中国电子政务网--电子政务--十二金工程--解析电子政务安全域防护体系

解析电子政务安全域防护体系

来源:中国电子政务网更新时间:2012-04-14

电子政务作为信息网络的一个特殊应用领域，运行着大量需要保护的数据和信息，有其自身特殊性。如果系统的安全性被破坏，造成敏感信息暴露或丢失，或网络被攻击等安全事件，可能导致严重的后果。因此，构建电子政务信息安全保障体系就变得尤为重要。

总体安全解决方案
在明确了电子政务安全域结构后，根据安全域边界和内部的风险分析，制定了电子政务的安全解决方案，解决安全域边界防护，安全域防护问题。总体的安全解决方案如下：

安全域边界：主要安全风险为网络访问控制、防网络入侵、防资源滥用、防区域网络病毒传播和防数据泄漏。采用的安全技术有防火墙、防毒墙与vlan以及vpn相结合的方式进行访问控制；

接入域内部：主要安全风险为病毒、接入控制、文档防护、终端漏洞、非法外联、终端维护和终端审计。采用的安全技术有网络防病毒、内网安全管理系统；

互联域内部：互联域主要是网络设备，因此主要风险是设备的单点故障等问题，这类问题可通过设备冗余的方式解决；互联域的一个主要作用是各个安全域之间数据的传输，因此是对各个安全域间交换数据的最佳监控点。采用的安全技术是利用入侵检测系统[2]对各个安全域的交换数据进行检测；

服务域内部：主要安全风险为系统漏洞、业务漏洞、业务违规操作、防系统入侵、数据库漏洞和数据库违规操作。采用的安全技术有漏洞扫描系统和ips入侵防御系统；

安全管理支撑域内部：安全管理域承担着漏洞管理、威胁管理、日志管理、资产管理、信息采编、网络管理和用户管理等功能，面临的安全风险有管理系统的远程管理、管理人员误操作、管理人员权限分配问题、管理人员身份确认问题和多系统的有效安全管理问题。部署了所有安全设备的管理服务器，并部署了内网安全管理系统、行为审计系统、网维系统、日志审计系统，用ca/ra认证系统[3]进行身份认证、授权管理和责任认定，用安全管理平台进行全面统一的管理。

利用安全管理平台解决安全域防护体系管理问题
在电子政务安全平台的建设中将不同位置、不同安全系统中分散且海量的安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。系统部署可以分为核心系统部署配置和数据采集系统部署配置两大步骤。

核心系统部署和配置
核心系统一般包括管理服务器、数据库服务器、事件采集服务器。管理服务器完成对数据处理、显示和报告功能；数据库服务器实现数据存储功能；事件采集服务器完成对各种安全设备、网络设备、主机\应用系统的弱点数据采集和威胁数据采集功能。

1. 数据采集系统部署和配置：数据采集系统指部署在被评估环境中的各种可以提供弱点数据和威胁数据的设备，包括已有设备和风险评估必须使用的设备。数据采集的范围和对象包括已有安全设备，防火墙、防病毒、入侵检测、日志审计等系统数据采集。也包括对核心业务和资产配置数据采集，关键数据库、操作系统日志采集。

2.安全管理平台的软件架构：平台由“四个中心、五个功能模块”组成。四个中心为漏洞评估中心、运行状况监控中心、事件/流量监控中心、安全预警风险管理与响应管理中心；五个功能模块为策略管理、资产管理、用户管理、安全知识管理、自身系统维护管理。具有以下功能特点：安全事件集中收集和处理、漏洞评估管理、关联分析、资产管理风险评估、安全事件/流量监控安全、策略管理、响应管理、全面知识管理、多样化显示方式以及丰富直观的报表。

安全管理平台
1.监控平台的结构：监控平台，是安全管理平台的重要组成部分，它包含远端安全设备（事件发生）、安全事件收集、事件分析、状态监视、展现报表等重要组件。除技术之外，还有一个重要组成部分就是运行人员、应急小组和专家队伍。所以，监控平台需要相应的管理制度和应急处理流程，在应急处理流程中还应该包括明确的事件升级制度。监控平台主要由安全设备集中管理、安全运维流程、应急响应和组织的安全管理四部分组成。

2.安全设备集中管理：集中管理平台可以自动发现网络中的网络设备和安全设备，并且以设备码的形式对其进行分类，以可视化的拓扑图形式对其进行管理。以集中统一的方式收集、存储整个系统中的网络设备、安全系统、主机服务器的日志和报警信息。并对所有的日志进行关联分析，收集和整合所有重复的和相似的事件到单一的事件，采用统一的数据定义格式，形成专业的分析报告。

3.snmp和syslog接口：一方面平台设备间要进行数据传输和搜集，另一方面接口要支持api定制，因此，在电子政务平台的接口中主要应用snmp和syslog两种标准接口，其优点是通用性和兼容性好。

（1）snmp接口

简单网络管理协议(snmp)是一种应用层协议, 便于在网络设备间交换管理信息。它是tcp/ip协议簇的一部分。网络管理员使用snmp管理网络性能, 发现和解决网络故障, 并计划网络增长。有两种snmp版本: snmp v1和snmp v2。它们有一些共同的特征, 但snmpv2提供增强功能。snmpv3的标准化还没有完成。

（2）syslog接口

syslog功能是通过信息中心模块（info-center）实现的，它是信息中心模块所具有的一个子功能。现在主要对输出到日志主机的日志格式做简略的说明。输出到日志主机采用端口号514。格式根据rfc3164（the bsd syslog protocol）制定，并对消息头部进行扩展。日志信息格式如下：<优先级>时间戳主机名模块名/级别/信息摘要:内容。例如：<189>jun 7 05:22:03 2003 quidway ifnet/6/updownine protocol on interface ethernet0/0/0, changed state to up。

安全域在防护体系设计中是很好的“工具”——。通过安全域的划分，清晰了整个电子政务内网的业务管理、业务边界和业务区域，这样通过各个区域的风险分析，有针对性的进行设备和技术的选择，在保证充分发挥功能的同时，避免了设备功能的重复和无效的资金投入。针对安全管理平台存在的技术难点，通过采用snmp和syslog接口，并试用api接口编辑的方式解决了平台对于数据采集、多平台互联互通问题。