保障政務(wù)外網(wǎng)安全，這五大舉措很有必要

發(fā)布日期：2020/05/28

　　隨著(zhù)互聯(lián)網(wǎng)的飛速發(fā)展，電子政務(wù)外網(wǎng)實(shí)現了橫向網(wǎng)絡(luò )互訪(fǎng)、互聯(lián)網(wǎng)接入、公共資源共享的需求；同時(shí)也面臨著(zhù)互聯(lián)網(wǎng)接入安全，關(guān)鍵信息資源的安全性，云數據中心隔離等安全問(wèn)題。

　　政務(wù)外網(wǎng)安全建設以滿(mǎn)足ISO27001、等級保護二級和三級等法律法規要求為前提條件，主要表現在數據傳輸安全、網(wǎng)絡(luò )安全、應用系統安全、管理安全、虛擬化安全等幾個(gè)方面。

　　一、數據傳輸安全

　　電子政務(wù)的各個(gè)政府部門(mén)之間都是縱向管理的網(wǎng)絡(luò )，通過(guò)在政府部門(mén)網(wǎng)絡(luò )出口部署NGFW安全網(wǎng)關(guān)，可以在各部門(mén)縱向網(wǎng)絡(luò )間建立安全IPSec VPN加密通道，保證數據傳輸的安全性；通過(guò)部署SSL VPN網(wǎng)關(guān)，使得遠程移動(dòng)辦公的用戶(hù)也可以通過(guò)加密通道安全訪(fǎng)問(wèn)公司內部資源，保證了遠程接入的安全性。

　　二、 網(wǎng)絡(luò )安全

　　網(wǎng)絡(luò )安全主要解決的是區域隔離和邊界安全防護，在城域網(wǎng)互聯(lián)出口部署DDoS、NGFW、SSL VPN、IPS，解決網(wǎng)絡(luò )區域隔離、大流量攻擊、L2-L7層攻擊、網(wǎng)絡(luò )入侵、病毒傳播、遠程用戶(hù)接入合法性等安全問(wèn)題，在數據中心出口部署高性能綜合安全網(wǎng)關(guān)，并啟用網(wǎng)關(guān)中的多虛擬系統，以及服務(wù)器區橫向跨區訪(fǎng)問(wèn)的東西向流量，提供設備虛擬化安全能力，滿(mǎn)足獨立安全配置和管理需求。

　　三、應用系統安全：

　　電子政務(wù)網(wǎng)絡(luò )的數據中心內部署了大量服務(wù)器和存儲系統，承載電子政務(wù)網(wǎng)的關(guān)鍵業(yè)務(wù)和重要數據，該網(wǎng)絡(luò )是安全防范的重點(diǎn)，數據中心網(wǎng)絡(luò )的出口部署高性能數據中心網(wǎng)關(guān)，開(kāi)啟入侵防御功能，可以有效阻止針對數據中心網(wǎng)絡(luò )的攻擊行為，防止針對網(wǎng)站和郵件系統的惡意攻擊，保證系統的正常運行；WEB服務(wù)器前端部署WEB防護網(wǎng)關(guān)，保護WEB服務(wù)器免受SQL注入、跨站點(diǎn)攻擊等威脅，保障WEB業(yè)務(wù)的正常運行。

　　四、管理安全：

　　在管理中心部署統一網(wǎng)管系統，集中管理網(wǎng)絡(luò )中的安全設備，監控安全設備的狀態(tài)，集中處理安全日志，統一制定安全策略，能夠全盤(pán)呈現網(wǎng)絡(luò )中的安全狀態(tài)、業(yè)務(wù)環(huán)境，實(shí)施主動(dòng)監控，通過(guò)安全事件關(guān)聯(lián)分析，及時(shí)發(fā)現存在的安全隱患；在出口防火墻設置管理員訪(fǎng)問(wèn)權限，要求密碼復雜度，可部署堡壘主機分配管理資源，限制管理權限，審計管理行為，達到統一管理，安全管理的目的。

　　五、虛擬化安全：

　　如何有效防護虛擬機安全，成為虛擬化安全的重點(diǎn)，在數據中心出口通過(guò)綜合安全網(wǎng)關(guān)的多虛擬系統，為不同的委辦局和不同的業(yè)務(wù)分配不同的虛擬系統，在網(wǎng)絡(luò )層面進(jìn)行隔離；在云平臺安裝軟件虛擬防火墻vFW，解決VM之間的互訪(fǎng)安全，對網(wǎng)絡(luò )不可見(jiàn)的東西向流量進(jìn)行隔離和防護，從網(wǎng)絡(luò )層和VM多層面解決虛擬化網(wǎng)絡(luò )安全問(wèn)題。