华为政务云安全方案:“互联网+政务服务”的坚强后盾
近日,国务院办公厅转发国家发展改革委等10部门《推进“互联网+政务服务”开展信息惠民试点的实施方案》,在全社会引起广泛关注。方案重点提出“一号一窗一网”为主要工作目标,”一号”申请,简化优化群众办事流程,变“群众跑腿”为“信息跑路”,“一窗”受理,改革创新政务服务模式,变“群众来回跑”为“部门协同办”,“一网”通办,畅通政务服务方式渠道,变“被动服务”为“主动服务”。这些无疑开启了政务服务新时代,但是其背后需要强大的ICT基础设施的支撑,构建统一政务云,实现信息的互通共享,同时也需要要确保数据信息的安全性。通常政务云面临着如下安全挑战:
政务云与互联网的隔离及数据交换;
零漏洞、高级持续威胁(APT)对政务云服务器带来的威胁;
各部委虚机、用户之间的安全隔离,避免数据泄露及滥用;
基于大数据的安全威胁分析,及时全面的掌握政务云整网安全态势并及时处理;
此外政务云还需要满足国家信息安全二级/三级等保要求。
华为政务云安全方案
为“互联网+政务服务”加把锁
针对互联网恶意攻击、关键信息泄漏、安全事件难溯源等安全风险,以及国家安全等级保护三(二)级的建设要求,华为提出政务云安全方案,根据统一电子政务云平台标准、制度和技术体系,综合运用信息安全技术,从网络安全、主机安全、应用安全、虚拟化安全、数据安全等方面建立和完善信息安全保障体系,全面提升安全服务能力。
根据服务对象的不同,政务云一般分为互联网区和政务外网区两大块。互联网区主要部署面向社会管理和公众服务的业务,其互联网接入区用于公众接入访问。政务外网区主要部署政府内部业务类应用和基础服务类应用,其互联网安全接入区主要供各行政机构、地方单位、出差人员远程VPN接入。
针对不同区域的安全等级和防御特点,华为结合ISO27001、等级保护二级和三级等法律法规的要求,从网络安全、数据传输安全、应用系统安全、虚拟化安全、大数据安全、管理安全几个维度提出了政务云安全加固的建设思路。
网络安全
网络安全主要解决的是区域隔离和边界安全防护,在城域网互联出口部署DDoS、NGFW、SSL VPN、IPS,解决网络区域隔离、大流量攻击、L2-L7层攻击、网络入侵、病毒传播、远程用户接入合法性等安全问题,与沙箱配合使用,解决APT攻击,保证网络的安全性和有效性;在数据中心出口部署高性能综合安全网关,并启用网关中的多虚拟系统,对政务网用户访问服务器的南北访问流量,以及服务器区横向跨区访问的东西向流量,提供设备虚拟化安全能力,满足委办局租户业务隔离,独立安全配置和管理需求。
数据传输安全
电子政务的各个政府部门之间都是纵向管理的网络,通过在政府部门网络出口部署NGFW安全网关,可以在各部门纵向网络间建立安全IPSec VPN加密通道,保证数据传输的安全性。
应用系统安全
电子政务网络的数据中心内部署了大量服务器和存储系统,承载电子政务网的关键业务和重要数据,该网络是安全防范的重点,数据中心网络的出口部署高性能数据中心网关,开启入侵防御功能,可以有效阻止针对数据中心网络的攻击行为,复用互联网出口的Anti-DDoS拒绝服务攻击防护系统,对服务器的应用层攻击进行清洗,防止针对网站和邮件系统的恶意攻击,保证系统的正常运行;WEB服务器前端部署WEB防护网关,保护WEB服务器免受SQL注入、跨站点攻击等威胁,保障WEB业务的正常运行。
同时,针对邮件、OA等文件系统,部署APT未知威胁检测系统,通过还原交换机或者传统安全设备镜像的网络流量,在虚拟的环境内对网络中传输的文件进行检测,实现对未知恶意文件的检测。
虚拟化安全
随着电子政务云的发展,如何有效隔离,如何有效防护虚拟机安全,成为虚拟化安全的重点,在数据中心出口通过综合安全网关的多虚拟系统,为不同的委办局和不同的业务分配不同的虚拟系统,在网络层面进行隔离;在云平台安装软件虚拟防火墙vFW,解决VM之间的互访安全,对网络不可见的东西向流量进行隔离和防护,从网络层和VM多层面解决虚拟化网络安全问题。
大数据安全
针对政务云可能遭遇的高级持续威胁(APT),华为提出了大数据安全分析解决方案。该方案通过采集全网的文件、日志和流量,真正做到基于行为异常的分析和检测,同时配合传统安全产品,进行全网的协防联动。通过多种安全产品的协同配合,过对APT攻击进行快速检测、告警和报告呈现,有效避免APT攻击对政府核心信息资产造成风险。
根据防御角度和力度的不同,大数据安全分析解决方案有轻量级和重量级两种方案模型。
1轻量级解决方案
只对APT攻击中的关键恶意软件、对外通道进行深度检测和拦截。可将安全沙箱部署在互联网接入区和政务外网安全接入区,检测全网传输文件,发现和阻断未知恶意文件,避免由此可能引发的APT攻击。
该解决方案以华为沙箱为基础,通过和华为NGFW进行安全联动以及日志管理系统logcenter进行APT攻击展示构成一个整体的解决方案。沙箱深度检测恶意软件和C&C通道,秒级同步这些信息给NGFW,防火墙自动响应,生成相关的拦截策略,实现快速拦截。而logcenter采集两个设备的相关日志信息,通过关联分析,准确的展示APT攻击中恶意软件的感染范围,恶意文件下载的情况,以及整网的安全态势情况。
2重量级解决方案
重量级解决方案以CIS大数据安全分析平台为基础,通过对现网关键路径流量、关键系统日志等的采集,快速检测各种异常行为,包括web异常、Mail异常、DNS异常等。
重量级方案的组件较多,可将CIS大数据分析平台部署在管理区,通过探针采集和分析全网的文件、日志、流量,实现APT攻击进行快速检测、告警和报告呈现。由于重量级方案的部署成本较高,推荐部署在省级及以上政务平台。
管理安全
在管理中心部署统一网管系统,集中管理网络中的安全设备,监控安全设备的状态,集中处理安全日志,统一制定安全策略,能够全盘呈现网络中的安全状态、业务环境,实施主动监控,通过安全事件关联分析,及时发现存在的安全隐患;在出口防火墙设置管理员访问权限,要求密码复杂度,可部署堡垒主机分配管理资源,限制管理权限,审计管理行为,达到统一管理,安全管理的目的。
华为政务云安全方案
为“互联网+政务服务”提供坚强的后盾
华为电子政务网安全解决方案,为政务信息化提供了多层次安全,实现全面防护;同时安全设备简单易管理,且性能优异,为“互联网+政务服务”提供坚强的后盾。
1多层次安全,全面防护
根据电子政务网组网特点,在不同的网络层面部署专业的安全设备,为电子政务网Internet网络边界提供了L2-L7的实时安全防护,专业的DDoS防护保障网络带宽和服务器安全,APT沙箱检测系统,对可疑流量和内容进行模拟执行测试,提供未知威胁防御功能,多级安全设备多维度全局环境感知提供更全面的安全防护,NGFW高效的应用感知,识别应用更清晰管控更精细,利用设备及软件的虚拟化技术实现多层次的虚拟化安全,使集中管理中心和分散部署的一体化安全网关成为一个有机结合的整体,既防范外网到公众服务器的访问安全,又对电子政务内部用户及数据中心进行保护,共同为电子政务的网络安全保驾护航。
2统一管理,简单易用,降低管理维护成本
统一管理
通过统一管理软件实现全网安全和网络设备的统一管理,集中管理与控制技术实现了对多台设备的同时安全策略下发和日志的统一收集、分析,更加简化了安全策略实施和风险管理的过程。
策略实施简单
综合安全网关的利用,使各安全模块之间的耦合度和协调性都达到最佳,流量自学习和策略模板化,让安全策略实施过程变得简单,设备部署后,可持续学习现网流量模型,根据现网流量情况,与当前配置的安全策略进行对比,给出策略调优建议,将安全风险减到最低,同时减轻了管理人员的部署维护压力。
3性能优异,稳定可靠,确保业务正常运行
选用高性能设备,实现海量业务处理,高密度接口,满足不同场景需求,直路部署设备均采用双机组网,提高网络可靠性,确保电子政务业务连续性。
目前,华为政务云安全方案已经服务于多个政务网络,例如北京政务云、江西政务云、上海电子政务外网、广州电子政务云、“晋城在线”等。在北京政务云中,华为配置全球领先的CE12800数据中心交换机及USG9500高端防火墙,凭借160Tbps转发性能和1.44Tbps吞吐量以及云化特性为客户构建了弹性易扩展的政务云网络。在上海电子政务外网,USG 9500如同尽职的门卫,默默守护上海政务外网这张大网,为上海市1200多家委办局单位的互联网访问保驾护航。在广州电子政务云,华为为各委办局打造了安全的数据中心网络,在保证政务云网络便利的同时也保证了高可靠的安全性,使各委办局可以放心的把自己的业务牵引到云数据中心中来……华为将持续政务云安全方案创新中,“落实国家信息安全保护制度要求,加强数据安全管理”,支撑建设“一号一窗一网”信息化,做“互联网+政务服务”坚强的后盾。