卫士通政务营销事业部 吴鸿钟

　　以资源整合、平台共享、高效服务为目的的电子政务外网建设是当前政府信息化建设的重点内容。在统一的电子政务外网平台上，需要容纳各级厅、局、委、办的电子政务外网应用，这就表明，需要为此提供信息安全保障的电子政务外网平台不是一个业务单一、安全级别统一的单纯信息网络平台，而是承载多种级别信息，需要根据不同的安全风险进行量身设计，形成差异化的等级保护保障体系的综合性的信息网络平台。

　　对此电子政务外网，卫士通采取的信息安全保障体系设计思路是：

　　1、对信息资产进行等级划分。

　　根据信息资产本身的重要性，进行业务的划分并参考国家相关标准，从信息安全和信息服务两个属性进行定级。

　　2、在等级划分基础上，分析其面临的风险，合理划分安全域。

　　合理的安全域对信息安全保障至关重要，一般而言，需要从网络管理、安全管理、重要的服务器、一般的服务器、安全终端等几个大的方面进行划分。

　　3、采用先进的信息安全理念进行方案的设计。

　　采用纵深防御的思想和卫士通提出的“深度服务 深度安全”的理念进行安全方案的设计。

　　4、部署合适的安全产品。

　　优先采用国内先进的安全产品进行部署，做到较好的性价比。

　　5、部署最恰当的安全策略。

　　安全策略的设置是信息安全保障体系能否取得效果的最为关键步骤，必须从信息平台的功能出发，结合各方面的意见(尤其是业务部门的意见)，形成符合需要的安全策略。

　　6、配套信息安全保障体系其它配套的措施。

　　比如安全管理和安全运行等措施。

　　下图是按照上述思路实现的一个电子政务外网安全保障体系。

　　图1 电子政务外网安全保障体系设计框架

　　从图可以看出，省、市两级节点分为了三级和二级两种安全域，终端和服务器按照不同级别相应部署到各自的安全域中(在网络上采取了VLAN、防火墙、商密网络加密机、安全隔离与信息交换系统等进行安全域的隔离与访问控制)。其中三级安全域有机密性保护的需求，网络传输采用商密密码机进行保护;二级安全域有需要进行访问控制和隔离的安全要求，采用安全隔离与信息交换系统进行隔离，终端采用防火墙进行隔离。各安全域边界有严格的访问控制策略，并部署了全网的入侵检测、审计等安全产品。