華為政務云安全方案:“互聯網+政務服務”的堅強后盾
近日,國務院辦公廳轉發國家發展改革委等10部門《推進“互聯網+政務服務”開展信息惠民試點的實施方案》,在全社會引起廣泛關注。方案重點提出“一號一窗一網”為主要工作目標,”一號”申請,簡化優化群眾辦事流程,變“群眾跑腿”為“信息跑路”,“一窗”受理,改革創新政務服務模式,變“群眾來回跑”為“部門協同辦”,“一網”通辦,暢通政務服務方式渠道,變“被動服務”為“主動服務”。這些無疑開啟了政務服務新時代,但是其背后需要強大的ICT基礎設施的支撐,構建統一政務云,實現信息的互通共享,同時也需要要確保數據信息的安全性。通常政務云面臨著如下安全挑戰:
l 政務云與互聯網的隔離及數據交換
l 零日漏洞、高級持續威脅(APT)對政務云服務器帶來的威脅
l 各部委虛機、用戶之間的安全隔離,避免數據泄露及濫用
l 基于大數據的安全威脅分析,及時全面的掌握政務云整網安全態勢并及時處理
l 此外政務云還需要滿足國家信息安全二級/三級等保要求。
為“互聯網+政務服務”加把鎖——華為政務云安全方案
針對互聯網惡意攻擊、關鍵信息泄漏、安全事件難溯源等安全風險,以及國家安全等級保護三(二)級的建設要求,華為提出政務云安全方案,根據統一電子政務云平臺標準、制度和技術體系,綜合運用信息安全技術,從網絡安全、主機安全、應用安全、虛擬化安全、數據安全等方面建立和完善信息安全保障體系,全面提升安全服務能力。
華為政務云安全解決方案架構圖
根據服務對象的不同,政務云一般分為互聯網區和政務外網區兩大塊。互聯網區主要部署面向社會管理和公眾服務的業務,其互聯網接入區用于公眾接入訪問。政務外網區主要部署政府內部業務類應用和基礎服務類應用,其互聯網安全接入區主要供各行政機構、地方單位、出差人員遠程VPN接入。
針對不同區域的安全等級和防御特點,華為結合ISO27001、等級保護二級和三級等法律法規的要求,從網絡安全、數據傳輸安全、應用系統安全、虛擬化安全、大數據安全、管理安全幾個維度提出了政務云安全加固的建設思路。
l 網絡安全
網絡安全主要解決的是區域隔離和邊界安全防護,在城域網互聯出口部署DDoS、NGFW、SSL VPN、IPS,解決網絡區域隔離、大流量攻擊、L2-L7層攻擊、網絡入侵、病毒傳播、遠程用戶接入合法性等安全問題,與沙箱配合使用,解決APT攻擊,保證網絡的安全性和有效性;在數據中心出口部署高性能綜合安全網關,并啟用網關中的多虛擬系統,對政務網用戶訪問服務器的南北訪問流量,以及服務器區橫向跨區訪問的東西向流量,提供設備虛擬化安全能力,滿足委辦局租戶業務隔離,獨立安全配置和管理需求。
l 數據傳輸安全
電子政務的各個政府部門之間都是縱向管理的網絡,通過在政府部門網絡出口部署NGFW安全網關,可以在各部門縱向網絡間建立安全IPSec VPN加密通道,保證數據傳輸的安全性。
l 應用系統安全
電子政務網絡的數據中心內部署了大量服務器和存儲系統,承載電子政務網的關鍵業務和重要數據,該網絡是安全防范的重點,數據中心網絡的出口部署高性能數據中心網關,開啟入侵防御功能,可以有效阻止針對數據中心網絡的攻擊行為,復用互聯網出口的Anti-DDoS拒絕服務攻擊防護系統,對服務器的應用層攻擊進行清洗,防止針對網站和郵件系統的惡意攻擊,保證系統的正常運行;WEB服務器前端部署WEB防護網關,保護WEB服務器免受SQL注入、跨站點攻擊等威脅,保障WEB業務的正常運行。
同時,針對郵件、OA等文件系統,部署APT未知威脅檢測系統,通過還原交換機或者傳統安全設備鏡像的網絡流量,在虛擬的環境內對網絡中傳輸的文件進行檢測,實現對未知惡意文件的檢測。
l 虛擬化安全
隨著電子政務云的發展,如何有效隔離,如何有效防護虛擬機安全,成為虛擬化安全的重點,在數據中心出口通過綜合安全網關的多虛擬系統,為不同的委辦局和不同的業務分配不同的虛擬系統,在網絡層面進行隔離;在云平臺安裝軟件虛擬防火墻vFW,解決VM之間的互訪安全,對網絡不可見的東西向流量進行隔離和防護,從網絡層和VM多層面解決虛擬化網絡安全問題。
l 大數據安全
針對政務云可能遭遇的高級持續威脅(APT),華為提出了大數據安全分析解決方案。該方案通過采集全網的文件、日志和流量,真正做到基于行為異常的分析和檢測,同時配合傳統安全產品,進行全網的協防聯動。通過多種安全產品的協同配合,過對APT攻擊進行快速檢測、告警和報告呈現,有效避免APT攻擊對政府核心信息資產造成風險。
根據防御角度和力度的不同,大數據安全分析解決方案有輕量級和重量級兩種方案模型。
1)輕量級解決方案
只對APT攻擊中的關鍵惡意軟件、對外通道進行深度檢測和攔截。可將安全沙箱部署在互聯網接入區和政務外網安全接入區,檢測全網傳輸文件,發現和阻斷未知惡意文件,避免由此可能引發的APT攻擊。
該解決方案以華為沙箱為基礎,通過和華為NGFW進行安全聯動以及日志管理系統logcenter進行APT攻擊展示構成一個整體的解決方案。沙箱深度檢測惡意軟件和C&C通道,秒級同步這些信息給NGFW,防火墻自動響應,生成相關的攔截策略,實現快速攔截。而logcenter采集兩個設備的相關日志信息,通過關聯分析,準確的展示APT攻擊中惡意軟件的感染范圍,惡意文件下載的情況,以及整網的安全態勢情況。
華為輕量級大數據安全解決方案架構
2)重量級解決方案
重量級解決方案以CIS大數據安全分析平臺為基礎,通過對現網關鍵路徑流量、關鍵系統日志等的采集,快速檢測各種異常行為,包括web異常、Mail異常、DNS異常等。
重量級方案的組件較多,可將CIS大數據分析平臺部署在管理區,通過探針采集和分析全網的文件、日志、流量,實現APT攻擊進行快速檢測、告警和報告呈現。由于重量級方案的部署成本較高,推薦部署在省級及以上政務平臺。
華為重量級大數據安全解決方案架構
l 管理安全
在管理中心部署統一網管系統,集中管理網絡中的安全設備,監控安全設備的狀態,集中處理安全日志,統一制定安全策略,能夠全盤呈現網絡中的安全狀態、業務環境,實施主動監控,通過安全事件關聯分析,及時發現存在的安全隱患;在出口防火墻設置管理員訪問權限,要求密碼復雜度,可部署堡壘主機分配管理資源,限制管理權限,審計管理行為,達到統一管理,安全管理的目的。
華為政務云安全方案為“互聯網+政務服務”提供堅強的后盾
華為電子政務網安全解決方案,為政務信息化提供了多層次安全,實現全面防護;同時安全設備簡單易管理,且性能優異,為“互聯網+政務服務”提供堅強的后盾。
1) 多層次安全,全面防護
根據電子政務網組網特點,在不同的網絡層面部署專業的安全設備,為電子政務網Internet網絡邊界提供了L2-L7的實時安全防護,專業的DDoS防護保障網絡帶寬和服務器安全,APT沙箱檢測系統,對可疑流量和內容進行模擬執行測試,提供未知威脅防御功能,多級安全設備多維度全局環境感知提供更全面的安全防護,NGFW高效的應用感知,識別應用更清晰管控更精細,利用設備及軟件的虛擬化技術實現多層次的虛擬化安全,使集中管理中心和分散部署的一體化安全網關成為一個有機結合的整體,既防范外網到公眾服務器的訪問安全,又對電子政務內部用戶及數據中心進行保護,共同為電子政務的網絡安全保駕護航。
2)統一管理,簡單易用,降低管理維護成本
統一管理:通過統一管理軟件實現全網安全和網絡設備的統一管理,集中管理與控制技術實現了對多臺設備的同時安全策略下發和日志的統一收集、分析,更加簡化了安全策略實施和風險管理的過程。
策略實施簡單:綜合安全網關的利用,使各安全模塊之間的耦合度和協調性都達到最佳,流量自學習和策略模板化,讓安全策略實施過程變得簡單,設備部署后,可持續學習現網流量模型,根據現網流量情況,與當前配置的安全策略進行對比,給出策略調優建議,將安全風險減到最低,同時減輕了管理人員的部署維護壓力。
3)性能優異,穩定可靠,確保業務正常運行
選用高性能設備,實現海量業務處理,高密度接口,滿足不同場景需求,直路部署設備均采用雙機組網,提高網絡可靠性,確保電子政務業務連續性。
目前,華為政務云安全方案已經服務于多個政務網絡,例如北京政務云、江西政務云、上海電子政務外網、廣州電子政務云、“晉城在線”等。在北京政務云中,華為配置全球領先的CE12800數據中心交換機及USG9500高端防火墻,憑借160Tbps轉發性能和1.44Tbps吞吐量以及云化特性為客戶構建了彈性易擴展的政務云網絡。在上海電子政務外網,USG 9500如同盡職的門衛,默默守護上海政務外網這張大網,為上海市1200多家委辦局單位的互聯網訪問保駕護航。在廣州電子政務云,華為為各委辦局打造了安全的數據中心網絡,在保證政務云網絡便利的同時也保證了高可靠的安全性,使各委辦局可以放心的把自己的業務牽引到云數據中心中來……華為將持續政務云安全方案創新中,“落實國家信息安全保護制度要求,加強數據安全管理”,為“一號一窗一網”信息化支撐建設提供堅強的后盾,為“互聯網+政務服務”的做堅強的后盾。
