——某市區政府信息辦網絡安全服務解決方案

“在解決云安全問題時，第一傳統安全措施要跟上，但不是像有些信息安全公司把現有產品疊加上去，這就太過于簡單了。原來那些產品在云計算的特定環境下，應該怎么放，還有針對云計算的新威脅，要做好風險評估，然后做好安全模型和安全架構。”--在工業和信息化部軟件與集成電路促進中心(CSIP)舉辦的基于安全可控軟硬件產品的云計算解決方案推介大會上，卿斯漢教授在接受記者采訪時說。

“云”離我們越來越近，可是美麗的云層背后卻是危險的電閃雷鳴，怎樣才能真正解決“云”帶來的安全問題？

目前，國內外基于IaaS（基礎架構即服務）的云安全相關技術、產品已日趨成熟，“云安全服務”模式正逐步普及。美國和日本等國家政府也越來越多地采用基于IaaS的云安全管理架構來對政府、軍隊等重要網絡系統進行信息網絡監控和綜合安全防范；另一方面，基于現如今信息網絡安全防御措施的“被動性”和“局部性”，以及虛擬社會秩序管控機制的缺失所造成的“道高一尺，魔高一丈”局面，全程全網模式的信息網絡安全協同防御體系部署呼之欲出，其必將成為解決信息社會安全問題的最終手段，也將是云計算和物聯網應用安全的可靠保障。

政府政務網絡系統安全項目背景分析：

某市區政府信息辦統管該轄區各委辦局機關政務內、外網的信息網絡建設和維護，現網內已建有網絡安全監控中心，采用防火墻、內容和行為審計、入侵檢測、防木馬病毒和網頁防篡改等設備進行安全防御管理，但是網絡攻擊仍然防不勝防，安全事件依舊屢屢發生，給政府信息化工作造成了極大的影響和危害，究其原因在于：

1.   絕大多數網絡安全設備沿用攻防體系的技術模式，只能解決已知特征的網絡違法違規行為，對于現在越來越多不斷變化的攻擊行為已經力不從心；

2.   基于日志記錄管理的防火墻和審計類安全設備，以及基于已知特征實時檢測的行為管理和入侵監測類產品，對于安全事件無法及時查找問題根源和漏洞；

3.   傳統網絡安全設備和實名數字認證系統的結合并不緊密，無法形成“認證－授權－追查”這一電子政務安全管理鏈條，無法保障政府電子政務重要網絡系統的安全；

4.   區政府政務外網采用統一互聯網接入平臺管理模式，集中式安全管理更需要考慮各接入節點的協同防御機制，從而形成有效的安全布控防范體系；

需求分析：

1.    實現對政務內、外網絡中的信息全面監測和記錄、及時發現網絡威脅和違法違規事件、提供安全事件事后追查的網絡秩序化管理手段和措施；

2.    在不改變現有網絡架構的情況下，實現與該區政府政務外網統一接入平臺中現有安全手段和措施的技術互補，加固安全防御技術體系；

3.    采用多級分布式部署的IaaS“云安全”管理架構來實現集中安全管控的目標，提高網絡安全運行管理效率，降低安全風險；

4.    有效彌補當前基于已知特征進行被動防御的局限性給政府電子政務網絡帶來的安全隱患；

項目設計和實施方案：

1.    通過旁路或橋接方式部署中興網安CTM一體化協同防御安全網關設備，對政務網絡統一接入平臺所有接入節點的流量信息進行全記錄，猶如“網絡黑匣子”一樣形成網絡全面感知、監測和追溯管理體系，極大地提升了現有網絡安全部署中安全事件還原追溯的能力，減少網絡威脅和攻擊的頻發率，真正實現了信息網絡安全“事先感知預警、事中監測控制、事后還原追查”的管理目標；

2.    基于IaaS架構的部署能夠通過分級式的安全管理中心對各轄區委辦局信息網絡接入節點內網絡安全設備進行統一安全策略自動下發和更新，所有節點的網絡安全運行狀況隨時匯總到區政府信息辦安全管理中心進行統計分析，有效地減少維護成本，提高了網絡安全管理效率；

3.    中興網安為該區政府信息辦提供20臺CTM一體化協同防御安全網關設備并統一進行部署，通過定期巡檢和安全事件數據還原追查服務的方式收取安全服務費用，并對該區政府信息辦指定電子政務網絡接入節點設備的運行狀態，網絡安全狀況，收集數據進行分析，提供專業的安全策略定制和升級服務，降低了區政府信息辦的初期投入和后期安全維護成本；

4.    中興網安CTM一體化協同防御安全網關結合了該市數字證書認證中心的實名認證體系，使得電子政務內、外網使用的身份認證、授權管理和責任認定這些管理手段與信息網絡安全共同形成可信網絡的綜合防范體系，徹底改變以往信息網絡安全“孤島式防御”的缺陷和不足；

總結：

中興網安作為一家致力于網絡全面感知、監測、管控和追溯體系建設的信息網絡安全廠商，針對當前信息網絡安全領域只注重網絡“治安維護”，而缺乏網絡“秩序管控”的手段和機制，采用自主創新的技術路線，并結合“十二五規劃”中加強網絡監測和管控能力建設，以及信息系統安全等級保護推行所提出的管理目標和要求，系統性地提出了“平安網絡”安全管理理念，能夠為政府電子政務、軍隊、大型企事業單位等重要信息網絡系統提供基于云安全架構的全程全網協同防御安全體系建設和服務，實現類似該政府信息辦安全服務解決方案中電子政務網絡信息全面監測和記錄、網絡威脅和違法違規事件實時監測預警、協同式綜合網絡安全防范、安全事件事后追查等管理手段和措施，形成信息網絡安全的“最后一道防線”，從而有效避免了傳統信息網絡安全防護措施始終處于“被動防范”和“孤島防御”的弱點；同時，基于IaaS的云安全架構服務模式又能夠降低用戶的設備投入和安全維護成本，對于全面提升信息網絡系統的安全防范能力有著重要意義。（編輯：張珂）