概述

隨著政務外網建設的逐漸完善，承載單位業(yè)務逐漸增多，作為國家、省、市、縣的政務基礎網絡，安全問題將是考慮的重點，如何圍繞國家等級保護政策進行各級政務外網的安全保障體系設計是各級主管機構需要考慮的問題。

目前黑客針對電子政務網絡攻擊呈現攻擊主體組織化，目標趨利化、政治化，手段智能化、網絡化的趨勢，以APT攻擊特征為主。APT攻擊是針對特定組織所作的復雜且多方位的網絡攻擊，攻擊后留給安全管理人員響應的時間越來越短，使政府用戶來不及對入侵做出響應，目的是獲取政府內部敏感信息或者對政務網絡造成破壞。

為推動國家電子政務外網信息安全建設和安全管理工作，滿足國家電子政務外網管理中心《關于加快推進國家電子政務外網安全等級保護工作的通知》（政務外網〔2011〕15號）文中提出的相關要求，需要實現針對電子政務外網網絡的信息安全監(jiān)控體系的建設，及時發(fā)現和處置網絡攻擊，防止有害信息傳播，對網絡和系統(tǒng)實施保護。基礎信息網絡的運營單位和各重要信息系統(tǒng)的主管部門或運營單位要根據實際情況建立和完善信息安全監(jiān)控平臺，提高對網絡攻擊、病毒入侵、網絡失竊密的防范能力，防止有害信息傳播。保障電子政務信息系統(tǒng)的網絡安全。

2. 防護方案

本方案描述了國家電子政務外網為達到國家等級保護等相關標準規(guī)定和政務外網的基本要求的方法和手段。

電子政務外網安全保障體系建設應首先滿足適度安全原則以及標準化、可控性、完備性和最小影響的原則，為所承載的各級政務部門信息系統(tǒng)提供網絡傳輸通道的安全保障。在此基礎上，電子政務外網信息安全建設在設計過程中應重點考慮以下幾點：

? 電子政務外網與所承載的信息系統(tǒng)區(qū)分防護

各接入電子政務外網的政務部門負責各自局域網絡及業(yè)務應用系統(tǒng)和數據的安全，并按國家信息系統(tǒng)安全等級保護的法規(guī)和標準要求實施定級與保護，應與電子政務外網的管理、安全防護與運維保障系統(tǒng)分別進行安全防護。

? 安全域劃分保護

電子政務外網等級保護根據所承載的業(yè)務應用系統(tǒng)實際的需要，將政務外網劃分為公用網絡區(qū)、專用網絡區(qū)、互聯網訪問區(qū)、托管服務區(qū)、安全接入區(qū)等不同的安全區(qū)域，實施不同的安全策略進行邊界防護。

? 基礎網絡邊界防護

邊界安全解決方案應該能夠根據用戶訪問的IP地址、服務端口、MAC地址、物理網絡區(qū)域等網絡要素和用戶身份、應用等要素設計具體的訪問控制策略，對不同安全等級網絡的互聯及各用戶局域網的接入，采用有效的邊界訪問控制策略，對非授權訪問、異常流量、病毒木馬、網絡攻擊等行為進行控制和監(jiān)測，保證網絡和政務業(yè)務的安全。

? 安全監(jiān)控預警平臺

電子政務外網安全監(jiān)控平臺建設是應該作為核心內容。在政務外網互聯網出入口、重要網絡節(jié)點嚴密監(jiān)控、及時預警大規(guī)模網絡攻擊和病毒傳播，監(jiān)控保障外網的網絡安全，協同各個安全設備，切實防范來自互聯網的大規(guī)模病毒攻擊和網絡攻擊，并具備安全事件的路徑分析和溯源能力，真正實現安全事件的預警、檢測、響應、審計，同時作為可持續(xù)性運營的基礎平臺。

3. 方案價值

? 可知：建立了統(tǒng)一電子政務外網安全監(jiān)控預警平臺，對網絡運行指標和信息安全事件集中展現、集中分析，掌握運行狀態(tài)和安全風險。

? 可管理：建立健全組織、制度、標準體系，推動信息安全策略的制定、落實和執(zhí)行。

? 可控：集中管理安全設備，實現電子政務外網安全策略統(tǒng)一管理，對安全策略發(fā)布、變更和執(zhí)行進行流程化管理，確保安全設備防護有效。

? 可運維：安全工作的自動調度、自動執(zhí)行、自動核查、自動報告等機制，實現主動安全工作自動化。

? 可測量：對電子政務外網網絡定期的專項合規(guī)符合性檢查，形成符合等級保護要求的安全基線達標體系。

4. 方案優(yōu)勢

? 立體性：通過在電子政務外網的管理、技術和運維不同層次上實施不同的安全機制，形成多視角，立體化的信息安全體系，極大提高了檢測的準確性，避免單一類型安全系統(tǒng)失效導致的檢測盲角。

? 先進性：充分利用先進的高考靠性的安全服務及安全產品，達到針對電子政務外網持續(xù)高效防御的目的。

? 綜合性：通過安全監(jiān)控預警平臺關聯使用，互相彌補各安全措施的功能劣勢，實現統(tǒng)一監(jiān)控、管理、維護，實現統(tǒng)一管理和安全指揮的目的。