1、华为公司电子政务解决方案+ 电子政务内网建设解决方案 对于电子政务内网,政务专网、专线、vpn是构建电子政务网络的根底设施。平安政务网络平台是依托专网、专线、vpn设备将各接入单位平安互联起来的电子政务内网;平安支撑平台为电子政务内网信息系统提供平安互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、平安审计、桌面平安防护等平安支撑;电子政务专网应用既是平安保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成
2、1)政务内网网络平台。电子政务内网建设,是依托电子政务专网、专线、vpn构造的电子政务内网网络。 2)电子政务内网应用。在平安支撑平台的作用下,基于平安电子政务内网网络平台,可以打造平安电子政务办公平台、平安政务信息共享平台。 3)平安支撑平台。平安支撑平台由平安系统组成,是电子政务内网信息系统运行的平安保障。 电子政务内网系统拓扑图 三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行平安域的划分。根据不同的划分原那么,大致可以分别网络根底架构区、平安管理区、数据处理区、边界防御区、办公区、会议区等平安子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
3、划分平安域的目标是针对不同的平安域采用不同的平安防护策略,既保证信息的平安访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、平安需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的平安子域区,便于由小到大、由简到繁进行网络设计。平安域的划分有利于对电子政务系统实施分区平安防护,即分域防控。平安支撑平台的系统结构 电子政务平安支撑平台是电子政务系统运行的平安保障,由网络设备、平安设备、平安技术构成。电子政务平安支撑平台依托电子政务配套的平安设备,通过分级平安效劳和分域平安管理,实现等级保护中要求的物理平安、网络平安、主机平安、应用平安、数据平
4、安及备份恢复,从而保证整个电子政务信息系统平安,最终形成平安开放统 一、分级分域防护的平安体系。电子政务平安支撑平台的系统结构以下图: 电子政务平安支撑平台系统结构 平安支撑平台的系统配置 1、核心交换机双归属。两台核心交换机通过vrrp协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务顶峰期需要。 2、认证及地址管理系统dcbi。dcbi可以完成基于主机的统一身份认证和全局地址管理功能。 1)基于主机的统一身份认证。终端系统通过安装802.1x认证客户端,在连接到内网之前,首先需要通过dcbi的身份认证,方能翻开交换机端口,使用网络资源。 2)全局地址管理。根据政务网地
5、址规模灵活划分地址池固定用户地址下发与永久绑定漫游用户地址下发与临时绑定、自动回收接入交换机端口平安策略自动绑定。客户端地址获取方式无关性 3、全局平安管理系统dcsm。dcsm是政务内网所有端系统的管理与控制中心,兼具用户管理、平安认证、平安状态评估、平安联动控制以及平安事件审计等功能。 1)平安认证。平安认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端平安状态认证、补丁检查项配置、平安策略配置、终端修复配置以及对终端用户的隔离方式配置等。 2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的平安检查和控制。平安策略效劳器可以为不同用户提供基于身份的个性化平安配置和网
6、络效劳等级,方便管理员对网络用户制定差异化的平安策略。 3)平安联动控制。平安策略效劳器负责评估平安客户端上报的平安状态,控制平安联动设备对用户的隔离与开放,下发用户终端的修复方式与平安策略。通过平安策略效劳器的控制,平安客户端、平安联动设备与防病毒效劳器才可以协同工作,配合完成端到端的平安准入控制。 4)日志审计。平安策略效劳器收集由平安客户端上报的平安事件,并形成平安日志,可以为管理员追踪和监控网络的整个网络的平安状态提供依据。 其中:平安管理系统代理,可以对用户终端进行身份认证、平安状态评估以及平安策略实施的主体,其主要功能包括: 1)提供802.1x、portal等多种认证方式,可以与
7、交换机、路由器配合实现接入层、会聚层以及vpn的端点准入控制。 2)主机桌面平安防护,检查用户终端的平安状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证效劳器,执行端点准入的判断与控制。 3)平安策略实施,接收认证效劳器下发的平安策略并强制用户终端执行,包括设置平安策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施平安策略的用户终端将被限制在隔离区。 4)实时监控系统平安状态,包括是否更改平安设置、是否发现新
8、病毒等,并将平安事件定时上报到平安策略效劳器,用于事后进行平安审计。 5)实时监控终端用户的行为,实现用户上网行为可审计。 4、边界防火墙dcfw 能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的平安风险控制在相对独立的区域内,防止平安风险的大规模扩散。 对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 5、统一威胁管理utm utm集合了防火墙、防病毒网关、ips/ids入侵防御、防垃圾邮件网关、vpn(ipsec、pptp、l2tp)网
9、关、流量整形网关、anti-dos网关、用户身份认证网关、审计网关、bt控制网关+im控制网关+应用提升网关(网游voip流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的平安操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。 6、入侵检测系统dcnids 入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。 通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警
10、功能,能够防止恶意入侵事件的发生。 7、漏洞扫描系统 漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的平安配置和运行的应用效劳,及时发现平安漏洞,并客观评估网络风险等级。 漏洞扫描系统能够发现所维护的效劳器的各种端口的分配、提供的效劳、效劳软件版本和系统存在的平安漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的平安策略,确保网络系统平安有效地运行。 8、流量整形设备dcfs 1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源ip(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流
11、量带宽限制、或者是禁止使用。 2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。 9、其它网络设备 其它网络设备,可以参照国标对应的设备平安技术要求进行选型。 内容总结(1)华为公司电子政务解决方案+ 电子政务内网建设解决方案 对于电子政务内网,政务专网、专线、vpn是构建电子政务网络的根底设施(2)客户端地址获取方式无关性 3、全局平安管理系统dcsm(3)6、入侵检测系统dcnids 入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御
