政府行業(yè)解決方案
1)、電子政務(wù)安全解決方案
背景
電子政務(wù)外網(wǎng)作為政府的業(yè)務(wù)專網(wǎng),承載了各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)等業(yè)務(wù),是電子政務(wù)體系的基礎(chǔ)支撐網(wǎng)絡(luò)平臺(tái),電子政務(wù)外網(wǎng)的覆蓋范圍很大程度上決 定了電子政務(wù)體系的服務(wù)人群,電子政務(wù)體系的目標(biāo)是要惠及全社會(huì)所有群體,這也就要求電子政務(wù)外網(wǎng)要能真正"橫到邊,豎到底",延伸到社會(huì)基層,完善公眾 服務(wù),這也是承載一些大型政務(wù)業(yè)務(wù)如醫(yī)療保障、社會(huì)保障等業(yè)務(wù)的覆蓋要求。
據(jù)國家信息中心的統(tǒng)計(jì),到目前為止,電子政務(wù)外網(wǎng)已接入75個(gè)中央政務(wù)部門,遍布全國32個(gè)省級(jí)節(jié)點(diǎn)(含新疆生產(chǎn)建設(shè)兵團(tuán)),接入200多個(gè)地市(近 80%)以及1300多個(gè)區(qū)縣(近50%),接入電子政務(wù)外網(wǎng)的各級(jí)政務(wù)部門超過1萬個(gè),接入終端超過40萬臺(tái)。電子政務(wù)外網(wǎng)還需要進(jìn)一步加強(qiáng)覆蓋,尤其 是向全社會(huì)的基層延伸。
而電子政務(wù)外網(wǎng)向社會(huì)基層延伸建設(shè)面臨四大難題,只有找到這些難題的妥善解決之道,電子政務(wù)外網(wǎng)才能順利地向全社會(huì)基層延伸建設(shè),下面我們圍繞這四個(gè)問題來談?wù)劷鉀Q方案:
解決方案
1、建設(shè)成本
政府基層覆蓋面非常廣,全國有數(shù)萬個(gè)鄉(xiāng)鎮(zhèn),數(shù)十萬個(gè)行政村、街道辦事處、社區(qū),電子政務(wù)外網(wǎng)要向如此海量的基層延伸建設(shè),其投入資金是非常巨大的,如何在保證項(xiàng)目質(zhì)量的同時(shí)有效地降低建設(shè)成本,這是各級(jí)政府普遍關(guān)注的焦點(diǎn)。
我們的解決方案充分考慮到投資成本,基層接入采用的多業(yè)務(wù)安全網(wǎng)關(guān)Secospace USG系列產(chǎn)品融合了路由器、交換機(jī)、防火墻、VPN、IPS、防病毒、DDoS防護(hù)、URL過濾、安全準(zhǔn)入控制等眾多豐富的功能,比傳統(tǒng)的設(shè)備堆疊建設(shè) 方案至少節(jié)省50%以上的設(shè)備成本,故障點(diǎn)大幅減少,大大提升網(wǎng)絡(luò)的可靠性,同時(shí)能享受到更高品質(zhì)的售后服務(wù),網(wǎng)絡(luò)出現(xiàn)問題時(shí)不會(huì)因?yàn)椴煌放频脑O(shè)備廠商 而相互推諉。
2、接入方式
偏遠(yuǎn)的地區(qū)或者山區(qū)由于資金、線路等方面的原因難以通過運(yùn)營商專線接入電子政務(wù)外網(wǎng),那么可以采取什么接入方式呢?又如何保證其安全性?
電子政務(wù)外網(wǎng)基層延伸的安全覆蓋解決方案提供了豐富的接入方式,保證不同區(qū)域不同條件的基層能夠通過適合自身的接入方式接入政務(wù)外網(wǎng),實(shí)現(xiàn)政務(wù)外網(wǎng)的完整 性覆蓋。除了專線接入方式之外,基層用戶可以依托互聯(lián)網(wǎng)接入政務(wù)外網(wǎng),一些偏遠(yuǎn)的地區(qū)還可以通過運(yùn)營商的3G無線網(wǎng)絡(luò)接入到區(qū)縣級(jí)政務(wù)外網(wǎng),同時(shí)啟用 VPN加密隔離功能保證接入業(yè)務(wù)的安全性。其建設(shè)框架示意圖,如圖1所示
圖1:電子政務(wù)外網(wǎng)接入方式示意圖
在上級(jí)電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口部署VPN網(wǎng)關(guān),基層通過互聯(lián)網(wǎng)VPN方式接入,計(jì)算機(jī)終端數(shù)量少的基層可以通過分配VPN用戶以客戶端方式撥入VPN網(wǎng) 關(guān),而3G無線接入方式則為有線網(wǎng)絡(luò)不便覆蓋的區(qū)域提供了可行的接入方式,從而以最高性價(jià)比實(shí)現(xiàn)電子政務(wù)外網(wǎng)在基層的延伸覆蓋。
3、安全保障
作為承載各級(jí)政務(wù)部門各種業(yè)務(wù)的公用網(wǎng)絡(luò),政務(wù)外網(wǎng)全網(wǎng)采用VPN技術(shù)保證不同部門不同業(yè)務(wù)之間的安全性與隔離性。
在政務(wù)外網(wǎng)骨干網(wǎng)上,通過成熟的MPLS VPN技術(shù):
1. 縱向?qū)崿F(xiàn)同一政務(wù)部門的業(yè)務(wù)貫通以及不同政務(wù)部門業(yè)務(wù)的安全隔離。
2. 橫向?qū)崿F(xiàn)不同政務(wù)部門業(yè)務(wù)的安全隔離以及有業(yè)務(wù)需求的部門間的橫向互聯(lián)。
而在互聯(lián)網(wǎng)VPN接入方式中,就需要充分考慮到互聯(lián)網(wǎng)VPN與政務(wù)外網(wǎng)骨干網(wǎng)上的MPLS VPN安全對(duì)接,真正達(dá)到各政務(wù)部門的業(yè)務(wù)流量端到端隔離的效果。多業(yè)務(wù)安全網(wǎng)關(guān)Secospace USG系列產(chǎn)品支持豐富的VPN功能,通過VCE功能,能夠使得互聯(lián)網(wǎng)VPN與MPLS VPN一一映射,不同政務(wù)部門業(yè)務(wù)流量在通過VPN網(wǎng)關(guān)及PE設(shè)備之后,只能進(jìn)入本部門所在政務(wù)外網(wǎng)骨干網(wǎng)上的MPLS VPN通道之中,或者根據(jù)需要進(jìn)入相應(yīng)的信息共享MPLS VPN通道,而不會(huì)流向其他部門的私有MPLS VPN通道中,以保證不同部門不同業(yè)務(wù)的安全隔離。如圖2所示。
圖2:互聯(lián)網(wǎng)VPN與政務(wù)外網(wǎng)骨干網(wǎng)MPLS VPN安全對(duì)接示意圖
另外一個(gè)方面,電子政務(wù)外網(wǎng)除了面臨來自互聯(lián)網(wǎng)的威脅之外,各政務(wù)部門內(nèi)部的安全隱患也是不可或缺的重點(diǎn)考慮的一環(huán)。政府基層人員技術(shù)能力薄弱,終端安全 性非常差,如何降低基層終端接入電子政務(wù)外網(wǎng)給整個(gè)網(wǎng)絡(luò)及業(yè)務(wù)帶來的安全隱患?比如基層終端中病毒木馬了,有可能會(huì)蔓延到整個(gè)網(wǎng)絡(luò),對(duì)業(yè)務(wù)造成嚴(yán)重威脅, 所以內(nèi)部安全保障問題至關(guān)重要。
我們提出了先進(jìn)的安全準(zhǔn)入體系建設(shè)思路。終端接入電子政務(wù)外網(wǎng)之前,首先需要經(jīng)過嚴(yán)格的身份認(rèn)證,在通過身份的合法性認(rèn)證之后,還需通過安全準(zhǔn)入系統(tǒng)的安 全檢查方可根據(jù)權(quán)限接入政務(wù)外網(wǎng),訪問相應(yīng)的資源。非法用戶和安全狀態(tài)不達(dá)標(biāo)(比如中病毒、重要漏洞補(bǔ)丁未安裝、系統(tǒng)安全設(shè)置不符合要求等)的終端將被拒 絕接入電子政務(wù)外網(wǎng),從源頭上嚴(yán)格控制安全隱患,保證政務(wù)外網(wǎng)的安全性。
安全準(zhǔn)入系統(tǒng)由三個(gè)部分組成:管理中心、準(zhǔn)入控制網(wǎng)關(guān)以及客戶端軟件。其組網(wǎng)結(jié)構(gòu)如圖3所示。管理中心負(fù)責(zé)全局的系統(tǒng)、策略、用戶配置管理,支持分級(jí)管 理;準(zhǔn)入控制網(wǎng)關(guān)是實(shí)現(xiàn)硬件網(wǎng)關(guān)準(zhǔn)入控制方式的核心設(shè)備,多業(yè)務(wù)安全網(wǎng)關(guān)Secospace USG系列產(chǎn)品具備準(zhǔn)入控制功能;客戶端軟件向執(zhí)行本地計(jì)算機(jī)的身份認(rèn)證和安全策略檢查。為了貼近各地實(shí)際情況,安全準(zhǔn)入系統(tǒng)支持與電子政務(wù)外網(wǎng)的CA系 統(tǒng)聯(lián)動(dòng),具有合法的CA系統(tǒng)身份方可通過身份認(rèn)證,支持無客戶端模式,不需要在各政務(wù)部門內(nèi)部終端上安裝客戶端軟件,通過瀏覽器就可完成身份認(rèn)證及安全檢 查,對(duì)于用戶及業(yè)務(wù)來說是透明的,這種方式在諸多地方推進(jìn)實(shí)施安全準(zhǔn)入系統(tǒng)相比客戶端軟件方式會(huì)顯得較為順利。因?yàn)檎?wù)外網(wǎng)運(yùn)行管理單位對(duì)各級(jí)政務(wù)部門沒 有直接的行政隸屬關(guān)系,難以強(qiáng)制要求各政務(wù)部門終端安裝客戶端軟件,無客戶端模式的支持比較好地緩解了這種問題,在不影響用戶原有使用習(xí)慣的基礎(chǔ)上同時(shí)能 夠保證電子政務(wù)終端準(zhǔn)入的安全性。
圖3:電子政務(wù)外網(wǎng)安全準(zhǔn)入體系建設(shè)結(jié)構(gòu)圖
4、管理運(yùn)維
政府基層人員IT管理、技術(shù)能力薄弱,在遇到IT故障時(shí)難以及時(shí)排查,這就對(duì)上一級(jí)管理中心的管理員提出了更高的要求。那么,如何及時(shí)發(fā)現(xiàn)問題并解決問題,保證基層電子政務(wù)網(wǎng)絡(luò)的持續(xù)高效運(yùn)轉(zhuǎn)?
信息安全不僅僅是一個(gè)技術(shù)問題,更是一個(gè)管理問題,僅依賴于某些安全產(chǎn)品不可能有效地保護(hù)整體信息安全。信息安全作為一個(gè)整體,需要把安全過程中的所有要素如人員、技術(shù)、流程等納入到統(tǒng)一安全管控平臺(tái)中,才能有效地保障政務(wù)專網(wǎng)的安全。
統(tǒng)一安全管控平臺(tái)是一種集中安全管理的形式,它包含集中安全設(shè)備管理、安全事件收集、事件關(guān)聯(lián)分析、狀態(tài)監(jiān)視、分析報(bào)表等重要技術(shù)組件。除技術(shù)之外,管控 平臺(tái)還有一個(gè)重要組成部分就是運(yùn)行人員、應(yīng)急小組和專家隊(duì)伍。所以,平臺(tái)還需要相應(yīng)的管理制度和應(yīng)急處理流程,安全事件處理流程的設(shè)計(jì)是一個(gè)重要環(huán)節(jié)。
通過統(tǒng)一安全管控平臺(tái),能夠?qū)崟r(shí)監(jiān)控全網(wǎng)設(shè)備運(yùn)行狀態(tài),實(shí)現(xiàn)異構(gòu)安全事件的收集和關(guān)聯(lián)分析,建立起資產(chǎn)和風(fēng)險(xiǎn)管理體系,動(dòng)態(tài)跟蹤全網(wǎng)安全風(fēng)險(xiǎn),幫助政務(wù)外 網(wǎng)運(yùn)行管理單位建立起完善的管理體系,在基層政務(wù)外網(wǎng)的運(yùn)行出現(xiàn)問題時(shí)能夠及時(shí)發(fā)現(xiàn)并排查故障,免除后顧之憂,并為未來的網(wǎng)絡(luò)及安全規(guī)劃提供最有力的參考 依據(jù)。
具體詳細(xì)功能及應(yīng)用請(qǐng)聯(lián)系暢聯(lián)信息公司。索取更詳盡資料。
2)、公安行業(yè)統(tǒng)一安全管控
需求背景分析
隨著公安信息化的快速發(fā)展和廣泛應(yīng)用,公安信息通信網(wǎng)已成為公安機(jī)關(guān)和廣大民警履行職責(zé)的重要手段,成為打擊敵人、保護(hù)人民、懲治犯罪、服務(wù)群眾、維護(hù)國 家安全和社會(huì)穩(wěn)定的重要工具。同時(shí),公安網(wǎng)絡(luò)和信息安全保密工作面臨的形勢十分嚴(yán)峻,西方敵對(duì)勢力、臺(tái)獨(dú)分裂勢力、三股勢力和“法輪功”邪教組織等加緊對(duì) 我國進(jìn)行滲透、破壞活動(dòng)。公安信息通信網(wǎng)一旦遭到攻擊和非法接入,不僅危害公安網(wǎng)絡(luò)和信息資源安全,影響各項(xiàng)公安工作的正常開展,而且嚴(yán)重威脅國家安全和 利益。
對(duì)此,我國公安系統(tǒng)在信息安全防護(hù)方面做了許多卓有成效的工作來保障信息與網(wǎng)絡(luò)安全,如“一機(jī)兩用”監(jiān)控系統(tǒng)、病毒監(jiān)控預(yù)警系統(tǒng)、邊界安全接入平臺(tái)、入侵 監(jiān)測系統(tǒng)、PKI/PMI系統(tǒng)、漏洞掃描系統(tǒng)、違規(guī)網(wǎng)站監(jiān)控系統(tǒng)、安全檢查管理系統(tǒng)、異常流量監(jiān)測等,有效提升了信息安全管理和防護(hù)水平,降低和減少了信 息安全問題對(duì)各IT系統(tǒng)的影響。
但隨著公安業(yè)務(wù)系統(tǒng)的增多,安全技術(shù)措施的增強(qiáng),安全產(chǎn)品的不斷增多,安全事件響應(yīng)處理效率,規(guī)章制度落實(shí)效果評(píng)估,都增加了安全管理的難度與復(fù)雜度;給安全管理和運(yùn)維帶來新的挑戰(zhàn)。
公安信息網(wǎng)承載了大量的警務(wù)系統(tǒng),在服務(wù)大眾的同時(shí)也面臨各種安全威脅,主要有黑客攻擊、蠕蟲病毒、網(wǎng)絡(luò)濫用、僵尸網(wǎng)絡(luò)、惡意網(wǎng)站以及垃圾郵件等。如下圖所示:
圖:公安信息網(wǎng)面臨的威脅
公安信息網(wǎng)雖然在前期部署了大量的專業(yè)安全系統(tǒng),但是各安全系統(tǒng)單獨(dú)運(yùn)行,安全信息孤立,造成安全信息孤島,無法實(shí)現(xiàn)全網(wǎng)的協(xié)同防御;缺少一套統(tǒng)一的安全 管理平臺(tái),對(duì)全網(wǎng)的安全進(jìn)行管理和監(jiān)控,同時(shí)在發(fā)生安全事件后,缺少完善的安全知識(shí)體系及流程體系來對(duì)安全事件的處理進(jìn)行支撐,不利于當(dāng)前公安系統(tǒng)業(yè)務(wù)的 發(fā)展。
公安行業(yè)統(tǒng)一安全管控(iSOC)解決方案
1、建設(shè)目標(biāo)
公安系統(tǒng)統(tǒng)一安全管控解決方案以人為核心、以管理為手段、以技術(shù)為保障,全面落實(shí)公安網(wǎng)安全管理制度,實(shí)現(xiàn)安全管理工作的信息化、規(guī)范化,對(duì)安全專項(xiàng)系統(tǒng) 的技術(shù)和管理提供支撐,提供與其他外部系統(tǒng)的接口,與運(yùn)維/值班平臺(tái)、網(wǎng)管系統(tǒng)、資源管理系統(tǒng)等相互配合,保障公安網(wǎng)安全運(yùn)行,提高安全管理水平和工作效 率。
2、平臺(tái)架構(gòu)
如下圖所示,平臺(tái)架構(gòu)由集中展示層、核心處理層、接入交換層構(gòu)成。
• 集中展示層是安全預(yù)警和事件監(jiān)控、安全運(yùn)行監(jiān)控、協(xié)同工作處理、安全知識(shí)培訓(xùn)、綜合分析的統(tǒng)一展示,是安全管理平臺(tái)與各類用戶交互的窗口。
• 核心處理層是實(shí)現(xiàn)安全管理業(yè)務(wù)的核心層,各類安全工作人員完成所授權(quán)的工作,完成對(duì)事件與狀態(tài)的處理,完成平臺(tái)自身的管理,實(shí)現(xiàn)公安信息網(wǎng)安全管理制度的全面落實(shí)。
• 接入交換層包括平臺(tái)級(jí)聯(lián)接口、安全專項(xiàng)系統(tǒng)接口、其他系統(tǒng)接口等,實(shí)現(xiàn)各級(jí)安管平臺(tái)的接入認(rèn)證、級(jí)聯(lián)數(shù)據(jù)同步和安全傳輸;實(shí)現(xiàn)安全專項(xiàng)系統(tǒng)的統(tǒng)一接入管理和策略管理。
3、系統(tǒng)功能
• 集中展示:集中化的安全運(yùn)行數(shù)據(jù)呈現(xiàn),實(shí)現(xiàn)安全管理平臺(tái)對(duì)平臺(tái)核心處理子系統(tǒng)的監(jiān)控類信息、全網(wǎng)工作協(xié)同類信息、信息安全培訓(xùn)知識(shí)、綜合分析類信息等進(jìn)行統(tǒng)一呈現(xiàn),并提供相應(yīng)權(quán)限的查閱與工作界面。
• 運(yùn)行監(jiān)控:運(yùn)行監(jiān)控包括安全信息監(jiān)控、專項(xiàng)系統(tǒng)監(jiān)控和平臺(tái)運(yùn)行監(jiān)控。
• 業(yè)務(wù)處理:依據(jù)業(yè)務(wù)流程人工或自動(dòng)完成安全管理中的日常工作、管理工作和響應(yīng)處理。
• 業(yè)務(wù)統(tǒng)計(jì)分析:業(yè)務(wù)統(tǒng)計(jì)分析實(shí)現(xiàn)安全事件、流程處理、管理考核、安全專項(xiàng)系統(tǒng)運(yùn)行的基本統(tǒng)計(jì)和分析,支持自動(dòng)和人工方式統(tǒng)計(jì)和分析。
• 關(guān)聯(lián)分析:關(guān)聯(lián)分析通過對(duì)已經(jīng)處理的事件、業(yè)務(wù)記錄、基礎(chǔ)資源庫等進(jìn)行綜合分析、挖掘,發(fā)現(xiàn)隱藏在獨(dú)立事件與業(yè)務(wù)背后的規(guī)律與事實(shí),實(shí)現(xiàn)業(yè)務(wù)考核分析、運(yùn)行考核分析、平臺(tái)自身業(yè)務(wù)分析的綜合與提升。
• 業(yè)務(wù)配置:業(yè)務(wù)配置包括監(jiān)控與報(bào)警管理、信息預(yù)警管理、流程管理和模板管理。
• 平臺(tái)管理:平臺(tái)管理包含用戶與授權(quán)、系統(tǒng)審計(jì)、數(shù)據(jù)管理、法規(guī)與案例庫管理、人員庫管理、資產(chǎn)庫管理、備份與恢復(fù)和策略管理。
• 接入交換管理:接入交換管理實(shí)現(xiàn)平臺(tái)級(jí)聯(lián)管理、安全專項(xiàng)系統(tǒng)接口管理、其他系統(tǒng)接口管理。
4、iSOC部署方式
• 集中部署方式