1、Safe---符合等级保护要求的电子政务办公网方案
1.1 电子政务网络结构
按照《国家电子政务标准化指南》相关要求,三级以上网络属于涉密网络,网络需要分为政务涉密网、政务内网、政务外网,各网络之间通过安全设备进行隔离。在本建议书中,根据相关标准要求,只对政务内网和政务外网进行规划、设计,其中:
1、政务内网主要面向政府部门实现政府部门内部的业务处理。如政府部门间的公文流转、公文交换、公文处理、办公管理、项目管理、项目审批、群众来信的处理与回复等。这类应用处理的信息大部分不宜对外公开,属于敏感信息,安全的重点主要包括对政务人员的身份认证、政务资源的授权访问和信息安全传输等方面。
2、政务外网主要面向社会向公众提供政策咨询、信息查询、政务数据上报等公众服务。公众服务的对象比较广泛,可以是企业管理人员、普通群众。这类应用处理的前台信息一般不涉及工作秘密,可以对外开放,但它涉及政府在公众的服务形象,要保证该类应用的可靠性、可用性,同时,应保证应用中发布信息的真实与可信,安全防护的重点应放在系统的可靠性、信息的可信性等方面。
如下图示例:
图1 电子政务网络结构示意图
1.2 设计原则
1) 综合防范,适度安全
在三级信息系统网络建设时,必须充分考虑来自网络的各种威胁,采取适当的安全措施,进行综合防范。同时,以应用为主导,充分分析应用系统的功能,在有效保证应用的前提下,安全保密建设经济适用、适度安全、易于使用、易于实施。
2) 分域防控、分类防护
贯彻等级保护思想,针对不同的安全域采用不同的安全防护策略,通过制定安全策略,实施分区边界防护和区间访问控制,保证信息的安全隔离和安全交换。
3)谁主管谁负责
基于等级保护的电子政务网络的建设过程中,部门网络的内部安全问题应根据本单位的安全需求和实际情况,依据国家相关政策自行开展信息安全建设。
4)安全保密一体化
在电子政务安全保密建设中,无论是技术的采用、还是设备的选配,必须坚持安全保密一体化的原则,这样建设的系统才最为有效、最为经济。
1.3 电子政务内网建设方案
1.3.1政务内网系统构成
图2 电子政务内网系统构成
对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。
1)政务内网网络平台
电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。
2)电子政务内网应用
在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台
安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。
1.3.2 建议拓扑图
图3 三级政务内网建议拓扑图
电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。
1.3.3 安全支撑平台的系统结构
电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:
图4 电子政务安全支撑平台系统结构
1.3.4 安全支撑平台的系统配置
1、核心交换机双归属
两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2、 认证及地址管理系统-DCBI
DCBI可以完成基于主机的统一身份认证和全局地址管理功能。
1)基于主机的统一身份认证
终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理
根据政务网地址规模灵活划分地址池
固定用户地址下发与永久绑定
漫游用户地址下发与临时绑定、自动回收
接入交换机端口安全策略自动绑定。
客户端地址获取方式无关性
3、 全局安全管理系统-DCSM
DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。
1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3) 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)实时监控终端用户的行为,实现用户上网行为可审计。
4、 边界防火墙-DCFW
能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
5、 统一威胁管理-UTM
UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti- Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持) ,十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。
6、 入侵检测系统-DCNIDS
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
7、 漏洞扫描系统
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
8、 流量整形设备-DCFS
1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。
2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。
9、 其它网络设备
其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。
1.4 电子政务外网建设方案
1.4.1 政务外网系统构成
图5 电子政务外网系统构成
电子政务外网基于互联网,主要是向公众提供相关行政服务,发布政府信息。它的安全支撑平台为电子政务外网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑。既要有效保障互联网环境下的网络安全,又要解决对公众的开放服务,使安全和开放在互联网环境下达到有机的协调统一。
1.4.2 建议拓扑图
图6 三级电子政务外网建议拓扑图
1.4.3 安全支撑平台的系统配置
为了节省篇幅,对于政务内网出现过的设备,如果功能没有差异,在此部分将不再说明。
1、 边界防火墙-DCFW
不同于内网,外网的边界防火墙还承担NAT功能。
2、 上网行为日志系统-DCBI-NetLog
实现用户上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,并实现各种统计功能。
3、 网页防篡改
电子政务外网信息系统中大多数应用是以WEB网页方式存在,网页防篡改系统为电子政务应用系统提供网站立即恢复的手段和功能。网页防篡改系统可以用于阻断来自互联网对电子政务应用系统的破坏。
1.5 方案特点
1、业内第一个遵循国家信息安全等级保护制度,设计的合规性网络解决方案,包括等保中技术要求提及的物理安全、网络安全、应用安全等多个方面;
2、方案中并不是简单的设备堆砌,通过多设备之间分工、联动,以期达到最大的安全效能,将安全威胁层层过滤,实现可信、纯净的安全网络;
3、网络结构层次清晰,便于管理,易于维护。