政务网网络架构安全区域规划初步探讨

www�ele169�com | 113

网络通信

随着电子政务应用发展和增加，电子政务信息化逐步改进政府组织结构，创造网上办公的新模式，提升政府办公效率，更加全面快捷的向社会民众提供优质、规范、透明、符合国际水准的管理和服务。但伴随着更多跨区域，跨行业的政务业务需求，使得电子政务外网网络安全风险也逐渐增大。本文就以省级政务网为例结合工作实际对政务网络架构安全区域规划做一些初步探讨。

本文主要研究内容：①对政务网所涉及的业务系统进行

合理的安全区域划分；②各安全区域边界上部属安全设备进行网络安全防护；③探讨采用虚拟化技术对云平台安全防护

的发展方向。

1 政务网安全区域的划分

根据现有政务网业务应用系统的梳理和分类，整个政务

网将包括互联网托管服务区、互联网接入区、网络安全监控区、政务外网接入区、省级政务外网核心交换区、对互联网提供应用服务区、对政务外网内提供应用服务区7个功能

区域。数据中心结构示意图如1所示。

图1 政务网结构示意图

2 政务网区域边界的安全部署和安全防护

各政务网网络区域的安全防护措施和拓扑结构。 ■2.1 互联网出口

出口安全防护措施采用双防火墙、双负载均衡、双流控

和双核心交换设计，各设备采用万兆性能设备，设备之间互联采用万兆连接。这种网络架构一方面可以实现分流，即用户区

域的流量通过特定路径，服务器区域的流量经过另外独立的路径；另一方面，当出现问题的时候，互为备份的设备或者冗余链路之间能够实现自动的切换，实现高可靠性和可用性。 ■2.2 互联网托管服务区

互联网托管服务区是政务网为各政务部门提供的一项

网络服务，为政务部门单独规划一个区域存放服务器，独立互联网出口。出口采用双防火墙、双核心交换设计，各设备采用万兆性能设备，设备之间互联采用万兆连接。 ■2.3 对互联网提供应用服务区

该区域内的业务应用主要是满足公众对政务应用的需求，

为政务网核心业务区域之一，所以单独为该区域建立独立的

互联网出口。整个区域的安全防护分为网络边界安全防护、Web 应用安全防护、杀毒软件安全防护和审计系统五个方面。易揭膜

对互联网提供应用服务区出口边界防护采用双网络防

护、双Web 应用防护和双核心交换设计，各设备采用万兆性能设备，设备之间互联采用万兆连接。

其中网络防护系统具有防火墙、IPS、负载均衡、虚拟

防火墙及流量管理等功能，另外，需提供对设备自身CPU 使用率、内存使用率、存储空间、机箱温度、CPU 温度、新建连接数、并发连接数、接口流量，SNAT 端口使用率等资源的主动检测功能，可根据安全域、接口、服务、应用、用户、时间段进行的多维度全局故障点检测，数据包路径检测工具通过在线检测、模拟检测、导入检测三种检测手段，图形化展现数据包经过每个模块的处理过程。

Web 应用防护通过Web 应用防火墙实现，其能够对

钼铋系催化剂生产厂家SQL 注入、CGI、跨站脚本（XSS）进行应用层漏洞扫描，具

有蠕虫、缓冲区溢出、CGI 信息扫描、目录遍历等WEB 通用攻击防护，另外还具有网页篡改防护和数据库防篡改等功能。审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端，比如：数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。

基于以上分析，审计系统要求可审计数据库的DDL(创

建、修改、删除)，DML(新增、更新、删除、查询)，DCL(授权、取消权限、拒绝)和其它(事物控制、执行、set、show、

光触媒仿真花政务网网络架构安全区域规划初步探讨

康亮

（江西省信息中心，江西南昌，330036）

摘要：随着电子政务技术的发展和应用，政务应用需求越来越大，电子政务网的迅速发展使网络安全风险也随之增加。为了提高政务网应用的安全，本文就政务网的网络构架安全进行初步探讨。关键词：电子政务；安全区域；虚拟化

114 | 电子制作 2018年2-3

月合刊

数据交换边界防护的拓扑图如图2所示。

图2 数据交换边界防护的拓扑图

■2.5 对政务外网内提供应用服务区

该区域主要是满足政府部门各单位对政务应用的需求。

边界防护参照对互联网提供应用服务区进行设计。整个区域的安全防护分为网络边界安全防护、Web 应用安全防护、

基于云平台的虚拟软件防火墙安全防护、基于云平台的杀毒软件安全防护和审计系统五个方面。同样采用双网络防护、双Web 应用防护和双核心交换

设计，各设备采用万兆性能设备，设备之间互联采用万兆连接。 ■2.6 统一安全管理平台建设

解决安全运维中存在的问题，构建一体化的信息安全管

控平台。统一安全管理平台对政务外网相关的的网络设备、各安全部件、服务器和数据库、核心网络设备的各类操作和运行的原始日志进行采集、集中存储和检索，同时基于对原始日志进行标准化和过

滤的基础上，综合漏洞扫描系统、资产管理等数据，进行安全事件的关联分析、告警展现。在整个安全管理平台建设当中，将独立建立安全管理网络。安全管理平台服务器独立部署在安全管理网络上；政务外网安全设备、网络设备将通过网路管理口接入安全管理网络；业务应用服务器通过防火墙接入安全管理网络。 ■2.7 采用虚拟化技术对云平台安全防护

健身茶>车床跟刀架

随着云技术和虚拟技术在政务网中的发展和应用，政务网也充分利用虚拟化、云计算、服务器集等主流技术，通过“资源共享”和“流程优化”，让各级政府单位在共享的

云实现将很好的解决目前网络安全存在的一些安全隐患，也是网络安全今后发展的必然趋势。虚拟防火墙和虚拟Web

mjpg

应用防护具有明显的技术优势。一是拓扑结构简单、清晰，部署虚拟防火墙和虚拟Web 应用防护使得云平台只需要一根线路接入；二是投资成本低，不需要部署实体的安全设备，只需要利用云平台已有的硬件资源部署虚拟防火墙和虚拟Web 应用防护软件平台，然后在平台上对各业务应用系统虚拟出若干独立的虚拟防火墙和虚拟Web 应用防护，也可以双虚拟设备搭配使用，进行冗余备份；三是由于有虚拟安全管理平台将使得安全防护操作管理更为简单和实效，更易网络安全后期维护；四是他解决了功能区域内相对独立的业务应用系统间安全隔离和安全防护的网络安全隐患，使得整个政务外网更加安全和稳定可靠。

3 结论

以上政务网是按“分层分域”的总体安全规划，将政务

外网划分为互联网托管服务区、互联网接入区、网络安全监控区、政务外网接入区、省级政务外网核心交换区、对互联网提供应用服务区、对政务外网内提供应用服务区7个功能区域，区域边界清晰。每个区域又从网络边界安全防护、Web 应用安全防护、杀毒软件安全防护和审计系统5个层

面从网络层到应用层进行了安全防护。通过对政务网网络架构安全区域规划的划分，将有效的从政务网底层构架上对政务网的网络安全起到有效防护和安全保障。

参考文献＊ [1] 陈兵.电子政务安全技术[M]，北京：北京大学出版社，2005.

＊ [2] GB/T 20270-2006，信息安全技术网络基础安全技术要求[S].＊ [3] 褚峻，苏震，电了政务安全技术保障[M]，北京：中国人民大

学出版社，2004.

本文发布于:2024-09-23 14:27:16，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/238298.html

上一篇：新时期下市级国土空间基础信息平台建设思考

下一篇：江苏省建筑业监管信息平台安全生产许可证电子化申报操作指南.许可证分册