宜昌市现辖3市(县级市)、5县、5区以及100多个基层政务单位。近几年来在政府信息化的大趋势下,宜昌市政府行政管理体制也朝着精简、统一、高效的方向发展。目前各级政务单位根据自身的情况都已经建立起形式各异、规模不等的办公网络,但由于缺乏互联,彼此形成了信息孤岛。建立统一的电子政务外网平台、充分实现网络资源共享势在必行。但是各级政务单位在建网时由于缺乏统一的规划,在安全防护和安全管理方面的考虑有所欠缺。这成为了电子政务外网平台建设必须首先解决的问题。
下面我们从宜昌电子政务外网平台安全需求的角度来分析一下什么样的解决方案最适合电子政务外网平台安全体系的建设。
电子政务对网络安全的需求分析
访问控制需求
宜昌市各级政府和委办局单位很多,用户数量庞大,对于某个委办局单位而言,很多本系统内部的信息需要让上级单位和相关单位访问,但对于政务外网的其他单位需要严格保密(如:财政局的财政资金信息等)。而电子政务外网中有大量的委办局单位用户,这些用户中如果有别有用心者想要窃取机密,就会出现“家贼难防”的情况,后果不堪设想。在各级政务单位的广域网边界如果没有一个可集中控制访问请求的措施,很容易被恶意攻击者或有其他企图的人员利用系统的弱点进行非法入侵。入侵者可以利用多种入侵手段(如:网络扫描、获取口令、拒绝服务攻击、IP欺骗攻击等等)获取系统权限,进入网络内部。
因此,需要在电子政务外网平台的各级政务单位广域网出口部署访问控制产品,有效地监控内部网和广域网之间的活动,并对数据进行过滤与控制,保证内部网络的安全。
入侵防御需求
访问控制系统可以静态地实施访问控制策略,防止一些非法的访问。但对利用合法的访问手段或其他的攻击手段(比如利用内部系统的漏洞等)对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进行自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。
防病毒需求
防病毒必须立足于系统全网的角度,除了在终端上部署防病毒产品,控制病毒对终端的破坏之外,更应该在各级政务单位广域网出口部署网关防病毒产品,以控制病毒的传播。终端防病毒产品防御病毒对终端系统和文件的破坏,而网关防病毒产品通过检测进出网络边界的数据流量,一方面控制病毒通过网络(HTTP/FTP/邮件等方式)的传播,另一方面抑制蠕虫病毒爆发时对网络造成的影响。
终端防病毒产品和网关防病毒产品配合使用,能够为用户的网络形成一个立体的病毒防御体系,从而更好地避免用户网络遭受病毒的侵害。
虚拟专网的需求
通过建立虚拟专用网,不仅能充分应用电子政务外网平台的公用基础设施,避免基础设施的重复投资,而且能够保证机密信息传输的安全性和保密性。
安全审计需求
宜昌电子政务外网平台数据来源多、数据量大、数据类型复杂,很可能面临大量的攻击和流量,良好的安全审计能力是分析电子政务外网平台安全状况的必要条件。
集中管理的需求
宜昌市电子政务外网平台的应用覆盖了全市各级政府行政机关,分散的网络安全设备的部署,给网络管理员对全网的网络安全设备进行管理造成很大的困难。由于人手的匮乏,不可能在每个分支机构安排专人来对安全设备进行管理和维护,集中管理的需求应运而生。
简化安全管理的需求
如果对每个需求都采用单独的安全防护产品来部署的话,成本很难控制,更重要的是由于政府机构的精简,不可能培养更多的IT管理员来对这个安全体系进行管理。因此,要求对全网部署的安全产品具备“简单管理”的特性成为衍生出来的新的需求。
宜昌市电子政务整体安全解决方案
通过对宜昌电子政务外网平台的安全需求分析,可以看出宜昌市电子政务用户最关心的问题是如何采用比较简单的方式实现一体化的全面安全防护。启明星辰公司提出的“全网部署,一体安全,简单为本”的解决方案是解决上述问题、满足用户需求的理想选择。
在电子政务外网平台各级政务单位的广域网出口部署天清汉马USG一体化安全网关(UTM),通过在市政府信息中心部署集中管理系统,实现对整个网络的安全设备的统一管理,让网管员坐在办公室里就能够实时掌控各级政务单位的网络情况以及面临的风险威胁。
一体安全
天清汉马UTM采用高性能的硬件架构和一体化的软件设计,集防火墙、VPN、网关防病毒、入侵防御(IPS)等多种安全技术于一身,同时全面支持QoS、负载均衡、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。这是“一体安全”的一层含义。
另外,通过集中管理与控制技术实现了同时对多台设备进行安全策略的下发和日志的统一收集、分析,更加简化了安全策略实施和风险管理的过程。集中管理中心和分散部署的天清汉马UTM成为一个有机结合的整体,共同为电子政务的网络安全保驾护航。这是“一体安全”的又一内涵。
简单为本
面对宜昌电子政务复杂的网络环境,如何简单实现安全防护是整个方案的关键。作为国内信息安全市场的领航者,启明星辰凭借多年的技术积累和强大的研发实力,通过多项专利和创新技术,将“简单”的理念发挥得淋漓尽致,并在天清汉马UTM中得到了如下体现:
第一,设备部署变得简单。天清汉马UTM集防火墙、防病毒(AV)、入侵防御(IPS)等多种功能于一体。这样用户只需要一个硬件平台即可实现简单的部署。采用透明模式接入网络,甚至不需要对现有网络拓扑结构做出任何改动。
第二,防御威胁变得简单。治病讲究“对症下药”,确定病因是关键。防范威胁也是同样的道理,准确、全面地识别威胁是关键,之后才能进行相应控制。天清汉马USG中使用“基于插件的协议识别技术”、“自适应多模式匹配算法”、“可追查性检查”、“基于知识库的非法连接请求动态抽样与分析技术”等专利技术,大大提升了防御威胁的全面性和准确度,使对于威胁的防御变得简单。
第三,策略实施变得简单。为了使各个软件功能模块无缝融合,天清汉马UTM在设计之初就采用了一体化的软件体系架构设计,并采用了综合分析引擎技术,使各模块之间的耦合度达到最佳,各功能模块的协调性达到了前所未有的默契,这让安全策略实施过程变得简单。
第四,管理维护变得简单。天清汉马UTM创新采用“先界面、后功能”的研发模式,能够做到“界面定位快捷化”,配置界面三键到位率达90%以上;“配置操作简单化”,即任一配置在两个界面内完成;“安全策略模板化”,即所有安全服务配置在一个模版上完成;“关键业务自动化”,即自动升级、自动报警、自动报表;“安全监控方便化”,即定制化报表、图形化展示、LCD展示;“集群管理统一化”,即基于组的集群管理、一次配置整体生效。
繁到终处自成简,启明星辰公司提出的“全网部署、一体安全、简单为本”的网络安全整体解决方案,成为了“简单安全”的解决之道,为宜昌市电子政务把好了安全这道大门。
(责任编辑:陈曲)