛擬化安全,使集中管理中心和分散部署的一體化安全網(wǎng)關(guān)成為一個(gè)有機(jī)結(jié)合的整體,既防范外網(wǎng)到公眾服務(wù)器的訪問(wèn)安全,又對(duì)電子政務(wù)內(nèi)部用戶及數(shù)據(jù)中心進(jìn)行保護(hù),共同為電子政務(wù)的網(wǎng)絡(luò)安全保駕護(hù)航。
  2.統(tǒng)一管理,簡(jiǎn)單易用,降低管理維護(hù)成本
  統(tǒng)一管理
  通過(guò)統(tǒng)一管理軟件實(shí)現(xiàn)全網(wǎng)安全和網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理,集中管理與控制技術(shù)實(shí)現(xiàn)了對(duì)多臺(tái)設(shè)備的同時(shí)安全策略下發(fā)和日志的統(tǒng)一收集、分析,更加簡(jiǎn)化了安全策略實(shí)施和風(fēng)險(xiǎn)管理的過(guò)程。
  策略實(shí)施簡(jiǎn)單
  綜合安全網(wǎng)關(guān)的利用,使各安全模塊之間的耦合度和協(xié)調(diào)性都達(dá)到最佳,流量自學(xué)習(xí)和策略模板化,讓安全策略實(shí)施過(guò)程變得簡(jiǎn)單,設(shè)備部署后,可持續(xù)學(xué)習(xí)現(xiàn)網(wǎng)流量模型,根據(jù)現(xiàn)網(wǎng)流量情況,與當(dāng)前配置的安全策略進(jìn)行對(duì)比,給出策略調(diào)優(yōu)建議,將安全風(fēng)險(xiǎn)減到最低,同時(shí)減輕了管理人員的部署維護(hù)壓力。
  3.性能優(yōu)異,穩(wěn)定可靠,確保業(yè)務(wù)正常運(yùn)行
  選用高性能設(shè)備,實(shí)現(xiàn)海量業(yè)務(wù)處理,高密度接口,滿足不同場(chǎng)景需求,直路部署設(shè)備均采用雙機(jī)組網(wǎng),提高網(wǎng)絡(luò)可靠性,確保電子政務(wù)業(yè)務(wù)連續(xù)性。
  目前,華為政務(wù)云安全方案已經(jīng)服務(wù)于多個(gè)政務(wù)網(wǎng)絡(luò),例如北京政務(wù)云、江西政務(wù)云、上海電子政務(wù)外網(wǎng)、廣州電子政務(wù)云、“晉城在線”等。在北京政務(wù)云中,華為配置全球領(lǐng)先的CE12800數(shù)據(jù)中心交換機(jī)及USG9500高端防火墻,憑借160Tbps轉(zhuǎn)發(fā)性能和1.44Tbps吞吐量以及云化特性為客戶構(gòu)建了彈性易擴(kuò)展的政務(wù)云網(wǎng)絡(luò)。在上海電子政務(wù)外網(wǎng),USG9500如同盡職的門衛(wèi),默默守護(hù)上海政務(wù)外網(wǎng)這張大網(wǎng),為上海市1200多家委辦局單位的互聯(lián)網(wǎng)訪問(wèn)保駕護(hù)航。在廣州電子政務(wù)云,華為為各委辦局打造了安全的數(shù)據(jù)中心網(wǎng)絡(luò),在保證政務(wù)云網(wǎng)絡(luò)便利的同時(shí)也保證了高可靠的安全性,使各委辦局可以放心的把自己的業(yè)務(wù)牽引到云數(shù)據(jù)中心中來(lái)……華為將持續(xù)政務(wù)云安全方案創(chuàng)新中,“落實(shí)國(guó)家信息安全保護(hù)制度要求,加強(qiáng)數(shù)據(jù)安全管理”,支撐建設(shè)“一號(hào)一窗一網(wǎng)”信息化,做“互聯(lián)網(wǎng)+政務(wù)服務(wù)”堅(jiān)強(qiáng)的后盾。

專題