隨著電子政務內網,電子政務外網的不斷深化,政府單位辦公對于各種網絡應用的依賴度越來越高,政府的網絡分為政務專網和鏈接 Internet的網絡,政務專網包括政務內網和外網兩部分,與鏈接Internet網絡之間物理隔離。其中鏈接Internet網絡的部分通常都部署有 網站系統,郵件系統,OA辦公系統,視頻會議系統等等。隨著各種應用系統的接入,政府網絡管理的難度也逐漸增加,網絡安全的問題也日益突出。 CNCERT/CC的2009年11月份的統計報告顯示,大約平均每5個政府網站,就有一個網站被黑!而且,近年來,政府網站被篡改的數目仍然以每年 2~3倍的速度遞增。越來越復雜的網絡運維不僅給網絡運維人員增加了工作難度,也給黑客提供了更多通過系統漏洞成功入侵的機會,一旦政府網絡被黑客侵入,輕則政府門戶網站網頁被篡改,重則發生重要信息被竊密等重大安全事故。
近年來,我國相應出臺了針對信息安全的政策法規,比如:《信息系統安全等級保護實施指南》,《計算機信息系統安全保護等級劃分準則》,《信息系統安全等級保護基本要求》等等。 如何使信息系統不受黑客和工業間諜的入侵,已經成為政府機構信息化健康發展必須要解決的重要問題之一
1、電子政務信息安全建設將從事前預防,事中減損,和事后糾正三個方面提供全面的防護策略,全面提升提高電子政務安全防護能力;
2、重點防護對外WEB應用,降低數據泄露風險、支撐WEB可用性以及控制惡意訪問;
3、采用VPN技術保證電子政務與下屬機構、電子政務與上下級機構以及電子政務與移動辦公工作者的的安全數據交換;
4、加強主動防御能力,通過全方位、多視角的風險分析,完善電子政務信息系統漏洞,降低安全風險,提高信息系統健壯性;
5、提升電子政務IT設備運維審計能力,最小化避免操作失誤以及蓄意破壞帶來的損失。采用集中統一的安全管理形式,提高安全管理效率
當電子政務網絡系統遇到互聯網的非法攻擊和入侵的時候,勢必對網上應用和交易系統產生影響,造成訪問效率下降、網絡擁堵等狀況,采用主動式入侵防御系統利用高可靠識別攻擊,準確判斷入侵及攻擊行為并作出相應的反應來解決客戶遇到的上述問題。
為了避免出現鏈路單點故障,保證鏈路接入的高可用性,政府事業單位一般采用不同運營商的多條鏈路接入,采用鏈路負載均衡產品,把訪問外網資源的內網用戶按照要求負載均衡到兩條鏈路,任何一條鏈路出現故障,都能夠實時發現,自動把請求轉發至正常的鏈路;同時把訪問內網資源的用戶自動導向到訪問質量最優的鏈路,并實時監控鏈路的狀態,如果某一鏈路出現故障,自動切換到其他正常鏈路。
政府事業單位網絡在數據中心根據不同的安全級別劃分出不同的訪問區域,不同的區域之間互相訪問需要通過安全設備進行隔離,根據不同的安全級別設定策略進行訪問控制,通過多種檢測機制,發現攻擊流量,實時進行阻斷,提高應用系統的安全性。
電子政務網絡為加強遠程辦公終端的安全性和易用性,采用SSLVPN的接入方式,利用對客戶端安全檢查、靈活定制訪問策略和權限的技術手段,滿足遠程下屬單位辦公用戶或移動辦公接入數據中心簡單方便。
5)Web應用安全防護,服務器防護(WEB應用防火墻)
電子政務網絡在數據中心的建設過程中政府公開網站或政務辦事平臺可以說是核心業務系統,建議采用Web防火墻對電子政務Web服務器進行安全保護,避免針對服務器應用層和源代碼攻擊的風險,紹祥科技Web應用防護系統(ANYSEC-WAF)是紹祥科技公司結合多年在應用安全領域實踐經驗積累的基礎上,自主研發的一款Web應用安全防護系統。在提供Web應用實現深度防御的同時,實現Web應用安全防護,黑客漏洞攻擊防護,惡意掃描及探測防護,DDOS/CC攻擊防御,URL自學習保護、Web漏洞掃描、服務器防護、網頁防篡改,數據庫防篡改,網站訪問統計,Web負載均衡等常見及最新的安全問題,為Web應用提供全方位的安全防護解決方案。
6)服務器、網絡設備運維操作審計(運維審計堡壘機系統)
電子政務網絡在數據中心的建設過程中最重要的就是核心業務系統,它包含了至關重要的電子政務系統服務器和核心數據服務器,因此各類服務器及電子政務應用系統的安全防護是客戶最關心的重點,建議采用運維審計(堡壘機)系統進行安全審計保護,避免針對服務器應用層和源代碼攻擊的風險,采用堡壘機系統安全審計平臺對各類數據庫操作,數據表調用和修改的動作進行審計和告警,保證在數量繁多的用戶訪問數據庫的情況下行為能夠進行審計。紹祥科技堡壘機系統動態口令認證系統確保網上交易系統用戶帳戶和口令的密碼保護,形成"雙因素"強身份認證。
紹祥科技運維堡壘機(又稱IT運維管理系統/設備)是針對管理“IT管理員”的設備,可對企業IT運維人員在運維操作過程中進行統一身份認證、統一授權、統一審計、統一監控,消除了傳統運維過程中的盲區,實現了運維簡單化、操作可控化、過程可視化,它通過Web方式對主機、服務器、網絡設備、安全設備、數據庫、應用等實施統一認證、授權、審計、分析;具有與身份認證系統無縫結合接口,支持用戶密碼、手機動態口令雙因子認證。實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷,保證只有合法用戶才能使用其擁有運維權限的關鍵資源。為電子政務在操作風險控制、內控安全及規范性等提供一套完善、有效的審計手段。
7)機房服務器、網絡設備、動力環境運維監控報警(運維監控系統)
1、 通過網絡回溯分析技術,還原網絡攻擊發生時的的網絡通信內容,從根源上找出網絡異常流量。強大的網絡分析技術,將從時間、端口、IP地址、TCP/UDP等通訊協議的甄別,快速診斷出攻擊方式、網絡漏洞、攻擊源,為快速解決問題提供有效的依據。
2、 通過異常網絡通訊識別技術,網絡協議解碼技術,異常端口識別技術,主動發現潛在網絡安全隱患,比如:木馬、蠕蟲、ARP病毒等等。幫助網絡管理人員快速定位,阻斷,已感染的主機。改變以前被動的由殺毒軟件,IDS,防火墻的提醒才知道網絡存在異常的情況。
3、 通過部署網絡回溯分析系統,在核心交換機長期的記錄網絡通訊情況,各種網絡通訊都被監控并存儲起來,一旦發生網絡攻擊或網絡泄密事件,可以及時發現、追蹤、取證、防范、反制一系列動作, 從而有效的防治網絡攻擊或信息泄密帶來更大的損失。
4、 通過網絡協議識別技術, 端口識別技術,發現網絡中存在的P2P下載,在線視頻等違規行為。幫助政府單位更好的規范工作人員的上網行為
政府事業單位信息中心運維管理層部署一套運維監控網管系統,為電子政務運維人員提供統一的運維設備狀態短信報警。產品以高性能、高穩定性和實用設計為原則,運行于安全可靠的Linux操作系統,采用多層高性能架構設計,可管理上萬個監控對象。全中文WEB架構,全面支持IP網絡上的SNMP、WMI、SYSLOG和IPMI協議以及自有的SECROS協議,動力環境監控的Modbus協議,提供非常豐富IT網絡監控和動力環境監控功能,操作簡單,是追求高穩定性和高性價比的企業用戶、政府、電子政務單位的首選產品,通過網警系統,電子政務系統運維人員可對單位內所有網絡安全設備、應用系統服務器、機房動力環境的運行狀況進行全方面的動態監控及故障短信告警。
京公網安備4008267453672號
