政府信息化在DDoS攻擊防御方面的需求背景

根據中共中央辦公廳、國務院辦公廳印發《2006~2020年國家信息化發展戰略》，提出大力推進信息化，政府作為社會最重要的職能部門，毫無疑問地成為信息化建設的先行者。目前，政府行業信息化建設存在以下三個方向。

政府門戶網站

現階段各部委、省、市、區政府門戶網站已經成為各級人民政府及其部門發布政府信息、提供在線服務、與公眾互動交流的重要平臺和窗口，在提高行政效能、提升政府公信力等方面發揮了重要作用。政府網站有信息公開、網上辦事、政民互動三大功能，構建為企業和公眾提供政府各個部門服務的“一站式”政府門戶網站。

電子政務

產生于90年代末期，是指運用計算機、網絡和通信等現代信息技術手段，實現政府組織結構和工作流程的優化重組，超越時間、空間和部門分隔的限制，建成一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優質、規范、透明、符合國際水準的管理與服務。隨著電子政務建設的逐漸完善，電子政務將承載政府單位的業務逐漸增多，如門戶網站、郵箱系統、OA協同辦公系統等，已經成為國家、各省、市、縣的政務基礎服務網絡和應用。

智慧政務

2010年，IBM正式提出了“智慧城市”愿景，IBM經過研究認為，城市是由不同類型的網絡、基礎設施和環境等六個核心系統組成，這六個核心系統分別是組織（人）、業務/政務、交通、通訊、水和能源。智慧政務概念由此產生，智慧政務即智慧化的電子政務，是在建設智慧城市的大背景下，發展信息經濟和智慧經濟，實現經濟和社會轉型升級的必由之路。智慧政務是廣泛運用物聯網、云計算、移動互聯網、人工智能、數據挖掘等現代信息技術，通過資源整合、流程優化、業務協同，提高政府辦公、服務、監管、決策的智能化水平，從而形成高效、集約、便民的服務型政府運營模式。簡要地說，智慧政務是利用現代信息技術提高政府智能化水平的一種形態。智慧政務的建設是實現電子政務升級發展的突破口，是政府從管理型走向服務型、智慧型的必然產物。

政府信息化在DDoS攻擊防御方面的安全需求

斯諾登事件發生后，網絡安全問題引發社會各界廣泛關注，從2014年2月27日中央網絡安全和信息化領導小組成立，到最近《中華人民共和國網絡安全法》的頒布，都足以說明國家層面對網絡安全問題的重視程度。習近平總書記強調：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化?！本W絡安全事關國家安全，政府部門作為國家信息化過程中信息流的“匯聚節點”，政府部門的網絡安全是重中之重，是責無旁貸。

出于對信息安全的重視，國家已經出臺了信息安全等級保護的一系列文件和標準，用以促進和指導信息安全的建設。2007年6月22日，公安部與國家保密局、密碼管理局、國務院信息辦聯合會簽并印發了《信息安全等級保護管理辦法》（公通字[2007]43號），確定了信息安全等級保護制度的基本內容及各項工作要求。2007年7月16日，四部委聯合會簽并下發了《關于開展全國重要信息系統安全等級保護定級工作的通知》（公信安[2007]861號），就定級范圍、定級工作主要內容、定級工作要求等事項進行了部署。

同時結合《政府信息系統安全檢查辦法》（國辦發[2009]28號）和各地方《政務服務中心網絡和信息安全》、《關于開展各市政府重要信息系統信息安全檢查工作的通知》等文件精神，立足于保障政府政務中心網絡和信息安全。

各級政府信息中心為了使信息化平臺及應用系統達到國家等級保護等相關標準規定和安全保障，均對信息化體系進行安全建設。主流的政府行業信息化安全建設架構如下：

• ·　外網安全架構：（互聯網接入區）部署負載均衡、入侵檢測防御系統、防病毒網關、防火墻等。(對外

• ·　應用服務區)部署WAF、數據庫審計防火墻等。

• 
  

• ·　內網安全架構：各區域邊界部署防火墻、上網行為管理、運維審計類安全產品。

• 
  

• ·　專網安全架構：部署防火墻、入侵檢測防御系統、防病毒網關。

雖然目前網絡安全產品的種類非常多，但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測等安全設備，由于涉及之初就沒有考慮相應的DDoS防護，所以無法針對復雜的DDoS攻擊進行有效的檢測和防護。至于退讓策略或是系統調優等方法只能應對小規模的DDoS攻擊，對大規模DDoS攻擊還是無法提供有效的防護。 

中新政府信息化在DDoS攻擊防御解決方案特點

防護DDoS攻擊建設方案建設依據和標準：

• ·　《中華人民共和國計算機信息安全保護條例》（國務院147號令）要計算機信息系統實行安全等級保

• ·　護安全等級的劃分標準和安全等級保護的具體辦法。

• ·　《國家信息化領導小組關于加強信息安全保障工作的建議》（中辦發[2003]27號）規定：要重點保護

• ·　基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統。

• ·　《信息安全產業“十二五”發展規劃》指導未來五年我國政府信息化安全的發展和管理。

• ·　《關于大力推進信息化發展和切實保障信息安全的若干意見》等指導和要求大力推進信息化發展和切實

• ·　保障信息安全。 　　

• ·　《中華人民共和國公共安全行業標準GA/T1137-2014-信息安全技術抗拒絕服務攻擊產品安全技術要

• ·　求》要求產品設備抗拒絕服務系統具體要求與行業標準等。

本方案制作參考了以下標準：

• ISO/IEC20000 IT服務管理國際標準體系（ITIL規范）

• GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》

• BS17799:1999 《信息安全管理》

• GB/T20274-2006《信息系統安全保障評估框架》

• GB17859-1999《計算機信息系統安全保護等級劃分準則》

• GB/T19715.1-2005《信息技術信息技術安全管理指南》

• GB/T18336.1-2001《信息技術安全技術信息技術安全性評估準則》

方案特性：

• 為了避免大流量攻擊阻塞政務外網出口，造成網絡阻塞。后期將為用戶改造云+端抗DDoS攻擊清洗方案。由本端清洗設備負責清洗小于出口帶寬的流量攻擊和應用層攻擊，由云端清洗設備負責清洗大于出口帶寬的流量攻擊。云端秒級切換，為用戶提供全面的抗DDoS攻擊解決方案。

• 通過部署高冗余性能的中新網安抗拒絕服務系統

• 中新網安抗拒絕服務系統內置的web防護插件

• 滿足保障政務外網抗流量性攻擊要求

• 實現一體化流量

• 有效的識別正常業務

• 有效的識別攻擊流量，避免漏防

• 靈活的部署與擴展能力

• 建立分布式部署統一管理，分級管理

• 滿足客戶未來三年的帶寬規劃要求，可在后期帶寬擴容時無縫擴增防護能力。