构建立体化电子政务外网

　　作为政务信息化起步较早的城市，大连很早就开始整合信息资源，探索合理的电子政务建设方式。早在2002年，大连市就推出了城市门户网站“中国大连”，公众以此为入口，可以联系到社保、税务、工商、公安、交通车辆管理等政府办事机构。目前，大连市电子政务外网统一平台实现了包括网络管理、安全防护、容灾备份等技术服务功能于一体。该平台目前承载着网上报税、网上社保、公务考录等700多个应用系统，被国家发改委作为示范工程列入高技术产业发展项目计划。

　　基础网络走向大型化、无线化

　　网络基础架构是电子政务外网的承载体，直接决定了业务实现的形式与体验。大连的经验表明，由已知需求主导的有线网络升级改造是大势所趋，接入向街道与社区的延伸使更多基层部门具备了实现政务信息化的手段。另一方面是由点到面的变化，WLAN、3G/4G等无线接入技术的成熟普及让业务形态变得更加灵活，为电子政务外网的未来发展与应用描绘出极具想象力的空间。

　　根据大连市政府网站管理中心主任耿昭介绍，目前大连市电子政务外网统一平台的网络基础架构是基于全交换实现的。“这和地域条件有关。因为大连本身地域不是很大，节点之间的距离不太远，全交换的网络足以支撑。从目前承载应用的情况看，性能也没有出现瓶颈。用户接入方面，目前光纤通达所有区县和街道。不过政府扁平化建设有着三级体系的目标，未来可能很多政务工作都会放到社区一级去做，所以目前我们正在做1600多个社区的接入，一些大的社区也采用了光纤接入，个别偏远地区会用ADSL。”耿昭说。

　　按照要求，目前大连市电子政务外网的3.2万个用户都通过统一出口访问互联网，所有网站和业务系统也通过这个统一出口进行发布，便于管理并且安全可控。据悉，未来为了满足移动手机和移动WLAN用户的接入，大连正在考虑接移动链路建设。

　　“移动接入是趋势，毕竟无线覆盖可以满足移动需求，让接入变得更灵活。我们现在基于3G的业务很多，比如计生委就在用平板电脑做人口入户普查。未来4G的应用可能会更广泛，除了通过运营商接入，我们也会在达沃斯会展中心等大型活动区域和政务密集区域有自己的4G接入点。”耿昭透露，“已经基于4G进行了一些测试，感觉4G接入总体上是稳定的，同时它的性能和灵活性可以支撑更复杂的业务，比如应急指挥、移动视频会议和移动的视频监控等等。”

　　建立立体化安全策略

　　电子政务外网主要服务于各级党委、人大、政府、政协、法院和检察院等部门，是为各部门业务应用提供网络承载服务的重要基础设施，因此它的安全性成为各级电子政务外网管理部门的核心工作之一。

　　作为一个有着3.2万用户、承载着700多种业务和数十个纵向专网、同时满足互联网访问和公共服务发布需求的复杂网络，大连电子政务外网也是在安全方面做足了工作。

　　对此，耿昭提出了分层、立体化与联动的安全防护策略。“大连电子政务外网的安全防护体系的规模比较大，实现也比较复杂，我们的核心思想就是在各个环节做立体化、精细化的控制，这比单纯上一堆安全设备防护由外而内的攻击更有效。”耿昭说。

　　耿昭介绍，在大连电子政务往外网的立体防御体系中有一个重要的环节就是在主机端基于Windows和Linux施行了强制访问控制，规定了每个账号有权利使用哪些文件，允许读、写还是其它操作，以及能够访问的进程。

　　除了对由外而内的正常访问流程进行了安全设置，对于内部的用户，耿昭也制定了相应的安全策略。“电子政务外网的区域规划原则就是不能互访的，内网用户如果访问内部资源就不能访问互联网，访问互联网就不能访问内部资源，这样可以规避掉实时的受控或基于跳板的操作。如果是间接的数据窃取，比如通过木马记录下访问的内部资源，等连通外网时再发送这种，我们主要靠两种方法去限制。第一是互联网区的上网行为管理设备，会有一些策略去限制已知木马的行为；第二是我们旁路部署了一套网络威协识别产品，通过模式识别去检测木马的行为。两个产品配合起来用，发现问题就实时跟踪、告警。另外对木马光用技术手段是没用的，管理必须得跟上，该断就断，该通报就通报，才能让所有用户都重视。一开始的时候我们每天都下日报，包括安全日报、威胁日报等等，督促各级部门进行排查。现在不仅是出口有上网行为管理，在绝大多数大型接入区也都部署了二级上网行为管理设备。”

　　尝鲜下一代防火墙

　　耿昭从事信息安全工作多年，在他看来，信息系统的安全防护工作一定要从底层干起。“比如从链路层往上一层一层剥，剥得干干净净。如果用防火墙，必须用异构部署，就是用不同厂商的产品进行多层防护。另外要把策略拆分，形成立体防护，也就是说多台防火墙上不能配同样的策略，一定是交叉着写。这么做能减小被渗透的几率，攻击者即使突破一层防护，也难形成完整的攻击行为。”

　　在大连电子政务外网中，部署了深信服的下一代防火墙产品NGAF，并逐渐取代传统防火墙，成为更细粒度安全策略的执行者。但它们的部署思路与传统概念中有很大不同，UTM/NGFW仅作为落地载体的一部分，不能从系统中独立出来。

　　“所以具体到UTM/NGFW产品的部署，我们也是希望能在安全保护的深度和广度上找到平衡。大连电子政务外网的业务种类比较多，业务种类多意味着运维管理和安全防护的复杂化，因为可重复的工作少了。比如数据中心里一个对外发布的网站，从虚拟机到网络边缘做了全程的4层访问控制策略，现在已不足以保证安全合规，因为一些木马甚至QQ在这种情况下仍然是可以对外通信的。而有了NGAF这样的设备，我们就可以在7层上做更精细化的控制了，现在的要求是每台服务器或者每个业务对外的应用协议是固定的，这就是我们用NGAF来做的事。以服务器为例，如果出现HTTP以外的流量，那就可以判定为异常了，我们要配策略去进一步限制。4层控制和7层控制之间没有取代关系，它们组合成细粒度更高的立体防护体系，才能保证更高的安全性。”耿昭说。

　　用终端虚拟化保障业务安全

　　大连电子政务外网在为移动接入做准备，移动终端设备的安全是绕不开的话题。在耿昭看来，如果云到端的业务链条上出现一个安全缺口，最终面临的很可能是千里之堤溃于蚁穴的残酷局面。在经过多种尝试后，大连电子政务外网最终确定了终端虚拟化来提高安全保护程度。

　　“数据大集中也好，移动办公也好，都让终端越来越简单，也越来越不安全。手机平板都能接入了，难道还寄希望于终端安全嘛？保护核心数据和访问通路的安全才是重点，终端上现在不是不想控，是控制难度太大，才造成完整业务链条末端出现了一个安全真空。”耿昭说，“其实按照现有成熟的理论模型，如果业务系统本身在数据签名、数据加密和数据保护三方面都比较完善，即便没有VPN也能保证一定的安全性。但是我们不可能要求几百个业务系统都达到这种程度，所以才会去做系统加固、去建VPN，把很多安全防护工作先做了，再慢慢去促进解决业务系统在终端运行的安全问题。所以除了服务器的系统安全和数据安全，我们现在要求所有访问都通过设立的VPN区域来接入，目前使用的是数字证书加密码的SSL VPN进行统一的安全认证，这样除了隧道安全外还可以对所有的用户做身份识别，在策略分发上统一了。”

　　耿昭透露，在终端虚拟化上，大连电子政务外网有云终端和虚拟桌面两种建设思路思路。具体到用户，要看他的需求、条件和实施成本。“终端虚拟化，我们已经着手去做了，三万多个用户分阶段部署。我们现在部署的深信服的SSL VPN有个远程应用发布模块，它可以把特定应用通过加密隧道推送到移动设备上，并且和终端使用的操作系统类型无关。我们现在只是小规模在用，但它其实可以满足很多业务需求。未来打算往云终端切的时候，我们也可以直接把它当做一个应用做发布，达到和普通电脑类似的效果。”

　　采访后记

　　之所以选择大连，很大程度上是因为大连电子政务外网建设起步早、进度快、资源整合度高，在业界小有名气。作为示范工程，大连电子政务外网对新理念、新技术、新产品表现出非常开放的态度。经验证后的成功经验，对全国其它地区电子政务外网的建设有着很强的指导意义。

　　在与耿昭的交流中，业务的崇高地位令人印象深刻。大连电子政务外网基础架构建设与运维中的任何决策，都由业务驱动，最终也落地到业务，避免了很多本末倒置情况的出现。业务又从何而来？答案是尽一切手段促进原有独立系统向统一平台迁移，这也是电子政务外网由虚到实的决定因素。而有了丰富的业务，人员角色也要完成从管理者向运营者的转变，才能保证政务与信息化融合的主动性。终极状态下的政务信息化平台，政务和信息化一定是不分家的。

　　分层、立体化与联动是耿昭谈及大连电子政务外网安全防护工作时出现频率最高的三个词。其实这也不是什么新概念，但罕有用户能将它们捏合成一个强大的防护体系。就像玩植物大战僵尸，玩家会遇到各种各样的敌人，有皮糟肉厚的巨型僵尸（DDoS），有能躲过第一层攻击的梯子僵尸（7层攻击），还有能穿过防御体系进行反向突破的潜地僵尸（APT）。玩家必须通过手中有限的预算和武器类型，构建出一套合理的防御体系，才能应对千变万化的僵尸组合。大连显然是个有想法的玩家，已经靠自己的理念把游戏打到了难度很高的关卡。不过面对攻击力和种类越来越变态的新型僵尸，其弃终端、保业务的新防护思路还停留在论证试点阶段。

　　交流中还有一个印象深刻的地方是用户对产品、技术乃至市场有着深入了解，使其在与厂商关系中的角色发生了改变。大型行业用户与厂商的关系就应该非常紧密，才能把普通的项目变成对双方发展都有益的合作。正如耿昭所讲：“厂商对我们需求了解得越多，未来越有可能更好地支持我们。而对于厂商来说，产品功能一定取决于对用户需求的了解。特别是那些成长型的厂商，势必要把了解需求、落地到产品里的路走一遍，才能逐渐变成大厂商。”

　　特约撰稿 韩勖