電子政務網(wǎng)絡的數(shù)據(jù)中心內(nèi)部署了大量服務器和存儲系統(tǒng)，承載電子政務網(wǎng)的關鍵業(yè)務和重要數(shù)據(jù)，該網(wǎng)絡是安全防范的重點，數(shù)據(jù)中心網(wǎng)絡的出口部署高性能數(shù)據(jù)中心網(wǎng)關，開啟入侵防御功能，可以有效阻止針對數(shù)據(jù)中心網(wǎng)絡的攻擊行為，復用互聯(lián)網(wǎng)出口的Anti-DDoS拒絕服務攻擊防護系統(tǒng)，對服務器的應用層攻擊進行清洗，防止針對網(wǎng)站和郵件系統(tǒng)的惡意攻擊，保證系統(tǒng)的正常運行；WEB服務器前端部署WEB防護網(wǎng)關，保護WEB服務器免受SQL注入、跨站點攻擊等威脅，保障WEB業(yè)務的正常運行。

　　同時，針對郵件、OA等文件系統(tǒng)，部署APT未知威脅檢測系統(tǒng)，通過還原交換機或者傳統(tǒng)安全設備鏡像的網(wǎng)絡流量，在虛擬的環(huán)境內(nèi)對網(wǎng)絡中傳輸?shù)奈募�進行檢測，實現(xiàn)對未知惡意文件的檢測。

　　隨著電子政務云的發(fā)展，如何有效隔離，如何有效防護虛擬機安全，成為虛擬化安全的重點，在數(shù)據(jù)中心出口通過綜合安全網(wǎng)關的多虛擬系統(tǒng)，為不同的委辦局和不同的業(yè)務分配不同的虛擬系統(tǒng)，在網(wǎng)絡層面進行隔離；在云平臺安裝軟件虛擬防火墻vFW，解決VM之間的互訪安全，對網(wǎng)絡不可見的東西向流量進行隔離和防護，從網(wǎng)絡層和VM多層面解決虛擬化網(wǎng)絡安全問題。

　　針對政務云可能遭遇的高級持續(xù)威脅（APT），華為提出了大數(shù)據(jù)安全分析解決方案。該方案通過采集全網(wǎng)的文件、日志和流量，真正做到基于行為異常的分析和檢測，同時配合傳統(tǒng)安全產(chǎn)品，進行全網(wǎng)的協(xié)防聯(lián)動。通過多種安全產(chǎn)品的協(xié)同配合，過對APT攻擊進行快速檢測、告警和報告呈現(xiàn)，有效避免APT攻擊對政府核心信息資產(chǎn)造成風險。

　　只對APT攻擊中的關鍵惡意軟件、對外通道進行深度檢測和攔截�？蓪�安全沙箱部署在互聯(lián)網(wǎng)接入?yún)^(qū)和政務外網(wǎng)安全接入?yún)^(qū)，檢測全網(wǎng)傳輸文件，發(fā)現(xiàn)和阻斷未知惡意文件，避免由此可能引發(fā)的APT攻擊。

　　該解決方案以華為沙箱為基礎，通過和華為NGFW進行安全聯(lián)動以及日志管理系統(tǒng)logcenter進行APT攻擊展示構(gòu)成一個整體的解決方案。沙箱深度檢測惡意軟件和C&C通道，秒級同步這些信息給NGFW，防火墻自動響應，生成相關的攔截策略，實現(xiàn)快速攔截。而logcenter采集兩個設備的相關日志信息，通過關聯(lián)分析，準確的展示APT攻擊中惡意軟件的感染范圍，惡意文件下載的情況，以及整網(wǎng)的安全態(tài)勢情況。

　　華為輕量級大數(shù)據(jù)安全解決方案架構(gòu)

　　重量級解決方案以CIS大數(shù)據(jù)安全分析平臺為基礎，通過對現(xiàn)網(wǎng)關鍵路徑流量、關鍵系統(tǒng)日志等的采集，快速檢測各種異常行為，包括web異常、Mail異常、DNS異常等。

　　重量級方案的組件較多，可將CIS大數(shù)據(jù)分析平臺部署在管理區(qū)，通過探針采集和分析全網(wǎng)的文件、日志、流量，實現(xiàn)APT攻擊進行快速檢測、告警和報告呈現(xiàn)。由于重量級方案的部署成本較高，推薦部署在省級及以上政務平臺。

　　華為重量級大數(shù)據(jù)安全解決方案架構(gòu)

　　在管理中心部署統(tǒng)一網(wǎng)管系統(tǒng)，集中管理網(wǎng)絡中的安全設備，監(jiān)控安全設備的狀態(tài)，集中處理安全日志，統(tǒng)一制定安全策略，能夠全盤呈現(xiàn)網(wǎng)絡中的安全狀態(tài)、業(yè)務環(huán)境，實施主動監(jiān)控，通過安全事件關聯(lián)分析，及時發(fā)現(xiàn)存在的安全隱患；在出口防火墻設置管理員訪問權限，要求密碼復雜度，可部署堡壘主機分配管理資源，限制管理權限，審計管理行為，達到統(tǒng)一管理，安全管理的目的。

　　華為電子政務網(wǎng)安全解決方案，為政務信息化提供了多層次安全，實現(xiàn)全面防護；同時安全設備簡單易管理，且性能優(yōu)異，為“互聯(lián)網(wǎng)+政務服務”提供堅強的后盾。

　　根據(jù)電子政務網(wǎng)組網(wǎng)特點，在不同的網(wǎng)絡層面部署專業(yè)的安全設備，為電子政務網(wǎng)Internet網(wǎng)絡邊界提供了L2-L7的實時安全防護，專業(yè)的DDoS防護保障網(wǎng)絡帶寬和服務器安全，APT沙箱檢測系統(tǒng)，對可疑流量和內(nèi)容進行模擬執(zhí)行測試，提供未知威脅防御功能，多級安全設備多維度全局環(huán)境感知提供更全面的安全防護，NGFW高效的應用感知，識別應用更清晰管控更精細，利用設備及軟件的虛擬化技術實現(xiàn)多層次的虛擬化安全，使集中管理中心和分散部署的一體化安全網(wǎng)關成為一個有機結(jié)合的整體，既防范外網(wǎng)到公眾服務器的訪問安全，又對電子政務內(nèi)部用戶及數(shù)據(jù)中心進行保護，共同為電子政務的網(wǎng)絡安全保駕護航。

　　通過統(tǒng)一管理軟件實現(xiàn)全網(wǎng)安全和網(wǎng)絡設備的統(tǒng)一管理，集中管理與控制技術實現(xiàn)了對多臺設備的同時安全策略下發(fā)和日志的統(tǒng)一收集、分析，更加簡化了安全策略實施和風險管理的過程。

　　綜合安全網(wǎng)關的利用，使各安全模塊之間的耦合度和協(xié)調(diào)性都達到最佳，流量自學習和策略模板化，讓安全策略實施過程變得簡單，設備部署后，可持續(xù)學習現(xiàn)網(wǎng)流量模型，根據(jù)現(xiàn)網(wǎng)流量情況，與當前配置的安全策略進行對比，給出策略調(diào)優(yōu)建議，將安全風險減到最低，同時減輕了管理人員的部署維護壓力。

　　選用高性能設備，實現(xiàn)海量業(yè)務處理，高密度接口，滿足不同場景需求，直路部署設備均采用雙機組網(wǎng)，提高網(wǎng)絡可靠性，確保電子政務業(yè)務連續(xù)性。

　　目前，華為政務云安全方案已經(jīng)服務于多個政務網(wǎng)絡，例如北京政務云、江西政務云、上海電子政務外網(wǎng)、廣州電子政務云、“晉城在線”等。在北京政務云中，華為配置全球領先的CE12800數(shù)據(jù)中心交換機及USG9500高端防火墻，憑借160Tbps轉(zhuǎn)發(fā)性能和1.44Tbps吞吐量以及云化特性為客戶構(gòu)建了彈性易擴展的政務云網(wǎng)絡。在上海電子政務外網(wǎng)，USG9500如同盡職的門衛(wèi)，默默守護上海政務外網(wǎng)這張大網(wǎng)，為上海市1200多家委辦局單位的互聯(lián)網(wǎng)訪問保駕護航。在廣州電子政務云，華為為各委辦局打造了安全的數(shù)據(jù)中心網(wǎng)絡，在保證政務云網(wǎng)絡便利的同時也保證了高可靠的安全性，使各委辦局可以放心的把自己的業(yè)務牽引到云數(shù)據(jù)中心中來……華為將持續(xù)政務云安全方案創(chuàng)新中，“落實國家信息安全保護制度要求，加強數(shù)據(jù)安全管理”，支撐建設“一號一窗一網(wǎng)”信息化，做“互聯(lián)網(wǎng)+政務服務”堅強的后盾。