1. 背景及挑戰(zhàn)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，各省(市)電子政務(wù)統(tǒng)一應(yīng)用大平臺(tái)的建設(shè)步伐加快，逐步實(shí)現(xiàn)了黨政機(jī)關(guān)網(wǎng)上協(xié)同辦公和公文傳輸。電子政務(wù)資源信息中心將集中多個(gè)委辦局重要信息的資產(chǎn)，實(shí)現(xiàn)政府部門的橫向互聯(lián)，多個(gè)區(qū)縣的縱向接入，電子政務(wù)網(wǎng)實(shí)現(xiàn)了橫向網(wǎng)絡(luò)互訪、互聯(lián)網(wǎng)接入、公共資源共享的需求;同時(shí)也面臨著互聯(lián)網(wǎng)接入安全，關(guān)鍵信息資源的安全性，云數(shù)據(jù)中心隔離等安全問題。按照國家安全等級(jí)保護(hù)三(二)級(jí)所規(guī)定的安全強(qiáng)度進(jìn)行建設(shè)，是電子政務(wù)外網(wǎng)安全建設(shè)的根本。

2.安全解決方案介紹

華為電子政務(wù)網(wǎng)組網(wǎng)圖如下圖所示：

以市電子政務(wù)網(wǎng)建設(shè)為例，網(wǎng)絡(luò)可劃分成政務(wù)廣域網(wǎng)、政務(wù)城域網(wǎng)及數(shù)據(jù)中心三部分，政務(wù)廣域網(wǎng)負(fù)責(zé)各級(jí)電子政務(wù)網(wǎng)的互聯(lián)，政務(wù)城域網(wǎng)負(fù)責(zé)各個(gè)委辦局及互聯(lián)網(wǎng)接入，數(shù)據(jù)中心部署各服務(wù)器和存儲(chǔ)系統(tǒng)，承載所有的辦公業(yè)務(wù)。

政務(wù)網(wǎng)的安全建設(shè)以滿足ISO27001、等級(jí)保護(hù)二級(jí)和三級(jí)等法律法規(guī)要求為前提條件，華為從網(wǎng)絡(luò)建設(shè)層面提出了網(wǎng)絡(luò)安全、數(shù)據(jù)傳輸安全、應(yīng)用系統(tǒng)安全、虛擬化安全、管理安全多維度的建設(shè)思路。

●網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要解決的是區(qū)域隔離和邊界安全防護(hù)，在城域網(wǎng)互聯(lián)出口部署DDoS、NGFW、SSL VPN、IPS，解決網(wǎng)絡(luò)區(qū)域隔離、大流量攻擊、L2-L7層攻擊、網(wǎng)絡(luò)入侵、病毒傳播、遠(yuǎn)程用戶接入合法性等安全問題，與沙箱配合使用，解決APT攻擊，保證網(wǎng)絡(luò)的安全性和有效性;在數(shù)據(jù)中心出口部署高性能綜合安全網(wǎng)關(guān)，并啟用網(wǎng)關(guān)中的多虛擬系統(tǒng)，對(duì)政務(wù)網(wǎng)用戶訪問服務(wù)器的南北訪問流量，以及服務(wù)器區(qū)橫向跨區(qū)訪問的東西向流量，提供設(shè)備虛擬化安全能力，滿足委辦局租戶業(yè)務(wù)隔離，獨(dú)立安全配置和管理需求。

●數(shù)據(jù)傳輸安全

電子政務(wù)的各個(gè)政府部門之間都是縱向管理的網(wǎng)絡(luò)，通過在政府部門網(wǎng)絡(luò)出口部署NGFW安全網(wǎng)關(guān)，可以在各部門縱向網(wǎng)絡(luò)間建立安全I(xiàn)PSec VPN加密通道，保證數(shù)據(jù)傳輸?shù)陌踩?通過部署SSL VPN網(wǎng)關(guān)，使得遠(yuǎn)程移動(dòng)辦公的用戶也可以通過加密通道安全訪問公司內(nèi)部資源，保證了遠(yuǎn)程接入的安全性。

●應(yīng)用系統(tǒng)安全：

電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)中心內(nèi)部署了大量服務(wù)器和存儲(chǔ)系統(tǒng)，承載電子政務(wù)網(wǎng)的關(guān)鍵業(yè)務(wù)和重要數(shù)據(jù)，該網(wǎng)絡(luò)是安全防范的重點(diǎn)，數(shù)據(jù)中心網(wǎng)絡(luò)的出口部署高性能數(shù)據(jù)中心網(wǎng)關(guān)，開啟入侵防御功能，可以有效阻止針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的攻擊行為，復(fù)用互聯(lián)網(wǎng)出口的Anti-DDoS拒絕服務(wù)攻擊防護(hù)系統(tǒng)，對(duì)服務(wù)器的應(yīng)用層攻擊進(jìn)行清洗，防止針對(duì)網(wǎng)站和郵件系統(tǒng)的惡意攻擊，保證系統(tǒng)的正常運(yùn)行;WEB服務(wù)器前端部署WEB防護(hù)網(wǎng)關(guān)，保護(hù)WEB服務(wù)器免受SQL注入、跨站點(diǎn)攻擊等威脅，保障WEB業(yè)務(wù)的正常運(yùn)行。

●虛擬化安全：

隨著電子政務(wù)云的發(fā)展，如何有效隔離，如何有效防護(hù)虛擬機(jī)安全，成為虛擬化安全的重點(diǎn)，在數(shù)據(jù)中心出口通過綜合安全網(wǎng)關(guān)的多虛擬系統(tǒng)，為不同的委辦局和不同的業(yè)務(wù)分配不同的虛擬系統(tǒng)，在網(wǎng)絡(luò)層面進(jìn)行隔離;在云平臺(tái)安裝軟件虛擬防火墻vFW，解決VM之間的互訪安全，對(duì)網(wǎng)絡(luò)不可見的東西向流量進(jìn)行隔離和防護(hù)，從網(wǎng)絡(luò)層和VM多層面解決虛擬化網(wǎng)絡(luò)安全問題。

●管理安全：

在管理中心部署統(tǒng)一網(wǎng)管系統(tǒng)，集中管理網(wǎng)絡(luò)中的安全設(shè)備，監(jiān)控安全設(shè)備的狀態(tài)，集中處理安全日志，統(tǒng)一制定安全策略，能夠全盤呈現(xiàn)網(wǎng)絡(luò)中的安全狀態(tài)、業(yè)務(wù)環(huán)境，實(shí)施主動(dòng)監(jiān)控，通過安全事件關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)存在的安全隱患;在出口防火墻設(shè)置管理員訪問權(quán)限，要求密碼復(fù)雜度，可部署堡壘主機(jī)分配管理資源，限制管理權(quán)限，審計(jì)管理行為，達(dá)到統(tǒng)一管理，安全管理的目的。

3.方案優(yōu)勢(shì)

1)多層次安全，全面防護(hù)

根據(jù)電子政務(wù)網(wǎng)組網(wǎng)特點(diǎn)，在不同的網(wǎng)絡(luò)層面部署專業(yè)的安全設(shè)備，為電子政務(wù)網(wǎng)Internet網(wǎng)絡(luò)邊界提供了L2-L7的實(shí)時(shí)安全防護(hù)，專業(yè)的DDoS防護(hù)保障網(wǎng)絡(luò)帶寬和服務(wù)器安全，多級(jí)安全設(shè)備、多維度全局環(huán)境感知提供更全面的安全防護(hù)，NGFW高效的應(yīng)用感知，識(shí)別應(yīng)用更清晰，管控更精細(xì)，利用設(shè)備及軟件的虛擬化技術(shù)實(shí)現(xiàn)多層次的虛擬化安全，使集中管理中心和分散部署的一體化安全網(wǎng)關(guān)成為一個(gè)有機(jī)結(jié)合的整體，既防范外網(wǎng)到公眾服務(wù)器的訪問安全，又對(duì)電子政務(wù)內(nèi)部用戶及數(shù)據(jù)中心進(jìn)行保護(hù)，共同為電子政務(wù)的網(wǎng)絡(luò)安全保駕護(hù)航。

2)統(tǒng)一管理，簡單易用，降低管理維護(hù)成本

統(tǒng)一管理：通過統(tǒng)一管理軟件實(shí)現(xiàn)全網(wǎng)安全和網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，集中管理與控制技術(shù)實(shí)現(xiàn)了對(duì)多臺(tái)設(shè)備的同時(shí)安全策略下發(fā)和日志的統(tǒng)一收集、分析，更加簡化了安全策略實(shí)施和風(fēng)險(xiǎn)管理的過程。

策略實(shí)施簡單：綜合安全網(wǎng)關(guān)的利用，使各安全模塊之間的耦合度和協(xié)調(diào)性都達(dá)到最佳，流量自學(xué)習(xí)和策略模板化，讓安全策略實(shí)施過程變得簡單。設(shè)備部署后，可持續(xù)學(xué)習(xí)現(xiàn)網(wǎng)流量模型，根據(jù)現(xiàn)網(wǎng)流量情況，與當(dāng)前配置的安全策略進(jìn)行對(duì)比，給出策略調(diào)優(yōu)建議，將安全風(fēng)險(xiǎn)減到最低，同時(shí)減輕了管理人員的部署維護(hù)壓力。

3)性能優(yōu)異，穩(wěn)定可靠，確保業(yè)務(wù)正常運(yùn)行

選用高性能設(shè)備，實(shí)現(xiàn)海量業(yè)務(wù)處理;高密度接口，滿足不同場(chǎng)景需求;直路部署設(shè)備均采用雙機(jī)組網(wǎng)，提高網(wǎng)絡(luò)可靠性，確保電子政務(wù)業(yè)務(wù)連續(xù)性。

華為電子政務(wù)網(wǎng)安全解決方案，為客戶提供靈活、可靠、高效的網(wǎng)絡(luò)。