政府行业解决方案
1)、电子政务安全解决方案
背景
电子政务外网作为政府的业务专网,承载了各级政务部门社会管理、公共服务等业务,是电子政务体系的基础支撑网络平台,电子政务外网的覆盖范围很大程度上决 定了电子政务体系的服务人群,电子政务体系的目标是要惠及全社会所有群体,这也就要求电子政务外网要能真正"横到边,竖到底",延伸到社会基层,完善公众 服务,这也是承载一些大型政务业务如医疗保障、社会保障等业务的覆盖要求。
据国家信息中心的统计,到目前为止,电子政务外网已接入75个中央政务部门,遍布全国32个省级节点(含新疆生产建设兵团),接入200多个地市(近 80%)以及1300多个区县(近50%),接入电子政务外网的各级政务部门超过1万个,接入终端超过40万台。电子政务外网还需要进一步加强覆盖,尤其 是向全社会的基层延伸。
而电子政务外网向社会基层延伸建设面临四大难题,只有找到这些难题的妥善解决之道,电子政务外网才能顺利地向全社会基层延伸建设,下面我们围绕这四个问题来谈谈解决方案:
解决方案
1、建设成本
政府基层覆盖面非常广,全国有数万个乡镇,数十万个行政村、街道办事处、社区,电子政务外网要向如此海量的基层延伸建设,其投入资金是非常巨大的,如何在保证项目质量的同时有效地降低建设成本,这是各级政府普遍关注的焦点。
我们的解决方案充分考虑到投资成本,基层接入采用的多业务安全网关Secospace USG系列产品融合了路由器、交换机、防火墙、VPN、IPS、防病毒、DDoS防护、URL过滤、安全准入控制等众多丰富的功能,比传统的设备堆叠建设 方案至少节省50%以上的设备成本,故障点大幅减少,大大提升网络的可靠性,同时能享受到更高品质的售后服务,网络出现问题时不会因为不同品牌的设备厂商 而相互推诿。
2、接入方式
偏远的地区或者山区由于资金、线路等方面的原因难以通过运营商专线接入电子政务外网,那么可以采取什么接入方式呢?又如何保证其安全性?
电子政务外网基层延伸的安全覆盖解决方案提供了丰富的接入方式,保证不同区域不同条件的基层能够通过适合自身的接入方式接入政务外网,实现政务外网的完整 性覆盖。除了专线接入方式之外,基层用户可以依托互联网接入政务外网,一些偏远的地区还可以通过运营商的3G无线网络接入到区县级政务外网,同时启用 VPN加密隔离功能保证接入业务的安全性。其建设框架示意图,如图1所示
图1:电子政务外网接入方式示意图
在上级电子政务外网互联网出口部署VPN网关,基层通过互联网VPN方式接入,计算机终端数量少的基层可以通过分配VPN用户以客户端方式拨入VPN网 关,而3G无线接入方式则为有线网络不便覆盖的区域提供了可行的接入方式,从而以最高性价比实现电子政务外网在基层的延伸覆盖。
3、安全保障
作为承载各级政务部门各种业务的公用网络,政务外网全网采用VPN技术保证不同部门不同业务之间的安全性与隔离性。
在政务外网骨干网上,通过成熟的MPLS VPN技术:
1. 纵向实现同一政务部门的业务贯通以及不同政务部门业务的安全隔离。
2. 横向实现不同政务部门业务的安全隔离以及有业务需求的部门间的横向互联。
而在互联网VPN接入方式中,就需要充分考虑到互联网VPN与政务外网骨干网上的MPLS VPN安全对接,真正达到各政务部门的业务流量端到端隔离的效果。多业务安全网关Secospace USG系列产品支持丰富的VPN功能,通过VCE功能,能够使得互联网VPN与MPLS VPN一一映射,不同政务部门业务流量在通过VPN网关及PE设备之后,只能进入本部门所在政务外网骨干网上的MPLS VPN通道之中,或者根据需要进入相应的信息共享MPLS VPN通道,而不会流向其他部门的私有MPLS VPN通道中,以保证不同部门不同业务的安全隔离。如图2所示。
图2:互联网VPN与政务外网骨干网MPLS VPN安全对接示意图
另外一个方面,电子政务外网除了面临来自互联网的威胁之外,各政务部门内部的安全隐患也是不可或缺的重点考虑的一环。政府基层人员技术能力薄弱,终端安全 性非常差,如何降低基层终端接入电子政务外网给整个网络及业务带来的安全隐患?比如基层终端中病毒木马了,有可能会蔓延到整个网络,对业务造成严重威胁, 所以内部安全保障问题至关重要。
我们提出了先进的安全准入体系建设思路。终端接入电子政务外网之前,首先需要经过严格的身份认证,在通过身份的合法性认证之后,还需通过安全准入系统的安 全检查方可根据权限接入政务外网,访问相应的资源。非法用户和安全状态不达标(比如中病毒、重要漏洞补丁未安装、系统安全设置不符合要求等)的终端将被拒 绝接入电子政务外网,从源头上严格控制安全隐患,保证政务外网的安全性。
安全准入系统由三个部分组成:管理中心、准入控制网关以及客户端软件。其组网结构如图3所示。管理中心负责全局的系统、策略、用户配置管理,支持分级管 理;准入控制网关是实现硬件网关准入控制方式的核心设备,多业务安全网关Secospace USG系列产品具备准入控制功能;客户端软件向执行本地计算机的身份认证和安全策略检查。为了贴近各地实际情况,安全准入系统支持与电子政务外网的CA系 统联动,具有合法的CA系统身份方可通过身份认证,支持无客户端模式,不需要在各政务部门内部终端上安装客户端软件,通过浏览器就可完成身份认证及安全检 查,对于用户及业务来说是透明的,这种方式在诸多地方推进实施安全准入系统相比客户端软件方式会显得较为顺利。因为政务外网运行管理单位对各级政务部门没 有直接的行政隶属关系,难以强制要求各政务部门终端安装客户端软件,无客户端模式的支持比较好地缓解了这种问题,在不影响用户原有使用习惯的基础上同时能 够保证电子政务终端准入的安全性。
图3:电子政务外网安全准入体系建设结构图
4、管理运维
政府基层人员IT管理、技术能力薄弱,在遇到IT故障时难以及时排查,这就对上一级管理中心的管理员提出了更高的要求。那么,如何及时发现问题并解决问题,保证基层电子政务网络的持续高效运转?
信息安全不仅仅是一个技术问题,更是一个管理问题,仅依赖于某些安全产品不可能有效地保护整体信息安全。信息安全作为一个整体,需要把安全过程中的所有要素如人员、技术、流程等纳入到统一安全管控平台中,才能有效地保障政务专网的安全。
统一安全管控平台是一种集中安全管理的形式,它包含集中安全设备管理、安全事件收集、事件关联分析、状态监视、分析报表等重要技术组件。除技术之外,管控 平台还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以,平台还需要相应的管理制度和应急处理流程,安全事件处理流程的设计是一个重要环节。
通过统一安全管控平台,能够实时监控全网设备运行状态,实现异构安全事件的收集和关联分析,建立起资产和风险管理体系,动态跟踪全网安全风险,帮助政务外 网运行管理单位建立起完善的管理体系,在基层政务外网的运行出现问题时能够及时发现并排查故障,免除后顾之忧,并为未来的网络及安全规划提供最有力的参考 依据。
具体详细功能及应用请联系畅联信息公司。索取更详尽资料。
2)、公安行业统一安全管控
需求背景分析
随着公安信息化的快速发展和广泛应用,公安信息通信网已成为公安机关和广大民警履行职责的重要手段,成为打击敌人、保护人民、惩治犯罪、服务群众、维护国 家安全和社会稳定的重要工具。同时,公安网络和信息安全保密工作面临的形势十分严峻,西方敌对势力、台独分裂势力、三股势力和“法轮功”邪教组织等加紧对 我国进行渗透、破坏活动。公安信息通信网一旦遭到攻击和非法接入,不仅危害公安网络和信息资源安全,影响各项公安工作的正常开展,而且严重威胁国家安全和 利益。
对此,我国公安系统在信息安全防护方面做了许多卓有成效的工作来保障信息与网络安全,如“一机两用”监控系统、病毒监控预警系统、边界安全接入平台、入侵 监测系统、PKI/PMI系统、漏洞扫描系统、违规网站监控系统、安全检查管理系统、异常流量监测等,有效提升了信息安全管理和防护水平,降低和减少了信 息安全问题对各IT系统的影响。
但随着公安业务系统的增多,安全技术措施的增强,安全产品的不断增多,安全事件响应处理效率,规章制度落实效果评估,都增加了安全管理的难度与复杂度;给安全管理和运维带来新的挑战。
公安信息网承载了大量的警务系统,在服务大众的同时也面临各种安全威胁,主要有黑客攻击、蠕虫病毒、网络滥用、僵尸网络、恶意网站以及垃圾邮件等。如下图所示:
图:公安信息网面临的威胁
公安信息网虽然在前期部署了大量的专业安全系统,但是各安全系统单独运行,安全信息孤立,造成安全信息孤岛,无法实现全网的协同防御;缺少一套统一的安全 管理平台,对全网的安全进行管理和监控,同时在发生安全事件后,缺少完善的安全知识体系及流程体系来对安全事件的处理进行支撑,不利于当前公安系统业务的 发展。
公安行业统一安全管控(iSOC)解决方案
1、建设目标
公安系统统一安全管控解决方案以人为核心、以管理为手段、以技术为保障,全面落实公安网安全管理制度,实现安全管理工作的信息化、规范化,对安全专项系统 的技术和管理提供支撑,提供与其他外部系统的接口,与运维/值班平台、网管系统、资源管理系统等相互配合,保障公安网安全运行,提高安全管理水平和工作效 率。
2、平台架构
如下图所示,平台架构由集中展示层、核心处理层、接入交换层构成。
• 集中展示层是安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示,是安全管理平台与各类用户交互的窗口。
• 核心处理层是实现安全管理业务的核心层,各类安全工作人员完成所授权的工作,完成对事件与状态的处理,完成平台自身的管理,实现公安信息网安全管理制度的全面落实。
• 接入交换层包括平台级联接口、安全专项系统接口、其他系统接口等,实现各级安管平台的接入认证、级联数据同步和安全传输;实现安全专项系统的统一接入管理和策略管理。
3、系统功能
• 集中展示:集中化的安全运行数据呈现,实现安全管理平台对平台核心处理子系统的监控类信息、全网工作协同类信息、信息安全培训知识、综合分析类信息等进行统一呈现,并提供相应权限的查阅与工作界面。
• 运行监控:运行监控包括安全信息监控、专项系统监控和平台运行监控。
• 业务处理:依据业务流程人工或自动完成安全管理中的日常工作、管理工作和响应处理。
• 业务统计分析:业务统计分析实现安全事件、流程处理、管理考核、安全专项系统运行的基本统计和分析,支持自动和人工方式统计和分析。
• 关联分析:关联分析通过对已经处理的事件、业务记录、基础资源库等进行综合分析、挖掘,发现隐藏在独立事件与业务背后的规律与事实,实现业务考核分析、运行考核分析、平台自身业务分析的综合与提升。
• 业务配置:业务配置包括监控与报警管理、信息预警管理、流程管理和模板管理。
• 平台管理:平台管理包含用户与授权、系统审计、数据管理、法规与案例库管理、人员库管理、资产库管理、备份与恢复和策略管理。
• 接入交换管理:接入交换管理实现平台级联管理、安全专项系统接口管理、其他系统接口管理。
4、iSOC部署方式
• 集中部署方式