保障政务外网安全，这五大举措很有必要

发布日期：2020/05/28

　　随着互联网的飞速发展，电子政务外网实现了横向网络互访、互联网接入、公共资源共享的需求；同时也面临着互联网接入安全，关键信息资源的安全性，云数据中心隔离等安全问题。

　　政务外网安全建设以满足ISO27001、等级保护二级和三级等法律法规要求为前提条件，主要表现在数据传输安全、网络安全、应用系统安全、管理安全、虚拟化安全等几个方面。

　　一、数据传输安全

　　电子政务的各个政府部门之间都是纵向管理的网络，通过在政府部门网络出口部署NGFW安全网关，可以在各部门纵向网络间建立安全IPSec VPN加密通道，保证数据传输的安全性；通过部署SSL VPN网关，使得远程移动办公的用户也可以通过加密通道安全访问公司内部资源，保证了远程接入的安全性。

　　二、 网络安全

　　网络安全主要解决的是区域隔离和边界安全防护，在城域网互联出口部署DDoS、NGFW、SSL VPN、IPS，解决网络区域隔离、大流量攻击、L2-L7层攻击、网络入侵、病毒传播、远程用户接入合法性等安全问题，在数据中心出口部署高性能综合安全网关，并启用网关中的多虚拟系统，以及服务器区横向跨区访问的东西向流量，提供设备虚拟化安全能力，满足独立安全配置和管理需求。

　　三、应用系统安全：

　　电子政务网络的数据中心内部署了大量服务器和存储系统，承载电子政务网的关键业务和重要数据，该网络是安全防范的重点，数据中心网络的出口部署高性能数据中心网关，开启入侵防御功能，可以有效阻止针对数据中心网络的攻击行为，防止针对网站和邮件系统的恶意攻击，保证系统的正常运行；WEB服务器前端部署WEB防护网关，保护WEB服务器免受SQL注入、跨站点攻击等威胁，保障WEB业务的正常运行。

　　四、管理安全：

　　在管理中心部署统一网管系统，集中管理网络中的安全设备，监控安全设备的状态，集中处理安全日志，统一制定安全策略，能够全盘呈现网络中的安全状态、业务环境，实施主动监控，通过安全事件关联分析，及时发现存在的安全隐患；在出口防火墙设置管理员访问权限，要求密码复杂度，可部署堡垒主机分配管理资源，限制管理权限，审计管理行为，达到统一管理，安全管理的目的。

　　五、虚拟化安全：

　　如何有效防护虚拟机安全，成为虚拟化安全的重点，在数据中心出口通过综合安全网关的多虚拟系统，为不同的委办局和不同的业务分配不同的虚拟系统，在网络层面进行隔离；在云平台安装软件虚拟防火墙vFW，解决VM之间的互访安全，对网络不可见的东西向流量进行隔离和防护，从网络层和VM多层面解决虚拟化网络安全问题。