近日,国务院办公厅转发国家发展改革委等10部门《推进“互联网+政务服务”开展信息惠民试点的实施方案》,在全社会引起广泛关注。方案重点提出“一号一窗一网”为主要工作目标,”一号”申请,简化优化群众办事流程,变“群众跑腿”为“信息跑路”,“一窗”受理,改革创新政务服务模式,变“群众来回跑”为“部门协同办”,“一网”通办,畅通政务服务方式渠道,变“被动服务”为“主动服务”。这些无疑开启了政务服务新时代,但是其背后需要强大的ICT基础设施的支撑,构建统一政务云,实现信息的互通共享,同时也需要要确保数据信息的安全性。通常政务云面临着如下安全挑战:
? 政务云与互联网的隔离及数据交换
? 零日漏洞、高级持续威胁(APT)对政务云服务器带来的威胁
? 各部委虚机、用户之间的安全隔离,避免数据泄露及滥用
? 基于大数据的安全威胁分析,及时全面的掌握政务云整网安全态势并及时处理
? 此外政务云还需要满足国家信息安全二级/三级等保要求。
为“互联网+政务服务”加把锁——华为政务云安全方案
针对互联网恶意攻击、关键信息泄漏、安全事件难溯源等安全风险,以及国家安全等级保护三(二)级的建设要求,华为提出政务云安全方案,根据统一电子政务云平台标准、制度和技术体系,综合运用信息安全技术,从网络安全、主机安全、应用安全、虚拟化安全、数据安全等方面建立和完善信息安全保障体系,全面提升安全服务能力。
华为政务云安全解决方案架构图
根据服务对象的不同,政务云一般分为互联网区和政务外网区两大块。互联网区主要部署面向社会管理和公众服务的业务,其互联网接入区用于公众接入访问。政务外网区主要部署政府内部业务类应用和基础服务类应用,其互联网安全接入区主要供各行政机构、地方单位、出差人员远程VPN接入。
针对不同区域的安全等级和防御特点,华为结合ISO27001、等级保护二级和三级等法律法规的要求,从网络安全、数据传输安全、应用系统安全、虚拟化安全、大数据安全、管理安全几个维度提出了政务云安全加固的建设思路。
? 网络安全
网络安全主要解决的是区域隔离和边界安全防护,在城域网互联出口部署DDoS、NGFW、SSL VPN、IPS,解决网络区域隔离、大流量攻击、L2-L7层攻击、网络入侵、病毒传播、远程用户接入合法性等安全问题,与沙箱配合使用,解决APT攻击,保证网络的安全性和有效性;在数据中心出口部署高性能综合安全网关,并启用网关中的多虚拟系统,对政务网用户访问服务器的南北访问流量,以及服务器区横向跨区访问的东西向流量,提供设备虚拟化安全能力,满足委办局租户业务隔离,独立安全配置和管理需求。
? 数据传输安全
电子政务的各个政府部门之间都是纵向管理的网络,通过在政府部门网络出口部署NGFW安全网关,可以在各部门纵向网络间建立安全IPSec VPN加密通道,保证数据传输的安全性。
? 应用系统安全
电子政务网络的数据中心内部署了大量服务器和存储系统,承载电子政务网的关键业务和重要数据,该网络是安全防范的重点,数据中心网络的出口部署高性能数据中心网关,开启入侵防御功能,可以有效阻止针对数据中心网络的攻击行为,复用互联网出口的Anti-DDoS拒绝服务攻击防护系统,对服务器的应用层攻击进行清洗,防止针对网站和邮件系统的恶意攻击,保证系统的正常运行;WEB服务器前端部署WEB防护网关,保护WEB服务器免受SQL注入、跨站点攻击等威胁,保障WEB业务的正常运行。