政府信息安全現(xiàn)狀及相應(yīng)的等級(jí)保護(hù)解決方案！政務(wù)信息安全是十分重要的，大多和國(guó)計(jì)民生緊密關(guān)聯(lián)，一旦遭到攻擊，后果不堪設(shè)想。因此，要做好前期的數(shù)據(jù)安全預(yù)防。

政府行業(yè)信息安全現(xiàn)狀分析

1，目前來說，政府的網(wǎng)絡(luò)分類接入Internet網(wǎng)絡(luò)和政務(wù)專網(wǎng)兩個(gè)部分，這兩者之間是采用物理隔離的方式，其中Internet網(wǎng)絡(luò)部署多種應(yīng)用系統(tǒng)，比如網(wǎng)站系統(tǒng)、郵件系統(tǒng)和辦公系統(tǒng)等等。

2，2009年11月份，CNCERT/CC的統(tǒng)計(jì)報(bào)告顯示，大約平均每5個(gè)政府網(wǎng)站中，就有一個(gè)網(wǎng)站被黑，并且近年來，隨著技術(shù)的發(fā)展，政府網(wǎng)站被篡改的數(shù)目仍然是以每年2-3倍的速度遞增。通過這材料，也可以看出政府網(wǎng)站被黑、被攻擊、被篡改的數(shù)量是非常大的，并且增長(zhǎng)速度非?？?，因此政府行業(yè)信息安全解決方案也急需完善。

3，政府部門的郵件系統(tǒng)采用的多數(shù)郵件服務(wù)器都存在不能有效對(duì)非法言論、有害信息等進(jìn)行高效過濾，不能有效防止病毒蔓延和因病毒導(dǎo)致的數(shù)據(jù)泄露等問題。

4，政府的辦公網(wǎng)有大量用戶需要訪問Internet ，這就導(dǎo)致關(guān)鍵應(yīng)用如郵件系統(tǒng)、ERP系統(tǒng)、視頻會(huì)議等系統(tǒng)的帶寬無法得到保障，而有限的 Internet 帶寬中又充斥著 P2P 下載、游戲、在線視頻等非關(guān)鍵應(yīng)用。內(nèi)部員工的 Internet 訪問不受限制，經(jīng)常由于訪問非法網(wǎng)站，導(dǎo)致感染病毒，影響整個(gè)內(nèi)部局域網(wǎng)。

5，因?yàn)檎?wù)專網(wǎng)由于屬于可信任網(wǎng)，所以一直以來對(duì)安全防護(hù)的重視程度較低，主要出現(xiàn)的問題為蠕蟲爆發(fā)、arp病毒等，造成斷網(wǎng)現(xiàn)象、影響整個(gè)政務(wù)專網(wǎng)運(yùn)行。 因此，這些現(xiàn)狀也要求每個(gè)政府部門都要慎重制定屬于自己的政府行業(yè)信息安全解決方案。

政府行業(yè)信息安全等級(jí)保護(hù)解決方案設(shè)計(jì)的要點(diǎn)

了解了政府行業(yè)信息安全面臨的現(xiàn)狀，現(xiàn)在上訊信息就根據(jù)多年來的實(shí)施經(jīng)驗(yàn)為大家分析在設(shè)計(jì)政府行業(yè)信息安全解決方案時(shí)需要注意的幾個(gè)重點(diǎn)。

1， 應(yīng)用層安全防護(hù)：CNCERT/CC的2009年11月份的統(tǒng)計(jì)報(bào)告給我們的警示就是， 對(duì)于網(wǎng)站系統(tǒng)， web應(yīng)用防火墻采用多重安全防護(hù)提供最高級(jí)別的保護(hù)。這些防護(hù)包括動(dòng)態(tài)配置文件、HTTP 協(xié)議驗(yàn)證、平臺(tái)攻擊安全和關(guān)聯(lián)攻擊確認(rèn)。

對(duì)于數(shù)據(jù)庫(kù)系統(tǒng), 數(shù)據(jù)庫(kù)應(yīng)用監(jiān)控防護(hù)系統(tǒng)可為 Oracle、MS-SQL 、DB2(包括主機(jī))和 Sybase 數(shù)據(jù)庫(kù)提供自動(dòng)化評(píng)估、審計(jì)和保護(hù)功能。動(dòng)態(tài)建模技術(shù)可自動(dòng)創(chuàng)建數(shù)據(jù)庫(kù)使用業(yè)務(wù)模型和細(xì)化到訪問數(shù)據(jù)庫(kù)的每個(gè)用戶和應(yīng)用程序的查詢級(jí)別的安全策略。

詳細(xì)的數(shù)據(jù)庫(kù)活動(dòng)審計(jì)和報(bào)告功能使得滿足審計(jì)規(guī)定要求更方便，且不會(huì)對(duì)數(shù)據(jù)庫(kù)性能產(chǎn)生任何影響。獨(dú)特的業(yè)務(wù)活動(dòng)分析和相關(guān)性技術(shù)可將真正的攻擊與無害的用戶行為變化分離開來，從而提供實(shí)時(shí)保護(hù)。

2，郵件審計(jì)和安全防護(hù)：面對(duì)政府的郵件系統(tǒng)所存在的問題，上訊信息建議大家在設(shè)計(jì)時(shí)應(yīng)采用兩重防護(hù)的措施。在外層，采用獨(dú)特的信譽(yù)過濾，在內(nèi)層，對(duì)深層內(nèi)容進(jìn)行過濾。

3，移動(dòng)辦公接入：若是想要加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，大家可采用SSLVPN的接入方式，這樣利用對(duì)客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動(dòng)辦公用戶接入數(shù)據(jù)中心簡(jiǎn)單方便的需求。

4， 帶寬管理 ：政府的互聯(lián)網(wǎng)帶寬通常在200M左右，而政府有大量的的內(nèi)部用戶訪問互聯(lián)網(wǎng)，其關(guān)鍵應(yīng)用的保障以及非關(guān)鍵應(yīng)用的限制以監(jiān)控需要使用帶寬管理產(chǎn)品對(duì)Internet 出口帶寬進(jìn)行控制，通過深入識(shí)別流量與應(yīng)用，結(jié)合豐富的流量管理策略對(duì)某種應(yīng)用進(jìn)行帶寬的保證、帶寬限制、按照優(yōu)先級(jí)處理等。

5，服務(wù)器負(fù)載均衡 ：我們知道，不同的政府職能部門會(huì)部署不同的應(yīng)用系統(tǒng)，比如公安部門的綜合查詢系統(tǒng)、稅務(wù)的金稅工程等等。想要保證這些系統(tǒng)穩(wěn)定可靠的運(yùn)行，可以采用服務(wù)器負(fù)載均衡的方式來提高應(yīng)用的可用性。

使用了負(fù)載均衡產(chǎn)品，可以把大量用戶的請(qǐng)求平均分發(fā)到多臺(tái)服務(wù)器上面，并實(shí)時(shí)監(jiān)控服務(wù)器運(yùn)行狀態(tài)，快速發(fā)現(xiàn)服務(wù)器的故障，把用戶請(qǐng)求轉(zhuǎn)發(fā)到其他正常的服務(wù)器上面。

6，鏈路負(fù)載均衡 ：作為電子政務(wù)網(wǎng)平臺(tái)的一部分，多條 Internet 接入是必須的，因?yàn)檫@樣能夠防止單點(diǎn)故障，減少停機(jī)時(shí)間。但是在設(shè)計(jì)政府行業(yè)信息安全解決方案的時(shí)候，還要事先解決如何把外網(wǎng)用戶的請(qǐng)求負(fù)載均衡到兩條鏈路上面，同時(shí)把內(nèi)網(wǎng)用戶訪問外網(wǎng)的請(qǐng)求負(fù)載均衡到兩條鏈路上面，并且在某一條鏈路出現(xiàn)故障時(shí)，能夠及時(shí)把上述兩種請(qǐng)求切換到正常的鏈路的問題。

7，安全防護(hù) ：采用防護(hù)墻對(duì)內(nèi)外網(wǎng)、DMZ等安全區(qū)域進(jìn)行隔離，并且進(jìn)行入侵防護(hù)的話，可以提高整個(gè)網(wǎng)絡(luò)的安全性、保護(hù)內(nèi)網(wǎng)服務(wù)器資源，同時(shí)進(jìn)行入侵檢測(cè)。

8，Internet 安全訪問網(wǎng)關(guān)：采用 Internet 安全訪問網(wǎng)關(guān)設(shè)備，對(duì)員工上網(wǎng)行為進(jìn)行管理，提高工作效率。

9，統(tǒng)一訪問控制 ：采用終端準(zhǔn)入產(chǎn)品進(jìn)行統(tǒng)一訪問控制，可以在客戶端接入網(wǎng)絡(luò)之前就對(duì)其的安全狀態(tài)進(jìn)行評(píng)估，對(duì)于不符合要求的用戶會(huì)自動(dòng)進(jìn)行隔離或者修復(fù)。而且，上訊信息的終端準(zhǔn)入產(chǎn)品提供對(duì)終端自身的狀態(tài)和行為進(jìn)行合規(guī)性檢查，覆蓋多達(dá)20多項(xiàng)的檢測(cè)標(biāo)準(zhǔn)，能夠應(yīng)對(duì)各類審計(jì)標(biāo)準(zhǔn)以及終端安全要求，同時(shí)提供智能修復(fù)機(jī)制，強(qiáng)制調(diào)整終端自身安全標(biāo)準(zhǔn)，保證企業(yè)入網(wǎng)終端的安全，并根據(jù)國(guó)內(nèi)外信息安全多種規(guī)章制度，內(nèi)置了適應(yīng)各種行業(yè)的合規(guī)模板，方便管理者快速制定本地化的檢查策略

10，網(wǎng)絡(luò)攻擊及入侵：當(dāng)政府部門的業(yè)務(wù)系統(tǒng)遭到互聯(lián)網(wǎng)的非法攻擊和入侵的時(shí)候，基本上都會(huì)導(dǎo)致訪問效率下降，網(wǎng)絡(luò)擁堵等狀況。所以，這時(shí)部門應(yīng)該采用主動(dòng)式入侵防御系統(tǒng)利用高可識(shí)別攻擊，精確判斷入侵及攻擊行為并做出相應(yīng)的反應(yīng)來保障業(yè)務(wù)系統(tǒng)的正常使用。