公務(wù)員期刊網(wǎng) 論文中心 正文

政務(wù)外網(wǎng)安全加固方案設(shè)計(jì)研究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了政務(wù)外網(wǎng)安全加固方案設(shè)計(jì)研究范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

政務(wù)外網(wǎng)安全加固方案設(shè)計(jì)研究

摘要:該文首先梳理了安徽電子政務(wù)外網(wǎng)安全現(xiàn)狀,并針對(duì)安徽電子政務(wù)外網(wǎng)三個(gè)區(qū)域與等保要求的差距進(jìn)行細(xì)致的分析,在此基礎(chǔ)上提出安徽省政務(wù)外網(wǎng)的安全加固方案。

關(guān)鍵詞:電子政務(wù)外網(wǎng);網(wǎng)絡(luò)安全;等級(jí)保護(hù)

1安徽省電子政務(wù)外網(wǎng)安全現(xiàn)狀分析

目前安徽省電子政務(wù)外網(wǎng)分為三個(gè)區(qū)域,分別為紅星路機(jī)房、濱湖中心、政務(wù)大廈,三個(gè)區(qū)域由銳捷交換機(jī)組成的二層環(huán)網(wǎng)相連,至國家電子政務(wù)外網(wǎng)的統(tǒng)一出口位于紅星路機(jī)房。紅星路機(jī)房核心交換機(jī)連接兩臺(tái)國家下發(fā)省級(jí)節(jié)點(diǎn)路由器,該路由器互為主備關(guān)系,分別互為主備連接安徽省的各下級(jí)地市。該出口僅有兩臺(tái)路由器,沒有其他安全防護(hù)設(shè)備。政務(wù)外網(wǎng)城域網(wǎng)(連接各廳級(jí)單位)由電信、聯(lián)通兩條專線連接至濱湖匯聚交換機(jī),經(jīng)過二層環(huán)網(wǎng)到紅星路機(jī)房,最終到國家電子政務(wù)外網(wǎng)。各廳級(jí)單位都有兩臺(tái)安全網(wǎng)關(guān)(F1000-AK125)與濱湖匯聚相連,此為廳級(jí)單位連接政務(wù)外網(wǎng)的唯一安全設(shè)備。

1.1濱湖中心外網(wǎng)網(wǎng)絡(luò)和安全現(xiàn)狀描述

濱湖中心外網(wǎng)網(wǎng)絡(luò)出口采用負(fù)載均衡、防火墻、上網(wǎng)行為串聯(lián)組成,負(fù)載均衡、防火墻、上網(wǎng)行為采用雙機(jī)熱備,保障系統(tǒng)冗余可靠。上網(wǎng)行為下聯(lián)核心交換,核心交換下聯(lián)到匯聚交換機(jī),匯聚交換機(jī)下聯(lián)到政務(wù)外網(wǎng)專網(wǎng)區(qū)接入交換、政務(wù)外網(wǎng)辦公區(qū)接入交換、普通互聯(lián)網(wǎng)辦公區(qū)接入交換、政務(wù)外網(wǎng)辦公區(qū)接入交換等。濱湖中心通過銳捷環(huán)網(wǎng)交換機(jī)連接到紅星路機(jī)房,通往國家電子政務(wù)。

1.2紅星路外網(wǎng)網(wǎng)絡(luò)和安全現(xiàn)狀描述

紅星路分為互聯(lián)網(wǎng)出口、國家電子政務(wù)外網(wǎng)出口兩個(gè)出口,其中互聯(lián)網(wǎng)出口分別使用電信作為出口,且分別連接有防火墻,其中電信出口1和電信出口2防火墻接入兩臺(tái)S750E核心交換機(jī)和中心辦公局網(wǎng)并接入三地環(huán)網(wǎng)。同時(shí)電信出口3所連接的防火墻與中心辦公局域網(wǎng)和政務(wù)公開所連接。

1.3政務(wù)大廈外網(wǎng)網(wǎng)絡(luò)和安全現(xiàn)狀描述

政務(wù)大廈外網(wǎng)互聯(lián)網(wǎng)出口由防火墻組成,防火墻下聯(lián)到兩臺(tái)核心交換機(jī),兩臺(tái)核心交換機(jī)再連接到B區(qū)匯聚交換機(jī)和C區(qū),然后在接入樓層交換機(jī)。同時(shí)兩臺(tái)核心交換機(jī)連接到環(huán)網(wǎng)交換機(jī),實(shí)現(xiàn)局域網(wǎng)與電子政務(wù)外網(wǎng)互聯(lián)互通。

1.4省直政務(wù)外網(wǎng)城域網(wǎng)邊界網(wǎng)絡(luò)和安全現(xiàn)狀描述

省直政務(wù)外網(wǎng)城域網(wǎng)由電子政務(wù)外網(wǎng)接入兩臺(tái)核心交換機(jī)并由聯(lián)通電信專網(wǎng)連接到紅星路、濱湖、政務(wù)大廈組成的三地環(huán)網(wǎng),同時(shí)有濱湖處進(jìn)行分發(fā)到兩臺(tái)匯聚交換機(jī),再由兩臺(tái)S7506E匯聚交換機(jī)通過聯(lián)通、電信專網(wǎng)連接到多業(yè)務(wù)節(jié)點(diǎn)網(wǎng)關(guān),在連接到各個(gè)廳局局域網(wǎng)。1.5連接地市的省級(jí)廣域網(wǎng)邊界網(wǎng)絡(luò)和安全現(xiàn)狀描述兩臺(tái)核心路由和兩臺(tái)核心交換機(jī)相互交叉連接,并通過兩臺(tái)核心路由分別連接到個(gè)地市路由,再由地市路由連接到縣區(qū)外網(wǎng)。

2等保差距分析

對(duì)照等級(jí)保護(hù)要求,分析安徽省電子政務(wù)外網(wǎng)分為三個(gè)區(qū)域與要求的差距,并提出差異性需求。

2.1紅星路中心現(xiàn)有網(wǎng)絡(luò)差距分析

紅星路中心現(xiàn)有網(wǎng)絡(luò)差距如下:在網(wǎng)絡(luò)安全方面,一是防火墻需要在紅星路邊界路由上增加邊界引流防火墻;二是網(wǎng)絡(luò)流量分析設(shè)備需要在紅星路互聯(lián)網(wǎng)核心交換機(jī)、邊界路由、紅星路政務(wù)外網(wǎng)核心交換機(jī)上增加網(wǎng)絡(luò)流量分析設(shè)備,對(duì)網(wǎng)絡(luò)流量進(jìn)行分析;三是上網(wǎng)行為管理需在三臺(tái)防火墻上進(jìn)行串聯(lián)上網(wǎng)行為管理系統(tǒng);四是需在三臺(tái)防火墻上分別進(jìn)行串聯(lián)IPS;五是安全審計(jì),需要各個(gè)產(chǎn)品能記錄部分日志,難以對(duì)審計(jì)記錄進(jìn)行保護(hù),難以生成審計(jì)報(bào)表。建議采用日志審計(jì)系統(tǒng)集中存儲(chǔ)日志和生成審計(jì)報(bào)表;六是入侵防范應(yīng),現(xiàn)階段互聯(lián)網(wǎng)出口缺少入侵防御產(chǎn)品;七是惡意代碼防范,建議增加防病毒網(wǎng)關(guān)或在IPS上加載防病毒模塊;八是網(wǎng)絡(luò)設(shè)備防護(hù)。需采用人工檢查和系統(tǒng)加固;在安全管理方面,目前缺乏統(tǒng)一的安全管理中心。

2.2濱湖中心現(xiàn)有網(wǎng)絡(luò)差距分析

濱湖中心現(xiàn)有網(wǎng)絡(luò)差距如下: 在網(wǎng)絡(luò)安全方面,一是安全審計(jì)。現(xiàn)階段各個(gè)產(chǎn)品能記錄部分日志,難以對(duì)審計(jì)記錄進(jìn)行保護(hù),難以生成審計(jì)報(bào)表。建議采用日志審計(jì)系統(tǒng)集中存儲(chǔ)日志和生成審計(jì)報(bào)表;二是惡意代碼防范?,F(xiàn)階段互聯(lián)網(wǎng)出口缺少惡意代碼防范產(chǎn)品,建議增加防病毒網(wǎng)關(guān)或在IPS上加載防病毒模塊。以及病毒庫更新和IPS更新;三是網(wǎng)絡(luò)設(shè)備防護(hù)。需采用人工檢查和系統(tǒng)加固。在安全管理方面,目前缺乏統(tǒng)一的安全管理中心。在網(wǎng)絡(luò)安全方面,一是需在互聯(lián)網(wǎng)出口處增加抗DDOS設(shè)備,對(duì)大流量進(jìn)行清洗操作;二是需濱湖園區(qū)核心交換機(jī)上增加旁路引流防火墻;三是互聯(lián)網(wǎng)出口處和濱湖園區(qū)核心交換機(jī)上需增加網(wǎng)絡(luò)流量監(jiān)測(cè)分析設(shè)備。

2.3政務(wù)大廈現(xiàn)有網(wǎng)絡(luò)差距分析

政務(wù)大廈現(xiàn)有網(wǎng)絡(luò)差距如下:在網(wǎng)絡(luò)安全方面,一是上網(wǎng)行為管理,需在政務(wù)大廈出口防火墻下串聯(lián)上網(wǎng)行為管理系統(tǒng)來加強(qiáng)對(duì)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制以及提升工作效率、提升帶寬利用率等;二是需在上網(wǎng)行為管理系統(tǒng)下串聯(lián)IPS來提升政務(wù)大廈出口總體安全;三是安全審計(jì),需各個(gè)產(chǎn)品能記錄部分日志,難以對(duì)審計(jì)記錄進(jìn)行保護(hù),難以生成審計(jì)報(bào)表。建議采用日志審計(jì)系統(tǒng)集中存儲(chǔ)日志和生成審計(jì)報(bào)表。四是惡意代碼防范。本建議增加防病毒網(wǎng)關(guān)或在IPS上加載防病毒模塊。

2.4省直政務(wù)外網(wǎng)城域網(wǎng)邊界差距分析

省直政務(wù)外網(wǎng)城域網(wǎng)邊界差距如下:在網(wǎng)絡(luò)安全方面,一是結(jié)構(gòu)安全。接入平臺(tái)其他骨干核心產(chǎn)品選用性能留有足夠冗余空間的產(chǎn)品;二是安全審計(jì)。需復(fù)用濱湖中心日志審計(jì)產(chǎn)品,增加業(yè)務(wù)審計(jì)產(chǎn)品,對(duì)業(yè)務(wù)訪問內(nèi)容和數(shù)據(jù)庫訪問內(nèi)容進(jìn)行審計(jì);三是入侵防范。建議在接入平臺(tái)和濱湖中心政務(wù)外網(wǎng)核心區(qū)之間采用高性能下一代防火墻產(chǎn)品(含防火墻、入侵防御、防病毒功能)對(duì)解密后的訪問流量進(jìn)行訪問控制、安全攻擊檢測(cè)和分析、病毒過濾。四是惡意代碼防范,建議在接入平臺(tái)和濱湖中心政務(wù)外網(wǎng)核心區(qū)之間采用高性能下一代防火墻產(chǎn)品(含防火墻、入侵防御、防病毒功能)對(duì)解密后的訪問流量進(jìn)行訪問控制、安全攻擊檢測(cè)和分析、病毒過濾;五是網(wǎng)絡(luò)設(shè)備防護(hù),需采用人工檢查和系統(tǒng)加固或采用堡壘機(jī)產(chǎn)品。在應(yīng)用安全方面,一是身份鑒別,需采用VPN的證書加用戶名口令實(shí)現(xiàn)雙因子認(rèn)證以及VPN的相關(guān)安全機(jī)制實(shí)現(xiàn)相關(guān)要求。證書建議采用單獨(dú)的CA認(rèn)證管理系統(tǒng);二是安全審計(jì)。需采用業(yè)務(wù)審計(jì)對(duì)應(yīng)用用戶訪問內(nèi)容,數(shù)據(jù)庫操作內(nèi)容進(jìn)行審計(jì)分析,生成報(bào)表,滿足此項(xiàng)要求;三是通信完整性。應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性,需采用VPN的完整性校驗(yàn)算法進(jìn)行數(shù)據(jù)完整性校驗(yàn);四是通信保密性。需采用數(shù)字簽名技術(shù)和產(chǎn)品,實(shí)現(xiàn)抗抵賴。在數(shù)據(jù)安全方面,一是數(shù)據(jù)保密性。建議采用VPN技術(shù)和產(chǎn)品滿足此要求;二是數(shù)據(jù)完整性。建議采用VPN技術(shù)和產(chǎn)品滿足次要求。在網(wǎng)絡(luò)安全方面,在環(huán)網(wǎng)濱湖核心交換機(jī)處增加安全運(yùn)維區(qū):1)增加運(yùn)維防火墻;2)漏洞掃描;3)統(tǒng)一運(yùn)維堡壘機(jī);4)安全管理平臺(tái);5)網(wǎng)絡(luò)流量監(jiān)控分析平臺(tái),由于省直政務(wù)外網(wǎng)城域網(wǎng)缺乏安全運(yùn)維機(jī)制,建議增加安全運(yùn)維區(qū)域和相關(guān)安全運(yùn)維設(shè)備,提升整體城域網(wǎng)安全運(yùn)維能力。

2.5連接地市的省級(jí)廣域網(wǎng)邊界差距分析表

連接地市的省級(jí)廣域網(wǎng)邊界差距分析如下:在網(wǎng)絡(luò)安全方面,一是需在紅星路邊界路由上增加旁路引流防火墻;二是缺乏安全運(yùn)維區(qū)域1)增加運(yùn)維防火墻;2)漏洞掃描;3)統(tǒng)一運(yùn)維堡壘機(jī);4)安全管理平臺(tái);5)網(wǎng)絡(luò)流量監(jiān)控分析平臺(tái),整個(gè)廣域網(wǎng)缺乏相關(guān)運(yùn)維管理區(qū),建議增加提升整體安全運(yùn)維運(yùn)維能力。

3安徽政務(wù)外網(wǎng)安全加固方案設(shè)計(jì)

根據(jù)上述需求分析結(jié)果,設(shè)計(jì)到各區(qū)域的安全加固方案。

3.1政務(wù)大廈互聯(lián)網(wǎng)出口安全加固設(shè)計(jì)

3.2紅星路互聯(lián)網(wǎng)出口安全加固設(shè)計(jì)

3.3濱湖互聯(lián)網(wǎng)出口安全加固設(shè)計(jì)

3.4省直政務(wù)外網(wǎng)城域網(wǎng)邊界安全加固設(shè)計(jì)

3.5連接地市的省級(jí)廣域網(wǎng)邊界網(wǎng)絡(luò)安全加固設(shè)計(jì)

參考文獻(xiàn):

[1]周琦.網(wǎng)站安全管理中的問題及對(duì)策[J].電子技術(shù)與軟件工程,2017(4):219.

[2]劉文生,樂德廣,劉偉.SQL注入攻擊與防御技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2015(9):129-134.

[3]宮陽陽,劉勤讓,楊鎮(zhèn)西,等.基于多維有限自動(dòng)機(jī)的DFA改進(jìn)算法[J].通信學(xué)報(bào),2015,36(5):174-186.

[4]張敏,吳郁松,霍朝光.我國電子政務(wù)的研究熱點(diǎn)與研究趨勢(shì)分析[J].情報(bào)雜志,2015,34(2):137-141.

[5]胡傳志,程顯毅,曹小峰.網(wǎng)絡(luò)敏感信息自適應(yīng)多重過濾模型研究[J].計(jì)算機(jī)科學(xué),2015,42(1):272-275,307.

[6]左曉棟.做好黨政機(jī)關(guān)網(wǎng)站安全管理工作——中央網(wǎng)信辦1號(hào)文件解讀[J].信息安全與通信保密,2015,13(1):62-63.

[7]張建光,朱建明,尚進(jìn).電子政務(wù)安全與隱私保護(hù)研究綜述——基于CNKI數(shù)據(jù)的計(jì)量分析[J].電子政務(wù),2014(11):111-117.

[8]付明騰.政府網(wǎng)站安全漏洞分析及防范措施[J].信息安全與技術(shù),2014,5(11):13-14,21.

作者:姜精如 單位:安徽省經(jīng)濟(jì)信息中心