政府信息安全现状及相应的等级保护解决方案
政府行业信息安全现状分析
1,目前来说,政府的网络分类接入Internet网络和政务专网两个部分,这两者之间是采用物理隔离的方式,其中Internet网络部署多种应用系统,比如网站系统、邮件系统和办公系统等等。
2,2009年11月份,CNCERT/CC的统计报告显示,大约平均每5个政府网站中,就有一个网站被黑,并且近年来,随着技术的发展,政府网站被篡改的数目仍然是以每年2-3倍的速度递增。通过这材料,也可以看出政府网站被黑、被攻击、被篡改的数量是非常大的,并且增长速度非常快,因此政府行业信息安全解决方案也急需完善。
3,政府部门的邮件系统采用的多数邮件服务器都存在不能有效对非法言论、有害信息等进行高效过滤,不能有效防止病毒蔓延和因病毒导致的数据泄露等问题。
4,政府的办公网有大量用户需要访问Internet ,这就导致关键应用如邮件系统、ERP系统、视频会议等系统的带宽无法得到保障,而有限的 Internet 带宽中又充斥着 P2P 下载、游戏、在线视频等非关键应用。内部员工的 Internet 访问不受限制,经常由于访问非法网站,导致感染病毒,影响整个内部局域网。
5,因为政务专网由于属于可信任网,所以一直以来对安全防护的重视程度较低,主要出现的问题为蠕虫爆发、arp病毒等,造成断网现象、影响整个政务专网运行。 因此,这些现状也要求每个政府部门都要慎重制定属于自己的政府行业信息安全解决方案。
政府行业信息安全等级保护解决方案设计的要点
了解了政府行业信息安全面临的现状,现在上讯信息就根据多年来的实施经验为大家分析在设计政府行业信息安全解决方案时需要注意的几个重点。
1, 应用层安全防护:CNCERT/CC的2009年11月份的统计报告给我们的警示就是, 对于网站系统, web应用防火墙采用多重安全防护提供最高级别的保护。这些防护包括动态配置文件、HTTP 协议验证、平台攻击安全和关联攻击确认。
对于数据库系统, 数据库应用监控防护系统可为 Oracle、MS-SQL 、DB2(包括主机)和 Sybase 数据库提供自动化评估、审计和保护功能。动态建模技术可自动创建数据库使用业务模型和细化到访问数据库的每个用户和应用程序的查询级别的安全策略。
详细的数据库活动审计和报告功能使得满足审计规定要求更方便,且不会对数据库性能产生任何影响。独特的业务活动分析和相关性技术可将真正的攻击与无害的用户行为变化分离开来,从而提供实时保护。
2,邮件审计和安全防护:面对政府的邮件系统所存在的问题,上讯信息建议大家在设计时应采用两重防护的措施。在外层,采用独特的信誉过滤,在内层,对深层内容进行过滤。
3,移动办公接入:若是想要加强远程办公终端的安全性和易用性,大家可采用SSLVPN的接入方式,这样利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便的需求。
4, 带宽管理 :政府的互联网带宽通常在200M左右,而政府有大量的的内部用户访问互联网,其关键应用的保障以及非关键应用的限制以监控需要使用带宽管理产品对Internet 出口带宽进行控制,通过深入识别流量与应用,结合丰富的流量管理策略对某种应用进行带宽的保证、带宽限制、按照优先级处理等。
5,服务器负载均衡 :我们知道,不同的政府职能部门会部署不同的应用系统,比如公安部门的综合查询系统、税务的金税工程等等。想要保证这些系统稳定可靠的运行,可以采用服务器负载均衡的方式来提高应用的可用性。
使用了负载均衡产品,可以把大量用户的请求平均分发到多台服务器上面,并实时监控服务器运行状态,快速发现服务器的故障,把用户请求转发到其他正常的服务器上面。
6,链路负载均衡 :作为电子政务网平台的一部分,多条 Internet 接入是必须的,因为这样能够防止单点故障,减少停机时间。但是在设计政府行业信息安全解决方案的时候,还要事先解决如何把外网用户的请求负载均衡到两条链路上面,同时把内网用户访问外网的请求负载均衡到两条链路上面,并且在某一条链路出现故障时,能够及时把上述两种请求切换到正常的链路的问题。
7,安全防护 :采用防护墙对内外网、DMZ等安全区域进行隔离,并且进行入侵防护的话,可以提高整个网络的安全性、保护内网服务器资源,同时进行入侵检测。
8,Internet 安全访问网关:采用 Internet 安全访问网关设备,对员工上网行为进行管理,提高工作效率。
9,统一访问控制 :采用终端准入产品进行统一访问控制,可以在客户端接入网络之前就对其的安全状态进行评估,对于不符合要求的用户会自动进行隔离或者修复。而且,上讯信息的终端准入产品提供对终端自身的状态和行为进行合规性检查,覆盖多达20多项的检测标准,能够应对各类审计标准以及终端安全要求,同时提供智能修复机制,强制调整终端自身安全标准,保证企业入网终端的安全,并根据国内外信息安全多种规章制度,内置了适应各种行业的合规模板,方便管理者快速制定本地化的检查策略
10,网络攻击及入侵:当政府部门的业务系统遭到互联网的非法攻击和入侵的时候,基本上都会导致访问效率下降,网络拥堵等状况。所以,这时部门应该采用主动式入侵防御系统利用高可识别攻击,精确判断入侵及攻击行为并做出相应的反应来保障业务系统的正常使用。