需求背景

隨著電子政務工程的開展，越來越多的政府對外業(yè)務都轉移到網(wǎng)站系統(tǒng)上，公眾通過訪問職能機構網(wǎng)站，就可以方便的完成業(yè)務辦理。某市財政局作為實施財政監(jiān)督，參與調控國民經(jīng)濟的政府職能部門，在政務網(wǎng)站上提供了包括會計專業(yè)技術資格考試網(wǎng)上報名、政府采購系統(tǒng)查詢、注冊登記管理等諸多應用業(yè)務，確保這些公眾服務業(yè)務能夠穩(wěn)定、有效的的運營，是電子政務工程必須考慮的問題。

而對業(yè)務系統(tǒng)的保護，在電子政務安全建設中往往就是對WEB發(fā)布系統(tǒng)的保護，在某市財政局網(wǎng)絡中就是如此。此次電子政務外網(wǎng)安全建設的重點就是保護其對外web發(fā)布系統(tǒng)免受SQL注入、溢出攻擊等深層威脅行為影響。

解決方案

某市財政局政務外網(wǎng)部分進行評估后發(fā)現(xiàn)，主要業(yè)務都在其政務網(wǎng)站上提供了用戶使用界面或鏈接，保護公眾業(yè)務的安全運行，就需要針對財政局的WEB網(wǎng)站進行保護。

從方案設計上來看，需要將某市財政局的WEB服務系統(tǒng)獨立出來，單獨劃出安全域。在網(wǎng)絡出口處部署一體化安全網(wǎng)關，主要對內部OA系統(tǒng)提供立體化防御，在WEB服務器域，串行部署天清入侵防御產(chǎn)品，應對威脅WEB業(yè)務的SQL注入、跨站腳本攻擊等威脅。

案例點評

本方案的特點是一體化安全網(wǎng)關與入侵防御產(chǎn)品的協(xié)同使用，是典型的產(chǎn)品組合使用解決案例。

利用天清漢馬USG的全面防御能力，控制對內部網(wǎng)絡的訪問和威脅防御。

利用天清IPS的WEB業(yè)務防御能力，重點保護需要對外提供服務的WEB業(yè)務系統(tǒng)。

由于內部OA系統(tǒng)和WEB業(yè)務域的安全等級和安全需求不一樣，所以針對這兩個不同的區(qū)域，需要有不同安全防御措施，一體化安全網(wǎng)關和入侵防御組合的遞進式防御策略，是政務網(wǎng)安全建設的一種不錯的選擇。