政府行業解決方案
1)、電子政務安全解決方案
背景
電子政務外網作為政府的業務專網,承載了各級政務部門社會管理、公共服務等業務,是電子政務體系的基礎支撐網絡平臺,電子政務外網的覆蓋范圍很大程度上決 定了電子政務體系的服務人群,電子政務體系的目標是要惠及全社會所有群體,這也就要求電子政務外網要能真正"橫到邊,豎到底",延伸到社會基層,完善公眾 服務,這也是承載一些大型政務業務如醫療保障、社會保障等業務的覆蓋要求。
據國家信息中心的統計,到目前為止,電子政務外網已接入75個中央政務部門,遍布全國32個省級節點(含新疆生產建設兵團),接入200多個地市(近 80%)以及1300多個區縣(近50%),接入電子政務外網的各級政務部門超過1萬個,接入終端超過40萬臺。電子政務外網還需要進一步加強覆蓋,尤其 是向全社會的基層延伸。
而電子政務外網向社會基層延伸建設面臨四大難題,只有找到這些難題的妥善解決之道,電子政務外網才能順利地向全社會基層延伸建設,下面我們圍繞這四個問題來談談解決方案:
解決方案
1、建設成本
政府基層覆蓋面非常廣,全國有數萬個鄉鎮,數十萬個行政村、街道辦事處、社區,電子政務外網要向如此海量的基層延伸建設,其投入資金是非常巨大的,如何在保證項目質量的同時有效地降低建設成本,這是各級政府普遍關注的焦點。
我們的解決方案充分考慮到投資成本,基層接入采用的多業務安全網關Secospace USG系列產品融合了路由器、交換機、防火墻、VPN、IPS、防病毒、DDoS防護、URL過濾、安全準入控制等眾多豐富的功能,比傳統的設備堆疊建設 方案至少節省50%以上的設備成本,故障點大幅減少,大大提升網絡的可靠性,同時能享受到更高品質的售后服務,網絡出現問題時不會因為不同品牌的設備廠商 而相互推諉。
2、接入方式
偏遠的地區或者山區由于資金、線路等方面的原因難以通過運營商專線接入電子政務外網,那么可以采取什么接入方式呢?又如何保證其安全性?
電子政務外網基層延伸的安全覆蓋解決方案提供了豐富的接入方式,保證不同區域不同條件的基層能夠通過適合自身的接入方式接入政務外網,實現政務外網的完整 性覆蓋。除了專線接入方式之外,基層用戶可以依托互聯網接入政務外網,一些偏遠的地區還可以通過運營商的3G無線網絡接入到區縣級政務外網,同時啟用 VPN加密隔離功能保證接入業務的安全性。其建設框架示意圖,如圖1所示
圖1:電子政務外網接入方式示意圖
在上級電子政務外網互聯網出口部署VPN網關,基層通過互聯網VPN方式接入,計算機終端數量少的基層可以通過分配VPN用戶以客戶端方式撥入VPN網 關,而3G無線接入方式則為有線網絡不便覆蓋的區域提供了可行的接入方式,從而以最高性價比實現電子政務外網在基層的延伸覆蓋。
3、安全保障
作為承載各級政務部門各種業務的公用網絡,政務外網全網采用VPN技術保證不同部門不同業務之間的安全性與隔離性。
在政務外網骨干網上,通過成熟的MPLS VPN技術:
1. 縱向實現同一政務部門的業務貫通以及不同政務部門業務的安全隔離。
2. 橫向實現不同政務部門業務的安全隔離以及有業務需求的部門間的橫向互聯。
而在互聯網VPN接入方式中,就需要充分考慮到互聯網VPN與政務外網骨干網上的MPLS VPN安全對接,真正達到各政務部門的業務流量端到端隔離的效果。多業務安全網關Secospace USG系列產品支持豐富的VPN功能,通過VCE功能,能夠使得互聯網VPN與MPLS VPN一一映射,不同政務部門業務流量在通過VPN網關及PE設備之后,只能進入本部門所在政務外網骨干網上的MPLS VPN通道之中,或者根據需要進入相應的信息共享MPLS VPN通道,而不會流向其他部門的私有MPLS VPN通道中,以保證不同部門不同業務的安全隔離。如圖2所示。
圖2:互聯網VPN與政務外網骨干網MPLS VPN安全對接示意圖
另外一個方面,電子政務外網除了面臨來自互聯網的威脅之外,各政務部門內部的安全隱患也是不可或缺的重點考慮的一環。政府基層人員技術能力薄弱,終端安全 性非常差,如何降低基層終端接入電子政務外網給整個網絡及業務帶來的安全隱患?比如基層終端中病毒木馬了,有可能會蔓延到整個網絡,對業務造成嚴重威脅, 所以內部安全保障問題至關重要。
我們提出了先進的安全準入體系建設思路。終端接入電子政務外網之前,首先需要經過嚴格的身份認證,在通過身份的合法性認證之后,還需通過安全準入系統的安 全檢查方可根據權限接入政務外網,訪問相應的資源。非法用戶和安全狀態不達標(比如中病毒、重要漏洞補丁未安裝、系統安全設置不符合要求等)的終端將被拒 絕接入電子政務外網,從源頭上嚴格控制安全隱患,保證政務外網的安全性。
安全準入系統由三個部分組成:管理中心、準入控制網關以及客戶端軟件。其組網結構如圖3所示。管理中心負責全局的系統、策略、用戶配置管理,支持分級管 理;準入控制網關是實現硬件網關準入控制方式的核心設備,多業務安全網關Secospace USG系列產品具備準入控制功能;客戶端軟件向執行本地計算機的身份認證和安全策略檢查。為了貼近各地實際情況,安全準入系統支持與電子政務外網的CA系 統聯動,具有合法的CA系統身份方可通過身份認證,支持無客戶端模式,不需要在各政務部門內部終端上安裝客戶端軟件,通過瀏覽器就可完成身份認證及安全檢 查,對于用戶及業務來說是透明的,這種方式在諸多地方推進實施安全準入系統相比客戶端軟件方式會顯得較為順利。因為政務外網運行管理單位對各級政務部門沒 有直接的行政隸屬關系,難以強制要求各政務部門終端安裝客戶端軟件,無客戶端模式的支持比較好地緩解了這種問題,在不影響用戶原有使用習慣的基礎上同時能 夠保證電子政務終端準入的安全性。
圖3:電子政務外網安全準入體系建設結構圖
4、管理運維
政府基層人員IT管理、技術能力薄弱,在遇到IT故障時難以及時排查,這就對上一級管理中心的管理員提出了更高的要求。那么,如何及時發現問題并解決問題,保證基層電子政務網絡的持續高效運轉?
信息安全不僅僅是一個技術問題,更是一個管理問題,僅依賴于某些安全產品不可能有效地保護整體信息安全。信息安全作為一個整體,需要把安全過程中的所有要素如人員、技術、流程等納入到統一安全管控平臺中,才能有效地保障政務專網的安全。
統一安全管控平臺是一種集中安全管理的形式,它包含集中安全設備管理、安全事件收集、事件關聯分析、狀態監視、分析報表等重要技術組件。除技術之外,管控 平臺還有一個重要組成部分就是運行人員、應急小組和專家隊伍。所以,平臺還需要相應的管理制度和應急處理流程,安全事件處理流程的設計是一個重要環節。
通過統一安全管控平臺,能夠實時監控全網設備運行狀態,實現異構安全事件的收集和關聯分析,建立起資產和風險管理體系,動態跟蹤全網安全風險,幫助政務外 網運行管理單位建立起完善的管理體系,在基層政務外網的運行出現問題時能夠及時發現并排查故障,免除后顧之憂,并為未來的網絡及安全規劃提供最有力的參考 依據。
具體詳細功能及應用請聯系暢聯信息公司。索取更詳盡資料。
2)、公安行業統一安全管控
需求背景分析
隨著公安信息化的快速發展和廣泛應用,公安信息通信網已成為公安機關和廣大民警履行職責的重要手段,成為打擊敵人、保護人民、懲治犯罪、服務群眾、維護國 家安全和社會穩定的重要工具。同時,公安網絡和信息安全保密工作面臨的形勢十分嚴峻,西方敵對勢力、臺獨分裂勢力、三股勢力和“法輪功”邪教組織等加緊對 我國進行滲透、破壞活動。公安信息通信網一旦遭到攻擊和非法接入,不僅危害公安網絡和信息資源安全,影響各項公安工作的正常開展,而且嚴重威脅國家安全和 利益。
對此,我國公安系統在信息安全防護方面做了許多卓有成效的工作來保障信息與網絡安全,如“一機兩用”監控系統、病毒監控預警系統、邊界安全接入平臺、入侵 監測系統、PKI/PMI系統、漏洞掃描系統、違規網站監控系統、安全檢查管理系統、異常流量監測等,有效提升了信息安全管理和防護水平,降低和減少了信 息安全問題對各IT系統的影響。
但隨著公安業務系統的增多,安全技術措施的增強,安全產品的不斷增多,安全事件響應處理效率,規章制度落實效果評估,都增加了安全管理的難度與復雜度;給安全管理和運維帶來新的挑戰。
公安信息網承載了大量的警務系統,在服務大眾的同時也面臨各種安全威脅,主要有黑客攻擊、蠕蟲病毒、網絡濫用、僵尸網絡、惡意網站以及垃圾郵件等。如下圖所示:
圖:公安信息網面臨的威脅
公安信息網雖然在前期部署了大量的專業安全系統,但是各安全系統單獨運行,安全信息孤立,造成安全信息孤島,無法實現全網的協同防御;缺少一套統一的安全 管理平臺,對全網的安全進行管理和監控,同時在發生安全事件后,缺少完善的安全知識體系及流程體系來對安全事件的處理進行支撐,不利于當前公安系統業務的 發展。
公安行業統一安全管控(iSOC)解決方案
1、建設目標
公安系統統一安全管控解決方案以人為核心、以管理為手段、以技術為保障,全面落實公安網安全管理制度,實現安全管理工作的信息化、規范化,對安全專項系統 的技術和管理提供支撐,提供與其他外部系統的接口,與運維/值班平臺、網管系統、資源管理系統等相互配合,保障公安網安全運行,提高安全管理水平和工作效 率。
2、平臺架構
如下圖所示,平臺架構由集中展示層、核心處理層、接入交換層構成。
• 集中展示層是安全預警和事件監控、安全運行監控、協同工作處理、安全知識培訓、綜合分析的統一展示,是安全管理平臺與各類用戶交互的窗口。
• 核心處理層是實現安全管理業務的核心層,各類安全工作人員完成所授權的工作,完成對事件與狀態的處理,完成平臺自身的管理,實現公安信息網安全管理制度的全面落實。
• 接入交換層包括平臺級聯接口、安全專項系統接口、其他系統接口等,實現各級安管平臺的接入認證、級聯數據同步和安全傳輸;實現安全專項系統的統一接入管理和策略管理。
3、系統功能
• 集中展示:集中化的安全運行數據呈現,實現安全管理平臺對平臺核心處理子系統的監控類信息、全網工作協同類信息、信息安全培訓知識、綜合分析類信息等進行統一呈現,并提供相應權限的查閱與工作界面。
• 運行監控:運行監控包括安全信息監控、專項系統監控和平臺運行監控。
• 業務處理:依據業務流程人工或自動完成安全管理中的日常工作、管理工作和響應處理。
• 業務統計分析:業務統計分析實現安全事件、流程處理、管理考核、安全專項系統運行的基本統計和分析,支持自動和人工方式統計和分析。
• 關聯分析:關聯分析通過對已經處理的事件、業務記錄、基礎資源庫等進行綜合分析、挖掘,發現隱藏在獨立事件與業務背后的規律與事實,實現業務考核分析、運行考核分析、平臺自身業務分析的綜合與提升。
• 業務配置:業務配置包括監控與報警管理、信息預警管理、流程管理和模板管理。
• 平臺管理:平臺管理包含用戶與授權、系統審計、數據管理、法規與案例庫管理、人員庫管理、資產庫管理、備份與恢復和策略管理。
• 接入交換管理:接入交換管理實現平臺級聯管理、安全專項系統接口管理、其他系統接口管理。
4、iSOC部署方式
• 集中部署方式