政府行业政务外网敏感信息安全保护解决方案

1 引言

国家电子政务外网(简称政务外网)是按照中办发〔2002〕17号文件和〔2006〕18号文件要求建设的我国电子政务重要公共基础设施,是服务于各级党委、人大、政府、政协、法院和检察院等政务部门,满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同,以及不需在政务内网上运行的业务。政务外网由中央政务外网和地方政务外网组成,与互联网逻辑隔离。

政务外网致力于打造政务信息高速公路,为跨部门、跨地区的网络互联互通、信息共享和业务协同提供网络支撑服务,满足各级政务部门部署面向社会管理和公共服务的各类业务应用的需要,满足各级政务部门开展跨部门、跨地区的业务应用的需要,满足各级政务部门联动解决重大社会问题和突发事件的需要,助力于服务型政府建设,充分发挥国家政务公用网络行政基础设施的作用和效能。

2 背景及挑战

随着国家信息中心的大力推进,各省(市)电子政务统一应用大平台的建设步伐加快,逐步实现了党政机关网上协同办公和公文传输。电子政务资源信息中心集中多个委办局重要信息的资产,实现政府部门的横向互联,各级省市县的纵向接入,电子政务网实现了横向网络互访、互联网接入、公共资源共享的需求;同时也面临着内部敏感信息资源安全,关键业务系统安全访问,互联网接入安全,接入终端网络系统故障难以运维等风险问题。

3 解决方案

通过远为电子政务外网敏感信息安全保护解决方案,利用远为国产自主产权的终端虚拟化及网络虚拟化技术,配合安全网关控制技术,实现了电子政务外网与互联网从终端、链路、应用系统三位一体全区域的安全隔离,实现了互联网安全接入,实现了电子政务外网接入终端系统、网络故障集中快速运维等功能。如下图:

方案描述:

3.1 安全办公网络环境构建

在电子政务外网安全管理区部署VirNOS Server(管理服务器),在VirNOS Server上为每台终端创建用户并分配策略,在接入电子政务外网的各局委办办公电脑终端上安装VirNOS VM软件,将现有的一台物理PC机虚拟化为两台虚拟机,一台是业务安全虚拟机,一台是上网安全虚拟机。

业务安全虚拟机仅可访问各局委办自身业务系统及电子政务外网核心共享业务系统,不能访问互联网,并且外设端口禁用。上网安全虚拟机不能访问自身及共享业务系统,但可以访问互联网,外设端口开放。这样业务安全虚拟机和上网安全虚拟机之间从运行环境、存储空间、可访问资源、外设端口完全独立,避免多个应用系统的访问通过PC机变成交叉访问环境。

在核心业务系统的前端部署VirNOS Gateway(安全接入网关),对所有接入用户进行身份识别,拦截非法用户的访问。通过网关虚拟技术和虚拟PC机相结合,可以为每一个应用业务维护独立的访问关系。

之后电子政务外网内核心应用系统与互联网访问业务将彻底隔离,在内部构建的安全隔离环境其效果等同于物理隔离(此项技术已得到国家安全机构的认可)。

3.2 互联网安全接入保障

部署在各办公终端上的VirNOS VM软件,将软件自身ID与计算机硬件资源、操作系统UUID等信息有效组合,生成唯一识别码,具有很强的防盗和防伪装功能,保证互联网接入终端的身份认定,具有合法身份的用户才可以与互联网联通。

部署在各办公终端上的VirNOS VM软件,可以将用户访问互联网和访问电子政务网进行隔离。访问互联网时无法访问电子政务网,反之,访问电子政务网时无法访问互联网。避免用户在访问互联网时中毒,而影响电子政务网感染病毒,甚至泄露敏感信息。

可以在电子政务外网的接入口部署VirNOS Gateway(安全接入网关),它检测接入的计算机是否有访问互联网的合法身份,与客户端形成一个立体式的防御体系。

3.3 终端计算机的集中控制和运维体系的构建

在负责终端PC运维的专业人员电脑终端部署VirNOS QWinControl(终端集中管理系统)软件,部署成功后可使所有已安装VirNOS VM软件的终端都具有系统快速还原、数据无损恢复、软件更新、补丁更新、网络故障检测、远程维护等功能,避免因系统崩溃、数据丢失、网络故障等问题造成终端办公业务及互联网访问中断问题,保障终端持续安全运行。

4 方案特点
4.1 不改变现有网络拓扑,施工简单

远为电子政务外网敏感信息安全保护解决方案,不需要改变现有网络拓扑、不增加任何网络设备的情况,没有基础设施的施工,实施非常简单。同时,VirNOS安全网关可以和市面上绝大部分网关类产品适配,不需要增加网关硬件产品,不增加网络节点,只需对相关链路上的网关进行软件升级。网关的部署可以分级分布式部署,以控制不同局委办的接入点。

4.2 用户感知好,体验好

对于终端用户来说,客户端虚拟机系统对他们没有任何影响,他们甚至看不到客户端在哪里。

首先客户端虚拟机系统的安装过程非常简单,用户感知和常用的应用软件的安装没有区别,安装完毕后,也不需要再在虚拟机里安装操作系统,比世界上任何一款虚拟机使用起来都方便。

其次,客户端虚拟机不影响机器效率,只占很少的空间。在用户启动电脑工作时,虚拟机和平常的计算机一模一样,没有任何差异性的感觉。所有的应用系统还在原来的地方,使用习惯不用任何改变。

最后,客户端虚拟机的系统保护和数据恢复功能会让用户越来越喜欢,用户不再需要担心计算机中毒、系统崩溃和数据丢失了,也不用担心由于电脑问题而会中断和影响工作了,客户端虚拟机系统保证只要电脑硬件没有故障,会在1—2分钟内恢复电脑的健康。

4.3 终端身份识别严谨、控制灵活

安全虚拟机的身份来源于计算机底层的硬件信息,包括CPU码、硬盘码等信息,所以用户ID不会被伪造。并可以随时改变某个用户能够接入互联网的权限。

4.4 一机两用、与互联网隔离的先进性创新手段

很多局委办一些需要上互联网的机器,同时也需要在电子政务内网办公,两种应用需要隔离,安全虚拟机为用户提供了一种一机多用、并且相互隔离的解决方案,为局委办更多的用户安全的接入互联网提供了方便。

4.5 强大接入终端维护功能

电子政务外网就像一个高速公路,在道路建设的同时,必须要建设高速公路的服务站,否则整条高速公路无法运行。

接入终端的维护和安全管理,将成为电子政务外网服务站中非常有特色、非常有用的一项服务。

远为终端虚拟机系统具有很强大的远程维护功能,且具有特殊的计算机操作系统秒级备份与还原功能,其性能超越目前市场上的任何一种计算机恢复产品。

1)无冗余系统备份。远为自主研发的“计算机动态时间点创建技术”相当于给(虚拟)计算机建立了一个时间轴,用户可随时增加还原点。系统不需要真正的备份,因此,不会有大量的存储空间冗余。

2)多还原点。不像市面上的还原软件或者还原卡,只能支持一个还原点。本功能可以支持多达上百个还原点。

3)全盘还原。目前市面上所有的还原软件只能还原系统盘。本功能不仅能还原系统盘,还能对全盘进行还原。因此,驻留在非系统盘的病毒也将被清理掉。

4)无损恢复。目前市面上的所有还原软件一旦还原系统,都将丢失数据。本功能还原系统后不会丢失数据,可以利用本系统提供的数据恢复功能将数据寻找回来。

4.6 电信级的链路故障自动检测与排查功能

远为10000号宽带管家是专门为中国电信开发研制的宽带用户故障自助检测与排查系统,已经成功运行在江苏省电信、四川省电信、云南省电信、贵州省电信等单位,服务用户量以及达到2000万用户,是一款电信级的成熟产品。

本方案可融入10000号宽带管家的功能,为通过电子政务外网接入互联网的各局委办用户服务,能够帮助用户在1分钟内定位不能访问业务系统、链接互联网的原因,并自动处理70%以上的因电脑问题导致的链路故障。

4.7 完善的安全管理扩展功能

远为电子政务外网敏感信息安全保护解决方案,不仅仅能够起到终端隔离、网络隔离的功能,它还是一个庞大的网络安全管理平台。如具有终端网络访问控制、外设访问控制、IP地址捆绑、服务器入侵检测等等。这些控制都是基于计算机底层技术的,可以控制到每个虚拟机。

这种全新的信息安全技术,各级信息中心可以向各局委办推荐和提供,以便各局委办可以更加安全的使用城域网。

5 成功案例解析
5.1 人力资源与社会保障部I
5.1.1 项目名称

人力资源与社会保障部业务网络改造项目

5.1.2 用户需求

目前,人力资源和社会保障部的业务主要是建立了业务专网、综合业务网两套物理网络,涉密网络不在此方案讨论之内。

业务专网是整个人力资源和社会保障业务系统的网络支撑,是社保、人力资源、视频会议等核心业务应用系统的运行平台。业务转往覆盖全国各省,与地方人力资源和社会保障业务系统对接,终端用户数量少,主要是支撑各种业务的服务器,保证各项业务数据的及时、安全、高效的传递给中央,为中央决策提供数据依托。

综合业务外网是整个人力资源和劳动保障业务的对外门户。目前包括对外服务和对内服务两部分,对外服务的内容有包括:信息发布、公共服务、政策宣传、公务员招考等;对内服务主要包括:内部邮件、OA、FTP、DNS等应用。终端方面,实现了全员覆盖,主干通讯线路是由光线构成,其特点是接入用户众多,业务量大对系统的实时性要求高。

目前,综合业务外网的客户端不能访问业务专网。由于业务流程上的要求,业务专网与综合业务外网的服务器需要进行交互和数据交换,因此业务专网与综合业务外网采用隔离网闸的方式进行了网络隔离。

随着业务工作发展的需要,当前在综合业务外网的部分客户端需要访问业务专网的应用。这就要求在保持现有使用方式的基础上,要对这些客户端提供访问业务专网的应用的服务,并且在能够访问业务专网的时候,不能够与互联网相连接,不能访问互联网络。

而在现有网络拓扑不变的情况下无法安全方便的实现这一要求。

另外,由于访问业务专网需要统一部署一些软件和相关升级包,因此,对访问业务专网的这些客户端要求能够方便地、统一地发放和安装应用软件。

5.1.3 应用方案

首先,在综合业务外网的“核心交换区”部署VirNOS_Server(维纳斯服务器)保证服务器和每一个需要接入业务专网的客户终端在物理上连通,同时,在维纳斯服务器为每台终端创建VirNOS用户账户,并且根据不同的资源访问权限构造不同的虚拟网络(虚拟综合业务网和虚拟业务专网)。

其次,在所有需要接入业务专网访问专网资源的客户机上部署VirNOS Client(维纳斯客户端)。根据应用需要我们将客户机一分为二,虚拟成了两台虚拟机,综合网虚拟机、专网虚拟机。其中综合业务虚拟机除不能访问业务专网资源外其他网络资源都可访问(包括互联网),同时外部设备不受管制;而专网虚拟机只能访问业务专网内的资源,并且其外设是禁止使用的(如,USB接口、光驱、软驱、并口、串口、蓝牙、1394、SD卡接口、PCMCIA接口、红外等)。

由于综合网虚拟机和专网虚拟机是完全隔离的,同时综合网虚拟机从属虚拟综合业务网,专网虚拟机从属于虚拟业务专网,因此就可以实现在同一条物理链路上,将两种安全级别不同的应用按照网络边界完全隔离,根据安全级别的需要实现了网络隔离。

真正做到专人专机,专机专网,专网专用,相互隔离互不影响。

在业务专网的出口处(如上图)安装VirNOS _Brg(维纳斯安全网桥),使得没有安装维纳斯客户端的非法用户计算机无法接入,并且过滤掉非授权的用户(安装了维纳斯但是没有访问权限的用户)。

同时,为了保证通讯的安全性,涉密虚拟机在与服务器或者涉密终端通讯时都需要连接VPN。

网络管理主要是通过统一的管理策略对网络中的终端计算机进行统一管理,其实质是对网络边界的管理。那么从这个意义上讲,无论是业务专网或是综合业务外网,他们都有自己清晰明确的应用边界。通过VirNOS的终端管理功能,管理员凭借统一的VirNOS管理后台强大的管理功能可将管理的触角伸向终端某个计算机的某个接口,可以进行实时的网络强制管理。从而将实现了实时的强制网络边界管理,保证了数据信息的安全。

5.1.4 产品选型

远为多网安全隔离系统策略服务器(VirNOSPolicyServer)1台

远为多网安全隔离系统安全隔离网关(VirNOSGateWay)1台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)200套

5.1.5 项目拓扑
5.2 人力资源与社会保障部II
5.2.1 项目名称

人力资源与社会保障部涉密网业务系统安防项目

5.2.2 用户需求

人力资源和社会保障部涉密网属于机密级,涉密网分为应用区、网络服务器区、隔离区三个区域。应用区中又分为档案区、文印区、秘书处等不同密级的区域。目前需要对应用区中的重要部门重点区域(例如:文印室)进行保护,实现数据可控,由于这些重要部门重点区域是跨网段的交叉访问,传统的以网络拓扑结构来划分安全域的方法,不能满足上述需求。

5.2.3 应用方案

在涉密终端上虚拟成2台虚拟机(秘密级虚拟机、机密级虚拟机),每个虚拟机只能访问本密级的应用系统。保证各个涉密终端上各个密级的数据独立运行相互隔离。

5.2.4 产品选型

远为多网安全隔离系统策略服务器(VirNOS PolicyServer)1台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)100套

5.2.5 网络拓朴
5.3 河南省人力资源与社会保障厅
5.3.1 项目名称

河南省人力资源和社会保障厅办公网网络隔离

5.3.2 用户需求

河南省人力资源和社会保障厅非涉密网主要划分为互联网和业务专网两套物理网络,中间采用隔离网闸的方式进行隔离。随着业务系统的发展,目前互联网上很多厅局内部用户和厅属二级机构需要访问业务专网的资源。另外传统的隔离卡方式并没有实现计算机端口隔离和网络传输隔离,也难以解决人为破坏的因素。

5.3.3 应用方案

1、一个物理网络实现双网隔离

2、一机多用,减少终端数量

3、解决终端网络边界安全

5.3.4 覆盖范围

河南省人力资源和社会保障厅、厅属机关。

5.3.5 产品选型

远为多网安全隔离系统策略服务器(VirNOS PolicyServer)1台

远为多网安全隔离系统安全隔离网关(VirNOS GateWay)1台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)350套

5.3.6 项目拓朴
5.4 郑州市人力资源与社会保障局
5.4.1 项目名称

郑州市人力资源和社会保障局桌面安全管理项目

5.4.2 用户需求

接入郑州市社保网的用户和方式越来越多、业务系统越来复杂,由于缺少接入时的强制管理手段,给网络安全埋下了严重的隐患,多起的网络瘫痪事故,严重影响了郑州的社会保障工作。

5.4.3 应用方案

1、解决接入社保网客户端身份混乱、无法强制管理问题

2、解决IP地址无法集中配置管理问题

3、解决无法实现跨网段的业务、部门子网组建问题

4、解决设备入网无法控制问题

5、社保办公网与互联网隔离

5.4.4 覆盖范围

郑州市及周边六县(荥阳市,登封市,巩义市,新郑市,新密市,中牟县)

5.4.5 产品选型

远为多网安全隔离系统策略服务器(VirNOS PolicyServer)2台

远为多网安全隔离系统安全隔离网关(VirNOS GateWay)5台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)15000套

5.4.6 项目拓朴
5.5 内蒙古自治区质监局
5.5.1 项目名称

内蒙古自治区质监局-办公网建设

5.5.2 用户需求

内蒙古自治区质监局与下属各地市之间存在经常性的业务联系,但相互之间并不具备专线环境,通常依托互联网完成各级单位之间的通信,极易将内蒙古值之前质监局及下属各地市之间的敏感业务信息暴露在互联网上,导致敏感信息泄露事故的发生。

5.5.3 应用方案

1、办公网与互联网安全隔离

2、移动办公安全接入方案

3、重要业务服务器防护

5.5.4 覆盖范围

内蒙古自治区质监局全区14个盟市:I期750套,II期3000套

5.5.5 产品选型

远为多网安全隔离系统策略服务器(VirNOS PolicyServer)1台

远为多网安全隔离系统安全隔离网关(VirNOS GateWay)2台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)3750套

5.5.6 项目拓朴
5.6 河南省发改委“金宏工程”
5.6.1 项目名称

河南省发改委“金宏”工程——GIS信息安全上报

5.6.2 用户需求

河南省宏观经济管理信息系统将构架省、市和县发改委、局(将来将包括财政、税务等八个宏观经济管理部门)以及重点企业互联互通、信息汇集与共享的网络平台。由于信息汇集接入点多而不可控,大大增加了金宏工程信息安全管理的复杂度。

5.6.3 应用方案

1、终端安全隔离接入

2、终端运维安全保障

3、终端集中管控

4、智能远程维护

5.6.4 覆盖范围

河南省发改委省属机关及部分企业。

5.6.5 产品选型

远为多网安全隔离系统策略服务器(VirNOS PolicyServer)1台

远为多网安全隔离系统安全隔离网关(VirNOS GateWay)2台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)400套

5.6.6 项目拓朴
5.7 民爆行业
5.7.1 项目名称

“民爆行业生产经营动态监控信息系统平台”网络及信息安全支撑平台建设项目

5.7.2 用户需求

民爆行业监控系统平台是由数据中心和1800多个接入单位(用户)组成,主要维护对象是应用系统和终端部分,庞大数量的接入终端,是影响应用系统稳定运行的主要因素,主要如下几个方面:

(1) 终端管理的需求

终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响应用系统的安全。特别是终端在遗失、被盗后,甚至故意拆取硬盘带离后,极有可能导致敏感数据丢失和泄漏,造成严重安全事故和无法挽回的损失。

(2) 服务器数据负载均衡的需求

由于访问业务系统的人数众多,单一的网络服务设备的性能已经不能满足用户并发访问的需要,由此需要引入服务器的负载平衡,实现大量并发用户访问多台同时工作的业务系统服务器时,动态分配每一个应用请求。

(3) 远程系统维护的需求

民爆行业监控系统平台的接入机构数量庞大,地域范围分布广泛,提升接入客户端稳定运行时间降低故障因素,是提升系统和用户体验的主要措施,因此需要建立远程维护体系实现对所有终端的集中安全管理。远程维护体系需做到:

即使计算机死机、崩溃,也可以快速远程修复;
       具有远程操作方式;
       具有严密的安全保护手段;
       具有严格的授权审计措施。

5.7.3 应用方案

(1) 终端安全管理

统一管理民爆专网虚拟机的外设端口(U盘、光驱等)、网络访问范围和软件应用等,实现对民爆专网的终端应用环境的安全防护。民爆专网虚拟机只能访问民爆门户业务系统,而无法访问互联网或其他网络,从根源上解决这台专用虚拟机与病毒、木马、恶意攻击接触的可能性。

(2) 终端运维管理

远为多网安全隔离系统对虚拟机进行了物理加密,对民爆业务系统所规定的补丁分发管理,自动检测补丁服务器最新补丁包,并且及时下载安装,提高操作系统的安全性,使操作系统远离漏洞,病毒攻击的风险。对民爆业务系统所规定的使用软件进行管理,提高软件使用的兼容性和统一性,降低操作环境差异带来的影响。

(3) 终端接入防护

VirSAG安全网关上所有的策略全部由VirNOS管理中心统一管理设置,可避免直接通过网关进行防护策略恶意篡改风险。对已安装VirNOS Client的终端的访问请求进行基于虚拟机的合法身份进行访问控制,对未安装VirNOS Client软件的终端、未授权的终端虚拟机的非法访问请求进行拦截。

(4) 服务器负载均衡

负载均衡器不仅能够动态的将每个用户请求快速合理的分配到相应的服务器,提高服务器资源的利用率。同时可以实现多台服务器之间冗余,保证关键应用系统的稳定性,不会由于某台服务器故障,造成应用系统的局部访问中断。负载均衡器的双机热备功能,支持设备状态的自动切换,可以保证网络应用稳定、高效运行。

5.7.4 产品选型

远为多网安全隔离系统策略服务器(VirNOS PolicyServer)2台

远为多网安全隔离系统安全隔离网关(VirNOS GateWay)2台

远为多网安全隔离系统虚拟机客户端(VirNOS VM)1150套

远为负载均衡器系统2台

5.7.5 项目拓朴