电子政务外网安全建设探讨
2018-05-21王之顺
王之顺
中国电信股份有限公司淮安分公司
0 概述
如今各级电子政务外网网络发展成熟,但是国内网络安全的状况却不乐观。网站遭受DDoS攻击、网页被篡改、挂马等情况时有出现,内网时有病毒传播,造成恶劣影响。随着《网络安全法》的颁布,明确提出了对电子政务等关键领域实施等级保护制度,对政务网络的安全提出了更高的要求。国务院办公厅在2017年印发了《政府网站发展指引》,要求对政务网站加强安全方面的技术防护、监测预警与应急处置。
政府对网络安全也越来越重视,加强了对网络安全方面的投入。本文正是针对电子政务网络安全方面的建设进行探讨,以求不断加强电子政务外网的整体安全防护能力,为电子政务外网及其业务应用提供坚实的安全保障。
1 符合性要求
网络安全建设需要满足一系列的符合性要求。
首先,需要满足安全等级保护的原则。信息系统安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。2005年9月国信办发布了《电子政务等级保护实施指南》,明确了电子政务实施等级保护的方法和流程。从技术和管理两个方面,规范了信息系统安全防护要求。政务外网需要按照国家等级保护相关标准及国家电子政务外网等级保护基本要求,来确定电子政务外网的安全等级,并实施安全保护。
其次,安全建设以不影响骨干网络传输带宽和质量为首要目标,避免在骨干链路中串接部署过多的安全设备。串接设备会增加链路风险,过多的串接设备会增加网络延时,影响链路质量,可以旁挂的建议采取旁挂的方式。
再次,应通过IPSEC、VPN等安全手段提供移动设备接入政务外网的能力,由于移动办公场景普及,需要加强外网用户接入政务内网的安全认证手段,对所有接入的用户的行为应具备审计能力。
最后,各个地市应具备统一的安全管理系统、统一身份认证系统。利用CA证书实现统一的资源访问入口和集中的身份认证、访问授权,提高系统的安全性和用户使用的方便性。
2 安全域划分
统一的国家电子政务外网由国家、省、市、县(市、区)广域网和城域网组成。各级政务部门通过本级城域网接入电子政务外网,乡镇、街道接入县(市、区)级城域网。各级城域网边界可以建设互联网接入区,为本级政务部门访问互联网及部署面向公众服务的应用系统提供服务。根据安全边界防护和等级保护的要求划分安全域,通常有互联网出口域,数据中心区域,安全接入平台域,安全管理域,DMZ(非军事化区)域等。各区域需按照等级保护的相关要求采取有效的安全防护手段严格管控。市级的电子政务外网整体架构见图1。
(1)互联网出口安全防护域:为各级政务部门提供互联网访问业务,是电子政务网络对外的出口区域;
(2)数据中心域:该区域为内部访问的应用、服务器区域,实现相关政务部门各类业务的分业务、分区域集中部署或托管,需要保证内部数据安全,做好对数据库的安全保护;
(3)安全接入域:主要为办公人员提供各类终端接入,该区域的安全威胁主要来自于终端,所以必须做好用户安全准入;
(4)安全管理域:运维管理人员通过该区域对硬件设备、软件应用及接入终端进行统一管理,同时该区域的安全设备配合其它区域进行实时监测及审计;
(5)DMZ域:对外发布的网站部署于该区域,此区域接收的外部访问频繁,存在的安全隐患较多,除了做好对应的安全措施及优化外,应将此区域隔离起来。
图1 市级电子政务外网整体架构图
3 安全建设方案
根据国家电子政务外网等级保护的基本要求,市级电子政务网络需要达到安全等级保护第三级的相关要求,县区电子政务网络需要满足安全等级保护第二级的相关要求,建议在几个重要区域部署相关安全设备或措施,保障自身业务和全网安全。
(1)边界安全
各个网络区域之间需要做好安全隔离,应该通过防火墙系统、入侵防御系统等做好边界安全,需要做到以下三个方面:首先是做好访问控制,根据会话状态信息为数据流提供明确的允许或拒绝访问能力,控制粒度至少达到端口级。其次需要做好入侵防范,进行病毒过滤和入侵防御,对这些行为进行实时告警及阻断,定期做好病毒库和特征库的升级。最后需要做好安全审计,可以记录攻击源、攻击类型、攻击目标时间等关键信息,记录内网访问公网的行为日志,并可以保存记录6个月以上。
(2)网络安全改造
在已有的网络中改造,需要按区域部署相关安全设备,加强整体防护能力。
1)互联网出口域作为政务网络对外的出口,单独设置防火墙系统、入侵防御系统IPS、上网行为管理系统等进行安全防护。
2)数据中心域存在大量的内部服务器,除隔离防火墙外,需要在服务器上安装企业级防病毒软件,针对数据库,需要有数据库安全审计设备,可以在安全管理域统一部署。
3)安全接入域主要用于用户终端接入,需要部署防火墙和VPN设备,支持IPSec/SSL、数字证书、VPDN等,移动终端或其他外网用户可以通过VPDN拨号方式接入政务内网,实现移动办公等。
4)安全管理域根据网络业务及安全自身的需要,将网络管理、安全管理等系统部署在管理区,可对日志进行分析,对安全事件和网络攻击可以实时告警,防止网络攻击等事件进一步扩大,需要部署漏洞扫描、安全审计、终端安全管理系统、堡垒机、病毒库及补丁分发系统等设备。
5)在DMZ域,由于是政务部门对外访问的网站系统,所以要特别进行防护,需要部署WEB应用防火墙WAF、WEB漏扫、入侵检测系统IDS等进行防护。目前电信提供的云盾、云堤产品正是针对外部网站安全,免硬件部署的方式提供网站漏扫和DDoS攻击防护,可以作为网络安全硬件防护的补充。
6)城域网域是各级政府部委办局接入政务外网的区域,实现了各委办局之间的资源共享,接入单位局域网通过防火墙系统、入侵防御系统等与政务外网进行逻辑隔离并对局域网进行安全防护。
(3)政务云网络安全
由于近几年国家层面鼓励应用云计算技术整合改造现有电子政务信息系统,大幅减少政府自建数据中心的数量,实现跨系统的信息共享与政务协同,多个地市积极开展政务云建设。政务云的安全体系模型如图2。
图2 政务云安全模型图
可以看出,政务云安全包含的内容更加丰富,能够同时适应于IaaS,PaaS和SaaS三类平台,包括基础设施、虚拟化、应用等方面,网络安全只是其中一个重点。和传统的安全防护类似,需要注重访问控制、攻击防护、网络审计和安全检测。
政务云的建设过程中,网络安全作为基础设施,满足了网络信息安全的“三同步”原则。政务云网络安全也是按安全域来划分,部署相关安全设备。在城域网互联出口部署防DDoS、防火墙、IPS、防毒墙等,解决网络区域隔离、大流量攻击、L2-L7层攻击、网络入侵、病毒传播等安全问题;在网络安全接入区域部署防火墙、SSL VPN,解决远程用户接入合法性问题;在安全管理区建设统一管理平台和统一认证系统等;在互联网数据区部署WAF,网站漏扫,IDS等,解决门户网站的应用安全;在数据交换区部署网闸,保障数据传送安全。安全设备需要支持虚拟化功能。政务云的网络安全框架如图3。
图3 政务云安全框架图
政务网络云化是未来的方向,在政务私有云建设中,网络安全体系化建设,有助于更好的保证政务网络安全平稳运行。
4 结束语
电子政务外网主要承载各级行政机关网上办公、面向社会的专业性服务及其他业务,它的安全关系着国家秘密、核心政务、政府公信力和公众利益,所以电子政务安全的实施和保障是非常重要的。各级政府如今都加强了对电子政务网络的安全方面的投入。当然,网络安全建设也不是一蹴而就,随着网络安全的内涵不断被扩充,网络安全的建设也需要动态进行调整。相信随着对电子政务网络安全的重视,电子政务网络的整体安全防护能力会显著增强。