政務外網安全加固方案設計研究
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了政務外網安全加固方案設計研究范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:該文首先梳理了安徽電子政務外網的安全現狀,并針對安徽電子政務外網三個區域與等保要求的差距進行細致的分析,在此基礎上提出安徽省政務外網的安全加固方案。
關鍵詞:電子政務外網;網絡安全;等級保護
1安徽省電子政務外網安全現狀分析
目前安徽省電子政務外網分為三個區域,分別為紅星路機房、濱湖中心、政務大廈,三個區域由銳捷交換機組成的二層環網相連,至國家電子政務外網的統一出口位于紅星路機房。紅星路機房核心交換機連接兩臺國家下發省級節點路由器,該路由器互為主備關系,分別互為主備連接安徽省的各下級地市。該出口僅有兩臺路由器,沒有其他安全防護設備。政務外網城域網(連接各廳級單位)由電信、聯通兩條專線連接至濱湖匯聚交換機,經過二層環網到紅星路機房,最終到國家電子政務外網。各廳級單位都有兩臺安全網關(F1000-AK125)與濱湖匯聚相連,此為廳級單位連接政務外網的唯一安全設備。
1.1濱湖中心外網網絡和安全現狀描述
濱湖中心外網網絡出口采用負載均衡、防火墻、上網行為串聯組成,負載均衡、防火墻、上網行為采用雙機熱備,保障系統冗余可靠。上網行為下聯核心交換,核心交換下聯到匯聚交換機,匯聚交換機下聯到政務外網專網區接入交換、政務外網辦公區接入交換、普通互聯網辦公區接入交換、政務外網辦公區接入交換等。濱湖中心通過銳捷環網交換機連接到紅星路機房,通往國家電子政務。
1.2紅星路外網網絡和安全現狀描述
紅星路分為互聯網出口、國家電子政務外網出口兩個出口,其中互聯網出口分別使用電信作為出口,且分別連接有防火墻,其中電信出口1和電信出口2防火墻接入兩臺S750E核心交換機和中心辦公局網并接入三地環網。同時電信出口3所連接的防火墻與中心辦公局域網和政務公開所連接。
1.3政務大廈外網網絡和安全現狀描述
政務大廈外網互聯網出口由防火墻組成,防火墻下聯到兩臺核心交換機,兩臺核心交換機再連接到B區匯聚交換機和C區,然后在接入樓層交換機。同時兩臺核心交換機連接到環網交換機,實現局域網與電子政務外網互聯互通。
1.4省直政務外網城域網邊界網絡和安全現狀描述
省直政務外網城域網由電子政務外網接入兩臺核心交換機并由聯通電信專網連接到紅星路、濱湖、政務大廈組成的三地環網,同時有濱湖處進行分發到兩臺匯聚交換機,再由兩臺S7506E匯聚交換機通過聯通、電信專網連接到多業務節點網關,在連接到各個廳局局域網。1.5連接地市的省級廣域網邊界網絡和安全現狀描述兩臺核心路由和兩臺核心交換機相互交叉連接,并通過兩臺核心路由分別連接到個地市路由,再由地市路由連接到縣區外網。
2等保差距分析
對照等級保護要求,分析安徽省電子政務外網分為三個區域與要求的差距,并提出差異性需求。
2.1紅星路中心現有網絡差距分析
紅星路中心現有網絡差距如下:在網絡安全方面,一是防火墻需要在紅星路邊界路由上增加邊界引流防火墻;二是網絡流量分析設備需要在紅星路互聯網核心交換機、邊界路由、紅星路政務外網核心交換機上增加網絡流量分析設備,對網絡流量進行分析;三是上網行為管理需在三臺防火墻上進行串聯上網行為管理系統;四是需在三臺防火墻上分別進行串聯IPS;五是安全審計,需要各個產品能記錄部分日志,難以對審計記錄進行保護,難以生成審計報表。建議采用日志審計系統集中存儲日志和生成審計報表;六是入侵防范應,現階段互聯網出口缺少入侵防御產品;七是惡意代碼防范,建議增加防病毒網關或在IPS上加載防病毒模塊;八是網絡設備防護。需采用人工檢查和系統加固;在安全管理方面,目前缺乏統一的安全管理中心。
2.2濱湖中心現有網絡差距分析
濱湖中心現有網絡差距如下: 在網絡安全方面,一是安全審計。現階段各個產品能記錄部分日志,難以對審計記錄進行保護,難以生成審計報表。建議采用日志審計系統集中存儲日志和生成審計報表;二是惡意代碼防范。現階段互聯網出口缺少惡意代碼防范產品,建議增加防病毒網關或在IPS上加載防病毒模塊。以及病毒庫更新和IPS更新;三是網絡設備防護。需采用人工檢查和系統加固。在安全管理方面,目前缺乏統一的安全管理中心。在網絡安全方面,一是需在互聯網出口處增加抗DDOS設備,對大流量進行清洗操作;二是需濱湖園區核心交換機上增加旁路引流防火墻;三是互聯網出口處和濱湖園區核心交換機上需增加網絡流量監測分析設備。
2.3政務大廈現有網絡差距分析
政務大廈現有網絡差距如下:在網絡安全方面,一是上網行為管理,需在政務大廈出口防火墻下串聯上網行為管理系統來加強對網頁訪問過濾、網絡應用控制以及提升工作效率、提升帶寬利用率等;二是需在上網行為管理系統下串聯IPS來提升政務大廈出口總體安全;三是安全審計,需各個產品能記錄部分日志,難以對審計記錄進行保護,難以生成審計報表。建議采用日志審計系統集中存儲日志和生成審計報表。四是惡意代碼防范。本建議增加防病毒網關或在IPS上加載防病毒模塊。
2.4省直政務外網城域網邊界差距分析
省直政務外網城域網邊界差距如下:在網絡安全方面,一是結構安全。接入平臺其他骨干核心產品選用性能留有足夠冗余空間的產品;二是安全審計。需復用濱湖中心日志審計產品,增加業務審計產品,對業務訪問內容和數據庫訪問內容進行審計;三是入侵防范。建議在接入平臺和濱湖中心政務外網核心區之間采用高性能下一代防火墻產品(含防火墻、入侵防御、防病毒功能)對解密后的訪問流量進行訪問控制、安全攻擊檢測和分析、病毒過濾。四是惡意代碼防范,建議在接入平臺和濱湖中心政務外網核心區之間采用高性能下一代防火墻產品(含防火墻、入侵防御、防病毒功能)對解密后的訪問流量進行訪問控制、安全攻擊檢測和分析、病毒過濾;五是網絡設備防護,需采用人工檢查和系統加固或采用堡壘機產品。在應用安全方面,一是身份鑒別,需采用VPN的證書加用戶名口令實現雙因子認證以及VPN的相關安全機制實現相關要求。證書建議采用單獨的CA認證管理系統;二是安全審計。需采用業務審計對應用用戶訪問內容,數據庫操作內容進行審計分析,生成報表,滿足此項要求;三是通信完整性。應采用密碼技術保證通信過程中數據的完整性,需采用VPN的完整性校驗算法進行數據完整性校驗;四是通信保密性。需采用數字簽名技術和產品,實現抗抵賴。在數據安全方面,一是數據保密性。建議采用VPN技術和產品滿足此要求;二是數據完整性。建議采用VPN技術和產品滿足次要求。在網絡安全方面,在環網濱湖核心交換機處增加安全運維區:1)增加運維防火墻;2)漏洞掃描;3)統一運維堡壘機;4)安全管理平臺;5)網絡流量監控分析平臺,由于省直政務外網城域網缺乏安全運維機制,建議增加安全運維區域和相關安全運維設備,提升整體城域網安全運維能力。
2.5連接地市的省級廣域網邊界差距分析表
連接地市的省級廣域網邊界差距分析如下:在網絡安全方面,一是需在紅星路邊界路由上增加旁路引流防火墻;二是缺乏安全運維區域1)增加運維防火墻;2)漏洞掃描;3)統一運維堡壘機;4)安全管理平臺;5)網絡流量監控分析平臺,整個廣域網缺乏相關運維管理區,建議增加提升整體安全運維運維能力。
3安徽政務外網安全加固方案設計
根據上述需求分析結果,設計到各區域的安全加固方案。
3.1政務大廈互聯網出口安全加固設計
3.2紅星路互聯網出口安全加固設計
3.3濱湖互聯網出口安全加固設計
3.4省直政務外網城域網邊界安全加固設計
3.5連接地市的省級廣域網邊界網絡安全加固設計
參考文獻:
[1]周琦.網站安全管理中的問題及對策[J].電子技術與軟件工程,2017(4):219.
[2]劉文生,樂德廣,劉偉.SQL注入攻擊與防御技術研究[J].信息網絡安全,2015(9):129-134.
[3]宮陽陽,劉勤讓,楊鎮西,等.基于多維有限自動機的DFA改進算法[J].通信學報,2015,36(5):174-186.
[4]張敏,吳郁松,霍朝光.我國電子政務的研究熱點與研究趨勢分析[J].情報雜志,2015,34(2):137-141.
[5]胡傳志,程顯毅,曹小峰.網絡敏感信息自適應多重過濾模型研究[J].計算機科學,2015,42(1):272-275,307.
[6]左曉棟.做好黨政機關網站安全管理工作——中央網信辦1號文件解讀[J].信息安全與通信保密,2015,13(1):62-63.
[7]張建光,朱建明,尚進.電子政務安全與隱私保護研究綜述——基于CNKI數據的計量分析[J].電子政務,2014(11):111-117.
[8]付明騰.政府網站安全漏洞分析及防范措施[J].信息安全與技術,2014,5(11):13-14,21.
作者:姜精如 單位:安徽省經濟信息中心
