政府信息化在DDoS攻击防御方面的需求背景

根据中共中央办公厅、国务院办公厅印发《2006~2020年国家信息化发展战略》，提出大力推进信息化，政府作为社会最重要的职能部门，毫无疑问地成为信息化建设的先行者。目前，政府行业信息化建设存在以下三个方向。

政府门户网站

现阶段各部委、省、市、区政府门户网站已经成为各级人民政府及其部门发布政府信息、提供在线服务、与公众互动交流的重要平台和窗口，在提高行政效能、提升政府公信力等方面发挥了重要作用。政府网站有信息公开、网上办事、政民互动三大功能，构建为企业和公众提供政府各个部门服务的“一站式”政府门户网站。

电子政务

产生于90年代末期，是指运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。随着电子政务建设的逐渐完善，电子政务将承载政府单位的业务逐渐增多，如门户网站、邮箱系统、OA协同办公系统等，已经成为国家、各省、市、县的政务基础服务网络和应用。

智慧政务

2010年，IBM正式提出了“智慧城市”愿景，IBM经过研究认为，城市是由不同类型的网络、基础设施和环境等六个核心系统组成，这六个核心系统分别是组织（人）、业务/政务、交通、通讯、水和能源。智慧政务概念由此产生，智慧政务即智慧化的电子政务，是在建设智慧城市的大背景下，发展信息经济和智慧经济，实现经济和社会转型升级的必由之路。智慧政务是广泛运用物联网、云计算、移动互联网、人工智能、数据挖掘等现代信息技术，通过资源整合、流程优化、业务协同，提高政府办公、服务、监管、决策的智能化水平，从而形成高效、集约、便民的服务型政府运营模式。简要地说，智慧政务是利用现代信息技术提高政府智能化水平的一种形态。智慧政务的建设是实现电子政务升级发展的突破口，是政府从管理型走向服务型、智慧型的必然产物。

政府信息化在DDoS攻击防御方面的安全需求

斯诺登事件发生后，网络安全问题引发社会各界广泛关注，从2014年2月27日中央网络安全和信息化领导小组成立，到最近《中华人民共和国网络安全法》的颁布，都足以说明国家层面对网络安全问题的重视程度。习近平总书记强调：“没有网络安全就没有国家安全，没有信息化就没有现代化。”网络安全事关国家安全，政府部门作为国家信息化过程中信息流的“汇聚节点”，政府部门的网络安全是重中之重，是责无旁贷。

出于对信息安全的重视，国家已经出台了信息安全等级保护的一系列文件和标准，用以促进和指导信息安全的建设。2007年6月22日，公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》（公通字[2007]43号），确定了信息安全等级保护制度的基本内容及各项工作要求。2007年7月16日，四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），就定级范围、定级工作主要内容、定级工作要求等事项进行了部署。

同时结合《政府信息系统安全检查办法》（国办发[2009]28号）和各地方《政务服务中心网络和信息安全》、《关于开展各市政府重要信息系统信息安全检查工作的通知》等文件精神，立足于保障政府政务中心网络和信息安全。

各级政府信息中心为了使信息化平台及应用系统达到国家等级保护等相关标准规定和安全保障，均对信息化体系进行安全建设。主流的政府行业信息化安全建设架构如下：

• ·　外网安全架构：（互联网接入区）部署负载均衡、入侵检测防御系统、防病毒网关、防火墙等。(对外

• ·　应用服务区)部署WAF、数据库审计防火墙等。

• 
  

• ·　内网安全架构：各区域边界部署防火墙、上网行为管理、运维审计类安全产品。

• 
  

• ·　专网安全架构：部署防火墙、入侵检测防御系统、防病毒网关。

虽然目前网络安全产品的种类非常多，但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测等安全设备，由于涉及之初就没有考虑相应的DDoS防护，所以无法针对复杂的DDoS攻击进行有效的检测和防护。至于退让策略或是系统调优等方法只能应对小规模的DDoS攻击，对大规模DDoS攻击还是无法提供有效的防护。 

中新政府信息化在DDoS攻击防御解决方案特点

防护DDoS攻击建设方案建设依据和标准：

• ·　《中华人民共和国计算机信息安全保护条例》（国务院147号令）要计算机信息系统实行安全等级保

• ·　护安全等级的划分标准和安全等级保护的具体办法。

• ·　《国家信息化领导小组关于加强信息安全保障工作的建议》（中办发[2003]27号）规定：要重点保护

• ·　基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。

• ·　《信息安全产业“十二五”发展规划》指导未来五年我国政府信息化安全的发展和管理。

• ·　《关于大力推进信息化发展和切实保障信息安全的若干意见》等指导和要求大力推进信息化发展和切实

• ·　保障信息安全。 　　

• ·　《中华人民共和国公共安全行业标准GA/T1137-2014-信息安全技术抗拒绝服务攻击产品安全技术要

• ·　求》要求产品设备抗拒绝服务系统具体要求与行业标准等。

本方案制作参考了以下标准：

• ISO/IEC20000 IT服务管理国际标准体系（ITIL规范）

• GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

• BS17799:1999 《信息安全管理》

• GB/T20274-2006《信息系统安全保障评估框架》

• GB17859-1999《计算机信息系统安全保护等级划分准则》

• GB/T19715.1-2005《信息技术信息技术安全管理指南》

• GB/T18336.1-2001《信息技术安全技术信息技术安全性评估准则》

方案特性：

• 为了避免大流量攻击阻塞政务外网出口，造成网络阻塞。后期将为用户改造云+端抗DDoS攻击清洗方案。由本端清洗设备负责清洗小于出口带宽的流量攻击和应用层攻击，由云端清洗设备负责清洗大于出口带宽的流量攻击。云端秒级切换，为用户提供全面的抗DDoS攻击解决方案。

• 通过部署高冗余性能的中新网安抗拒绝服务系统

• 中新网安抗拒绝服务系统内置的web防护插件

• 满足保障政务外网抗流量性攻击要求

• 实现一体化流量

• 有效的识别正常业务

• 有效的识别攻击流量，避免漏防

• 灵活的部署与扩展能力

• 建立分布式部署统一管理，分级管理

• 满足客户未来三年的带宽规划要求，可在后期带宽扩容时无缝扩增防护能力。