政務外網(wǎng)安全加固方案設計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了政務外網(wǎng)安全加固方案設計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：該文首先梳理了安徽電子政務外網(wǎng)的安全現(xiàn)狀，并針對安徽電子政務外網(wǎng)三個區(qū)域與等保要求的差距進行細致的分析，在此基礎上提出安徽省政務外網(wǎng)的安全加固方案。

關鍵詞：電子政務外網(wǎng)；網(wǎng)絡安全；等級保護

1安徽省電子政務外網(wǎng)安全現(xiàn)狀分析

目前安徽省電子政務外網(wǎng)分為三個區(qū)域，分別為紅星路機房、濱湖中心、政務大廈，三個區(qū)域由銳捷交換機組成的二層環(huán)網(wǎng)相連，至國家電子政務外網(wǎng)的統(tǒng)一出口位于紅星路機房。紅星路機房核心交換機連接兩臺國家下發(fā)省級節(jié)點路由器，該路由器互為主備關系，分別互為主備連接安徽省的各下級地市。該出口僅有兩臺路由器，沒有其他安全防護設備。政務外網(wǎng)城域網(wǎng)(連接各廳級單位)由電信、聯(lián)通兩條專線連接至濱湖匯聚交換機，經(jīng)過二層環(huán)網(wǎng)到紅星路機房，最終到國家電子政務外網(wǎng)。各廳級單位都有兩臺安全網(wǎng)關(F1000-AK125)與濱湖匯聚相連，此為廳級單位連接政務外網(wǎng)的唯一安全設備。

1.1濱湖中心外網(wǎng)網(wǎng)絡和安全現(xiàn)狀描述

濱湖中心外網(wǎng)網(wǎng)絡出口采用負載均衡、防火墻、上網(wǎng)行為串聯(lián)組成，負載均衡、防火墻、上網(wǎng)行為采用雙機熱備，保障系統(tǒng)冗余可靠。上網(wǎng)行為下聯(lián)核心交換，核心交換下聯(lián)到匯聚交換機，匯聚交換機下聯(lián)到政務外網(wǎng)專網(wǎng)區(qū)接入交換、政務外網(wǎng)辦公區(qū)接入交換、普通互聯(lián)網(wǎng)辦公區(qū)接入交換、政務外網(wǎng)辦公區(qū)接入交換等。濱湖中心通過銳捷環(huán)網(wǎng)交換機連接到紅星路機房，通往國家電子政務。

1.2紅星路外網(wǎng)網(wǎng)絡和安全現(xiàn)狀描述

紅星路分為互聯(lián)網(wǎng)出口、國家電子政務外網(wǎng)出口兩個出口，其中互聯(lián)網(wǎng)出口分別使用電信作為出口，且分別連接有防火墻，其中電信出口1和電信出口2防火墻接入兩臺S750E核心交換機和中心辦公局網(wǎng)并接入三地環(huán)網(wǎng)。同時電信出口3所連接的防火墻與中心辦公局域網(wǎng)和政務公開所連接。

1.3政務大廈外網(wǎng)網(wǎng)絡和安全現(xiàn)狀描述

政務大廈外網(wǎng)互聯(lián)網(wǎng)出口由防火墻組成，防火墻下聯(lián)到兩臺核心交換機，兩臺核心交換機再連接到B區(qū)匯聚交換機和C區(qū)，然后在接入樓層交換機。同時兩臺核心交換機連接到環(huán)網(wǎng)交換機，實現(xiàn)局域網(wǎng)與電子政務外網(wǎng)互聯(lián)互通。

1.4省直政務外網(wǎng)城域網(wǎng)邊界網(wǎng)絡和安全現(xiàn)狀描述

省直政務外網(wǎng)城域網(wǎng)由電子政務外網(wǎng)接入兩臺核心交換機并由聯(lián)通電信專網(wǎng)連接到紅星路、濱湖、政務大廈組成的三地環(huán)網(wǎng)，同時有濱湖處進行分發(fā)到兩臺匯聚交換機，再由兩臺S7506E匯聚交換機通過聯(lián)通、電信專網(wǎng)連接到多業(yè)務節(jié)點網(wǎng)關，在連接到各個廳局局域網(wǎng)。1.5連接地市的省級廣域網(wǎng)邊界網(wǎng)絡和安全現(xiàn)狀描述兩臺核心路由和兩臺核心交換機相互交叉連接，并通過兩臺核心路由分別連接到個地市路由，再由地市路由連接到縣區(qū)外網(wǎng)。

2等保差距分析

對照等級保護要求，分析安徽省電子政務外網(wǎng)分為三個區(qū)域與要求的差距，并提出差異性需求。

2.1紅星路中心現(xiàn)有網(wǎng)絡差距分析

紅星路中心現(xiàn)有網(wǎng)絡差距如下：在網(wǎng)絡安全方面，一是防火墻需要在紅星路邊界路由上增加邊界引流防火墻；二是網(wǎng)絡流量分析設備需要在紅星路互聯(lián)網(wǎng)核心交換機、邊界路由、紅星路政務外網(wǎng)核心交換機上增加網(wǎng)絡流量分析設備，對網(wǎng)絡流量進行分析；三是上網(wǎng)行為管理需在三臺防火墻上進行串聯(lián)上網(wǎng)行為管理系統(tǒng)；四是需在三臺防火墻上分別進行串聯(lián)IPS；五是安全審計，需要各個產(chǎn)品能記錄部分日志，難以對審計記錄進行保護，難以生成審計報表。建議采用日志審計系統(tǒng)集中存儲日志和生成審計報表；六是入侵防范應，現(xiàn)階段互聯(lián)網(wǎng)出口缺少入侵防御產(chǎn)品；七是惡意代碼防范，建議增加防病毒網(wǎng)關或在IPS上加載防病毒模塊；八是網(wǎng)絡設備防護。需采用人工檢查和系統(tǒng)加固；在安全管理方面，目前缺乏統(tǒng)一的安全管理中心。

2.2濱湖中心現(xiàn)有網(wǎng)絡差距分析

濱湖中心現(xiàn)有網(wǎng)絡差距如下： 在網(wǎng)絡安全方面，一是安全審計?，F(xiàn)階段各個產(chǎn)品能記錄部分日志，難以對審計記錄進行保護，難以生成審計報表。建議采用日志審計系統(tǒng)集中存儲日志和生成審計報表；二是惡意代碼防范?，F(xiàn)階段互聯(lián)網(wǎng)出口缺少惡意代碼防范產(chǎn)品，建議增加防病毒網(wǎng)關或在IPS上加載防病毒模塊。以及病毒庫更新和IPS更新；三是網(wǎng)絡設備防護。需采用人工檢查和系統(tǒng)加固。在安全管理方面，目前缺乏統(tǒng)一的安全管理中心。在網(wǎng)絡安全方面，一是需在互聯(lián)網(wǎng)出口處增加抗DDOS設備，對大流量進行清洗操作；二是需濱湖園區(qū)核心交換機上增加旁路引流防火墻；三是互聯(lián)網(wǎng)出口處和濱湖園區(qū)核心交換機上需增加網(wǎng)絡流量監(jiān)測分析設備。

2.3政務大廈現(xiàn)有網(wǎng)絡差距分析

政務大廈現(xiàn)有網(wǎng)絡差距如下：在網(wǎng)絡安全方面，一是上網(wǎng)行為管理，需在政務大廈出口防火墻下串聯(lián)上網(wǎng)行為管理系統(tǒng)來加強對網(wǎng)頁訪問過濾、網(wǎng)絡應用控制以及提升工作效率、提升帶寬利用率等；二是需在上網(wǎng)行為管理系統(tǒng)下串聯(lián)IPS來提升政務大廈出口總體安全；三是安全審計，需各個產(chǎn)品能記錄部分日志，難以對審計記錄進行保護，難以生成審計報表。建議采用日志審計系統(tǒng)集中存儲日志和生成審計報表。四是惡意代碼防范。本建議增加防病毒網(wǎng)關或在IPS上加載防病毒模塊。

2.4省直政務外網(wǎng)城域網(wǎng)邊界差距分析

省直政務外網(wǎng)城域網(wǎng)邊界差距如下：在網(wǎng)絡安全方面，一是結構安全。接入平臺其他骨干核心產(chǎn)品選用性能留有足夠冗余空間的產(chǎn)品；二是安全審計。需復用濱湖中心日志審計產(chǎn)品，增加業(yè)務審計產(chǎn)品，對業(yè)務訪問內容和數(shù)據(jù)庫訪問內容進行審計；三是入侵防范。建議在接入平臺和濱湖中心政務外網(wǎng)核心區(qū)之間采用高性能下一代防火墻產(chǎn)品(含防火墻、入侵防御、防病毒功能)對解密后的訪問流量進行訪問控制、安全攻擊檢測和分析、病毒過濾。四是惡意代碼防范，建議在接入平臺和濱湖中心政務外網(wǎng)核心區(qū)之間采用高性能下一代防火墻產(chǎn)品(含防火墻、入侵防御、防病毒功能)對解密后的訪問流量進行訪問控制、安全攻擊檢測和分析、病毒過濾；五是網(wǎng)絡設備防護，需采用人工檢查和系統(tǒng)加固或采用堡壘機產(chǎn)品。在應用安全方面，一是身份鑒別，需采用VPN的證書加用戶名口令實現(xiàn)雙因子認證以及VPN的相關安全機制實現(xiàn)相關要求。證書建議采用單獨的CA認證管理系統(tǒng)；二是安全審計。需采用業(yè)務審計對應用用戶訪問內容，數(shù)據(jù)庫操作內容進行審計分析，生成報表，滿足此項要求；三是通信完整性。應采用密碼技術保證通信過程中數(shù)據(jù)的完整性，需采用VPN的完整性校驗算法進行數(shù)據(jù)完整性校驗；四是通信保密性。需采用數(shù)字簽名技術和產(chǎn)品，實現(xiàn)抗抵賴。在數(shù)據(jù)安全方面，一是數(shù)據(jù)保密性。建議采用VPN技術和產(chǎn)品滿足此要求；二是數(shù)據(jù)完整性。建議采用VPN技術和產(chǎn)品滿足次要求。在網(wǎng)絡安全方面，在環(huán)網(wǎng)濱湖核心交換機處增加安全運維區(qū)：1)增加運維防火墻；2)漏洞掃描；3)統(tǒng)一運維堡壘機；4)安全管理平臺；5)網(wǎng)絡流量監(jiān)控分析平臺，由于省直政務外網(wǎng)城域網(wǎng)缺乏安全運維機制，建議增加安全運維區(qū)域和相關安全運維設備，提升整體城域網(wǎng)安全運維能力。

2.5連接地市的省級廣域網(wǎng)邊界差距分析表

連接地市的省級廣域網(wǎng)邊界差距分析如下：在網(wǎng)絡安全方面，一是需在紅星路邊界路由上增加旁路引流防火墻；二是缺乏安全運維區(qū)域1)增加運維防火墻；2)漏洞掃描；3)統(tǒng)一運維堡壘機；4)安全管理平臺；5)網(wǎng)絡流量監(jiān)控分析平臺，整個廣域網(wǎng)缺乏相關運維管理區(qū)，建議增加提升整體安全運維運維能力。

3安徽政務外網(wǎng)安全加固方案設計

根據(jù)上述需求分析結果，設計到各區(qū)域的安全加固方案。

3.1政務大廈互聯(lián)網(wǎng)出口安全加固設計

3.2紅星路互聯(lián)網(wǎng)出口安全加固設計

3.3濱湖互聯(lián)網(wǎng)出口安全加固設計

3.4省直政務外網(wǎng)城域網(wǎng)邊界安全加固設計

3.5連接地市的省級廣域網(wǎng)邊界網(wǎng)絡安全加固設計

參考文獻：

[1]周琦.網(wǎng)站安全管理中的問題及對策[J].電子技術與軟件工程,2017(4):219.

[2]劉文生,樂德廣,劉偉.SQL注入攻擊與防御技術研究[J].信息網(wǎng)絡安全,2015(9):129-134.

[3]宮陽陽,劉勤讓,楊鎮(zhèn)西,等.基于多維有限自動機的DFA改進算法[J].通信學報,2015,36(5):174-186.

[4]張敏,吳郁松,霍朝光.我國電子政務的研究熱點與研究趨勢分析[J].情報雜志,2015,34(2):137-141.

[5]胡傳志,程顯毅,曹小峰.網(wǎng)絡敏感信息自適應多重過濾模型研究[J].計算機科學,2015,42(1):272-275,307.

[6]左曉棟.做好黨政機關網(wǎng)站安全管理工作——中央網(wǎng)信辦1號文件解讀[J].信息安全與通信保密,2015,13(1):62-63.

[7]張建光,朱建明,尚進.電子政務安全與隱私保護研究綜述——基于CNKI數(shù)據(jù)的計量分析[J].電子政務,2014(11):111-117.

[8]付明騰.政府網(wǎng)站安全漏洞分析及防范措施[J].信息安全與技術,2014,5(11):13-14,21.

作者：姜精如 單位：安徽省經(jīng)濟信息中心