安全資訊

政府行業(yè)信息安全現狀分析

1，目前來(lái)說(shuō)，政府的網(wǎng)絡(luò )分類(lèi)接入Internet網(wǎng)絡(luò )和政務(wù)專(zhuān)網(wǎng)兩個(gè)部分，這兩者之間是采用物理隔離的方式，其中Internet網(wǎng)絡(luò )部署多種應用系統，比如網(wǎng)站系統、郵件系統和辦公系統等等。

2，2009年11月份，CNCERT/CC的統計報告顯示，大約平均每5個(gè)政府網(wǎng)站中，就有一個(gè)網(wǎng)站被黑，并且近年來(lái)，隨著(zhù)技術(shù)的發(fā)展，政府網(wǎng)站被篡改的數目仍然是以每年2-3倍的速度遞增。通過(guò)這材料，也可以看出政府網(wǎng)站被黑、被攻擊、被篡改的數量是非常大的，并且增長(cháng)速度非?？?，因此政府行業(yè)信息安全解決方案也急需完善。

3，政府部門(mén)的郵件系統采用的多數郵件服務(wù)器都存在不能有效對非法言論、有害信息等進(jìn)行高效過(guò)濾，不能有效防止病毒蔓延和因病毒導致的數據泄露等問(wèn)題。

4，政府的辦公網(wǎng)有大量用戶(hù)需要訪(fǎng)問(wèn)Internet ，這就導致關(guān)鍵應用如郵件系統、ERP系統、視頻會(huì )議等系統的帶寬無(wú)法得到保障，而有限的 Internet 帶寬中又充斥著(zhù) P2P 下載、游戲、在線(xiàn)視頻等非關(guān)鍵應用。內部員工的 Internet 訪(fǎng)問(wèn)不受限制，經(jīng)常由于訪(fǎng)問(wèn)非法網(wǎng)站，導致感染病毒，影響整個(gè)內部局域網(wǎng)。

5，因為政務(wù)專(zhuān)網(wǎng)由于屬于可信任網(wǎng)，所以一直以來(lái)對安全防護的重視程度較低，主要出現的問(wèn)題為蠕蟲(chóng)爆發(fā)、arp病毒等，造成斷網(wǎng)現象、影響整個(gè)政務(wù)專(zhuān)網(wǎng)運行。 因此，這些現狀也要求每個(gè)政府部門(mén)都要慎重制定屬于自己的政府行業(yè)信息安全解決方案。

政府行業(yè)信息安全等級保護解決方案設計的要點(diǎn)

了解了政府行業(yè)信息安全面臨的現狀，現在上訊信息就根據多年來(lái)的實(shí)施經(jīng)驗為大家分析在設計政府行業(yè)信息安全解決方案時(shí)需要注意的幾個(gè)重點(diǎn)。

1， 應用層安全防護：CNCERT/CC的2009年11月份的統計報告給我們的警示就是， 對于網(wǎng)站系統， web應用防火墻采用多重安全防護提供最高級別的保護。這些防護包括動(dòng)態(tài)配置文件、HTTP 協(xié)議驗證、平臺攻擊安全和關(guān)聯(lián)攻擊確認。

對于數據庫系統, 數據庫應用監控防護系統可為 Oracle、MS-SQL 、DB2(包括主機)和 Sybase 數據庫提供自動(dòng)化評估、審計和保護功能。動(dòng)態(tài)建模技術(shù)可自動(dòng)創(chuàng )建數據庫使用業(yè)務(wù)模型和細化到訪(fǎng)問(wèn)數據庫的每個(gè)用戶(hù)和應用程序的查詢(xún)級別的安全策略。

詳細的數據庫活動(dòng)審計和報告功能使得滿(mǎn)足審計規定要求更方便，且不會(huì )對數據庫性能產(chǎn)生任何影響。獨特的業(yè)務(wù)活動(dòng)分析和相關(guān)性技術(shù)可將真正的攻擊與無(wú)害的用戶(hù)行為變化分離開(kāi)來(lái)，從而提供實(shí)時(shí)保護。

2，郵件審計和安全防護：面對政府的郵件系統所存在的問(wèn)題，上訊信息建議大家在設計時(shí)應采用兩重防護的措施。在外層，采用獨特的信譽(yù)過(guò)濾，在內層，對深層內容進(jìn)行過(guò)濾。

3，移動(dòng)辦公接入：若是想要加強遠程辦公終端的安全性和易用性，大家可采用SSLVPN的接入方式，這樣利用對客戶(hù)端安全檢查、靈活定制訪(fǎng)問(wèn)策略和權限的技術(shù)手段，滿(mǎn)足移動(dòng)辦公用戶(hù)接入數據中心簡(jiǎn)單方便的需求。

4， 帶寬管理 ：政府的互聯(lián)網(wǎng)帶寬通常在200M左右，而政府有大量的的內部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)，其關(guān)鍵應用的保障以及非關(guān)鍵應用的限制以監控需要使用帶寬管理產(chǎn)品對Internet 出口帶寬進(jìn)行控制，通過(guò)深入識別流量與應用，結合豐富的流量管理策略對某種應用進(jìn)行帶寬的保證、帶寬限制、按照優(yōu)先級處理等。

5，服務(wù)器負載均衡 ：我們知道，不同的政府職能部門(mén)會(huì )部署不同的應用系統，比如公安部門(mén)的綜合查詢(xún)系統、稅務(wù)的金稅工程等等。想要保證這些系統穩定可靠的運行，可以采用服務(wù)器負載均衡的方式來(lái)提高應用的可用性。

使用了負載均衡產(chǎn)品，可以把大量用戶(hù)的請求平均分發(fā)到多臺服務(wù)器上面，并實(shí)時(shí)監控服務(wù)器運行狀態(tài)，快速發(fā)現服務(wù)器的故障，把用戶(hù)請求轉發(fā)到其他正常的服務(wù)器上面。

6，鏈路負載均衡 ：作為電子政務(wù)網(wǎng)平臺的一部分，多條 Internet 接入是必須的，因為這樣能夠防止單點(diǎn)故障，減少停機時(shí)間。但是在設計政府行業(yè)信息安全解決方案的時(shí)候，還要事先解決如何把外網(wǎng)用戶(hù)的請求負載均衡到兩條鏈路上面，同時(shí)把內網(wǎng)用戶(hù)訪(fǎng)問(wèn)外網(wǎng)的請求負載均衡到兩條鏈路上面，并且在某一條鏈路出現故障時(shí)，能夠及時(shí)把上述兩種請求切換到正常的鏈路的問(wèn)題。

7，安全防護 ：采用防護墻對內外網(wǎng)、DMZ等安全區域進(jìn)行隔離，并且進(jìn)行入侵防護的話(huà)，可以提高整個(gè)網(wǎng)絡(luò )的安全性、保護內網(wǎng)服務(wù)器資源，同時(shí)進(jìn)行入侵檢測。

8，Internet 安全訪(fǎng)問(wèn)網(wǎng)關(guān)：采用 Internet 安全訪(fǎng)問(wèn)網(wǎng)關(guān)設備，對員工上網(wǎng)行為進(jìn)行管理，提高工作效率。

9，統一訪(fǎng)問(wèn)控制 ：采用終端準入產(chǎn)品進(jìn)行統一訪(fǎng)問(wèn)控制，可以在客戶(hù)端接入網(wǎng)絡(luò )之前就對其的安全狀態(tài)進(jìn)行評估，對于不符合要求的用戶(hù)會(huì )自動(dòng)進(jìn)行隔離或者修復。而且，上訊信息的終端準入產(chǎn)品提供對終端自身的狀態(tài)和行為進(jìn)行合規性檢查，覆蓋多達20多項的檢測標準，能夠應對各類(lèi)審計標準以及終端安全要求，同時(shí)提供智能修復機制，強制調整終端自身安全標準，保證企業(yè)入網(wǎng)終端的安全，并根據國內外信息安全多種規章制度，內置了適應各種行業(yè)的合規模板，方便管理者快速制定本地化的檢查策略

10，網(wǎng)絡(luò )攻擊及入侵：當政府部門(mén)的業(yè)務(wù)系統遭到互聯(lián)網(wǎng)的非法攻擊和入侵的時(shí)候，基本上都會(huì )導致訪(fǎng)問(wèn)效率下降，網(wǎng)絡(luò )擁堵等狀況。所以，這時(shí)部門(mén)應該采用主動(dòng)式入侵防御系統利用高可識別攻擊，精確判斷入侵及攻擊行為并做出相應的反應來(lái)保障業(yè)務(wù)系統的正常使用。