浪潮电子政务外网安全解决方案_资讯

浪潮电子政务外网安全解决方案

发布时间：2014-11-04 发布人：互联网 1654

网络安全一直是人们关注的热点，对于国家来讲，如何能够保证在高效办公的同时保证政务的安全性呢？用专业的安全加密软件（>>>点击试用）来进行监控防护就可以保证。

　　电子政务中心安全需求分析

　　通过对国家电子政务外网现有安全防护体系的解读，做如下总结：

　　电子政务外网从网络布局上主要分为两个区域，分别是互联网接入区域、公用网络区域。

　　从业务角度出发分为两个重要应用，如上图所示分别为A、B两大重要应用区域：

　　A区域是为中央部委和各省、市、区、县单位提供授权认证、数据中心托管、应用托管和安全管理服务。主要是面向运行维护及使用电子政务外网的所有内部人员提供支撑，从而保证政务外网的正常运转；

　　B区域是为访问电子政务外网的外部用户提供访问电子政务云平台，通过访问电子政务平台可以使用或者查询政府所提供的一系列的便民应用，提高政务的办事效率；

　　从安全角度出发，A应用为了安全考虑，互联网访问者通过互联网接入区域访问公用网络区域中的应用时，是通过两台单向网闸负责进与出的逻辑隔离。通信链路上部署有抗DDOS设备、流控设备、防火墙、IPS通过安全设备热备及链路备份的方式，保证网络传输层的安全；对于接入的终端用户通过数字证书的方式进行身份认证，保证接入终端的合法性；

　　B应用为了安全考虑，外界访问者通过电信链路访问政务云平台时，是通过安全网关进行网络边界的访问控制，政务平台的前面部署有WEB应用防火墙产品。

　　电子政务外网安全防护现状总结：

　　通过对电子政务外网安全现状及二期建设思路的分析，电子政务外网的重要性将会大大提升，应用将会变得更为集中，访问请求也会呈现暴涨趋势，运维管理及开发人员变得更多更杂。新的安全风险点仅仅凭借原有传统安全防护手段已经远远不能满足新的安全需求。

　　现阶段安全防护手段在终端及网络传输层的安全防护力度是比较的，但是对于应用主机自身安全防护、应用安全的整体监管、以及因为二期建设项目导致的新的安全风险点：内部运维人员安全审计、应用的交付问题缺乏更为深入具体的安全防护手段，需要进一步加强。

　　浪潮电子政务外网安全解决方案

　　主机自身安全防护问题

　　“棱镜门事件”使我们认识到，目前我们所使用的操作系统在安全性上存在严重的安全问题，仅仅通过杀毒软件无法保障操作系统的安全性。电子政务外网中的所有应用，价值都是非常大的，所有应用系统都是运行在传统操作系统上，然而现有操作系统都存在非常大的安全隐患，主要体现在如下图：

　　系统安全漏洞：系统漏洞和应用的漏洞都可能导致主机易受攻击，未公开的“零日漏洞”的更是如此，所有操作系统都没有抵御能力，因为对外开放的服务会透过防火墙，比如之前的RDP3389漏洞、Tomcat Stuct2漏洞。

　　脆弱认证机制：主机采用用户名和密码进行认证的方式相对脆弱，难以确保登陆系统的人是否是真正的管理员，可能是窃取密码后的入侵者。

　　自主访问控制：操作系统超级管理员可以自己制定策略也可以删除策略，管理员权限一旦丢失将导致非常严重的影响。

　　现有安全防护体系中，网络传输层安全防护是通过抗DDOS设备、流控设备、防火墙、IPS通过安全设备热备及链路备份的方式，保证网络传输层的安全。上述安全防护手段在面对传统攻击手段及已知病毒攻击时，会发挥非常好的保护效果，但面对高级别攻击者使用的木马、病毒和rootkit级后门程序都是专用或者经过免杀测试，这些木马、rootkit可以轻易躲过杀毒软件、IDS等检测，植入系统后进行隐藏，难以发现。

　　浪潮主机安全解决方案

　　浪潮操作系统安全增强系统（以下简称SSR）是一款在国家层面立项，专为主机操作系统安全设计的一款安全加固产品。SSR的设计参照国家安全操作系统标准，采用浪潮自主知识产权的ROST主机安全加固技术，可为主机提供以下特色功能：

　　三权分立

　　SSR采用了分权管理的机制，规避了原操作系统管理员“一权大”的风险，将原系统管理员权限分散为系统操作员、安全管理员和审计管理员，三个权限各司其职，相互制约，实现了小权限，不仅保证了系统安全性，同时贴合了国家相关信息安全标准规范。采用了三权分立思想，将原系统管理员的权限重新划分为系统操作员、安全。

　　管理员和安全审计员三个角色，三个角色相互立，互相制约，即时有人通过社工或者漏洞获取了电子政务外网某主机的权限，也将受制与安全策略，这样有效避免了原系统管理员权限丢失的风险。

　　强制访问控制

　　在操作系统内核层实现文件、注册表、进程、服务、网络等对象的强制访问控制，可配置针对以上对象不同的访问策略来保护系统和应用资源，即使是系统管理员也不能破坏被保护的资源。

　　降低漏洞带来的风险

　　SSR采用强制访问控制和白名单机制，只允许可信的帐户和进程访问被保护资源，并对操作系统中重要二进制文件进行完整性保护。即使恶意代码利用漏洞获取了系统的权限，也不能破坏系统文件和植入木马，降低了从“零日漏洞”发现到用户打上补丁之间这段“真空期”的安全风险，同时允许用户延迟补丁部署，推迟到定期修补周期进行修补。

　　双因素认证

　　不仅提供安全管理员和审计官员的USB KEY+密码的双因子认证功能，还可对系统用户配发USB KEY实现双因子认证。对于远程登陆和虚拟化系统而不便识别USB KEY的服务器，SSR提供可配置两个密码组合的登陆认证方式，只有掌握密码的两个人同时存在才能登陆系统，以此确保自然人的可信。

　　支持多种操作系统平台

　　SSR不仅支持主流的Windows和Linux系统，同时也支持Unix系列的AIX，Solaris和HP-UX。

　　产品部署

　　应用的安全监管问题

　　随着电子政务外网二期项目的实施，应用会变的更为集中，原先的安全风险点由分散部署变为集中提供，以往发生一个安全事件影响的只是局部，现在很有可能会影响整个业务系统的安全，因此需要对整个外网的安全状况做到完全掌控；做到事前的预警、事中的快速定位，快速处理安全事件。

　　浪潮应用安全监管解决方案

　　浪潮SSM应用安全监管系统是采用B/S结构模式，通过web实时展现政府各部门业务系统的运行状态、拓扑状态以及IT资源运行情况，并通过曲线、图示和图表，实时、直观地描绘设备连接状态和运行情况，为电子政务系统管理和维护人员提供各项数据报表、视图、告警信息的查询、展示、导出、邮件服务以及告警信息的动作通知。

　　内部运维人员安全审计问题

　　随着电子政务外网一体化建设完成，将原来的分散的应用系统集中提供，将会导致原本单一的运维管理团队变得更多更杂，中央级应用、省一级应用、地市级应用等都是由不同的运维人员、开发人员管理使用。势必会导致内部运维安全风险的增加，如何对不同的人员进行运维权限的控制、运维行为的审计、运维事件的追踪等是需要面对并解决的。

　　浪潮运维安全审计系统解决方案

　　浪潮SSC通过对数据中心内、外运维人员进行统一账号管理、统一授权、身份认证、单点登录、访问控制和统一审计等安全管理，提高数据中心内部的运维效率、规范流程，并有效解决内部安全风险与管理难题，如弱口令、授权颗粒粗、合法用户的非授权操作和误操作、非法用户的访问、账号繁多密码管理难、安全事狗查难、运维事件统计难等。

　　1、浪潮SSC产品采用单臂接入模式，部署在管理中心内。具体位置在管理中心的核心交换机上。

　　2、通过政务外网中央骨干网、城域核心环网、互联网区、安全接入平台区、公用网路区、专线接入区等各个安全域中路由器或者交换机的访问控制策略（ACL）限定只能由浪潮SSC直接这些访问设备的远程维护端口。

　　3、访问人员访卧己的维护目标资源时，先以WEB方式登录浪潮SSC，然后通过登录页面展现的目标访问源列表，可单点登录访问授权保护资源。

　　应用的安全交付问题

　　着应用的集中，将会带来访问请求的高度集中，因此如何保证应用系统能够高效快速交付是需要面对的一个问题；

　　随着电子政务外网一体化建设完成，重要性会发生翻天覆地的变化，电子政务外网会代表政府形象，因此势必会受到众多境内外敌对组织的高度关注，安全性也将变得更加重要，所以需要考虑WEB请求的安全性。

　　浪潮安全应用交付系统解决方案

　　浪潮SSA系列产品是浪潮针对行业和大企业数据中心开发的新一代软硬件一体产品。作为企业级安全应用交付解决方案，该产品致力于解决客户的关键应用如何高效、安全、智能、可靠的发布到用户端，有效整合了负载均衡、应用加速、Web应用安全、连接优化等技术，能够在极大地提高数据中心核心业务系统的可用性、效率和安全性的同时，降低数据中心基础设施投资成本、维护复杂度和能源消耗。

　　3、浪潮解决方案优势及价值

　　SSR在操作系统内核层实现了安全标记和强制访问控制机制，与用户系统自身的自主访问控制相融合，为系统和用户重要应用提供更强的约束和更高的安全控制级别，同时提供三权分立、完整性校验、双因素认证、剩余信息保护等紧贴信息安全标准的功能，帮助用户满足系统安全建设的同时满足国家等级保护的三级合规要求。

　　SSM提供对政府VPN专网或各个部门局域网内各类主机设备、网络设备、安全设备、数据库、中间件、邮件系统、web服务、基础服务、虚拟化平台等IT资源监控。全方位、小颗粒地监控，几乎能够涵盖电子政务系统中所有的IT资源和设备，做到运行可知化、可量化。

　　SSM面向政务应用系统，能够展示政府各项业务视图，关联业务运行的IT资源，自动分析资源对业务的影响度，提供健康状态与可用状态视图。能从根本解决政务系统业务系统故障反复发生，做到业务系统运行透明化、可量化。

　　SSM能够展示电子政务系统网络拓扑、资源运行状态视图、业务报表、告警查询和通知，提前预防故障发生，快速定位故障点，降低运行风险和损失。能够解决电子政务系统中IT资源和设备潜在的问题，降低事故率，对于已经出现的问题能够及时、准确地定位。

　　SSC使所有访问用户访问目标保护资源必须通过审计，浪潮SSC提供访问的全程管控，实现事前精准授权，事中严格访问控制，事后审计

　　丰富的审计报表让安全管理人员掌控数据中心的安全态势数据中心的安全管理工作简单、高效通过建立用户与账号的对应，确保访问用户拥有的权限是完成任务所需的小权限

　　直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用运维访问用户只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令

　　通过部署浪潮SSC，提升数据中心的信息安全防护能力，符合国家信息系统安全等级保护、分级保护和行业/企业内部控制、萨班斯法案等法律和规章制度的要求。

账款管家支持在线开具数电发票|助力更多企业迈向数电时代

2024/01/22

阅读量 240