1、政务外网安全加固方案设计研究摘要摘要：该文首先梳理了安徽电子政务外网的安全现状，并针对安徽电子政务外网三个区域与等保要求的差距进行细致的分析，在此基础上提出安徽省政务外网的安全加固方案。 关键词：摘要：该文首先梳理了安徽电子政务外网的安全现状，并针对安徽电子政务外网三个区域与等保要求的差距进行细致的分析，在此基础上提出安徽省政务外网的安全加固方案。关键词：电子政务外网;网络安全;等级保护1安徽省电子政务外网安全现状分析目前安徽省电子政务外网分为三个区域，分别为红星路机房、滨湖中心、政务大厦，三个区域由锐捷交换机组成的二层环网相连，至国家电子政务外网的统一出口位于红星路机房。红星路机房核心交换机2、连接两台国家下发省级节点路由器，该路由器互为主备关系，分别互为主备连接安徽省的各下级地市。该出口仅有两台路由器，没有其他安全防护设备。政务外网城域网(连接各厅级单位)由电信、联通两条专线连接至滨湖汇聚交换机，经过二层环网到红星路机房，最终到国家电子政务外网。各厅级单位都有两台安全网关(F1000-AK125)与滨湖汇聚相连，此为厅级单位连接政务外网的唯一安全设备。1.1滨湖中心外网网络和安全现状描述滨湖中心外网网络出口采用负载均衡、防火墙、上网行为串联组成，负载均衡、防火墙、上网行为采用双机热备，保障系统冗余可靠。上网行为下联核心交换，核心交换下联到汇聚交换机，汇聚交换机下联到政务外网专网区接3、入交换、政务外网办公区接入交换、普通互联网办公区接入交换、政务外网办公区接入交换等。滨湖中心通过锐捷环网交换机连接到红星路机房，通往国家电子政务。1.2红星路外网网络和安全现状描述红星路分为互联网出口、国家电子政务外网出口两个出口，其中互联网出口分别使用电信作为出口，且分别连接有防火墙，其中电信出口1和电信出口2防火墙接入两台S750E核心交换机和中心办公局网并接入三地环网。同时电信出口3所连接的防火墙与中心办公局域网和政务公开所连接。1.3政务大厦外网网络和安全现状描述政务大厦外网互联网出口由防火墙组成，防火墙下联到两台核心交换机，两台核心交换机再连接到B区汇聚交换机和C区，然后在接入楼层交4、换机。同时两台核心交换机连接到环网交换机，实现局域网与电子政务外网互联互通。1.4省直政务外网城域网边界网络和安全现状描述省直政务外网城域网由电子政务外网接入两台核心交换机并由联通电信专网连接到红星路、滨湖、政务大厦组成的三地环网，同时有滨湖处进行分发到两台汇聚交换机，再由两台S7506E汇聚交换机通过联通、电信专网连接到多业务节点网关，在连接到各个厅局局域网。1.5连接地市的省级广域网边界网络和安全现状描述两台核心路由和两台核心交换机相互交叉连接，并通过两台核心路由分别连接到个地市路由，再由地市路由连接到县区外网。2等保差距分析对照等级保护要求，分析安徽省电子政务外网分为三个区域与要求的差距5、，并提出差异性需求。2.1红星路中心现有网络差距分析红星路中心现有网络差距如下：在网络安全方面，一是防火墙需要在红星路边界路由上增加边界引流防火墙;二是网络流量分析设备需要在红星路互联网核心交换机、边界路由、红星路政务外网核心交换机上增加网络流量分析设备，对网络流量进行分析;三是上网行为管理需在三台防火墙上进行串联上网行为管理系统;四是需在三台防火墙上分别进行串联IPS;五是安全审计，需要各个产品能记录部分日志，难以对审计记录进行保护，难以生成审计报表。建议采用日志审计系统集中存储日志和生成审计报表;六是入侵防范应，现阶段互联网出口缺少入侵防御产品;七是恶意代码防范，建议增加防病毒网关或在IP6、S上加载防病毒模块;八是网络设备防护。需采用人工检查和系统加固;在安全管理方面，目前缺乏统一的安全管理中心。2.2滨湖中心现有网络差距分析滨湖中心现有网络差距如下： 在网络安全方面，一是安全审计。现阶段各个产品能记录部分日志，难以对审计记录进行保护，难以生成审计报表。建议采用日志审计系统集中存储日志和生成审计报表;二是恶意代码防范。现阶段互联网出口缺少恶意代码防范产品，建议增加防病毒网关或在IPS上加载防病毒模块。以及病毒库更新和IPS更新;三是网络设备防护。需采用人工检查和系统加固。在安全管理方面，目前缺乏统一的安全管理中心。在网络安全方面，一是需在互联网出口处增加抗DDOS设备，对大流量进7、行清洗操作;二是需滨湖园区核心交换机上增加旁路引流防火墙;三是互联网出口处和滨湖园区核心交换机上需增加网络流量监测分析设备。2.3政务大厦现有网络差距分析政务大厦现有网络差距如下：在网络安全方面，一是上网行为管理，需在政务大厦出口防火墙下串联上网行为管理系统来加强对网页访问过滤、网络应用控制以及提升工作效率、提升带宽利用率等;二是需在上网行为管理系统下串联IPS来提升政务大厦出口总体安全;三是安全审计，需各个产品能记录部分日志，难以对审计记录进行保护，难以生成审计报表。建议采用日志审计系统集中存储日志和生成审计报表。四是恶意代码防范。本建议增加防病毒网关或在IPS上加载防病毒模块。2.4省直政8、务外网城域网边界差距分析省直政务外网城域网边界差距如下：在网络安全方面，一是结构安全。接入平台其他骨干核心产品选用性能留有足够冗余空间的产品;二是安全审计。需复用滨湖中心日志审计产品，增加业务审计产品，对业务访问内容和数据库访问内容进行审计;三是入侵防范。建议在接入平台和滨湖中心政务外网核心区之间采用高性能下一代防火墙产品(含防火墙、入侵防御、防病毒功能)对解密后的访问流量进行访问控制、安全攻击检测和分析、病毒过滤。四是恶意代码防范，建议在接入平台和滨湖中心政务外网核心区之间采用高性能下一代防火墙产品(含防火墙、入侵防御、防病毒功能)对解密后的访问流量进行访问控制、安全攻击检测和分析、病毒过滤9、;五是网络设备防护，需采用人工检查和系统加固或采用堡垒机产品。在应用安全方面，一是身份鉴别，需采用VPN的证书加用户名口令实现双因子认证以及VPN的相关安全机制实现相关要求。证书建议采用单独的CA认证管理系统;二是安全审计。需采用业务审计对应用用户访问内容，数据库操作内容进行审计分析，生成报表，满足此项要求;三是通信完整性。应采用密码技术保证通信过程中数据的完整性，需采用VPN的完整性校验算法进行数据完整性校验;四是通信保密性。需采用数字签名技术和产品，实现抗抵赖。在数据安全方面，一是数据保密性。建议采用VPN技术和产品满足此要求;二是数据完整性。建议采用VPN技术和产品满足次要求。在网络安全10、方面，在环网滨湖核心交换机处增加安全运维区：1)增加运维防火墙;2)漏洞扫描;3)统一运维堡垒机;4)安全管理平台;5)网络流量监控分析平台，由于省直政务外网城域网缺乏安全运维机制，建议增加安全运维区域和相关安全运维设备，提升整体城域网安全运维能力。2.5连接地市的省级广域网边界差距分析表连接地市的省级广域网边界差距分析如下：在网络安全方面，一是需在红星路边界路由上增加旁路引流防火墙;二是缺乏安全运维区域1)增加运维防火墙;2)漏洞扫描;3)统一运维堡垒机;4)安全管理平台;5)网络流量监控分析平台，整个广域网缺乏相关运维管理区，建议增加提升整体安全运维运维能力。3安徽政务外网安全加固方案设计11、根据上述需求分析结果，设计到各区域的安全加固方案。3.1政务大厦互联网出口安全加固设计3.2红星路互联网出口安全加固设计3.3滨湖互联网出口安全加固设计3.4省直政务外网城域网边界安全加固设计3.5连接地市的省级广域网边界网络安全加固设计参考文献：1周琦.网站安全管理中的问题及对策J.电子技术与软件工程,2017(4):219.2刘文生,乐德广,刘伟.SQL注入攻击与防御技术研究J.信息网络安全,2015(9):129-134.3宫阳阳,刘勤让,杨镇西,等.基于多维有限自动机的DFA改进算法J.通信学报,2015,36(5):174-186.4张敏,吴郁松,霍朝光.我国电子政务的研究热点与研究趋势分析J.情报杂志,2015,34(2):137-141.5胡传志,程显毅,曹小峰.网络敏感信息自适应多重过滤模型研究J.计算机科学,2015,42(1):272-275,307.政务外网安全加固方案设计研究来源：电脑知识与技术，作者：姜精如