微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服
政府行業安全解決方案,電子政務安全接入方案,政府單位網絡安全建設方案
政府單位網絡安全方案

中科網威官網 - 首頁 - 行業解決方案

中科網威電子政務網絡安全解決方案

一、電子政務需求背景

隨著政務外網建設的逐漸完善,承載單位業務逐漸增多,作為國家、省、市、縣的政務基礎網絡,安全問題將是考慮的重點,如何圍繞國家等級保護政策進行各級政務外網的安全保障體系設計是各級主管機構需要考慮的問題。目前黑客針對電子政務網絡攻擊呈現攻擊主體組織化,目標趨利化、政治化,手段智能化、網絡化的趨勢,以APT攻擊特征最為明顯。APT攻擊是針對特定組織所作的復雜且多方位的網絡攻擊,攻擊后留給安全管理人員響應的時間越來越短,使政府用戶來不及對入侵做出響應,目的是獲取政府內部敏感信息或者對政務網絡造成破壞。

政務專網由于屬于可信任網,一直以來對安全防護的重視程度較低,主要出現的問題為蠕蟲爆發、網絡病毒、非法入侵等,造成斷網現象、影響整個政務專網運行及信息泄露。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。如何使信息網絡系統不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。政府機構從事的行業性質是跟國家緊密聯系的,所涉及信息可以說都帶有機密性,所以其信息安全問題,如敏感信息的泄漏、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統的安全,有必要對其網絡進行專門安全設計。 


二、電子政務等保網絡安全方案要求

電子政務網絡安全保障體系建設應首先滿足等保安全原則以及標準化、可控性、完備性和最小影響的原則,為所承載的各級政務部門信息系統提供網絡傳輸通道的安全保障。在此基礎上,電子政務外網信息安全建設在設計過程中應重點考慮以下幾點:


1、電子政務外網與所承載的信息系統區分防護

各接入電子政務外網的政務部門負責各自局域網絡及業務應用系統和數據的安全,并按國家信息系統安全等級保護的法規和標準要求實施定級與保護,應與電子政務外網的管理、安全防護與運維保障系統分別進行安全防護。 


2、安全域劃分保護

電子政務外網等級保護根據所承載的業務應用系統實際的需要,將政務外網劃分為公用網絡區、專用網絡區、互聯網訪問區、托管服務區、安全接入區等不同的安全區域,實施不同的安全策略進行邊界防護。


3、基礎網絡邊界防護

邊界安全解決方案應該能夠根據用戶訪問的IP地址、服務端口、MAC地址、物理網絡區域等網絡要素和用戶身份、應用等要素設計具體的訪問控制策略,對不同安全等級網絡的互聯及各用戶局域網的接入,采用有效的邊界訪問控制策略,對非授權訪問、異常流量、病毒木馬、網絡攻擊等行為進行控制和監測,保證網絡和政務業務的安全。


4、監控審計預警平臺電子政務外網安全監控審計平臺建設是應該作為核心內容。

在政務外網互聯網出入口、重要網絡節點嚴密監控、及時預警大規模網絡攻擊和病毒傳播,監控保障外網的網絡安全,協同各個安全設備,切實防范來自互聯網的大規模病毒攻擊和網絡攻擊,并具備安全事件的路徑分析和溯源能力,真正實現安全事件的預警、檢測、響應、審計,同時作為可持續性運營的基礎平臺。 


三、中科網威政府行業網絡安全方案

1499320453122984.png

電子政務等級保護信息安全方案圖


1、信息系統等保安全方案說明:

在上述幾個安全方面的建設中,中科網威結合自身優勢為政府行業提供了一套完整、安全、可行的政府行業信息安全解決方案。

  • 電子政務信息安全建設將從事前預防,事中減損,和事后糾正三個方面提供全面的防護策略,全面提升提高電子政務安全防護能力;

  • 重點防護對外WEB應用,降低數據泄露風險、支撐WEB可用性以及控制惡意訪問;

  • 采用VPN技術保證電子政務與下屬機構、電子政務與上下級機構以及電子政務與移動辦公工作者的的安全數據交換;

  • 加強主動防御能力,通過全方位、多視角的風險分析,完善電子政務信息系統漏洞,降低安全風險,提高信息系統健壯性;

  • 提升電子政務IT設備運維審計能力,最小化避免操作失誤以及蓄意破壞帶來的損失。采用集中統一的安全管理形式,提高安全管理效率;

電子政務網絡安全等保方案通過中科網威SSL/IPSEC VPN網關、下一代防火墻、IPS入侵檢測、網絡行為審計、運維審計堡壘機、中科網警網管系統與Web應用防火墻、數據庫及業務審計系統等安全產品,共同構建出了一個固若金湯的多層安全防御預防體系。


1)網絡攻擊防護(入侵防御系統)

當電子政務網絡系統遇到互聯網的非法攻擊和入侵的時候,勢必對網上應用和交易系統產生影響,造成訪問效率下降、網絡擁堵等狀況,采用主動式入侵防御系統利用高可靠識別攻擊,精確判斷入侵及攻擊行為并作出相應的反應來解決客戶遇到的上述問題。


2)鏈路負載均衡(下一代防火墻)

為了避免出現鏈路單點故障,保證鏈路接入的高可用性,政府事業單位一般采用不同運營商的多條鏈路接入,采用鏈路負載均衡產品,把訪問外網資源的內網用戶按照要求負載均衡到兩條鏈路,任何一條鏈路出現故障,都能夠實時發現,自動把請求轉發至正常的鏈路;同時把訪問內網資源的用戶自動導向到訪問質量最優的鏈路,并實時監控鏈路的狀態,如果某一鏈路出現故障,自動切換到其他正常鏈路。


3)安全區域劃分和隔離(入侵防火墻)

政府事業單位網絡在數據中心根據不同的安全級別劃分出不同的訪問區域,不同的區域之間互相訪問需要通過安全設備進行隔離,根據不同的安全級別設定策略進行訪問控制,通過多種檢測機制,發現攻擊流量,實時進行阻斷,提高應用系統的安全性。


4)遠程辦公安全接入(VPN安全網關)

電子政務網絡為加強遠程辦公終端的安全性和易用性,采用SSLVPN的接入方式,利用對客戶端安全檢查、靈活定制訪問策略和權限的技術手段,滿足遠程下屬單位辦公用戶或移動辦公接入數據中心簡單方便。


5)Web應用安全防護,服務器防護(WEB應用防火墻)

電子政務網絡在數據中心的建設過程中政府公開網站或政務辦事平臺可以說是核心業務系統,建議采用Web防火墻對電子政務Web服務器進行安全保護,避免針對服務器應用層和源代碼攻擊的風險,中科網威Web應用防護系統(ANYSEC-WAF)是中科網威公司結合多年在應用安全領域實踐經驗積累的基礎上,自主研發的一款Web應用安全防護系統。在提供Web應用實現深度防御的同時,實現Web應用安全防護,黑客漏洞攻擊防護,惡意掃描及探測防護,DDOS/CC攻擊防御,URL自學習保護、Web漏洞掃描、服務器防護、網頁防篡改,數據庫防篡改,網站訪問統計,Web負載均衡等常見及最新的安全問題,為Web應用提供全方位的安全防護解決方案。


6)服務器、網絡設備運維操作審計(運維審計堡壘機系統)

電子政務網絡在數據中心的建設過程中最重要的就是核心業務系統,它包含了至關重要的電子政務系統服務器和核心數據服務器,因此各類服務器及電子政務應用系統的安全防護是客戶最關心的重點,建議采用運維審計(堡壘機)系統進行安全審計保護,避免針對服務器應用層和源代碼攻擊的風險,采用堡壘機系統安全審計平臺對各類數據庫操作,數據表調用和修改的動作進行審計和告警,保證在數量繁多的用戶訪問數據庫的情況下行為能夠進行審計。中科網威堡壘機系統動態口令認證系統確保網上交易系統用戶帳戶和口令的密碼保護,形成"雙因素"強身份認證。

中科網威運維堡壘機(又稱IT運維管理系統/設備)是針對管理“IT管理員”的設備,可對企業IT運維人員在運維操作過程中進行統一身份認證、統一授權、統一審計、統一監控,消除了傳統運維過程中的盲區,實現了運維簡單化、操作可控化、過程可視化,它通過Web方式對主機、服務器、網絡設備、安全設備、數據庫、應用等實施統一認證、授權、審計、分析;具有與身份認證系統無縫結合接口,支持用戶密碼、手機動態口令雙因子認證。實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷,保證只有合法用戶才能使用其擁有運維權限的關鍵資源。為電子政務在操作風險控制、內控安全及規范性等提供一套完善、有效的審計手段。


7)機房服務器、網絡設備、動力環境運維監控報警(運維監控系統)

政府事業單位信息中心運維管理層部署一套運維監控網管系統,為電子政務運維人員提供統一的運維設備狀態短信報警。中科網威自主研發的運維審計系統(中科網警系統)產品以高性能、高穩定性和實用設計為原則,運行于安全可靠的Linux操作系統,采用多層高性能架構設計,可管理上萬個監控對象。全中文WEB架構,全面支持IP網絡上的SNMP、WMI、SYSLOG和IPMI協議以及自有的SECROS協議,動力環境監控的Modbus協議,提供非常豐富IT網絡監控和動力環境監控功能,操作簡單,是追求高穩定性和高性價比的企業用戶、政府、電子政務單位的首選產品,通過中科網警系統,電子政務系統運維人員可對單位內所有網絡安全設備、應用系統服務器、機房動力環境的運行狀況進行全方面的動態監控及故障短信告警。


2、電子政務信息安全方案價值

集中管理:建立了統一電子政務外網安全監控預警平臺,對網絡運行指標和信息安全事件集中展現、集中分析,掌握運行狀態和安全風險。集中管理安全設備,實現電子政務外網安全策略統一管理,對安全策略發布、變更和執行進行流程化管理,確保安全設備防護有效。對電子政務外網網絡定期的專項合規符合性檢查,形成符合等級保護要求

立體性:通過在電子政務外網的管理、技術和運維不同層次上實施不同的安全機制,形成多視角,立體化的信息安全體系,極大提高了檢測的精確性,避免單一類型安全系統失效導致的檢測盲角。

先進性:充分利用先進的高考靠性的安全服務及安全產品,達到針對電子政務外網持續高效防御的目的。

綜合性:通過安全監控預警平臺關聯使用,互相彌補各安全措施的功能劣勢,實現統一監控、管理、維護,實現統一管理和安全指揮的目的。


海南飞鱼是什么项目