政府行業網絡安全整體解決方案
Network security solutions for government industry
背景介紹 Background
2018年7⽉,國(guó)務院《關于(yú)加快推進全國(guó)⼀體化在(zài)線政務服務平台建設的(de)指導意⻅》提出(chū)推動“放管服”改⾰向縱深發展,推進各地(dì / de)區各部⻔政務服務平台規範化、标準化、集約化建設和(hé / huò)互聯互通,形成全國(guó)政務服務“⼀張⽹”。伴随着國(guó)務院機構改⾰⽅案落地(dì / de),2020年1⽉國(guó)務院辦公廳印發的(de)《國(guó)家政務信息化項⽬建設管理辦法》,對國(guó)家政務信息系統的(de)規劃、審批、建設、共享和(hé / huò)監管作出(chū)規定,政務信息化建設持續向“數據共享、業務協同”的(de)⽅向加速升級。然⽽,伴随着⽹絡化、信息化程度的(de)加深,電⼦政務⽹絡也(yě)⾯臨着前所未有的(de)安全挑戰。這(zhè)些挑戰不(bù)僅來(lái)⾃外部的(de)⽹絡攻擊,如⿊客⼊侵、數據洩露、勒索軟件等,也(yě)源⾃内部的(de)安全管理疏漏,如不(bù)當的(de)權限設置、弱密碼使⽤、員⼯安全意識不(bù)⾜等。
電⼦政務外⽹作爲(wéi / wèi)國(guó)家、省、市、縣的(de)政務基礎⽹絡,國(guó)家⾼度重視,早期發布了(le/liǎo)《電⼦政務信息系統安全等級保護指南》、《國(guó)家電⼦政務外⽹安全管理辦法》,近些年相繼頒布了(le/liǎo)《中華⼈⺠共和(hé / huò)國(guó)⽹絡安全法》、《中華⼈⺠共和(hé / huò)國(guó)數據安全法》、《個(gè)⼈信息保護法》、《信息安全技術 電⼦政務移動辦公系統安全技術規範》《信息安全技術 基于(yú)互聯⽹電⼦政務信息安全實施指南》等⼀系列法律法規,旨在(zài)保障⽹絡空間安全,保護公⺠個(gè)⼈信息和(hé / huò)重要(yào / yāo)數據安全。
需求分析/requirement analysis
1、安全合規需求合規性需求:确保電⼦政務⽹絡和(hé / huò)應⽤完全符合國(guó)家法律法規的(de)要(yào / yāo)求,包括⽹絡安全法、數據安全法等。
2、數據保護需求:加強對敏感政務數據的(de)保護,包括公⺠個(gè)⼈信息、國(guó)家秘密、重要(yào / yāo)政務信息等,防⽌數據洩露、篡改或濫⽤。
3、訪問控制需求:實施嚴格的(de)訪問控制機制,确保隻有授權⼈員才能訪問相應的(de)系統和(hé / huò)數據。
4、監測與預警需求:建⽴全⾯的(de)⽹絡安全監測體系,能夠及時(shí)發現并預警安全威脅,減少響應時(shí)間。
5、應急響應需求:具備有效的(de)安全事件應急響應機制,能夠在(zài)遭受攻擊時(shí)迅速采取⾏動,減輕損失。
6、持續改進需求:定期進⾏安全評估和(hé / huò)審計,持續優化安全策略和(hé / huò)技術措施,适應新的(de)威脅形勢。
7、⾝份與訪問管理:采⽤多因素認證(MFA)和(hé / huò)最⼩權限原則,确保⽤⼾⾝份的(de)真實性和(hé / huò)訪問權限的(de)合理性。
8、加密與數據完整性:對敏感數據進⾏加密存儲和(hé / huò)傳輸,确保數據在(zài)傳輸過程中的(de)安全性和(hé / huò)完整性。
9、⽹絡與邊界安全:部署防⽕牆、⼊侵檢測與防禦系統(IDS/IPS),實施⽹絡分段,加強對外部⽹絡的(de)訪問控制。
10、端點安全:實施端點檢測與響應(EDR),安裝防病毒軟件,定期進⾏系統補丁更新。
11、安全培訓與意識提升:定期對員⼯進⾏⽹絡安全培訓,提⾼其安全意識,減少⼈爲(wéi / wèi)錯誤導緻的(de)安全事件。
12、合規與審計:建⽴合規性檢查機制,定期進⾏安全審計,确保所有安全措施得到(dào)有效執⾏。
解決方案/Solution
爲(wéi / wèi)全⾯解決政府⾏業存在(zài)的(de)潛在(zài)安全問題及滿⾜法律法規的(de)合規需求,針對性推出(chū)了(le/liǎo)可管、可控的(de)⼀體化⽹安全解決⽅案。
拓撲結構如下圖:
技術措施彙總/Summary of technical measures
| 設備名稱 | 主要(yào / yāo)功能 |
|---|---|
| 抗DDOS系統 | 有效保護網絡業務不(bù)受DDOS攻擊影響,提高網絡帶寬和(hé / huò)服務器資源的(de)有效利用率 |
| 負載均衡系統 | 将負載(工作任務)進行平衡、分攤到(dào)多個(gè)操作單元上(shàng)進行執行,避免單鏈路連接造成的(de)單點故障 |
| 下一(yī / yì /yí)代防火牆 | 隔離不(bù)同的(de)安全區域,根據網絡訪問和(hé / huò)安全防護需要(yào / yāo),定義适當的(de)訪問控制規則和(hé / huò)網絡通訊規則 |
| 上(shàng)網行爲(wéi / wèi)管理 | 針對員工的(de)網絡帶寬進行有效的(de)管理,同時(shí)針對日益豐富的(de)應用,進行有效的(de)識别和(hé / huò)管控 |
| Web應用防護系統 | 在(zài)應用層上(shàng)針對SQL注入、跨站腳本攻擊行爲(wéi / wèi)等web攻擊行爲(wéi / wèi)進行阻斷 |
| 數據庫防火牆 | 對數據庫訪問行爲(wéi / wèi)的(de)控制,高危操作的(de)攔截,可疑行爲(wéi / wèi)的(de)監控,風險威脅的(de)審計 |
| VPN系統 | 防止在(zài)城域網間數據傳輸過程中數據被非法竊取、盜用、篡改,對網絡間傳輸的(de)數據進行加密 |
| 數據防洩密系統 | 以(yǐ)“旁觀者”的(de)方式觀察和(hé / huò)記錄單位職工對電腦、文件、軟件操作或網絡行爲(wéi / wèi),同時(shí)服務端通過多種方式(文件簽名、敏感詞識别與權重分析、正則表達式過濾)識别敏感機密信息。并通過數據彙總與分析,得出(chū)人(rén)員、文件、安全事件這(zhè)三個(gè)維度的(de)趨勢,并通過相應的(de)安全策略定義,對用戶的(de)操作進行識别,從而(ér)确認洩密風險并采取相應措施進行防範。 |
| 高級未知威脅分析系統 | 檢測已知威脅,通過回溯分析數據包特征、異常網絡行爲(wéi / wèi),發現潛伏已久的(de)高級未知攻擊 |
| 安全運維服務 | 通過專業的(de)網絡安全人(rén)員,爲(wéi / wèi)客戶提供專業的(de)網絡安全服務,例如滲透測試、代碼審計、脆弱性評估、安全駐場運維等等 |
| 移動終端管理系統 | 客戶在(zài)任意時(shí)間、任意地(dì / de)點、任意智能終端能夠訪問并處理其多種多樣的(de)核心業務 |
| 态勢感知平台 | 以(yǐ)全流量分析爲(wéi / wèi)核心,結合威脅情報、行爲(wéi / wèi)分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大(dà)數據關聯分析、可視化等技術,對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在(zài)高級威脅入侵之(zhī)後,損失發生之(zhī)前及時(shí)發現威脅 |
| 隔離網閘 | 物理隔離内外網區域,通過對信息進行落地(dì / de)、還原、掃描、過濾、防病毒、入侵檢測、審計等一(yī / yì /yí)系列安全處理,有效防止黑客攻擊、惡意代碼和(hé / huò)病毒滲入,同時(shí)防止内部機密信息的(de)洩露,實現網間安全隔離和(hé / huò)信息交換。 |
| 防病毒服務器 | 對服務器操作系統進行惡意代碼保護 |
| 堡壘機 | 實現對所有運維人(rén)員的(de)操作進行集中管控 |
| 網站安全監測 | 針對門戶網站、對外業務系統提供7*24小時(shí)網站安全監測服務 |
| 入侵檢測系統 | 在(zài)系統網絡中的(de)關鍵點收集信息,并分析這(zhè)些數據,查看網絡中是(shì)否存在(zài)違反安全策略的(de)行爲(wéi / wèi),監視網絡邊界處攻擊行爲(wéi / wèi),及時(shí)報警 |
| 安全配置核查系統 | 對常見的(de)網絡設備、安全設備、操作系統、數據庫、應用服務中間件、虛拟化平台進行安全配置核查,快速發現客戶網絡中存在(zài)安全配置隐患 |
| 漏洞掃描系統 | 實現對信息系統中的(de)關鍵服務器進行漏洞掃描,發現由于(yú)安全管理配置不(bù)當、疏忽或操作系統本身存在(zài)的(de)漏洞 |
| 終端準入 | 對入網請求用戶的(de)終端做健康評估,并根據管理員配置的(de)評估策略,對不(bù)滿足條件的(de)終端進行隔離和(hé / huò)提供修複向導 |
| 數據脫敏系統 | 采用專門的(de)脫敏算法對敏感數據進行變形、屏蔽、替換、随機化、加密,将敏感數據轉化爲(wéi / wèi)虛構數據,隐藏了(le/liǎo)真正的(de)隐私信息 |
| 數據安全管理平台 | 通過可視化視圖全面掌握用戶數據庫、存儲系統,從數據維度獲取數據資産情況,針對性的(de)發現相關敏感數據,并對其進行分類分級 |
| 數據資産梳理 | 通過自動發現技術、靜+動态梳理有效地(dì / de)解決了(le/liǎo)單位對資産安全狀況摸底及資産管理工作 |
| 日志審計系統 | 監控和(hé / huò)保障信息系統運行,爲(wéi / wèi)安全事件的(de)事後分析、調查取證提供必要(yào / yāo)的(de)信息 |
| 數據庫審計系統 | 實現數據庫操作的(de)内容監測識别,發現各種違規數據庫操作行爲(wéi / wèi),及時(shí)報警響應、全過程操作還原 |
| 備份一(yī / yì /yí)體機 | 針對現有服務器、數據庫進行統一(yī / yì /yí)備份 |
| 資産安全運營平台 | 包含了(le/liǎo)縱深防禦效果檢驗、安全意識檢驗、資産暴露面檢驗、嚴重脆弱性檢驗、網站内容合規檢驗等産品能力,集資産測繪、資産管理、資産風險發現、資産風險管理、攻擊威脅發現、威脅處置等功能于(yú)一(yī / yì /yí)身 |
