華為政務(wù)云安全方案：“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的堅強后盾

　　近日，國務(wù)院辦公廳轉發(fā)國家發(fā)展改革委等10部門(mén)《推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”開(kāi)展信息惠民試點(diǎn)的實(shí)施方案》，在全社會(huì )引起廣泛關(guān)注。方案重點(diǎn)提出“一號一窗一網(wǎng)”為主要工作目標，”一號”申請，簡(jiǎn)化優(yōu)化群眾辦事流程，變“群眾跑腿”為“信息跑路”，“一窗”受理，改革創(chuàng )新政務(wù)服務(wù)模式，變“群眾來(lái)回跑”為“部門(mén)協(xié)同辦”，“一網(wǎng)”通辦，暢通政務(wù)服務(wù)方式渠道，變“被動(dòng)服務(wù)”為“主動(dòng)服務(wù)”。這些無(wú)疑開(kāi)啟了政務(wù)服務(wù)新時(shí)代，但是其背后需要強大的ICT基礎設施的支撐，構建統一政務(wù)云，實(shí)現信息的互通共享，同時(shí)也需要要確保數據信息的安全性。通常政務(wù)云面臨著(zhù)如下安全挑戰：

　　針對互聯(lián)網(wǎng)惡意攻擊、關(guān)鍵信息泄漏、安全事件難溯源等安全風(fēng)險，以及國家安全等級保護三（二）級的建設要求，華為提出政務(wù)云安全方案，根據統一電子政務(wù)云平臺標準、制度和技術(shù)體系，綜合運用信息安全技術(shù)，從網(wǎng)絡(luò )安全、主機安全、應用安全、虛擬化安全、數據安全等方面建立和完善信息安全保障體系，全面提升安全服務(wù)能力。

　　華為政務(wù)云安全解決方案架構圖

　　根據服務(wù)對象的不同，政務(wù)云一般分為互聯(lián)網(wǎng)區和政務(wù)外網(wǎng)區兩大塊。互聯(lián)網(wǎng)區主要部署面向社會(huì )管理和公眾服務(wù)的業(yè)務(wù)，其互聯(lián)網(wǎng)接入區用于公眾接入訪(fǎng)問(wèn)。政務(wù)外網(wǎng)區主要部署政府內部業(yè)務(wù)類(lèi)應用和基礎服務(wù)類(lèi)應用，其互聯(lián)網(wǎng)安全接入區主要供各行政機構、地方單位、出差人員遠程VPN接入。

　　針對不同區域的安全等級和防御特點(diǎn)，華為結合ISO27001、等級保護二級和三級等法律法規的要求，從網(wǎng)絡(luò )安全、數據傳輸安全、應用系統安全、虛擬化安全、大數據安全、管理安全幾個(gè)維度提出了政務(wù)云安全加固的建設思路。

　　網(wǎng)絡(luò )安全主要解決的是區域隔離和邊界安全防護，在城域網(wǎng)互聯(lián)出口部署DDoS、NGFW、SSLVPN、IPS，解決網(wǎng)絡(luò )區域隔離、大流量攻擊、L2-L7層攻擊、網(wǎng)絡(luò )入侵、病毒傳播、遠程用戶(hù)接入合法性等安全問(wèn)題，與沙箱配合使用，解決APT攻擊，保證網(wǎng)絡(luò )的安全性和有效性；在數據中心出口部署高性能綜合安全網(wǎng)關(guān)，并啟用網(wǎng)關(guān)中的多虛擬系統，對政務(wù)網(wǎng)用戶(hù)訪(fǎng)問(wèn)服務(wù)器的南北訪(fǎng)問(wèn)流量，以及服務(wù)器區橫向跨區訪(fǎng)問(wèn)的東西向流量，提供設備虛擬化安全能力，滿(mǎn)足委辦局租戶(hù)業(yè)務(wù)隔離，獨立安全配置和管理需求。

　　電子政務(wù)的各個(gè)政府部門(mén)之間都是縱向管理的網(wǎng)絡(luò )，通過(guò)在政府部門(mén)網(wǎng)絡(luò )出口部署NGFW安全網(wǎng)關(guān)，可以在各部門(mén)縱向網(wǎng)絡(luò )間建立安全IPSecVPN加密通道，保證數據傳輸的安全性。

　　電子政務(wù)網(wǎng)絡(luò )的數據中心內部署了大量服務(wù)器和存儲系統，承載電子政務(wù)網(wǎng)的關(guān)鍵業(yè)務(wù)和重要數據，該網(wǎng)絡(luò )是安全防范的重點(diǎn)，數據中心網(wǎng)絡(luò )的出口部署高性能數據中心網(wǎng)關(guān)，開(kāi)啟入侵防御功能，可以有效阻止針對數據中心網(wǎng)絡(luò )的攻擊行為，復用互聯(lián)網(wǎng)出口的Anti-DDoS拒絕服務(wù)攻擊防護系統，對服務(wù)器的應用層攻擊進(jìn)行清洗，防止針對網(wǎng)站和郵件系統的惡意攻擊，保證系統的正常運行；WEB服務(wù)器前端部署WEB防護網(wǎng)關(guān)，保護WEB服務(wù)器免受SQL注入、跨站點(diǎn)攻擊等威脅，保障WEB業(yè)務(wù)的正常運行。

　　同時(shí)，針對郵件、OA等文件系統，部署APT未知威脅檢測系統，通過(guò)還原交換機或者傳統安全設備鏡像的網(wǎng)絡(luò )流量，在虛擬的環(huán)境內對網(wǎng)絡(luò )中傳輸的文件進(jìn)行檢測，實(shí)現對未知惡意文件的檢測。

　　隨著(zhù)電子政務(wù)云的發(fā)展，如何有效隔離，如何有效防護虛擬機安全，成為虛擬化安全的重點(diǎn)，在數據中心出口通過(guò)綜合安全網(wǎng)關(guān)的多虛擬系統，為不同的委辦局和不同的業(yè)務(wù)分配不同的虛擬系統，在網(wǎng)絡(luò )層面進(jìn)行隔離；在云平臺安裝軟件虛擬防火墻vFW，解決VM之間的互訪(fǎng)安全，對網(wǎng)絡(luò )不可見(jiàn)的東西向流量進(jìn)行隔離和防護，從網(wǎng)絡(luò )層和VM多層面解決虛擬化網(wǎng)絡(luò )安全問(wèn)題。

　　針對政務(wù)云可能遭遇的高級持續威脅（APT），華為提出了大數據安全分析解決方案。該方案通過(guò)采集全網(wǎng)的文件、日志和流量，真正做到基于行為異常的分析和檢測，同時(shí)配合傳統安全產(chǎn)品，進(jìn)行全網(wǎng)的協(xié)防聯(lián)動(dòng)。通過(guò)多種安全產(chǎn)品的協(xié)同配合，過(guò)對APT攻擊進(jìn)行快速檢測、告警和報告呈現，有效避免APT攻擊對政府核心信息資產(chǎn)造成風(fēng)險。

　　只對APT攻擊中的關(guān)鍵惡意軟件、對外通道進(jìn)行深度檢測和攔截。可將安全沙箱部署在互聯(lián)網(wǎng)接入區和政務(wù)外網(wǎng)安全接入區，檢測全網(wǎng)傳輸文件，發(fā)現和阻斷未知惡意文件，避免由此可能引發(fā)的APT攻擊。

　　該解決方案以華為沙箱為基礎，通過(guò)和華為NGFW進(jìn)行安全聯(lián)動(dòng)以及日志管理系統logcenter進(jìn)行APT攻擊展示構成一個(gè)整體的解決方案。沙箱深度檢測惡意軟件和C&C通道，秒級同步這些信息給NGFW，防火墻自動(dòng)響應，生成相關(guān)的攔截策略，實(shí)現快速攔截。而logcenter采集兩個(gè)設備的相關(guān)日志信息，通過(guò)關(guān)聯(lián)分析，準確的展示APT攻擊中惡意軟件的感染范圍，惡意文件下載的情況，以及整網(wǎng)的安全態(tài)勢情況。

　　華為輕量級大數據安全解決方案架構

　　重量級解決方案以CIS大數據安全分析平臺為基礎，通過(guò)對現網(wǎng)關(guān)鍵路徑流量、關(guān)鍵系統日志等的采集，快速檢測各種異常行為，包括web異常、Mail異常、DNS異常等。

　　重量級方案的組件較多，可將CIS大數據分析平臺部署在管理區，通過(guò)探針采集和分析全網(wǎng)的文件、日志、流量，實(shí)現APT攻擊進(jìn)行快速檢測、告警和報告呈現。由于重量級方案的部署成本較高，推薦部署在省級及以上政務(wù)平臺。

　　華為重量級大數據安全解決方案架構

　　在管理中心部署統一網(wǎng)管系統，集中管理網(wǎng)絡(luò )中的安全設備，監控安全設備的狀態(tài)，集中處理安全日志，統一制定安全策略，能夠全盤(pán)呈現網(wǎng)絡(luò )中的安全狀態(tài)、業(yè)務(wù)環(huán)境，實(shí)施主動(dòng)監控，通過(guò)安全事件關(guān)聯(lián)分析，及時(shí)發(fā)現存在的安全隱患；在出口防火墻設置管理員訪(fǎng)問(wèn)權限，要求密碼復雜度，可部署堡壘主機分配管理資源，限制管理權限，審計管理行為，達到統一管理，安全管理的目的。

　　華為電子政務(wù)網(wǎng)安全解決方案，為政務(wù)信息化提供了多層次安全，實(shí)現全面防護；同時(shí)安全設備簡(jiǎn)單易管理，且性能優(yōu)異，為“互聯(lián)網(wǎng)+政務(wù)服務(wù)”提供堅強的后盾。

　　根據電子政務(wù)網(wǎng)組網(wǎng)特點(diǎn)，在不同的網(wǎng)絡(luò )層面部署專(zhuān)業(yè)的安全設備，為電子政務(wù)網(wǎng)Internet網(wǎng)絡(luò )邊界提供了L2-L7的實(shí)時(shí)安全防護，專(zhuān)業(yè)的DDoS防護保障網(wǎng)絡(luò )帶寬和服務(wù)器安全，APT沙箱檢測系統，對可疑流量和內容進(jìn)行模擬執行測試，提供未知威脅防御功能，多級安全設備多維度全局環(huán)境感知提供更全面的安全防護，NGFW高效的應用感知，識別應用更清晰管控更精細，利用設備及軟件的虛擬化技術(shù)實(shí)現多層次的虛擬化安全，使集中管理中心和分散部署的一體化安全網(wǎng)關(guān)成為一個(gè)有機結合的整體，既防范外網(wǎng)到公眾服務(wù)器的訪(fǎng)問(wèn)安全，又對電子政務(wù)內部用戶(hù)及數據中心進(jìn)行保護，共同為電子政務(wù)的網(wǎng)絡(luò )安全保駕護航。

　　通過(guò)統一管理軟件實(shí)現全網(wǎng)安全和網(wǎng)絡(luò )設備的統一管理，集中管理與控制技術(shù)實(shí)現了對多臺設備的同時(shí)安全策略下發(fā)和日志的統一收集、分析，更加簡(jiǎn)化了安全策略實(shí)施和風(fēng)險管理的過(guò)程。

　　綜合安全網(wǎng)關(guān)的利用，使各安全模塊之間的耦合度和協(xié)調性都達到最佳，流量自學(xué)習和策略模板化，讓安全策略實(shí)施過(guò)程變得簡(jiǎn)單，設備部署后，可持續學(xué)習現網(wǎng)流量模型，根據現網(wǎng)流量情況，與當前配置的安全策略進(jìn)行對比，給出策略調優(yōu)建議，將安全風(fēng)險減到最低，同時(shí)減輕了管理人員的部署維護壓力。

　　選用高性能設備，實(shí)現海量業(yè)務(wù)處理，高密度接口，滿(mǎn)足不同場(chǎng)景需求，直路部署設備均采用雙機組網(wǎng)，提高網(wǎng)絡(luò )可靠性，確保電子政務(wù)業(yè)務(wù)連續性。

　　目前，華為政務(wù)云安全方案已經(jīng)服務(wù)于多個(gè)政務(wù)網(wǎng)絡(luò )，例如北京政務(wù)云、江西政務(wù)云、上海電子政務(wù)外網(wǎng)、廣州電子政務(wù)云、“晉城在線(xiàn)”等。在北京政務(wù)云中，華為配置全球領(lǐng)先的CE12800數據中心交換機及USG9500高端防火墻，憑借160Tbps轉發(fā)性能和1.44Tbps吞吐量以及云化特性為客戶(hù)構建了彈性易擴展的政務(wù)云網(wǎng)絡(luò )。在上海電子政務(wù)外網(wǎng)，USG9500如同盡職的門(mén)衛，默默守護上海政務(wù)外網(wǎng)這張大網(wǎng)，為上海市1200多家委辦局單位的互聯(lián)網(wǎng)訪(fǎng)問(wèn)保駕護航。在廣州電子政務(wù)云，華為為各委辦局打造了安全的數據中心網(wǎng)絡(luò )，在保證政務(wù)云網(wǎng)絡(luò )便利的同時(shí)也保證了高可靠的安全性，使各委辦局可以放心的把自己的業(yè)務(wù)牽引到云數據中心中來(lái)……華為將持續政務(wù)云安全方案創(chuàng )新中，“落實(shí)國家信息安全保護制度要求，加強數據安全管理”，支撐建設“一號一窗一網(wǎng)”信息化，做“互聯(lián)網(wǎng)+政務(wù)服務(wù)”堅強的后盾。