1 背景及挑战 随着政务外网建设的逐渐完善,承载单位业务逐渐增多,作为国家、省、市、县的政务基础网络,安全问题将是考虑的重点,如何围绕国家等级保护政策进行各级政务外网的安全保障体系设计是各级主管机构需要考虑的问题。 目前黑客针对电子政务网络攻击呈现攻击主体组织化,目标趋利化、政治化,手段智能化、网络化的趋势,以APT攻击特征最为明显。APT攻击是针对特定组织所作的复杂且多方位的网络攻击,目的是获取政府内部敏感信息或者对政务网络造成破坏。因为其多渠道、多手段、多层次的攻击方法,往往难以在某单一防护措施对其进行有效防范。 为推动政务外网接入安全边界建设和安全管理工作,符合进一步推进“互联网 政务服务”相关要求。切实保障电子政务外网横向接入网的安全稳定运行, 为各级政务部门提供安全、高效、优质的网络环境,中信网安按照信息安全等级保护要求,结合区电子政务外网应用特点为电子政务外网某区横向接入网络设计了安全保障方案。 2 安全解决方案介绍 电子政务外网区横向接入网络架构如下图所示: 以区电子政务网为例,网络可划分成市级汇聚层、区级接入层、数据中心,为所承载的各级政务部门信息系统提供网络传输通道。安全建设以满足等级保护法律法规要求为前提条件,中信网安从网络建设层面提出了物理安全、网络安全、主机安全、应用安全、数据安全、安全管理多维度的建设思路。 ●物理安全方面:机房满足等保三级基础要求。 ●网络安全方面:整体网络采取分区分域管理,不同网络之间需要隔离,核心链路采用链路冗余形式;对于不同安全域之间采取超融合安全网关进行安全管控。 解决方案:部署网闸、超融合安全网关(开启FW、IPS、WAF、AV、VPN模块)。 ●主机安全方面:保护服务器的安全采用安全软件和人工对服务器及用户终端的漏洞、安全策略、配置管理等进行加固形式进行全面安全保障。 解决方案:部署网络杀毒软件、终端安全管理系统、人工加固。 ●应用安全方面:在访问应用方面需要做好身份管理和认证措施,并且在通信之间需要进行加密处理;对应用业务加强管理,对数据库进行审计,对日志进行存储分析。 解决方案:部署多网隔离系统、数据库审计系统、日志管理系统。 ●数据安全方面:对重要数据进行加密、备份,并建立备份恢复检验机制。 解决方案:部署备份一体机。 ●安全管理方面:对安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范、应急保障等管理工作实现平台化、无纸化管理。 解决方案:部署等保综合管理平台。 3 用户收益 1)明确网络边界,优化网络结构 依据等级保护分区分域保护思想,为某区规划了不同功能的安全区域,为今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基础。 2)充分利用多种安全技术手段,提升了业务系统边界保护能力 依据相关等级别保护设计标准,通过部署下超融合安全网关以及安全审计等多种安全防护产品,增强不同区域间业务用户访问控制能力,提升某区边界抵御内外部攻击行为的能力。 3)从多个层面建立了完善的审计机制 安全审计是等级保护中十分强调和关注的安全机制,通过部署了网络审计、数据库审计等多种安全设备或探测引擎,针对用户不同层面,不同视角的业务操作进行审计跟踪,从而某区业务的安全监管要求,以及责任追溯的业务诉求。 4)建立等保综合管理平台,提高了安全管理水平 依照等级保护技术体系建设的要求,安全管理工作实现平台化、无纸化管理,提高业务系统安全运维的效率和管理水平。 (来源:中信网安 ) |
|