XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)是XX市政務(wù)機關(guān)利用互聯(lián)網(wǎng)通過統(tǒng)一門戶對外統(tǒng)一發(fā)布信息和向社會提供信息服務(wù)、業(yè)務(wù)辦理和管理監(jiān)督等政務(wù)活動的公共信息網(wǎng)絡(luò)。政務(wù)外網(wǎng)承載各級政務(wù)部門業(yè)務(wù)協(xié)同、社會管理、公共服務(wù)、應(yīng)急聯(lián)動等面向社會服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)。

隨著等保2.0的發(fā)布，對XX市電子政務(wù)外網(wǎng)骨干的網(wǎng)絡(luò)安全提出了新的要求。為進一步提升自身的安全防護能力，按照統(tǒng)籌資源，重點保護，適度安全的原則，結(jié)合各安全域?qū)嶋H情況，進行安全防護等級保護建設(shè)方案設(shè)計。

1、XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)建設(shè)現(xiàn)狀

?XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)前期已開展過網(wǎng)絡(luò)安全建設(shè)，但已建成時間距今周期較長，大部分設(shè)備已投用7至8年以上，設(shè)備已脫保且性能無法滿足目前電子政務(wù)業(yè)務(wù)快速增長的需要。

2、?電子政務(wù)外網(wǎng)安全設(shè)備現(xiàn)狀

目前骨干網(wǎng)絡(luò)區(qū)域部署了防火墻，主要用作網(wǎng)絡(luò)邊界的訪問控制，以及內(nèi)部服務(wù)器的端口映射。防火墻在管理上采取用戶名＋口令的認證方式；配置了上網(wǎng)行為管理系統(tǒng)；部署了入侵檢測設(shè)備等。但目前設(shè)備因投用時間長均已脫保，設(shè)備功能及性能均已無法滿足電子政務(wù)外網(wǎng)業(yè)務(wù)快速發(fā)展的需求。

3、電子政務(wù)外網(wǎng)數(shù)據(jù)安全現(xiàn)狀

目前未采用統(tǒng)一集中數(shù)據(jù)備份模式，當前業(yè)務(wù)數(shù)據(jù)備份在存儲中，沒有建設(shè)異地災(zāi)備中心。

1、Web安全面臨的威脅

RSA大會研究顯示，Web應(yīng)用安全已超過所有以前網(wǎng)絡(luò)層安全（如：DDoS），逐漸成為最嚴重、最廣泛、危害性最大的安全問題。WEB安全的威脅主要來自XSS跨站攻擊、SQL 注入、網(wǎng)絡(luò)釣魚、惡意代碼、RootKit隱身技術(shù)等。

2、?數(shù)據(jù)庫安全風險

隨著用戶加強數(shù)據(jù)庫安全建設(shè)，越來越多的數(shù)據(jù)庫安全漏洞也會被數(shù)據(jù)庫安全研究者所發(fā)現(xiàn)，漏洞一但公開，數(shù)據(jù)庫廠商并不能在第一時間對漏洞進行修復并發(fā)布升級補丁，即使廠商發(fā)布了對應(yīng)的漏洞升級補丁用戶并不敢第一時間對數(shù)據(jù)庫進行升級，直接導致數(shù)據(jù)庫風險性增大。

3、?終端用戶風險

由于計算機用戶數(shù)量龐大，對計算機相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的用戶誤操作，也將給信息系統(tǒng)帶來破壞。例如某些用戶在惡意網(wǎng)站上下載或是錯誤使用了某些存儲介質(zhì)，從而導致計算機感染了病毒或木馬程序，很可能會給整個內(nèi)部網(wǎng)絡(luò)帶來災(zāi)難性的破壞。

4、不同子區(qū)域邊界的安全風險

安全計算環(huán)境劃分為XX市電子政務(wù)外網(wǎng)內(nèi)網(wǎng)業(yè)務(wù)區(qū)域、XX市電子政務(wù)外網(wǎng)運維管理區(qū)域、辦公區(qū)域等區(qū)域。該政務(wù)外網(wǎng)政府部門業(yè)務(wù)系統(tǒng)，劃分互聯(lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)域，兩個區(qū)域之間進行邏輯隔離，倘若沒有有效隔離措施，會造成兩張重要網(wǎng)的信息侵入。

5、云平臺自身安全建設(shè)不完善

?? 數(shù)據(jù)存儲層：缺乏數(shù)據(jù)監(jiān)控審計、數(shù)據(jù)庫運維審計；

?? 管理和服務(wù)層：缺乏大數(shù)據(jù)的態(tài)勢感知通報預(yù)警平臺，實時監(jiān)控云平臺安全態(tài)勢；

?? 業(yè)務(wù)應(yīng)用層：缺乏Web漏洞掃描系統(tǒng)、數(shù)據(jù)庫漏洞掃描系統(tǒng)、系用漏洞掃描系統(tǒng)、基線核查等，針對云計算平臺自身基于B/S架構(gòu)的應(yīng)用系統(tǒng)進行安全風險的定時發(fā)現(xiàn)；缺乏網(wǎng)頁防篡改，針對云計算平臺自身基于B/S架構(gòu)的互聯(lián)網(wǎng)接口應(yīng)用系統(tǒng)進行防護。

?? 云安全訪問控制層：缺乏傳統(tǒng)網(wǎng)絡(luò)防火墻、病毒過濾、VPN等功能的下一代防火墻（NGFW），作為云計算中心與外部網(wǎng)絡(luò)的第一層邊界隔離手段；缺乏流量清洗設(shè)備與DNS/全局負載均衡。