国产精品成人H片在线看,最大胆午夜人体aa美女,亚洲国产成人片在线观看

電子政務外網(wǎng)簡介

電子政務外網(wǎng)是我國電子政務公共基礎設施，主要承載各級政務部門社會管理、公共服務、協(xié)同辦公等非涉密的業(yè)務應用，支撐跨部門、跨層級、跨區(qū)域的數(shù)據(jù)共享和業(yè)務協(xié)同。

電子政務外網(wǎng)融合了政務外網(wǎng)、互聯(lián)網(wǎng)和政務專網(wǎng)，按照“應接盡接”的原則構建了覆蓋省、市、縣、鄉(xiāng)、村的“一張網(wǎng)”。電子政務外網(wǎng)總體采用分層構建、逐層保護的指導原則，基礎網(wǎng)絡架構如圖1-1所示。由圖中可見，電子政務外網(wǎng)的整體網(wǎng)絡由廣域網(wǎng)、城域網(wǎng)和政務外網(wǎng)組成，縱向包含中央、省、市、區(qū)縣四級網(wǎng)絡平臺，橫向由城域網(wǎng)連通廣域網(wǎng)和部門政務外網(wǎng)。

圖1-1電子政務外網(wǎng)基礎網(wǎng)絡架構

各級部門根據(jù)業(yè)務需要分別接入相應層級的政務外網(wǎng)。各級城域網(wǎng)部署統(tǒng)一的互聯(lián)網(wǎng)出口，滿足本級部門訪問互聯(lián)網(wǎng)的需求。由于各級城域網(wǎng)承載本級唯一的互聯(lián)網(wǎng)出口，用于互聯(lián)網(wǎng)接入及上網(wǎng)等服務，所以存在較高的安全風險。同時，接入城域網(wǎng)的各單位安全能力參差不齊，這也對城域網(wǎng)的安全運營構成嚴峻考驗。本文即是對電子政務外網(wǎng)場景中的城域網(wǎng)安全運營挑戰(zhàn)進行分析，并給出相應的解決方案。

典型城域網(wǎng)如圖1-2所示。城域網(wǎng)橫向接入廣域網(wǎng)，實現(xiàn)各級政務網(wǎng)之間的信息共享和協(xié)同辦公。同時，城域網(wǎng)提供統(tǒng)一的互聯(lián)網(wǎng)出口，用于接入單位訪問互聯(lián)網(wǎng)資源或從互聯(lián)網(wǎng)接入政務外網(wǎng)。為了保障網(wǎng)絡安全，城域網(wǎng)還在互聯(lián)網(wǎng)出口區(qū)部署了Anti-DDoS、IPS、防火墻等安全設備。此外，各級接入單位也可以通過城域網(wǎng)實現(xiàn)與其他單位的網(wǎng)絡互通。

圖1-2典型城域網(wǎng)組網(wǎng)圖

電子政務外網(wǎng)城域網(wǎng)的安全運營挑戰(zhàn)

我國高度重視網(wǎng)絡安全工作，相繼出臺了《網(wǎng)絡安全等級保護條例》和《關鍵信息基礎設施安全保護條例》等法律法規(guī)，建立健全網(wǎng)絡安全防護體系，保護涉及國家安全、國計民生和社會公共利益的網(wǎng)絡基礎設施安全、運行安全和數(shù)據(jù)安全。

為了加強電子政務外網(wǎng)整體的安全防護能力，確保全網(wǎng)的安全性、可靠性和一致性，保證各級政務部門業(yè)務的暢通和安全，電子政務外網(wǎng)建設需要遵從安全等級保護要求，中央、省、市等各級電子政務外網(wǎng)均應達到《網(wǎng)絡安全等級保護基本要求》的第三級要求。然而，隨著服務范圍的不斷擴大，運營單位也面臨了防御體系不完善、跨部門協(xié)作不通暢、應急響應能力不足等諸多問題，給安全運營帶來了嚴峻挑戰(zhàn)。

挑戰(zhàn)一：安全能力碎片化，無法形成安全合力

為了保障安全運行，電子政務外網(wǎng)的互聯(lián)網(wǎng)出口區(qū)通常會部署多個安全設備（如DDoS防護、防火墻、IPS等），進行多層次的安全防護。然而，現(xiàn)有的安全設備往往缺乏有效的協(xié)同機制，各自執(zhí)行不同的安全策略，難以形成統(tǒng)一的安全標準和防護體系。這不僅增加了網(wǎng)絡管理的復雜度，也降低了網(wǎng)絡安全的防護效果，還給分析和解決安全問題帶來了困難。

根據(jù)《網(wǎng)絡安全等級保護基本要求》，電子政務外網(wǎng)應該建立安全管理中心，實現(xiàn)集中管控和監(jiān)測功能，對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析，以此提高網(wǎng)絡安全管理水平和應急能力。安全管理中心可以通過與各類安全設備進行對接，實現(xiàn)對網(wǎng)絡邊界的全面感知和控制，形成一套完整的網(wǎng)絡安全防護體系。通過安全管理中心，運營單位還可以實現(xiàn)對電子政務外網(wǎng)的統(tǒng)一配置，提升整網(wǎng)的安全性和可用性。

挑戰(zhàn)二：內(nèi)部邊界安全防御不足，安全風險高

大量單位接入電子政務外網(wǎng)后，在享受共享互通便捷的同時，也帶來了威脅擴散的風險。根據(jù)《網(wǎng)絡安全等級保護基本要求》，電子政務外網(wǎng)應在安全區(qū)域邊界部署安全設備，不僅要防御從外部發(fā)起的網(wǎng)絡攻擊行為，也要防御從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為。

電子政務外網(wǎng)的防護設備主要集中在互聯(lián)網(wǎng)出口區(qū)，各單位接入電子政務外網(wǎng)的邊界上安全防御稍顯薄弱，這將導致安全威脅以接入單位為跳板進入電子政務外網(wǎng)，安全風險也隨之擴散到其他接入單位。如果電子政務外網(wǎng)不能起到安全防護的屏障作用，攻擊影響很容易由點擴大到面，為電子政務外網(wǎng)業(yè)務帶來極大風險。

挑戰(zhàn)三：協(xié)同流程不順暢，安全運營工作量大

政務網(wǎng)絡建設的趨勢是向鄉(xiāng)、村等基層單位延伸，而基層接入單位的安全防護能力參差不齊。隨著電子政務外網(wǎng)的規(guī)模越來越大，帶來的是整網(wǎng)安全告警數(shù)量的激增，僅靠運營單位無法完成全網(wǎng)告警的分析與處置工作。

由于運營單位與接入單位的安全事件協(xié)同流程不連續(xù)，導致運營單位檢測到安全事件時需要人工通知接入單位進行處置。接入單位整改完成后，再通知運營單位更新安全事件的處置結(jié)果，安全事件處置效率非常低。另外，安全事件通報信息中沒有包含接入單位的內(nèi)部組織信息，無法直接通報到被攻擊資產(chǎn)的責任人。接入單位需要先查找對應的資產(chǎn)責任人，然后再進行安全處置，這進一步降低了安全事件的處置效率。

挑戰(zhàn)四：安全事件處置效率低，閉環(huán)周期長

電子政務外網(wǎng)的網(wǎng)絡安全運營基礎設施建設滯后，網(wǎng)絡和安全運維分離，缺少有效的協(xié)調(diào)機制，無法形成完整的事件處置流程。當前，發(fā)生安全事件時通常依靠人工處置，這導致威脅分析和預警通報等工作耗時過長，難以及時應對和解決安全問題。

與此同時，網(wǎng)絡環(huán)境中的安全威脅日益復雜，演化速度也越來越快，特別是勒索病毒等惡意軟件，在短時間內(nèi)就能對大量IT資產(chǎn)造成破壞，依靠傳統(tǒng)的人工處理方式難以有效遏制和消除這些威脅。因此，必須提升自動化水平，實現(xiàn)快速、準確、高效應對各種網(wǎng)絡威脅。

華為安全解決方案

安全運營是一項系統(tǒng)工程，需要技術、流程和人力的協(xié)同配合，才能實現(xiàn)最終的安全目標。安全運營的核心是對已有安全產(chǎn)品、工具、服務產(chǎn)出的數(shù)據(jù)進行有效分析，從而發(fā)現(xiàn)并解決安全風險，持續(xù)提升安全水平。

電子政務外網(wǎng)安全建設的總體思路是以安全監(jiān)測為核心，構建安全監(jiān)測體系，形成全網(wǎng)監(jiān)測預警、信息共享和聯(lián)動能力。提升全局性、整體化網(wǎng)絡安全態(tài)勢感知能力，通過主動、靈活的威脅發(fā)現(xiàn)能力，實現(xiàn)對威脅和風險的全天候、全方位感知。實現(xiàn)從安全檢測、分析研判、通報預警到應急響應的良性循環(huán)，不斷提升電子政務外網(wǎng)的安全保障能力。

下面我們從體系建設、運營模式和技術創(chuàng)新等三個方面來介紹華為安全解決方案：

01構建安全監(jiān)測體系，感知全網(wǎng)安全態(tài)勢

如圖1-3所示，華為安全解決方案采用了分析器、控制器和執(zhí)行器的三層架構，構建起電子政務外網(wǎng)安全監(jiān)測體系。

分析器由華為HiSec Insight承擔，它是整個安全解決方案的“大腦”，能夠?qū)θW(wǎng)安全數(shù)據(jù)進行實時采集、威脅分析、溯源取證和應急處置，提供安全分析與持續(xù)運營能力。當安全事件發(fā)生時，分析器將向控制器下發(fā)聯(lián)動策略。

控制器包括安全控制器和網(wǎng)絡控制器，分別對全網(wǎng)的安全設備和網(wǎng)絡設備進行統(tǒng)一管理和協(xié)同。具體來講，安全控制器負責集中管理安全策略，協(xié)同安全設備實現(xiàn)統(tǒng)一的安全業(yè)務編排與管理，保證全網(wǎng)策略一致性，構建安全合力。網(wǎng)絡控制器負責對網(wǎng)絡資源進行統(tǒng)一管理和維護，根據(jù)分析器的聯(lián)動策略向路由器等網(wǎng)絡設備下發(fā)策略，將存在安全風險的資產(chǎn)進行隔離，彌補內(nèi)部邊界防御的薄弱點。

執(zhí)行器包含防火墻、路由器、流量探針等設備。防火墻等安全設備負責阻斷邊界攻擊，路由器等網(wǎng)絡設備負責實現(xiàn)內(nèi)部資產(chǎn)隔離，流量探針負責采集網(wǎng)絡流量信息并提供給分析器進行威脅檢測。

圖1-3華為安全解決方案架構

02分布式安全運營，接入單位責任歸位

華為HiSec Insight對安全運營模式進行創(chuàng)新，在支持集中式安全運營的基礎上，通過引入多租戶模型，進而支持分布式安全運營。在分布式安全運營模式下，各接入單位以租戶身份自行運營安全事件，由被動接收安全通報的角色，轉(zhuǎn)變?yōu)橹鲃影踩\營的責任主體。

多租戶模型如圖1-4所示，各個租戶可以實時監(jiān)控自己的安全事件，進行分析取證和閉環(huán)處置。各租戶之間實現(xiàn)數(shù)據(jù)隔離，保護敏感信息不被泄露。城域網(wǎng)運營單位可以掌握全局的安全態(tài)勢，查看所有租戶的安全事件情況。多租戶模型的應用實現(xiàn)了安全事件從城域網(wǎng)運營單位到接入單位的一體化管理，無需跨系統(tǒng)協(xié)同，即可實現(xiàn)通報預警和威脅處置的全流程閉環(huán)。既減少了人工傳遞的成本，又提高了安全事件處置的效率。

對于規(guī)模較大的接入單位，可以細化運營管理。接入單位可以按照部門劃分多級工作組，由各部門負責自己的安全事件運營。工作組之間的數(shù)據(jù)隔離，租戶管理員可以查看所有下屬工作組的安全態(tài)勢。這種運營模式可以快速定位到安全事件發(fā)生在哪個部門，進一步提高了事件處置效率。

圖1-4HiSec Insight多租戶模型

網(wǎng)絡與安全自動化協(xié)同，從單點防御達到全網(wǎng)協(xié)防

華為HiSec Insight基于SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應）技術構建自動化的協(xié)同聯(lián)動機制，通過自動化編排任務，實現(xiàn)安全事件的快速處置和閉環(huán)管理，有效提升安全事件的處置效率。同時，通過與網(wǎng)絡控制器的聯(lián)動，將內(nèi)部接入邊界納入安全防護范圍，杜絕威脅跨域、跨部門的擴散，實現(xiàn)全網(wǎng)協(xié)防。

圖1-5網(wǎng)絡與安全自動化協(xié)同示意圖

圖1-5展示了兩個不同的攻擊過程，一個是從外部攻擊，一個是從內(nèi)部攻擊，我們采用不同的防御方法阻斷攻擊行為。

安全設備聯(lián)動，自動化阻斷邊界安全威脅

互聯(lián)網(wǎng)出口區(qū)部署流量探針，實時監(jiān)測互聯(lián)網(wǎng)出口的流量情況。

流量探針將安全告警和流量信息上報給HiSec Insight進行威脅分析。

發(fā)現(xiàn)來自互聯(lián)網(wǎng)的攻擊行為后，HiSec Insight快速識別安全事件，并向安全控制器下發(fā)聯(lián)動策略。

安全控制器向?qū)幕ヂ?lián)網(wǎng)出口防火墻下達防御策略，從而切斷攻擊鏈路，保障城域網(wǎng)的安全。

網(wǎng)絡與安全協(xié)同防御，遏制內(nèi)部網(wǎng)絡風險

內(nèi)網(wǎng)中部署流量探針，對接入單位之間的數(shù)據(jù)流進行實時監(jiān)測。

流量探針將安全告警和流量信息上報給HiSec Insight進行威脅分析。

發(fā)現(xiàn)接入單位之間存在攻擊事件后，HiSec Insight快速識別安全事件，并向網(wǎng)絡控制器下發(fā)聯(lián)動策略。

網(wǎng)絡控制器根據(jù)攻擊事件的特征和流量轉(zhuǎn)發(fā)路徑，快速定位到距離攻擊者最近的路由器，并下達流量隔離指令，切斷攻擊者與目標之間的通信鏈路，從而有效防止威脅擴散。

結(jié)束語

隨著政府數(shù)字化轉(zhuǎn)型、應用新模式的推進發(fā)展，電子政務外網(wǎng)建設可能會遇到更加復雜、更加突出的安全問題。華為安全聚集全球網(wǎng)絡安全領域高精尖人才，布局智能化、大數(shù)據(jù)、自動化攻防等專業(yè)領域，持續(xù)創(chuàng)新網(wǎng)絡安全技術，護航政府數(shù)字化轉(zhuǎn)型成功。