|
中办发[2002]17号文件《国家信息化领导小组关于我国电子政务建设指导意见》。“十五”期间,我国电子政务建设的主要任务之一就是建设和整合统一的电子政务网络。为适应业务发展和安全保密的要求,有效遏制重复建设,要加快建设和整合统一的网络平台。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。依托统一的国家电子政务通信传输网络,整合建设电子政务外网,支持电子政务业务系统的运行,支持跨部门、跨地区的信息资源共享,支持电子政务业务的互联互通和信息交换,促进政府监管能力和服务水平的提高。政务外网是政府电子政务的基础网络平台,具有统一互联网出口。
政务外网网络分层依次定义为核心层、总汇聚层、汇聚、接入层。核心层作为全网的核心和公网应用的核心汇聚点,总汇聚层作为私网应用的核心汇聚点,从而实现公网应用与私网应用的逻辑分层。总汇聚层交换机与核心交换机之间采用动态路由协议实现动态路由查找及负载均衡,两台总汇聚层交换机之间采用HSRP协议实现双机热备。网络核心节点负责调度穿越各片区的网络流量中继。各片区汇聚节点作为网络流量的集中点,负责将相应下一级网络流量引导至网络核心。各接入点作为当地网络流量的收集点,负责将接入层相应网络流量送往汇聚层,并接收来自汇聚层的流量,此处可以实现更为细致的流量和安全控制。各直属机关单位接入规范:统一采用私有地址接入方式,IP地址按“政务外网IP分配规划”分配;各接入单位部署接入交换机,通过裸光纤线路连接到总汇聚层上;通过总汇聚交换机上安全策略实现各单位安全隔离与通讯,并通过核心层交换机防火墙模块NAT功能实现对外部的访问。
目前,大多数直属单位的接入包括两种情况:(1)通过路由方式直接接入(统一采用私有地址接入方式);(2)通过防火墙(路由器)NAT(使用分配的私有地址)后接入。接入后的单位在核心交换机上统一NAT后访问互联网。政务外网中,除了各政府部门业务系统,还有政府门户网站平台、各部门网上审批平台,实现信息发布、政务公开、项目报备与审批等服务。在外网的架构内,各部门、中心、服务器群、终端互相协同工作,无疑网络信息安全是重中之重。
政务外网安全需求分析
l 稳定、安全、可靠、高性能的管理设备;支持双机或多机热备;
l 通过对政务外网出口网络资源(互联网访问)访问的控制来实现桌面终端安全管理的代理软件强制安装,重定向安装引导页面;
l 支持对路由方式或经防火墙NAT地址转换后接入管理;
l 终端随意接入、非授权终端准入认证;
l 实现用户认证管理,能根据接入用户的属性制定相应的、多方式认证策略;
l 对接入外网平台、访问互联网资源的桌面终端进行安全状态的检测和修复;系统安全健康性检查。检查内容主要包括防病毒和系统补丁等;
l 具备同政务外网部署的微软补丁系统WSUS的联动和管理功能:实现对桌面终端微软补丁系统的管理,具备强制、自动安装信息中心的WSUS终端补丁客户端代理软件,定时检测并能控制桌面终端完成补丁修补。
l 提供快速“非健康”终端定位的功能:能及时、准确定位“存在安全问题”的桌面终端,提供报警示意功能,并采用技术手段隔离此类终端至终端修复“问题”,恢复正常状态。
l 提供政务外网接入终端安全状态、进程、异常流量、文件传输的监控管理;
l 分组、多级用户、策略管理:能够按照行政管理部门IP地址或用户名的划分“组”,且具备分“组”单独控制管理能力,能按照“组”制定不同的安全策略进行管理。
l 系统操作日志、报警日志、运行日志等日志信息的报表备份、导出。
宝信eCop 解决方案
上海宝信软件股份有限公司着眼于安全管理中最重要且最为薄弱的内网安全环节,自2002年率先提出“内网安全”、“构建可信并可控的内网”的理念和目标之后,再次创新性的提出新的安全理念:基于主动防御的动态安全防御模型“AD-PDRR”,针对大型行业、企业用户的网络安全需求现状,参照公安部颁布的《信息安全等级保护管理办法》和《互联网安全保护技术措施规定》(公安部第82号令),遵循ISO17799安全标准及GB/T涉密资质认证要求,宝信eCop从终端接入控制、终端健康体检、终端运行维护、上网行为管理等方面入手,采取主动防御与控制的手段,为政务网内网安全提供可靠全面的的技术保障,大大方便管理人员对内网的安全管理。结合政务网内网需求,我们可以做到:
l eCop-NSM支持双机、多机热备;
l 针对政务网的特点,宝信eCop可以与网络边界设备进行联动保护,在政务外网并联部署 eCop-NSM,同时在外网出口部署的网关设备与eCop-NSM联动,放行可信地址的网络流量,拦截非可信地址的网络流量;当非可信地址进行网页浏览时,重定向该地址的页面访问到eCop客户端安装页面,通过内嵌ActiveX控件的方式自动部署客户端代理软件,无需用户干预。
l 对于NAT接入用户, eCop客户端助手进行用户认证和健康检查后,在后台发起虚拟通道连接,连接到eCop-NSM。eCop客户端定周期地对健康状况和认证信息进行校验,校验不通过则提示进行补丁和病毒的安装和更新,并断开虚拟通道。
l eCop-NSM 的总貌图功能,可以逐级展示用户逻辑拓扑图,展现终端各分组的安全状况。通过闪烁红、黄、绿灯表示该分组的安全状况。直接点击总貌图中的图标,可以查看对应的接入设备的详细信息。
l eCop-NSM要求接入终端使用用户名和口令进行认证。对于不同属性的用户,可以制定不同的认证策略:如正常用户、匿名用户、特殊用户和临时用户。
l eCop-NSM对IP合理管理以及授权管理。由于不同接入单位接入互联网时都需要通过eCop-NSM,即使局域网络地址相同,分配到的虚拟地址也会不同,因此不会有IP地址冲突的问题。由于不同客户端有不同的虚拟IP,能够按照不同的策略管理。能够按照IP直接划分组织机构,用户也可根据需要按照用户名划分组织机构,能够对组织机构进行单独授权和制定不同的安全策略。
l 终端安全管理,是用户构建“可信”和“可控”内网环境的可靠保证。监控、管理政务系统接入Windows系统的计算机、服务器的系统补丁、防病毒软件、软硬件配置、进程、外设、网络连接、异常流量等安全状态,在满足接入的基准策略后,还必须符合操作系统基本安全要求,符合组织制定的终端安全规范,才能够认定为处于健康状态。同时对政务网内终端对不合格的终端,将提示详细的不合格的原因框及修复的步骤,并根据检测结果采取相应的修复指导,修补终端安全缺陷。一旦完成修复,则允许重新正常接入、访问网络(互联网)资源。
l 终端运行维护,对合法接入终端提供远程桌面管理、文件分发、访问控制、文件审计、打印监控和通知发布等维护功能。提供系统内网终端补丁、漏洞信息检查和自动更新功能。针对多数政务系统安装有微软补丁系统WSUS,eCop客户端能够与WSUS联动管理,并能定时检测终端补丁安装情况,如补丁安装情况不符合要求,则不能通过eCop-NSM接入互联网。如果需要,可以使用eCop-NSM的软件分发功能,强制、自动安装WSUS终端补丁客户端代理软件。同时宝信eCop及时发现内网者终端的防病毒软件安装、及时更新、使用信息,方面管理员查看制定安装情况、阻断没有及时更新终端接入等策略,从整体安全角度立体防御内网。eCop强大的内网安全维护功能,可以有效减轻管理员远程维护的工作困难,是实现“可控”内网环境的有力辅助。
l 上网行为管理,对政务系统已接入终端访问互联网的用户实现实时监控和事后追溯。实时分析上网用户的访问行为,包括访问地址、使用应用、访问时间、访问流量等。
l 简便部署、多级管理、数据集中,eCop-NSM中央控制器、大规模多网段扫描代理;客户端简单部署;开放式B/S管理体系结构;支持针对组织结构的策略管理;全面的审计日志;支持自定义日志数据管理备份。
|
