概述

隨著政務(wù)外網(wǎng)建設(shè)的逐漸完善，承載單位業(yè)務(wù)逐漸增多，作為國家、省、市、縣的政務(wù)基礎(chǔ)網(wǎng)絡(luò)，安全問題將是考慮的重點，如何圍繞國家等級保護政策進行各級政務(wù)外網(wǎng)的安全保障體系設(shè)計是各級主管機構(gòu)需要考慮的問題。

目前黑客針對電子政務(wù)網(wǎng)絡(luò)攻擊呈現(xiàn)攻擊主體組織化，目標(biāo)趨利化、政治化，手段智能化、網(wǎng)絡(luò)化的趨勢，以APT攻擊特征為主。APT攻擊是針對特定組織所作的復(fù)雜且多方位的網(wǎng)絡(luò)攻擊，攻擊后留給安全管理人員響應(yīng)的時間越來越短，使政府用戶來不及對入侵做出響應(yīng)，目的是獲取政府內(nèi)部敏感信息或者對政務(wù)網(wǎng)絡(luò)造成破壞。

為推動國家電子政務(wù)外網(wǎng)信息安全建設(shè)和安全管理工作，滿足國家電子政務(wù)外網(wǎng)管理中心《關(guān)于加快推進國家電子政務(wù)外網(wǎng)安全等級保護工作的通知》（政務(wù)外網(wǎng)〔2011〕15號）文中提出的相關(guān)要求，需要實現(xiàn)針對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)控體系的建設(shè)，及時發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊，防止有害信息傳播，對網(wǎng)絡(luò)和系統(tǒng)實施保護。基礎(chǔ)信息網(wǎng)絡(luò)的運營單位和各重要信息系統(tǒng)的主管部門或運營單位要根據(jù)實際情況建立和完善信息安全監(jiān)控平臺，提高對網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密的防范能力，防止有害信息傳播。保障電子政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全。

2. 防護方案

本方案描述了國家電子政務(wù)外網(wǎng)為達到國家等級保護等相關(guān)標(biāo)準(zhǔn)規(guī)定和政務(wù)外網(wǎng)的基本要求的方法和手段。

電子政務(wù)外網(wǎng)安全保障體系建設(shè)應(yīng)首先滿足適度安全原則以及標(biāo)準(zhǔn)化、可控性、完備性和最小影響的原則，為所承載的各級政務(wù)部門信息系統(tǒng)提供網(wǎng)絡(luò)傳輸通道的安全保障。在此基礎(chǔ)上，電子政務(wù)外網(wǎng)信息安全建設(shè)在設(shè)計過程中應(yīng)重點考慮以下幾點：

? 電子政務(wù)外網(wǎng)與所承載的信息系統(tǒng)區(qū)分防護

各接入電子政務(wù)外網(wǎng)的政務(wù)部門負(fù)責(zé)各自局域網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全，并按國家信息系統(tǒng)安全等級保護的法規(guī)和標(biāo)準(zhǔn)要求實施定級與保護，應(yīng)與電子政務(wù)外網(wǎng)的管理、安全防護與運維保障系統(tǒng)分別進行安全防護。

? 安全域劃分保護

電子政務(wù)外網(wǎng)等級保護根據(jù)所承載的業(yè)務(wù)應(yīng)用系統(tǒng)實際的需要，將政務(wù)外網(wǎng)劃分為公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)訪問區(qū)、托管服務(wù)區(qū)、安全接入?yún)^(qū)等不同的安全區(qū)域，實施不同的安全策略進行邊界防護。

? 基礎(chǔ)網(wǎng)絡(luò)邊界防護

邊界安全解決方案應(yīng)該能夠根據(jù)用戶訪問的IP地址、服務(wù)端口、MAC地址、物理網(wǎng)絡(luò)區(qū)域等網(wǎng)絡(luò)要素和用戶身份、應(yīng)用等要素設(shè)計具體的訪問控制策略，對不同安全等級網(wǎng)絡(luò)的互聯(lián)及各用戶局域網(wǎng)的接入，采用有效的邊界訪問控制策略，對非授權(quán)訪問、異常流量、病毒木馬、網(wǎng)絡(luò)攻擊等行為進行控制和監(jiān)測，保證網(wǎng)絡(luò)和政務(wù)業(yè)務(wù)的安全。

? 安全監(jiān)控預(yù)警平臺

電子政務(wù)外網(wǎng)安全監(jiān)控平臺建設(shè)是應(yīng)該作為核心內(nèi)容。在政務(wù)外網(wǎng)互聯(lián)網(wǎng)出入口、重要網(wǎng)絡(luò)節(jié)點嚴(yán)密監(jiān)控、及時預(yù)警大規(guī)模網(wǎng)絡(luò)攻擊和病毒傳播，監(jiān)控保障外網(wǎng)的網(wǎng)絡(luò)安全，協(xié)同各個安全設(shè)備，切實防范來自互聯(lián)網(wǎng)的大規(guī)模病毒攻擊和網(wǎng)絡(luò)攻擊，并具備安全事件的路徑分析和溯源能力，真正實現(xiàn)安全事件的預(yù)警、檢測、響應(yīng)、審計，同時作為可持續(xù)性運營的基礎(chǔ)平臺。

3. 方案價值

? 可知：建立了統(tǒng)一電子政務(wù)外網(wǎng)安全監(jiān)控預(yù)警平臺，對網(wǎng)絡(luò)運行指標(biāo)和信息安全事件集中展現(xiàn)、集中分析，掌握運行狀態(tài)和安全風(fēng)險。

? 可管理：建立健全組織、制度、標(biāo)準(zhǔn)體系，推動信息安全策略的制定、落實和執(zhí)行。

? 可控：集中管理安全設(shè)備，實現(xiàn)電子政務(wù)外網(wǎng)安全策略統(tǒng)一管理，對安全策略發(fā)布、變更和執(zhí)行進行流程化管理，確保安全設(shè)備防護有效。

? 可運維：安全工作的自動調(diào)度、自動執(zhí)行、自動核查、自動報告等機制，實現(xiàn)主動安全工作自動化。

? 可測量：對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)定期的專項合規(guī)符合性檢查，形成符合等級保護要求的安全基線達標(biāo)體系。

4. 方案優(yōu)勢

? 立體性：通過在電子政務(wù)外網(wǎng)的管理、技術(shù)和運維不同層次上實施不同的安全機制，形成多視角，立體化的信息安全體系，極大提高了檢測的準(zhǔn)確性，避免單一類型安全系統(tǒng)失效導(dǎo)致的檢測盲角。

? 先進性：充分利用先進的高考靠性的安全服務(wù)及安全產(chǎn)品，達到針對電子政務(wù)外網(wǎng)持續(xù)高效防御的目的。

? 綜合性：通過安全監(jiān)控預(yù)警平臺關(guān)聯(lián)使用，互相彌補各安全措施的功能劣勢，實現(xiàn)統(tǒng)一監(jiān)控、管理、維護，實現(xiàn)統(tǒng)一管理和安全指揮的目的。