¿Qué medidas preventivas se han tomado para garantizar la seguridad de la red de asuntos gubernamentales?
Principios de construcción de la red de gobierno electrónico
Para lograr los objetivos y requisitos de la red de gobierno electrónico, Huawei recomienda cumplir con los siguientes principios de construcción de la red durante la construcción de la red de gobierno electrónico. proceso: Comience con las necesidades del gobierno, construya ¡Un sistema de gobierno electrónico altamente seguro, altamente confiable y manejable!
Planificación de red unificada
Se recomienda que la construcción de e-gobierno El gobierno estará de acuerdo con el despliegue unificado del Grupo Líder Nacional de Información y formulará un plan general. La planificación de la red se promueve en capas y se implementa paso a paso para evitar la duplicación de la construcción.
Sistema de seguridad completo
El concepto central de la seguridad de la red radica en el mismo énfasis en la tecnología y la gestión. Se recomienda seguir el estándar de gestión de seguridad de la información: ISO17799. La gestión de seguridad es la clave para la seguridad de la información, la gestión de personal es el núcleo de la gestión de seguridad, la política de seguridad es la base de la gestión de seguridad y las herramientas de seguridad son la garantía de la gestión de seguridad.
Selección estricta de equipos
En el proceso de construcción de una red de gobierno electrónico, la selección de equipos de red no solo debe considerar factores como la satisfacción de las necesidades y el desarrollo del negocio, sino también la viabilidad de la tecnología. Al mismo tiempo, para evitar la aparición de puertas traseras de red, bajo la premisa de cumplir con los requisitos funcionales y de rendimiento, se recomienda dar prioridad a los productos de fabricantes nacionales con derechos de propiedad intelectual independientes para garantizar la seguridad de la red. -Red gubernamental a partir de la selección de equipos.
Gestión integrada de la información
El concepto central de la gestión de la información es la gestión unificada y el control descentralizado. Desarrollar la planificación anual de TI, proporcionar soporte operativo de TI y gestión de problemas, gestionar los niveles de servicio de los usuarios, gestionar la satisfacción del usuario, la gestión de la configuración, la gestión de la disponibilidad, dar soporte a la gestión de las instalaciones de TI, la gestión de la seguridad, gestionar el inventario y los activos de TI, la gestión del rendimiento y la capacidad, la copia de seguridad y la recuperación. gestión. Mejorar el valor de utilización del sistema y reducir los costos de gestión.
Arquitectura del sistema de red de gobierno electrónico
Las "Opiniones orientadoras del Grupo Líder Nacional de Informatización sobre la construcción del gobierno electrónico en mi país" aclaran la arquitectura del sistema de gobierno electrónico Red: La red de gobierno electrónico consta de Las dos redes están físicamente aisladas y la extranet del gobierno e Internet están lógicamente aisladas. La intranet del gobierno transmite principalmente información gubernamental confidencial. Por lo tanto, para garantizar la seguridad de los secretos centrales del partido y el gobierno, la intranet debe estar físicamente aislada de la red externa. La extranet gubernamental es una red empresarial privada del gobierno que gestiona principalmente los negocios de servicios profesionales del departamento gubernamental frente a la sociedad y los negocios que no necesitan ejecutarse en la intranet. La extranet está lógicamente aislada de Internet. En términos de escala de red, tanto la intranet gubernamental como la extranet gubernamental se pueden construir según los modelos de red de área local, red de área metropolitana y red de área amplia; desde el nivel de red, la intranet y la extranet también se pueden construir según los modelos; la capa principal, la capa de agregación y la capa de acceso. El modelo de piso a piso se construye de manera planificada.
Figura 1: Arquitectura del sistema de la red de gobierno electrónico
De acuerdo con las ideas de diseño del gobierno electrónico y las necesidades de aplicación, en vista de los requisitos de seguridad especiales de varios departamentos gubernamentales, estrictamente seguir las "Opiniones rectoras sobre la construcción del gobierno electrónico en mi país" del "Grupo Líder Nacional de Informatización", en la construcción general de redes internas y externas de gobierno electrónico, los principios rectores de la construcción jerárquica de negocios y redes y capa por Se adoptan capas de protección En términos de nivel lógico y de negocio, la construcción de la red se distribuye de la siguiente manera:
Figura 2: Niveles lógicos de la red interna y externa del gobierno electrónico
La capa de soporte de interconexión es la base de la red de gobierno electrónico. La planifica, construye y gestiona el centro de red. La capa de soporte utiliza tecnología IP de banda ancha para garantizar la interconexión y la interoperabilidad de la red y proporcionar garantía de ancho de banda con una determinada QOS. y proporcionar aislamiento lógico (VPN) entre departamentos y redes de sistemas para garantizar el control de seguridad de las visitas mutuas;
El sistema de garantía de seguridad se refiere al sistema de monitoreo que implementa garantías de seguridad para el acceso de los usuarios y los datos de La red de gobierno electrónico a través de autenticación, cifrado, control de autoridad y otras tecnologías es relativamente independiente de la capa de soporte de Internet y es planificada y distribuida conjuntamente por el centro de red y varios departamentos y unidades.
La capa de aplicación empresarial consiste en implementar varias aplicaciones de la red gubernamental sobre la base de una interconexión segura. La planifican e implementan por separado el centro de red y cada unidad del sistema.
El concepto central de la solución de gobierno electrónico de Huawei
Seguridad de red integral
Construir una red de gobierno electrónico segura es la clave para la construcción del gobierno electrónico. La construcción de seguridad del gobierno electrónico requiere igual énfasis en la gestión y la tecnología. A nivel técnico, Huawei proporciona defensa, aislamiento, autenticación, autorización, políticas y otros medios para garantizar la seguridad de la red. A nivel de equipo, Huawei desarrolla de forma independiente una serie de enrutadores, conmutadores, equipos de firewall, sistemas integrales de gestión de seguridad CAMS y El unificado; El sistema operativo de red VRP puede garantizar la seguridad de las redes de gobierno electrónico.
Para las redes de sistemas gubernamentales, Huawei proporciona una arquitectura de seguridad integrada de extremo a extremo tridimensional de seguridad i3. En esta arquitectura, además de ver los problemas de seguridad desde una perspectiva familiar de la capa de red, también puede examinar la seguridad. Los problemas desde la perspectiva del tiempo y el espacio amplían enormemente las ideas y perspectivas de seguridad y tienen el modelo y la capacidad para considerar e implementar de manera integral la protección de la seguridad.
Figura 3: Arquitectura de seguridad integrada de extremo a extremo tridimensional de seguridad de Huawei i3
(1) Arquitectura de seguridad integrada de extremo a extremo tridimensional de seguridad de Huawei i3
i-inteligencia, integrada, individualidad;
3-De extremo a extremo en las tres dimensiones de tiempo, espacio y nivel de red;
Seguridad: la arquitectura de seguridad de todas las redes de información IP.
(2) Concepto de seguridad de extremo a extremo a nivel de red (capa de red, capa de usuario, capa empresarial)
Existen amenazas potenciales a la seguridad en todos los niveles de la red. La arquitectura de seguridad integrada de Huawei incorpora plenamente el pensamiento jerárquico de la prevención de la seguridad de la red y lleva a cabo una prevención específica de acuerdo con las características de los diferentes niveles de la red.
Capa de red: garantiza la seguridad de las redes básicas, como el enrutamiento de red y el equipo de red.
Capa de acceso de usuarios: garantiza el acceso legal de los usuarios, el acceso a rangos de redes legales y protege la información de los usuarios; aislamiento y otras medidas de seguridad del acceso de los usuarios a la red;
Capa empresarial: garantizar la legalidad y seguridad del contenido al que acceden los usuarios.
La arquitectura de seguridad integrada i3 de Huawei ha tomado una gran cantidad de medidas de mejora para abordar las debilidades en la protección de red tradicional en la capa de usuario, como la autenticación de acceso de usuario, la prevención de robo de direcciones, el control de acceso y otras capacidades.
(3) Concepto de seguridad de extremo a extremo en el tiempo (antes y después)
En el pasado, la industria gubernamental prestaba más atención a las capacidades de prevención previa de la red, a menudo centrándose sobre autenticación de usuarios de red, detección y prevención de intrusiones. Se ha invertido mucho esfuerzo en ataques DOS, firewalls, etc., pero no existen muchas medidas efectivas para implementar capacidades de seguimiento posteriores al evento. Antes y después de que se produzca un incidente de seguridad, el soporte que requiere la red también es diferente, y el coste y la dificultad técnica de implementación son muy diferentes:
Prevención: principalmente mediante aislamiento, cifrado y filtrado de datos, gestión y otras tecnologías para mejorar la solidez de toda la red;
Seguimiento posterior al evento: la arquitectura de “seguridad i3” de Huawei brinda la capacidad de iniciar sesión a nivel de red, al monitorear el puerto, la hora y el acceso a Internet del usuario. ubicación Los registros proporcionan una trazabilidad integral del acceso de los usuarios a Internet, proporcionando así información de primera mano para su posterior análisis.
(4) Concepto de seguridad de extremo a extremo del espacio (red externa, intranet)
Red externa: garantiza la seguridad de la información mediante VPN, cifrado, etc., y la previene a través de la red cortafuegos, cortafuegos de virus, etc. En el caso de ataques a la red, la atención se centra en la prevención;
Intranet: mediante la identificación del usuario, se garantiza que los usuarios legítimos accedan al rango legal de la red y se mantienen registros de acceso, con la énfasis en el seguimiento.
En la actualidad, la intranet del gobierno es la red secreta y la extranet del gobierno es la red privada de la oficina. Las dos redes se construyen por separado de acuerdo con el estricto aislamiento físico requerido por el Documento No. 17 para garantizar la seguridad. de la red gubernamental.
La arquitectura de seguridad integrada tridimensional de Huawei proporciona servicios de seguridad integrados de extremo a extremo:
Figura 4: Arquitectura de seguridad integrada tridimensional de extremo a extremo de seguridad i3 de Huawei
A medida que aumenten las aplicaciones en línea de las redes gubernamentales y que la red penetre más en las vidas de las personas, la lucha entre intrusión y antiintrusión, apropiación indebida y antiapropiación indebida inevitablemente se intensificará. Como proyecto sistemático, la protección de la seguridad de las redes gubernamentales sólo se puede lograr a través de un enfoque multinivel y multifacético desde la gestión de redes, la gestión de usuarios, la gestión empresarial y los sistemas de gestión para lograr "una red completa sin omisiones".
Fiabilidad perfecta de extremo a extremo
La confiabilidad de la red se refiere principalmente al servicio ininterrumpido proporcionado por la red cuando falla el equipo o la red. La confiabilidad generalmente se logra mediante la confiabilidad del equipo en sí y la confiabilidad del diseño de la red. Incluyendo lo siguiente:
(1) Confiabilidad del equipo
La gama completa de productos de datos de Huawei adopta diseños de confiabilidad de nivel de operador. Los enrutadores y conmutadores de alta gama de Huawei adoptan una arquitectura distribuida sin un único punto de falla; utilizan placas posteriores pasivas para admitir un verdadero intercambio y respaldo en caliente, al mismo tiempo, todos los componentes clave del equipo, como la red de conmutación y el enrutamiento. El sistema de procesamiento es redundante. El diseño de respaldo en caliente puede cumplir plenamente con los requisitos de alta confiabilidad de la red de gobierno electrónico para los equipos.
(2) Confiabilidad del diseño de la red
Bajo la premisa de controlar la inversión, en algunos nodos troncales provinciales de la red de gobierno electrónico, se puede adoptar el respaldo de doble máquina VRRP o El método RPR se utiliza para la protección de autorreparación de la red en anillo. El enlace conectado a la red de transmisión troncal puede adoptar un diseño de enlace de origen dual o el método RPR se utiliza para la protección de autorreparación de la red en anillo para evitar puntos únicos de conexión. fracaso desde la perspectiva del networking.
Además, la tecnología del centro de respaldo se puede utilizar para proporcionar una interfaz de respaldo para cualquier interfaz del enrutador; cualquier interfaz del enrutador se puede usar como interfaz de respaldo para otras interfaces (o enlaces lógicos); cierto enlace lógico proporciona respaldo.
A través de mecanismos de respaldo flexibles y tecnologías sofisticadas, los recursos de respaldo se pueden utilizar por completo para garantizar la confiabilidad de la interconexión de la red.
Mantenimiento y gestión sencillos y eficientes
Los puntos de información de la red gubernamental son numerosos y densos, por lo que existen muchos dispositivos de red, especialmente los conmutadores de planta conectados a los usuarios finales.
El sistema de administración de red de Huawei no solo admite la administración unificada de equipos de toda la red, administración de topología, interfaces de operación gráfica, alarmas de luz y sonido en tiempo real y sistemas operativos chinos, sino que también utiliza el protocolo de administración de grupos HGMP de Huawei para realizar una administración dinámica de una gran Número de conmutadores de piso. Las funciones de descubrimiento, generación de topología dinámica y configuración automática reducen la carga de trabajo de los administradores de red y mejoran la eficiencia.
Gran capacidad de carga empresarial
Una característica importante de la informatización gubernamental es que las empresas impulsan la demanda de la red, las aplicaciones se actualizan constantemente y la demanda de equipos de red continúa aumentando en esa dinámica. En la red, la capacidad de carga de servicios del propio equipo de red es muy importante. Por lo tanto, Huawei ha propuesto la quinta generación de tecnología basada en procesadores de red, que puede garantizar una rápida personalización y soporte rápido cuando nuevos servicios posteriores tengan requisitos especiales para la plataforma de red, asegurando la continuidad de la inversión en equipos de red.
Utilizando MPLS VPN para mostrar una fuerte escalabilidad y un alto rendimiento sin precedentes, la red de gobierno electrónico puede adaptarse al crecimiento y los cambios del negocio, y la red puede expandirse y actualizarse sin problemas, minimizando los ajustes a la arquitectura y el equipo de la red. . Como uno de los pocos fabricantes que puede proporcionar tecnología MPLS para toda la red, Huawei se compromete a brindar al gobierno tecnología triple play para datos, voz y video basada en tecnología VPN MPLS avanzada.