安全態(tài)勢(shì)感知專家說第5期：電子政務(wù)外網(wǎng)城域網(wǎng)安全運(yùn)營(yíng)挑戰(zhàn)

電子政務(wù)外網(wǎng)簡(jiǎn)介

電子政務(wù)外網(wǎng)是我國(guó)電子政務(wù)公共基礎(chǔ)設(shè)施，主要承載各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)、協(xié)同辦公等非涉密的業(yè)務(wù)應(yīng)用，支撐跨部門、跨層級(jí)、跨區(qū)域的數(shù)據(jù)共享和業(yè)務(wù)協(xié)同。

電子政務(wù)外網(wǎng)融合了政務(wù)外網(wǎng)、互聯(lián)網(wǎng)和政務(wù)專網(wǎng)，按照“應(yīng)接盡接”的 原則構(gòu)建了覆蓋省、市、縣、鄉(xiāng)、村的“一張網(wǎng)”。電子政務(wù)外網(wǎng)總體采用分層構(gòu)建、逐層保護(hù)的指導(dǎo)原則，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)如圖1-1所示。由圖中可見，電子政務(wù)外網(wǎng)的整體網(wǎng)絡(luò)由廣域網(wǎng)、城域網(wǎng)和政務(wù)外網(wǎng)組成，縱向包含中央、省、市、區(qū)縣四級(jí)網(wǎng)絡(luò)平臺(tái)，橫向由城域網(wǎng)連通廣域網(wǎng)和部門政務(wù)外網(wǎng)。

圖1-1電子政務(wù)外網(wǎng)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

各級(jí)部門根據(jù)業(yè)務(wù)需要分別接入相應(yīng)層級(jí)的政務(wù)外網(wǎng)。各級(jí)城域網(wǎng)部署統(tǒng)一的互聯(lián)網(wǎng)出口，滿足本級(jí)部門訪問互聯(lián)網(wǎng)的需求。由于各級(jí)城域網(wǎng)承載本級(jí)唯一的互聯(lián)網(wǎng)出口，用于互聯(lián)網(wǎng)接入及上網(wǎng)等服務(wù)，所以存在較高的安全風(fēng)險(xiǎn)。同時(shí)，接入城域網(wǎng)的各單位安全能力參差不齊，這也對(duì)城域網(wǎng)的安全運(yùn)營(yíng)構(gòu)成嚴(yán)峻考驗(yàn)。本文即是對(duì)電子政務(wù)外網(wǎng)場(chǎng)景中的城域網(wǎng)安全運(yùn)營(yíng)挑戰(zhàn)進(jìn)行分析，并給出相應(yīng)的解決方案。

典型城域網(wǎng)如圖1-2所示。城域網(wǎng)橫向接入廣域網(wǎng)，實(shí)現(xiàn)各級(jí)政務(wù)網(wǎng)之間的信息共享和協(xié)同辦公。同時(shí)，城域網(wǎng)提供統(tǒng)一的互聯(lián)網(wǎng)出口，用于接入單位訪問互聯(lián)網(wǎng)資源或從互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)。為了保障網(wǎng)絡(luò)安全，城域網(wǎng)還在互聯(lián)網(wǎng)出口區(qū)部署了Anti-DDoS、IPS、防火墻等安全設(shè)備。此外，各級(jí)接入單位也可以通過城域網(wǎng)實(shí)現(xiàn)與其他單位的網(wǎng)絡(luò)互通。

圖1-2典型城域網(wǎng)組網(wǎng)圖

電子政務(wù)外網(wǎng)城域網(wǎng)的安全運(yùn)營(yíng)挑戰(zhàn)

我國(guó)高度重視網(wǎng)絡(luò)安全工作，相繼出臺(tái)了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，建立健全網(wǎng)絡(luò)安全防護(hù)體系，保護(hù)涉及國(guó)家安全、國(guó)計(jì)民生和社會(huì)公共利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、運(yùn)行安全和數(shù)據(jù)安全。

為了加強(qiáng)電子政務(wù)外網(wǎng)整體的安全防護(hù)能力，確保全網(wǎng)的安全性、可靠性和一致性，保證各級(jí)政務(wù)部門業(yè)務(wù)的暢通和安全，電子政務(wù)外網(wǎng)建設(shè)需要遵從安全等級(jí)保護(hù)要求，中央、省、市等各級(jí)電子政務(wù)外網(wǎng)均應(yīng)達(dá)到《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的第三級(jí)要求。然而，隨著服務(wù)范圍的不斷擴(kuò)大，運(yùn)營(yíng)單位也面臨了防御體系不完善、跨部門協(xié)作不通暢、應(yīng)急響應(yīng)能力不足等諸多問題，給安全運(yùn)營(yíng)帶來了嚴(yán)峻挑戰(zhàn)。

挑戰(zhàn)一：安全能力碎片化，無法形成安全合力

為了保障安全運(yùn)行，電子政務(wù)外網(wǎng)的互聯(lián)網(wǎng)出口區(qū)通常會(huì)部署多個(gè)安全設(shè)備（如DDoS防護(hù)、防火墻、IPS等），進(jìn)行多層次的安全防護(hù)。然而，現(xiàn)有的安全設(shè)備往往缺乏有效的協(xié)同機(jī)制，各自執(zhí)行不同的安全策略，難以形成統(tǒng)一的安全標(biāo)準(zhǔn)和防護(hù)體系。這不僅增加了網(wǎng)絡(luò)管理的復(fù)雜度，也降低了網(wǎng)絡(luò)安全的防護(hù)效果，還給分析和解決安全問題帶來了困難。

根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，電子政務(wù)外網(wǎng)應(yīng)該建立安全管理中心，實(shí)現(xiàn)集中管控和監(jiān)測(cè)功能，對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析，以此提高網(wǎng)絡(luò)安全管理水平和應(yīng)急能力。安全管理中心可以通過與各類安全設(shè)備進(jìn)行對(duì)接，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界的全面感知和控制，形成一套完整的網(wǎng)絡(luò)安全防護(hù)體系。通過安全管理中心，運(yùn)營(yíng)單位還可以實(shí)現(xiàn)對(duì)電子政務(wù)外網(wǎng)的統(tǒng)一配置，提升整網(wǎng)的安全性和可用性。

挑戰(zhàn)二：內(nèi)部邊界安全防御不足，安全風(fēng)險(xiǎn)高

大量單位接入電子政務(wù)外網(wǎng)后，在享受共享互通便捷的同時(shí)，也帶來了威脅擴(kuò)散的風(fēng)險(xiǎn)。根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，電子政務(wù)外網(wǎng)應(yīng)在安全區(qū)域邊界部署安全設(shè)備，不僅要防御從外部發(fā)起的網(wǎng)絡(luò)攻擊行為，也要防御從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

電子政務(wù)外網(wǎng)的防護(hù)設(shè)備主要集中在互聯(lián)網(wǎng)出口區(qū)，各單位接入電子政務(wù)外網(wǎng)的邊界上安全防御稍顯薄弱，這將導(dǎo)致安全威脅以接入單位為跳板進(jìn)入電子政務(wù)外網(wǎng)，安全風(fēng)險(xiǎn)也隨之?dāng)U散到其他接入單位。如果電子政務(wù)外網(wǎng)不能起到安全防護(hù)的屏障作用，攻擊影響很容易由點(diǎn)擴(kuò)大到面，為電子政務(wù)外網(wǎng)業(yè)務(wù)帶來極大風(fēng)險(xiǎn)。

挑戰(zhàn)三：協(xié)同流程不順暢，安全運(yùn)營(yíng)工作量大

政務(wù)網(wǎng)絡(luò)建設(shè)的趨勢(shì)是向鄉(xiāng)、村等基層單位延伸，而基層接入單位的安全防護(hù)能力參差不齊。隨著電子政務(wù)外網(wǎng)的規(guī)模越來越大，帶來的是整網(wǎng)安全告警數(shù)量的激增，僅靠運(yùn)營(yíng)單位無法完成全網(wǎng)告警的分析與處置工作。

由于運(yùn)營(yíng)單位與接入單位的安全事件協(xié)同流程不連續(xù)，導(dǎo)致運(yùn)營(yíng)單位檢測(cè)到安全事件時(shí)需要人工通知接入單位進(jìn)行處置。接入單位整改完成后，再通知運(yùn)營(yíng)單位更新安全事件的處置結(jié)果，安全事件處置效率非常低。另外，安全事件通報(bào)信息中沒有包含接入單位的內(nèi)部組織信息，無法直接通報(bào)到被攻擊資產(chǎn)的責(zé)任人。接入單位需要先查找對(duì)應(yīng)的資產(chǎn)責(zé)任人，然后再進(jìn)行安全處置，這進(jìn)一步降低了安全事件的處置效率。

挑戰(zhàn)四：安全事件處置效率低，閉環(huán)周期長(zhǎng)

電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)基礎(chǔ)設(shè)施建設(shè)滯后，網(wǎng)絡(luò)和安全運(yùn)維分離，缺少有效的協(xié)調(diào)機(jī)制，無法形成完整的事件處置流程。當(dāng)前，發(fā)生安全事件時(shí)通常依靠人工處置，這導(dǎo)致威脅分析和預(yù)警通報(bào)等工作耗時(shí)過長(zhǎng)，難以及時(shí)應(yīng)對(duì)和解決安全問題。

與此同時(shí)，網(wǎng)絡(luò)環(huán)境中的安全威脅日益復(fù)雜，演化速度也越來越快，特別是勒索病毒等惡意軟件，在短時(shí)間內(nèi)就能對(duì)大量IT資產(chǎn)造成破壞，依靠傳統(tǒng)的人工處理方式難以有效遏制和消除這些威脅。因此，必須提升自動(dòng)化水平，實(shí)現(xiàn)快速、準(zhǔn)確、高效應(yīng)對(duì)各種網(wǎng)絡(luò)威脅。

華為安全解決方案

安全運(yùn)營(yíng)是一項(xiàng)系統(tǒng)工程，需要技術(shù)、流程和人力的協(xié)同配合，才能實(shí)現(xiàn)最終的安全目標(biāo)。安全運(yùn)營(yíng)的核心是對(duì)已有安全產(chǎn)品、工具、服務(wù)產(chǎn)出的數(shù)據(jù)進(jìn)行有效分析，從而發(fā)現(xiàn)并解決安全風(fēng)險(xiǎn)，持續(xù)提升安全水平。

電子政務(wù)外網(wǎng)安全建設(shè)的總體思路是以安全監(jiān)測(cè)為核心，構(gòu)建安全監(jiān)測(cè)體系，形成全網(wǎng)監(jiān)測(cè)預(yù)警、信息共享和聯(lián)動(dòng)能力。提升全局性、整體化網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，通過主動(dòng)、靈活的威脅發(fā)現(xiàn)能力，實(shí)現(xiàn)對(duì)威脅和風(fēng)險(xiǎn)的全天候、全方位感知。實(shí)現(xiàn)從安全檢測(cè)、分析研判、通報(bào)預(yù)警到應(yīng)急響應(yīng)的良性循環(huán)，不斷提升電子政務(wù)外網(wǎng)的安全保障能力。

下面我們從體系建設(shè)、運(yùn)營(yíng)模式和技術(shù)創(chuàng)新等三個(gè)方面來介紹華為安全解決方案：

01構(gòu)建安全監(jiān)測(cè)體系，感知全網(wǎng)安全態(tài)勢(shì)

如圖1-3所示，華為安全解決方案采用了分析器、控制器和執(zhí)行器的三層架構(gòu)，構(gòu)建起電子政務(wù)外網(wǎng)安全監(jiān)測(cè)體系。

• 分析器由華為HiSec Insight承擔(dān)，它是整個(gè)安全解決方案的“大腦”，能夠?qū)θW(wǎng)安全數(shù)據(jù)進(jìn)行實(shí)時(shí)采集、威脅分析、溯源取證和應(yīng)急處置，提供安全分析與持續(xù)運(yùn)營(yíng)能力。當(dāng)安全事件發(fā)生時(shí)，分析器將向控制器下發(fā)聯(lián)動(dòng)策略。

• 控制器包括安全控制器和網(wǎng)絡(luò)控制器，分別對(duì)全網(wǎng)的安全設(shè)備和網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理和協(xié)同。具體來講，安全控制器負(fù)責(zé)集中管理安全策略，協(xié)同安全設(shè)備實(shí)現(xiàn)統(tǒng)一的安全業(yè)務(wù)編排與管理，保證全網(wǎng)策略一致性，構(gòu)建安全合力。網(wǎng)絡(luò)控制器負(fù)責(zé)對(duì)網(wǎng)絡(luò)資源進(jìn)行統(tǒng)一管理和維護(hù)，根據(jù)分析器的聯(lián)動(dòng)策略向路由器等網(wǎng)絡(luò)設(shè)備下發(fā)策略，將存在安全風(fēng)險(xiǎn)的資產(chǎn)進(jìn)行隔離，彌補(bǔ)內(nèi)部邊界防御的薄弱點(diǎn)。

• 執(zhí)行器包含防火墻、路由器、流量探針等設(shè)備。防火墻等安全設(shè)備負(fù)責(zé)阻斷邊界攻擊，路由器等網(wǎng)絡(luò)設(shè)備負(fù)責(zé)實(shí)現(xiàn)內(nèi)部資產(chǎn)隔離，流量探針負(fù)責(zé)采集網(wǎng)絡(luò)流量信息并提供給分析器進(jìn)行威脅檢測(cè)。

圖1-3華為安全解決方案架構(gòu)

02分布式安全運(yùn)營(yíng)，接入單位責(zé)任歸位

華為HiSec Insight對(duì)安全運(yùn)營(yíng)模式進(jìn)行創(chuàng)新，在支持集中式安全運(yùn)營(yíng)的基礎(chǔ)上，通過引入多租戶模型，進(jìn)而支持分布式安全運(yùn)營(yíng)。在分布式安全運(yùn)營(yíng)模式下，各接入單位以租戶身份自行運(yùn)營(yíng)安全事件，由被動(dòng)接收安全通報(bào)的角色，轉(zhuǎn)變?yōu)橹鲃?dòng)安全運(yùn)營(yíng)的責(zé)任主體。

多租戶模型如圖1-4所示，各個(gè)租戶可以實(shí)時(shí)監(jiān)控自己的安全事件，進(jìn)行分析取證和閉環(huán)處置。各租戶之間實(shí)現(xiàn)數(shù)據(jù)隔離，保護(hù)敏感信息不被泄露。城域網(wǎng)運(yùn)營(yíng)單位可以掌握全局的安全態(tài)勢(shì)，查看所有租戶的安全事件情況。多租戶模型的應(yīng)用實(shí)現(xiàn)了安全事件從城域網(wǎng)運(yùn)營(yíng)單位到接入單位的一體化管理，無需跨系統(tǒng)協(xié)同，即可實(shí)現(xiàn)通報(bào)預(yù)警和威脅處置的全流程閉環(huán)。既減少了人工傳遞的成本，又提高了安全事件處置的效率。

對(duì)于規(guī)模較大的接入單位，可以細(xì)化運(yùn)營(yíng)管理。接入單位可以按照部門劃分多級(jí)工作組，由各部門負(fù)責(zé)自己的安全事件運(yùn)營(yíng)。工作組之間的數(shù)據(jù)隔離，租戶管理員可以查看所有下屬工作組的安全態(tài)勢(shì)。這種運(yùn)營(yíng)模式可以快速定位到安全事件發(fā)生在哪個(gè)部門，進(jìn)一步提高了事件處置效率。

圖1-4HiSec Insight多租戶模型

03

網(wǎng)絡(luò)與安全自動(dòng)化協(xié)同，從單點(diǎn)防御達(dá)到全網(wǎng)協(xié)防

華為HiSec Insight基于SOAR（Security Orchestration, Automation and Response，安全編排和自動(dòng)化響應(yīng)）技術(shù)構(gòu)建自動(dòng)化的協(xié)同聯(lián)動(dòng)機(jī)制，通過自動(dòng)化編排任務(wù)，實(shí)現(xiàn)安全事件的快速處置和閉環(huán)管理，有效提升安全事件的處置效率。同時(shí)，通過與網(wǎng)絡(luò)控制器的聯(lián)動(dòng)，將內(nèi)部接入邊界納入安全防護(hù)范圍，杜絕威脅跨域、跨部門的擴(kuò)散，實(shí)現(xiàn)全網(wǎng)協(xié)防。

圖1-5網(wǎng)絡(luò)與安全自動(dòng)化協(xié)同示意圖

圖1-5展示了兩個(gè)不同的攻擊過程，一個(gè)是從外部攻擊，一個(gè)是從內(nèi)部攻擊，我們采用不同的防御方法阻斷攻擊行為。

安全設(shè)備聯(lián)動(dòng)，自動(dòng)化阻斷邊界安全威脅

• 互聯(lián)網(wǎng)出口區(qū)部署流量探針，實(shí)時(shí)監(jiān)測(cè)互聯(lián)網(wǎng)出口的流量情況。

• 流量探針將安全告警和流量信息上報(bào)給HiSec Insight進(jìn)行威脅分析。

• 發(fā)現(xiàn)來自互聯(lián)網(wǎng)的攻擊行為后，HiSec Insight快速識(shí)別安全事件，并向安全控制器下發(fā)聯(lián)動(dòng)策略。

• 安全控制器向?qū)?yīng)的互聯(lián)網(wǎng)出口防火墻下達(dá)防御策略，從而切斷攻擊鏈路，保障城域網(wǎng)的安全。

網(wǎng)絡(luò)與安全協(xié)同防御，遏制內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)

• 內(nèi)網(wǎng)中部署流量探針，對(duì)接入單位之間的數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

• 流量探針將安全告警和流量信息上報(bào)給HiSec Insight進(jìn)行威脅分析。

• 發(fā)現(xiàn)接入單位之間存在攻擊事件后，HiSec Insight快速識(shí)別安全事件，并向網(wǎng)絡(luò)控制器下發(fā)聯(lián)動(dòng)策略。

• 網(wǎng)絡(luò)控制器根據(jù)攻擊事件的特征和流量轉(zhuǎn)發(fā)路徑，快速定位到距離攻擊者最近的路由器，并下達(dá)流量隔離指令，切斷攻擊者與目標(biāo)之間的通信鏈路，從而有效防止威脅擴(kuò)散。

結(jié)束語

隨著政府?dāng)?shù)字化轉(zhuǎn)型、應(yīng)用新模式的推進(jìn)發(fā)展，電子政務(wù)外網(wǎng)建設(shè)可能會(huì)遇到更加復(fù)雜、更加突出的安全問題。華為安全聚集全球網(wǎng)絡(luò)安全領(lǐng)域高精尖人才，布局智能化、大數(shù)據(jù)、自動(dòng)化攻防等專業(yè)領(lǐng)域，持續(xù)創(chuàng)新網(wǎng)絡(luò)安全技術(shù)，護(hù)航政府?dāng)?shù)字化轉(zhuǎn)型成功。

參考文獻(xiàn)

【1】：GB/T 22239-2019, 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S]. 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì), 2019

【2】：國(guó)家電子政務(wù)外網(wǎng)管理中心辦公室. 政務(wù)外網(wǎng)IPv6演進(jìn)技術(shù)白皮書（2021）[R]. 國(guó)家電子政務(wù)外網(wǎng)管理中心辦公室, 2021

往期精彩推薦

安全態(tài)勢(shì)感知專家說第4期：SIEM驅(qū)動(dòng)安全運(yùn)營(yíng)

安全態(tài)勢(shì)感知專家說第3期：SOAR在安全態(tài)勢(shì)感知中的應(yīng)用與展望

安全態(tài)勢(shì)感知專家說第2期：人工智能技術(shù)在態(tài)勢(shì)感知的應(yīng)用

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！