好看的中文字幕AV,就去干97

電子政務外網簡介

電子政務外網是我國電子政務公共基礎設施，主要承載各級政務部門社會管理、公共服務、協同辦公等非涉密的業(yè)務應用，支撐跨部門、跨層級、跨區(qū)域的數據共享和業(yè)務協同。

電子政務外網融合了政務外網、互聯網和政務專網，按照“應接盡接”的原則構建了覆蓋省、市、縣、鄉(xiāng)、村的“一張網”。電子政務外網總體采用分層構建、逐層保護的指導原則，基礎網絡架構如圖1-1所示。由圖中可見，電子政務外網的整體網絡由廣域網、城域網和政務外網組成，縱向包含中央、省、市、區(qū)縣四級網絡平臺，橫向由城域網連通廣域網和部門政務外網。

圖1-1電子政務外網基礎網絡架構

各級部門根據業(yè)務需要分別接入相應層級的政務外網。各級城域網部署統一的互聯網出口，滿足本級部門訪問互聯網的需求。由于各級城域網承載本級唯一的互聯網出口，用于互聯網接入及上網等服務，所以存在較高的安全風險。同時，接入城域網的各單位安全能力參差不齊，這也對城域網的安全運營構成嚴峻考驗。本文即是對電子政務外網場景中的城域網安全運營挑戰(zhàn)進行分析，并給出相應的解決方案。

典型城域網如圖1-2所示。城域網橫向接入廣域網，實現各級政務網之間的信息共享和協同辦公。同時，城域網提供統一的互聯網出口，用于接入單位訪問互聯網資源或從互聯網接入政務外網。為了保障網絡安全，城域網還在互聯網出口區(qū)部署了Anti-DDoS、IPS、防火墻等安全設備。此外，各級接入單位也可以通過城域網實現與其他單位的網絡互通。

圖1-2典型城域網組網圖

電子政務外網城域網的安全運營挑戰(zhàn)

我國高度重視網絡安全工作，相繼出臺了《網絡安全等級保護條例》和《關鍵信息基礎設施安全保護條例》等法律法規(guī)，建立健全網絡安全防護體系，保護涉及國家安全、國計民生和社會公共利益的網絡基礎設施安全、運行安全和數據安全。

為了加強電子政務外網整體的安全防護能力，確保全網的安全性、可靠性和一致性，保證各級政務部門業(yè)務的暢通和安全，電子政務外網建設需要遵從安全等級保護要求，中央、省、市等各級電子政務外網均應達到《網絡安全等級保護基本要求》的第三級要求。然而，隨著服務范圍的不斷擴大，運營單位也面臨了防御體系不完善、跨部門協作不通暢、應急響應能力不足等諸多問題，給安全運營帶來了嚴峻挑戰(zhàn)。

挑戰(zhàn)一：安全能力碎片化，無法形成安全合力

為了保障安全運行，電子政務外網的互聯網出口區(qū)通常會部署多個安全設備（如DDoS防護、防火墻、IPS等），進行多層次的安全防護。然而，現有的安全設備往往缺乏有效的協同機制，各自執(zhí)行不同的安全策略，難以形成統一的安全標準和防護體系。這不僅增加了網絡管理的復雜度，也降低了網絡安全的防護效果，還給分析和解決安全問題帶來了困難。

根據《網絡安全等級保護基本要求》，電子政務外網應該建立安全管理中心，實現集中管控和監(jiān)測功能，對網絡中發(fā)生的各類安全事件進行識別、報警和分析，以此提高網絡安全管理水平和應急能力。安全管理中心可以通過與各類安全設備進行對接，實現對網絡邊界的全面感知和控制，形成一套完整的網絡安全防護體系。通過安全管理中心，運營單位還可以實現對電子政務外網的統一配置，提升整網的安全性和可用性。

挑戰(zhàn)二：內部邊界安全防御不足，安全風險高

大量單位接入電子政務外網后，在享受共享互通便捷的同時，也帶來了威脅擴散的風險。根據《網絡安全等級保護基本要求》，電子政務外網應在安全區(qū)域邊界部署安全設備，不僅要防御從外部發(fā)起的網絡攻擊行為，也要防御從內部發(fā)起的網絡攻擊行為。

電子政務外網的防護設備主要集中在互聯網出口區(qū)，各單位接入電子政務外網的邊界上安全防御稍顯薄弱，這將導致安全威脅以接入單位為跳板進入電子政務外網，安全風險也隨之擴散到其他接入單位。如果電子政務外網不能起到安全防護的屏障作用，攻擊影響很容易由點擴大到面，為電子政務外網業(yè)務帶來極大風險。

挑戰(zhàn)三：協同流程不順暢，安全運營工作量大

政務網絡建設的趨勢是向鄉(xiāng)、村等基層單位延伸，而基層接入單位的安全防護能力參差不齊。隨著電子政務外網的規(guī)模越來越大，帶來的是整網安全告警數量的激增，僅靠運營單位無法完成全網告警的分析與處置工作。

由于運營單位與接入單位的安全事件協同流程不連續(xù)，導致運營單位檢測到安全事件時需要人工通知接入單位進行處置。接入單位整改完成后，再通知運營單位更新安全事件的處置結果，安全事件處置效率非常低。另外，安全事件通報信息中沒有包含接入單位的內部組織信息，無法直接通報到被攻擊資產的責任人。接入單位需要先查找對應的資產責任人，然后再進行安全處置，這進一步降低了安全事件的處置效率。

挑戰(zhàn)四：安全事件處置效率低，閉環(huán)周期長

電子政務外網的網絡安全運營基礎設施建設滯后，網絡和安全運維分離，缺少有效的協調機制，無法形成完整的事件處置流程。當前，發(fā)生安全事件時通常依靠人工處置，這導致威脅分析和預警通報等工作耗時過長，難以及時應對和解決安全問題。

與此同時，網絡環(huán)境中的安全威脅日益復雜，演化速度也越來越快，特別是勒索病毒等惡意軟件，在短時間內就能對大量IT資產造成破壞，依靠傳統的人工處理方式難以有效遏制和消除這些威脅。因此，必須提升自動化水平，實現快速、準確、高效應對各種網絡威脅。

華為安全解決方案

安全運營是一項系統工程，需要技術、流程和人力的協同配合，才能實現最終的安全目標。安全運營的核心是對已有安全產品、工具、服務產出的數據進行有效分析，從而發(fā)現并解決安全風險，持續(xù)提升安全水平。

電子政務外網安全建設的總體思路是以安全監(jiān)測為核心，構建安全監(jiān)測體系，形成全網監(jiān)測預警、信息共享和聯動能力。提升全局性、整體化網絡安全態(tài)勢感知能力，通過主動、靈活的威脅發(fā)現能力，實現對威脅和風險的全天候、全方位感知。實現從安全檢測、分析研判、通報預警到應急響應的良性循環(huán)，不斷提升電子政務外網的安全保障能力。

下面我們從體系建設、運營模式和技術創(chuàng)新等三個方面來介紹華為安全解決方案：

01構建安全監(jiān)測體系，感知全網安全態(tài)勢

如圖1-3所示，華為安全解決方案采用了分析器、控制器和執(zhí)行器的三層架構，構建起電子政務外網安全監(jiān)測體系。

分析器由華為HiSec Insight承擔，它是整個安全解決方案的“大腦”，能夠對全網安全數據進行實時采集、威脅分析、溯源取證和應急處置，提供安全分析與持續(xù)運營能力。當安全事件發(fā)生時，分析器將向控制器下發(fā)聯動策略。

控制器包括安全控制器和網絡控制器，分別對全網的安全設備和網絡設備進行統一管理和協同。具體來講，安全控制器負責集中管理安全策略，協同安全設備實現統一的安全業(yè)務編排與管理，保證全網策略一致性，構建安全合力。網絡控制器負責對網絡資源進行統一管理和維護，根據分析器的聯動策略向路由器等網絡設備下發(fā)策略，將存在安全風險的資產進行隔離，彌補內部邊界防御的薄弱點。

執(zhí)行器包含防火墻、路由器、流量探針等設備。防火墻等安全設備負責阻斷邊界攻擊，路由器等網絡設備負責實現內部資產隔離，流量探針負責采集網絡流量信息并提供給分析器進行威脅檢測。

圖1-3華為安全解決方案架構

02分布式安全運營，接入單位責任歸位

華為HiSec Insight對安全運營模式進行創(chuàng)新，在支持集中式安全運營的基礎上，通過引入多租戶模型，進而支持分布式安全運營。在分布式安全運營模式下，各接入單位以租戶身份自行運營安全事件，由被動接收安全通報的角色，轉變?yōu)橹鲃影踩\營的責任主體。

多租戶模型如圖1-4所示，各個租戶可以實時監(jiān)控自己的安全事件，進行分析取證和閉環(huán)處置。各租戶之間實現數據隔離，保護敏感信息不被泄露。城域網運營單位可以掌握全局的安全態(tài)勢，查看所有租戶的安全事件情況。多租戶模型的應用實現了安全事件從城域網運營單位到接入單位的一體化管理，無需跨系統協同，即可實現通報預警和威脅處置的全流程閉環(huán)。既減少了人工傳遞的成本，又提高了安全事件處置的效率。

對于規(guī)模較大的接入單位，可以細化運營管理。接入單位可以按照部門劃分多級工作組，由各部門負責自己的安全事件運營。工作組之間的數據隔離，租戶管理員可以查看所有下屬工作組的安全態(tài)勢。這種運營模式可以快速定位到安全事件發(fā)生在哪個部門，進一步提高了事件處置效率。

圖1-4HiSec Insight多租戶模型

網絡與安全自動化協同，從單點防御達到全網協防

華為HiSec Insight基于SOAR（Security Orchestration, Automation and Response，安全編排和自動化響應）技術構建自動化的協同聯動機制，通過自動化編排任務，實現安全事件的快速處置和閉環(huán)管理，有效提升安全事件的處置效率。同時，通過與網絡控制器的聯動，將內部接入邊界納入安全防護范圍，杜絕威脅跨域、跨部門的擴散，實現全網協防。