重點 理解 H3C政務(wù)安全解決方案

1、H3C政務(wù)安全解決方案1 前言1.1電子政務(wù)安全建設(shè)背景電子政務(wù)使政府社會服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。要趨利避害，電子政務(wù)安全防護體系的構(gòu)建至關(guān)重要。電子政務(wù)作為政府業(yè)務(wù)樞紐，只有構(gòu)建在安全可靠的網(wǎng)絡(luò)平臺上，才能防止重要信息被攻擊、竊取或泄露，安全地連接因特網(wǎng)或其他組織，才能確保政府順利開展日常工作。1.2 電子政務(wù)網(wǎng)絡(luò)安全架構(gòu)電子政務(wù)網(wǎng)絡(luò)涵蓋了政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)三種類型網(wǎng)絡(luò)。政務(wù)內(nèi)網(wǎng)為政府部門內(nèi)部的關(guān)鍵業(yè)務(wù)管理系統(tǒng)和核心數(shù)據(jù)應(yīng)用系統(tǒng)；政務(wù)外網(wǎng)為政府部門內(nèi)部以及部門之間的各類非公開應(yīng)用系統(tǒng)，所涉及的信息應(yīng)在政務(wù)外網(wǎng)上傳輸，與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)

2、絡(luò)，面向社會提供的一般應(yīng)用服務(wù)及信息發(fā)布，包括各類公開信息和非敏感的社會服務(wù)。面對如此復雜的應(yīng)用環(huán)境，整個系統(tǒng)中任何一個不安全因素都會造成在平臺上傳送和存儲的政務(wù)信息面臨風險，產(chǎn)生不良后果。電子政務(wù)網(wǎng)絡(luò)是整個電子政務(wù)系統(tǒng)的基礎(chǔ)設(shè)施，政務(wù)網(wǎng)絡(luò)安全是電子政務(wù)安全的重要組成部分。H3C多年來建設(shè)了大量國家級、省部級和各級政府的電子政務(wù)網(wǎng)絡(luò)，具有豐富的電子政務(wù)網(wǎng)絡(luò)和安全建設(shè)經(jīng)驗，對于電子政務(wù)安全建設(shè)，H3C提供了整體安全解決方案，包括五大解決方案：邊界防護方案、遠程安全接入方案、行為監(jiān)管方案、數(shù)據(jù)中心保護方案、內(nèi)網(wǎng)安全方案。2 政務(wù)安全解決方案2.1 遠程安全接入解決方案電子政務(wù)網(wǎng)絡(luò)的一個基本功能是為

3、政府各局委辦部門提供接入服務(wù)，大部分政府部門通過專線接入政務(wù)網(wǎng)核心，但一些部門往往分散分布在城市各個區(qū)域，所處的地點難以提供專線線路，有的派出機構(gòu)人數(shù)較少，使用專線成本較高，還有數(shù)量眾多的基層單位，難以一一通過專線線路接入。此外，政府工作人員在出差、在家辦公也需要訪問政務(wù)網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)，這些都要求提供一種低成本的安全接入方式。H3C的遠程接入解決方案是一種高性價比的安全的接入方案，在INTERNET上提供虛擬專線的服務(wù)，為分散單位和個人接入政務(wù)網(wǎng)絡(luò)提供可能。遠程安全接入解決方案包括IPSec VPN和SSL VPN方案，IPSec VPN提供虛擬專線服務(wù)，主要用于連接分散部門的網(wǎng)絡(luò)和政務(wù)核心

4、網(wǎng)絡(luò)。SSL VPN主要用于個人接入，可以用瀏覽器的方式直接訪問政務(wù)網(wǎng)業(yè)務(wù)系統(tǒng)，不需要安裝客戶端，使用比較方便。H3C的遠程接入方案由安全接入網(wǎng)關(guān)和安全管理平臺組成。安全接入網(wǎng)關(guān)是SecPath防火墻/UTM或者專業(yè)VPN網(wǎng)關(guān)，能夠統(tǒng)一提供IPSEC VPN、SSL VPN、MPLS VPN等多種VPN技術(shù)和專業(yè)防火墻功能，實現(xiàn)分支機構(gòu)、合作伙伴、移動用戶的一體化遠程安全接入。對于大型政府網(wǎng)絡(luò)或者大量基層單位接入的政務(wù)網(wǎng)絡(luò)，安全接入網(wǎng)關(guān)的數(shù)量可能達到上百個甚至幾百個，對于如此眾多的安全接入網(wǎng)關(guān)，VPN的建立、刪除、修改的工作量非常巨大，日常維護管理非常困難。為此，H3C還提供了專業(yè)的安全管理平

5、臺，來實現(xiàn)眾多SecPath防火墻/UTM的統(tǒng)一部署、監(jiān)控、管理，無論對設(shè)備的管理還是對VPN的管理都可以便捷的實現(xiàn)。2.2邊界防護解決方案電子政務(wù)網(wǎng)絡(luò)的邊界防護是基本的安全建設(shè)內(nèi)容，互聯(lián)網(wǎng)出口安全防護就是典型的邊界防護，除此之外，上下級政務(wù)網(wǎng)絡(luò)邊界，政務(wù)園區(qū)內(nèi)部不同區(qū)域之間的邊界也屬于邊界防護的范圍。以互聯(lián)網(wǎng)出口安全防護為例，除了傳統(tǒng)的安全防護所關(guān)注的網(wǎng)絡(luò)層的安全防護之外，還需要考慮應(yīng)用層安全防護、應(yīng)用管理、負載均衡等內(nèi)容。應(yīng)用層安全防護主要解決4-7層的安全防護，包括網(wǎng)絡(luò)型病毒、蠕蟲、頁面篡改及惡意入侵行為。網(wǎng)站群安全防護是政務(wù)網(wǎng)絡(luò)安全防護比較關(guān)注的內(nèi)容，在安全防護中也屬于應(yīng)用層安全防護，

6、通過部署入侵防御系統(tǒng)能有效保護Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等，全面防御跨站腳本、SQL注入、DNS漏洞、DDOS等針對網(wǎng)站的攻擊。H3C邊界防護解決方案由安全網(wǎng)關(guān)、入侵防御系統(tǒng)和安全管理平臺組成。安全網(wǎng)關(guān)SecPath防火墻/UTM融合2-4層的包過濾、狀態(tài)檢測等技術(shù)，配合SecPath IPS 4-7層的入侵防御系統(tǒng)，實現(xiàn)全面的2-7層安全防護，有效地抵御了非法訪問、病毒、蠕蟲、頁面篡改等攻擊；并通過安全管理平臺對安全網(wǎng)關(guān)、入侵防御系統(tǒng)以及網(wǎng)絡(luò)設(shè)備進行統(tǒng)一安全管理。2.3內(nèi)網(wǎng)控制解決方案近年來，隨著政府信息安全建設(shè)的不斷深入，網(wǎng)絡(luò)出口安全建設(shè)逐漸受到重視，有效防護了來自于外部的安全

7、威脅，但是與此同時，內(nèi)網(wǎng)安全事件越來越多，諸如：移動電腦和存儲設(shè)備隨意接入網(wǎng)絡(luò)、內(nèi)網(wǎng)設(shè)備非法外聯(lián)、客戶端感染病毒、蠕蟲導致大面積傳染等等。H3C提供的內(nèi)網(wǎng)控制解決方案EAD可以有效解決上述內(nèi)網(wǎng)安全問題，。H3C內(nèi)網(wǎng)控制解決方案由安全管理平臺、安全防護設(shè)備和終端軟件組成。通過終端軟件接入并由安全管理平臺進行身份認證和終端安全認證，確保每一個接入用戶的身份合法，終端的狀態(tài)安全，預防內(nèi)網(wǎng)病毒、蠕蟲的泛濫；安全監(jiān)控和防護設(shè)備實時監(jiān)控分析網(wǎng)絡(luò)流量，并對發(fā)現(xiàn)的內(nèi)網(wǎng)攻擊進行阻斷，同時上報安全管理平臺進行分析；安全管理平臺分析后與網(wǎng)絡(luò)和安全設(shè)備聯(lián)動，控制攻擊來源，避免威脅的再次發(fā)生，并且為用戶提供整網(wǎng)安全審計

8、報告，從而得出整改策略和下一步建設(shè)方案。通過點（端點準入）、線（在線控制）、面（統(tǒng)一管理）相結(jié)合的立體防護，為用戶提供最有效的內(nèi)網(wǎng)安全解決方案。2.4行為監(jiān)管解決方案隨著政務(wù)網(wǎng)絡(luò)建設(shè)規(guī)模越來越大，接入的單位越來越多，在政務(wù)網(wǎng)絡(luò)中應(yīng)用管理問題越來越突出，少數(shù)用戶利用政務(wù)網(wǎng)P2P下載、在線觀看外部視頻娛樂網(wǎng)站大量耗費了寶貴的出口帶寬，還有用戶利用政務(wù)網(wǎng)進行網(wǎng)絡(luò)游戲、炒股、訪問娛樂或非法網(wǎng)站，降低了工作效率，影響了政府的公眾形象。H3C的行為監(jiān)管解決方案可以有效解決網(wǎng)絡(luò)應(yīng)用控制、用戶行為審計和分析。H3C行為監(jiān)管解決方案由應(yīng)用控制網(wǎng)關(guān)，安全管理平臺，用戶管理平臺組成，是業(yè)界應(yīng)用識別最全面的解決方案。

9、應(yīng)用控制網(wǎng)關(guān)由H3C SecPath ACG盒式設(shè)備、SecBlade ACG插卡或SecPath UTM組成，可針對P2P/IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為，進行精細化識別和控制，有效解決帶寬濫用、訪問非法網(wǎng)站感染病毒等問題。安全管理平臺由SecCenter硬件或ACG Manager軟件組成，幫助管理員全面了解用戶行為和流量趨勢，為加強整網(wǎng)安全、滿足合規(guī)性要求提供決策依據(jù)，并且能夠與用戶管理平臺聯(lián)動，提供基于用戶的分析、控制和審計。用戶管理平臺由H3C iMC UAM用戶管理平臺與iNode客戶端及相應(yīng)的接入設(shè)備組成，對接入用戶進行身份認證，從而能夠準確識別接入網(wǎng)絡(luò)的用戶。2.5

10、數(shù)據(jù)中心保護解決方案隨著IT應(yīng)用程度的日益提高，數(shù)據(jù)中心對于政務(wù)客戶的價值與日俱增，相應(yīng)的，數(shù)據(jù)中心的安全建設(shè)也迫在眉睫。面對日益繁復的應(yīng)用和日漸頻繁的外界攻擊，一個好的數(shù)據(jù)中心除了應(yīng)對數(shù)據(jù)的存儲和傳遞之外，能否保證數(shù)據(jù)的安全性也是衡量其合格與否的重要標志。而面對不斷變化的外來攻擊，數(shù)據(jù)中心的建設(shè)對安全也有了更高的要求。H3C數(shù)據(jù)中心保護解決方案由安全防御系統(tǒng)、應(yīng)用優(yōu)化系統(tǒng)、安全管理平臺組成。安全防御系統(tǒng)融合DDoS防御、區(qū)域安全隔離、深度入侵防御等技術(shù)，實現(xiàn)對27層攻擊的防御，并在部署時充分考慮可靠性，保障業(yè)務(wù)持續(xù)不間斷地運行；應(yīng)用優(yōu)化系統(tǒng)包括負載均衡設(shè)備和網(wǎng)流分析設(shè)備。負載均衡設(shè)備能夠以5

11、10倍的效能提升服務(wù)器響應(yīng)速度和處理能力，為用戶提供更佳體驗；網(wǎng)流分析設(shè)備能夠幫助管理員了解網(wǎng)絡(luò)的流量狀況，為排除網(wǎng)絡(luò)故障和網(wǎng)絡(luò)優(yōu)化提供參考。同時，通過安全管理平臺實現(xiàn)對設(shè)備、服務(wù)器的統(tǒng)一配置、監(jiān)控和管理。3 H3C政務(wù)安全解決方案方案特點3.1 五大解決方案組件從用戶的基礎(chǔ)安全需求來看，H3C提出了政務(wù)安全解決方案的五大功能組件：“遠程安全接入”、“邊界防護”、“內(nèi)網(wǎng)控制”、“行為監(jiān)管”及“數(shù)據(jù)中心保護”。重點關(guān)注的是如何從安全功能角度來解決用戶的實際問題。比如，“內(nèi)網(wǎng)控制”組件關(guān)注的是如何識別從內(nèi)網(wǎng)發(fā)起的攻擊并加以控制，它由安全管理平臺、安全防護設(shè)備和終端軟件組成，任何一個防護設(shè)備或終端軟

12、件發(fā)現(xiàn)威脅即時告警后，安全管理平臺就能夠智能分析定位威脅源頭，并做出響應(yīng)的控制策略，避免威脅的再次發(fā)生?！斑h程安全接入”組件則可以實現(xiàn)：一臺設(shè)備滿足IPSec 、GRE 、SSL 、MPLS VPN多種技術(shù)的整合，內(nèi)網(wǎng)、無線、VPN統(tǒng)一準入認證，數(shù)千臺分支機構(gòu)設(shè)備管理簡化等等。3.2 三大應(yīng)用場景從用戶的網(wǎng)絡(luò)建設(shè)模式來看，H3C將前面的五大功能組件，按照網(wǎng)絡(luò)建設(shè)的三大場景進行了整合，形成了：廣域網(wǎng)安全解決方案、園區(qū)網(wǎng)安全解決方案、數(shù)據(jù)中心安全解決方案。這一階段，H3C重點關(guān)注的是如何將各個安全功能組件與網(wǎng)絡(luò)無縫對接融合，避免讓安全成為網(wǎng)絡(luò)的性能瓶頸、可靠性瓶頸、管理瓶頸。比如，廣域網(wǎng)安全解決方案關(guān)注的是在保證安全的前提下如何讓有限的帶寬資源得到合理的利用，它通過ACG、UTM等設(shè)備可以實現(xiàn)深度防護與識別、流量分析、帶寬優(yōu)化保障的三合一。園區(qū)網(wǎng)安全解決方案關(guān)注的是如何在安全性、易操作性、可靠性、成本等因素間取得平衡，它通過基于用戶的統(tǒng)一管理、嵌入式的安全模塊、以及安全威脅的智能聯(lián)動等關(guān)鍵技術(shù)，尋找到了一個和諧的平衡點。3.3 行業(yè)典型解決方案從用戶的行業(yè)應(yīng)用特性來看，H3C在“五大功能組件、三大方案場景”的基礎(chǔ)上，結(jié)合政府行業(yè)應(yīng)用特性又推出了多種定制化的典型安全解決方案，比如：網(wǎng)上報稅數(shù)據(jù)中心安全解決方案、網(wǎng)站保護解決方案、政務(wù)外