電子政務(wù)外網(wǎng)簡介

電子政務(wù)外網(wǎng)是我國電子政務(wù)公共基礎(chǔ)設(shè)施，主要承載各級政務(wù)部門社會管理、公共服務(wù)、協(xié)同辦公等非涉密的業(yè)務(wù)應(yīng)用，支撐跨部門、跨層級、跨區(qū)域的數(shù)據(jù)共享和業(yè)務(wù)協(xié)同。

電子政務(wù)外網(wǎng)融合了政務(wù)外網(wǎng)、互聯(lián)網(wǎng)和政務(wù)專網(wǎng)，按照“應(yīng)接盡接”的 原則構(gòu)建了覆蓋省、市、縣、鄉(xiāng)、村的“一張網(wǎng)”。電子政務(wù)外網(wǎng)總體采用分層構(gòu)建、逐層保護的指導(dǎo)原則，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)如圖1-1所示。由圖中可見，電子政務(wù)外網(wǎng)的整體網(wǎng)絡(luò)由廣域網(wǎng)、城域網(wǎng)和政務(wù)外網(wǎng)組成，縱向包含中央、省、市、區(qū)縣四級網(wǎng)絡(luò)平臺，橫向由城域網(wǎng)連通廣域網(wǎng)和部門政務(wù)外網(wǎng)。

圖1-1電子政務(wù)外網(wǎng)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

各級部門根據(jù)業(yè)務(wù)需要分別接入相應(yīng)層級的政務(wù)外網(wǎng)。各級城域網(wǎng)部署統(tǒng)一的互聯(lián)網(wǎng)出口，滿足本級部門訪問互聯(lián)網(wǎng)的需求。由于各級城域網(wǎng)承載本級唯一的互聯(lián)網(wǎng)出口，用于互聯(lián)網(wǎng)接入及上網(wǎng)等服務(wù)，所以存在較高的安全風(fēng)險。同時，接入城域網(wǎng)的各單位安全能力參差不齊，這也對城域網(wǎng)的安全運營構(gòu)成嚴峻考驗。本文即是對電子政務(wù)外網(wǎng)場景中的城域網(wǎng)安全運營挑戰(zhàn)進行分析，并給出相應(yīng)的解決方案。

典型城域網(wǎng)如圖1-2所示。城域網(wǎng)橫向接入廣域網(wǎng)，實現(xiàn)各級政務(wù)網(wǎng)之間的信息共享和協(xié)同辦公。同時，城域網(wǎng)提供統(tǒng)一的互聯(lián)網(wǎng)出口，用于接入單位訪問互聯(lián)網(wǎng)資源或從互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)。為了保障網(wǎng)絡(luò)安全，城域網(wǎng)還在互聯(lián)網(wǎng)出口區(qū)部署了Anti-DDoS、IPS、防火墻等安全設(shè)備。此外，各級接入單位也可以通過城域網(wǎng)實現(xiàn)與其他單位的網(wǎng)絡(luò)互通。

圖1-2典型城域網(wǎng)組網(wǎng)圖

電子政務(wù)外網(wǎng)城域網(wǎng)的安全運營挑戰(zhàn)

我國高度重視網(wǎng)絡(luò)安全工作，相繼出臺了《網(wǎng)絡(luò)安全等級保護條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)，建立健全網(wǎng)絡(luò)安全防護體系，保護涉及國家安全、國計民生和社會公共利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、運行安全和數(shù)據(jù)安全。

為了加強電子政務(wù)外網(wǎng)整體的安全防護能力，確保全網(wǎng)的安全性、可靠性和一致性，保證各級政務(wù)部門業(yè)務(wù)的暢通和安全，電子政務(wù)外網(wǎng)建設(shè)需要遵從安全等級保護要求，中央、省、市等各級電子政務(wù)外網(wǎng)均應(yīng)達到《網(wǎng)絡(luò)安全等級保護基本要求》的第三級要求。然而，隨著服務(wù)范圍的不斷擴大，運營單位也面臨了防御體系不完善、跨部門協(xié)作不通暢、應(yīng)急響應(yīng)能力不足等諸多問題，給安全運營帶來了嚴峻挑戰(zhàn)。

挑戰(zhàn)一：安全能力碎片化，無法形成安全合力

為了保障安全運行，電子政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口區(qū)通常會部署多個安全設(shè)備（如DDoS防護、防火墻、IPS等），進行多層次的安全防護。然而，現(xiàn)有的安全設(shè)備往往缺乏有效的協(xié)同機制，各自執(zhí)行不同的安全策略，難以形成統(tǒng)一的安全標準和防護體系。這不僅增加了網(wǎng)絡(luò)管理的復(fù)雜度，也降低了網(wǎng)絡(luò)安全的防護效果，還給分析和解決安全問題帶來了困難。

根據(jù)《網(wǎng)絡(luò)安全等級保護基本要求》，電子政務(wù)外網(wǎng)應(yīng)該建立安全管理中心，實現(xiàn)集中管控和監(jiān)測功能，對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析，以此提高網(wǎng)絡(luò)安全管理水平和應(yīng)急能力。安全管理中心可以通過與各類安全設(shè)備進行對接，實現(xiàn)對網(wǎng)絡(luò)邊界的全面感知和控制，形成一套完整的網(wǎng)絡(luò)安全防護體系。通過安全管理中心，運營單位還可以實現(xiàn)對電子政務(wù)外網(wǎng)的統(tǒng)一配置，提升整網(wǎng)的安全性和可用性。

挑戰(zhàn)二：內(nèi)部邊界安全防御不足，安全風(fēng)險高

大量單位接入電子政務(wù)外網(wǎng)后，在享受共享互通便捷的同時，也帶來了威脅擴散的風(fēng)險。根據(jù)《網(wǎng)絡(luò)安全等級保護基本要求》，電子政務(wù)外網(wǎng)應(yīng)在安全區(qū)域邊界部署安全設(shè)備，不僅要防御從外部發(fā)起的網(wǎng)絡(luò)攻擊行為，也要防御從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

電子政務(wù)外網(wǎng)的防護設(shè)備主要集中在互聯(lián)網(wǎng)出口區(qū)，各單位接入電子政務(wù)外網(wǎng)的邊界上安全防御稍顯薄弱，這將導(dǎo)致安全威脅以接入單位為跳板進入電子政務(wù)外網(wǎng)，安全風(fēng)險也隨之擴散到其他接入單位。如果電子政務(wù)外網(wǎng)不能起到安全防護的屏障作用，攻擊影響很容易由點擴大到面，為電子政務(wù)外網(wǎng)業(yè)務(wù)帶來極大風(fēng)險。

挑戰(zhàn)三：協(xié)同流程不順暢，安全運營工作量大

政務(wù)網(wǎng)絡(luò)建設(shè)的趨勢是向鄉(xiāng)、村等基層單位延伸，而基層接入單位的安全防護能力參差不齊。隨著電子政務(wù)外網(wǎng)的規(guī)模越來越大，帶來的是整網(wǎng)安全告警數(shù)量的激增，僅靠運營單位無法完成全網(wǎng)告警的分析與處置工作。

由于運營單位與接入單位的安全事件協(xié)同流程不連續(xù)，導(dǎo)致運營單位檢測到安全事件時需要人工通知接入單位進行處置。接入單位整改完成后，再通知運營單位更新安全事件的處置結(jié)果，安全事件處置效率非常低。另外，安全事件通報信息中沒有包含接入單位的內(nèi)部組織信息，無法直接通報到被攻擊資產(chǎn)的責(zé)任人。接入單位需要先查找對應(yīng)的資產(chǎn)責(zé)任人，然后再進行安全處置，這進一步降低了安全事件的處置效率。

挑戰(zhàn)四：安全事件處置效率低，閉環(huán)周期長

電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全運營基礎(chǔ)設(shè)施建設(shè)滯后，網(wǎng)絡(luò)和安全運維分離，缺少有效的協(xié)調(diào)機制，無法形成完整的事件處置流程。當前，發(fā)生安全事件時通常依靠人工處置，這導(dǎo)致威脅分析和預(yù)警通報等工作耗時過長，難以及時應(yīng)對和解決安全問題。

與此同時，網(wǎng)絡(luò)環(huán)境中的安全威脅日益復(fù)雜，演化速度也越來越快，特別是勒索病毒等惡意軟件，在短時間內(nèi)就能對大量IT資產(chǎn)造成破壞，依靠傳統(tǒng)的人工處理方式難以有效遏制和消除這些威脅。因此，必須提升自動化水平，實現(xiàn)快速、準確、高效應(yīng)對各種網(wǎng)絡(luò)威脅。

華為安全解決方案

安全運營是一項系統(tǒng)工程，需要技術(shù)、流程和人力的協(xié)同配合，才能實現(xiàn)最終的安全目標。安全運營的核心是對已有安全產(chǎn)品、工具、服務(wù)產(chǎn)出的數(shù)據(jù)進行有效分析，從而發(fā)現(xiàn)并解決安全風(fēng)險，持續(xù)提升安全水平。

電子政務(wù)外網(wǎng)安全建設(shè)的總體思路是以安全監(jiān)測為核心，構(gòu)建安全監(jiān)測體系，形成全網(wǎng)監(jiān)測預(yù)警、信息共享和聯(lián)動能力。提升全局性、整體化網(wǎng)絡(luò)安全態(tài)勢感知能力，通過主動、靈活的威脅發(fā)現(xiàn)能力，實現(xiàn)對威脅和風(fēng)險的全天候、全方位感知。實現(xiàn)從安全檢測、分析研判、通報預(yù)警到應(yīng)急響應(yīng)的良性循環(huán)，不斷提升電子政務(wù)外網(wǎng)的安全保障能力。

下面我們從體系建設(shè)、運營模式和技術(shù)創(chuàng)新等三個方面來介紹華為安全解決方案：

01構(gòu)建安全監(jiān)測體系，感知全網(wǎng)安全態(tài)勢

如圖1-3所示，華為安全解決方案采用了分析器、控制器和執(zhí)行器的三層架構(gòu)，構(gòu)建起電子政務(wù)外網(wǎng)安全監(jiān)測體系。

• 分析器由華為HiSec Insight承擔(dān)，它是整個安全解決方案的“大腦”，能夠?qū)θW(wǎng)安全數(shù)據(jù)進行實時采集、威脅分析、溯源取證和應(yīng)急處置，提供安全分析與持續(xù)運營能力。當安全事件發(fā)生時，分析器將向控制器下發(fā)聯(lián)動策略。

• 控制器包括安全控制器和網(wǎng)絡(luò)控制器，分別對全網(wǎng)的安全設(shè)備和網(wǎng)絡(luò)設(shè)備進行統(tǒng)一管理和協(xié)同。具體來講，安全控制器負責(zé)集中管理安全策略，協(xié)同安全設(shè)備實現(xiàn)統(tǒng)一的安全業(yè)務(wù)編排與管理，保證全網(wǎng)策略一致性，構(gòu)建安全合力。網(wǎng)絡(luò)控制器負責(zé)對網(wǎng)絡(luò)資源進行統(tǒng)一管理和維護，根據(jù)分析器的聯(lián)動策略向路由器等網(wǎng)絡(luò)設(shè)備下發(fā)策略，將存在安全風(fēng)險的資產(chǎn)進行隔離，彌補內(nèi)部邊界防御的薄弱點。

• 執(zhí)行器包含防火墻、路由器、流量探針等設(shè)備。防火墻等安全設(shè)備負責(zé)阻斷邊界攻擊，路由器等網(wǎng)絡(luò)設(shè)備負責(zé)實現(xiàn)內(nèi)部資產(chǎn)隔離，流量探針負責(zé)采集網(wǎng)絡(luò)流量信息并提供給分析器進行威脅檢測。

圖1-3華為安全解決方案架構(gòu)

02分布式安全運營，接入單位責(zé)任歸位

華為HiSec Insight對安全運營模式進行創(chuàng)新，在支持集中式安全運營的基礎(chǔ)上，通過引入多租戶模型，進而支持分布式安全運營。在分布式安全運營模式下，各接入單位以租戶身份自行運營安全事件，由被動接收安全通報的角色，轉(zhuǎn)變?yōu)橹鲃影踩\營的責(zé)任主體。

多租戶模型如圖1-4所示，各個租戶可以實時監(jiān)控自己的安全事件，進行分析取證和閉環(huán)處置。各租戶之間實現(xiàn)數(shù)據(jù)隔離，保護敏感信息不被泄露。城域網(wǎng)運營單位可以掌握全局的安全態(tài)勢，查看所有租戶的安全事件情況。多租戶模型的應(yīng)用實現(xiàn)了安全事件從城域網(wǎng)運營單位到接入單位的一體化管理，無需跨系統(tǒng)協(xié)同，即可實現(xiàn)通報預(yù)警和威脅處置的全流程閉環(huán)。既減少了人工傳遞的成本，又提高了安全事件處置的效率。

對于規(guī)模較大的接入單位，可以細化運營管理。接入單位可以按照部門劃分多級工作組，由各部門負責(zé)自己的安全事件運營。工作組之間的數(shù)據(jù)隔離，租戶管理員可以查看所有下屬工作組的安全態(tài)勢。這種運營模式可以快速定位到安全事件發(fā)生在哪個部門，進一步提高了事件處置效率。

圖1-4HiSec Insight多租戶模型

03

網(wǎng)絡(luò)與安全自動化協(xié)同，從單點防御達到全網(wǎng)協(xié)防

華為HiSec Insight基于SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應(yīng)）技術(shù)構(gòu)建自動化的協(xié)同聯(lián)動機制，通過自動化編排任務(wù)，實現(xiàn)安全事件的快速處置和閉環(huán)管理，有效提升安全事件的處置效率。同時，通過與網(wǎng)絡(luò)控制器的聯(lián)動，將內(nèi)部接入邊界納入安全防護范圍，杜絕威脅跨域、跨部門的擴散，實現(xiàn)全網(wǎng)協(xié)防。

圖1-5網(wǎng)絡(luò)與安全自動化協(xié)同示意圖

圖1-5展示了兩個不同的攻擊過程，一個是從外部攻擊，一個是從內(nèi)部攻擊，我們采用不同的防御方法阻斷攻擊行為。

安全設(shè)備聯(lián)動，自動化阻斷邊界安全威脅

• 互聯(lián)網(wǎng)出口區(qū)部署流量探針，實時監(jiān)測互聯(lián)網(wǎng)出口的流量情況。

• 流量探針將安全告警和流量信息上報給HiSec Insight進行威脅分析。

• 發(fā)現(xiàn)來自互聯(lián)網(wǎng)的攻擊行為后，HiSec Insight快速識別安全事件，并向安全控制器下發(fā)聯(lián)動策略。

• 安全控制器向?qū)?yīng)的互聯(lián)網(wǎng)出口防火墻下達防御策略，從而切斷攻擊鏈路，保障城域網(wǎng)的安全。

網(wǎng)絡(luò)與安全協(xié)同防御，遏制內(nèi)部網(wǎng)絡(luò)風(fēng)險

• 內(nèi)網(wǎng)中部署流量探針，對接入單位之間的數(shù)據(jù)流進行實時監(jiān)測。

• 流量探針將安全告警和流量信息上報給HiSec Insight進行威脅分析。

• 發(fā)現(xiàn)接入單位之間存在攻擊事件后，HiSec Insight快速識別安全事件，并向網(wǎng)絡(luò)控制器下發(fā)聯(lián)動策略。

• 網(wǎng)絡(luò)控制器根據(jù)攻擊事件的特征和流量轉(zhuǎn)發(fā)路徑，快速定位到距離攻擊者最近的路由器，并下達流量隔離指令，切斷攻擊者與目標之間的通信鏈路，從而有效防止威脅擴散。

結(jié)束語

隨著政府數(shù)字化轉(zhuǎn)型、應(yīng)用新模式的推進發(fā)展，電子政務(wù)外網(wǎng)建設(shè)可能會遇到更加復(fù)雜、更加突出的安全問題。華為安全聚集全球網(wǎng)絡(luò)安全領(lǐng)域高精尖人才，布局智能化、大數(shù)據(jù)、自動化攻防等專業(yè)領(lǐng)域，持續(xù)創(chuàng)新網(wǎng)絡(luò)安全技術(shù)，護航政府數(shù)字化轉(zhuǎn)型成功。

參考文獻

【1】：GB/T 22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求[S]. 國家標準化管理委員會, 2019

【2】：國家電子政務(wù)外網(wǎng)管理中心辦公室. 政務(wù)外網(wǎng)IPv6演進技術(shù)白皮書（2021）[R]. 國家電子政務(wù)外網(wǎng)管理中心辦公室, 2021

往期精彩推薦

安全態(tài)勢感知專家說第4期：SIEM驅(qū)動安全運營

安全態(tài)勢感知專家說第3期：SOAR在安全態(tài)勢感知中的應(yīng)用與展望

安全態(tài)勢感知專家說第2期：人工智能技術(shù)在態(tài)勢感知的應(yīng)用

點擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！