首頁 > 客戶案例 > 正文

XX市電子政務(wù)骨干網(wǎng)絡(luò)等保2.0三級(jí)方案

閱讀量：

方案建設(shè)背景

XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)是XX市政務(wù)機(jī)關(guān)利用互聯(lián)網(wǎng)通過統(tǒng)一門戶對(duì)外統(tǒng)一發(fā)布信息和向社會(huì)提供信息服務(wù)、業(yè)務(wù)辦理和管理監(jiān)督等政務(wù)活動(dòng)的公共信息網(wǎng)絡(luò)。政務(wù)外網(wǎng)承載各級(jí)政務(wù)部門業(yè)務(wù)協(xié)同、社會(huì)管理、公共服務(wù)、應(yīng)急聯(lián)動(dòng)等面向社會(huì)服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)。

隨著等保2.0的發(fā)布，對(duì)XX市電子政務(wù)外網(wǎng)骨干的網(wǎng)絡(luò)安全提出了新的要求。為進(jìn)一步提升自身的安全防護(hù)能力，按照統(tǒng)籌資源，重點(diǎn)保護(hù)，適度安全的原則，結(jié)合各安全域?qū)嶋H情況，進(jìn)行安全防護(hù)等級(jí)保護(hù)建設(shè)方案設(shè)計(jì)。

現(xiàn)狀分析

1、XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)建設(shè)現(xiàn)狀

?XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)前期已開展過網(wǎng)絡(luò)安全建設(shè)，但已建成時(shí)間距今周期較長，大部分設(shè)備已投用7至8年以上，設(shè)備已脫保且性能無法滿足目前電子政務(wù)業(yè)務(wù)快速增長的需要。

2、?電子政務(wù)外網(wǎng)安全設(shè)備現(xiàn)狀

目前骨干網(wǎng)絡(luò)區(qū)域部署了防火墻，主要用作網(wǎng)絡(luò)邊界的訪問控制，以及內(nèi)部服務(wù)器的端口映射。防火墻在管理上采取用戶名＋口令的認(rèn)證方式；配置了上網(wǎng)行為管理系統(tǒng)；部署了入侵檢測(cè)設(shè)備等。但目前設(shè)備因投用時(shí)間長均已脫保，設(shè)備功能及性能均已無法滿足電子政務(wù)外網(wǎng)業(yè)務(wù)快速發(fā)展的需求。

3、電子政務(wù)外網(wǎng)數(shù)據(jù)安全現(xiàn)狀

目前未采用統(tǒng)一集中數(shù)據(jù)備份模式，當(dāng)前業(yè)務(wù)數(shù)據(jù)備份在存儲(chǔ)中，沒有建設(shè)異地災(zāi)備中心。

風(fēng)險(xiǎn)分析

1、Web安全面臨的威脅

RSA大會(huì)研究顯示，Web應(yīng)用安全已超過所有以前網(wǎng)絡(luò)層安全（如：DDoS），逐漸成為最嚴(yán)重、最廣泛、危害性最大的安全問題。WEB安全的威脅主要來自XSS跨站攻擊、SQL 注入、網(wǎng)絡(luò)釣魚、惡意代碼、RootKit隱身技術(shù)等。

2、?數(shù)據(jù)庫安全風(fēng)險(xiǎn)

隨著用戶加強(qiáng)數(shù)據(jù)庫安全建設(shè)，越來越多的數(shù)據(jù)庫安全漏洞也會(huì)被數(shù)據(jù)庫安全研究者所發(fā)現(xiàn)，漏洞一但公開，數(shù)據(jù)庫廠商并不能在第一時(shí)間對(duì)漏洞進(jìn)行修復(fù)并發(fā)布升級(jí)補(bǔ)丁，即使廠商發(fā)布了對(duì)應(yīng)的漏洞升級(jí)補(bǔ)丁用戶并不敢第一時(shí)間對(duì)數(shù)據(jù)庫進(jìn)行升級(jí)，直接導(dǎo)致數(shù)據(jù)庫風(fēng)險(xiǎn)性增大。

3、?終端用戶風(fēng)險(xiǎn)

由于計(jì)算機(jī)用戶數(shù)量龐大，對(duì)計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的用戶誤操作，也將給信息系統(tǒng)帶來破壞。例如某些用戶在惡意網(wǎng)站上下載或是錯(cuò)誤使用了某些存儲(chǔ)介質(zhì)，從而導(dǎo)致計(jì)算機(jī)感染了病毒或木馬程序，很可能會(huì)給整個(gè)內(nèi)部網(wǎng)絡(luò)帶來災(zāi)難性的破壞。

4、不同子區(qū)域邊界的安全風(fēng)險(xiǎn)

安全計(jì)算環(huán)境劃分為XX市電子政務(wù)外網(wǎng)內(nèi)網(wǎng)業(yè)務(wù)區(qū)域、XX市電子政務(wù)外網(wǎng)運(yùn)維管理區(qū)域、辦公區(qū)域等區(qū)域。該政務(wù)外網(wǎng)政府部門業(yè)務(wù)系統(tǒng)，劃分互聯(lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)域，兩個(gè)區(qū)域之間進(jìn)行邏輯隔離，倘若沒有有效隔離措施，會(huì)造成兩張重要網(wǎng)的信息侵入。

5、云平臺(tái)自身安全建設(shè)不完善

?? 數(shù)據(jù)存儲(chǔ)層：缺乏數(shù)據(jù)監(jiān)控審計(jì)、數(shù)據(jù)庫運(yùn)維審計(jì)；

?? 管理和服務(wù)層：缺乏大數(shù)據(jù)的態(tài)勢(shì)感知通報(bào)預(yù)警平臺(tái)，實(shí)時(shí)監(jiān)控云平臺(tái)安全態(tài)勢(shì)；

?? 業(yè)務(wù)應(yīng)用層：缺乏Web漏洞掃描系統(tǒng)、數(shù)據(jù)庫漏洞掃描系統(tǒng)、系用漏洞掃描系統(tǒng)、基線核查等，針對(duì)云計(jì)算平臺(tái)自身基于B/S架構(gòu)的應(yīng)用系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)的定時(shí)發(fā)現(xiàn)；缺乏網(wǎng)頁防篡改，針對(duì)云計(jì)算平臺(tái)自身基于B/S架構(gòu)的互聯(lián)網(wǎng)接口應(yīng)用系統(tǒng)進(jìn)行防護(hù)。

?? 云安全訪問控制層：缺乏傳統(tǒng)網(wǎng)絡(luò)防火墻、病毒過濾、VPN等功能的下一代防火墻（NGFW），作為云計(jì)算中心與外部網(wǎng)絡(luò)的第一層邊界隔離手段；缺乏流量清洗設(shè)備與DNS/全局負(fù)載均衡。

項(xiàng)目建設(shè)方案?

在XX市電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)邊界部署鏈路負(fù)載均衡設(shè)備，實(shí)現(xiàn)對(duì)電信和移動(dòng)鏈路的負(fù)載，安全邊界通過冗余部署下一代防火墻（含VPN模塊）、入侵防御、上網(wǎng)行為管理等設(shè)備進(jìn)行安全防護(hù)和管控。?

本次等保三級(jí)整改按照等保2.0標(biāo)準(zhǔn)新建安全運(yùn)維中心，安全運(yùn)維中心中主要部署了天池安全管理平臺(tái)、網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)以及數(shù)據(jù)一體化備份平臺(tái)。天池等保一體機(jī)平臺(tái)由一臺(tái)物理設(shè)備搭建（可按需橫向擴(kuò)展），按需激活漏洞掃描、WEB防火墻、虛擬防火墻、堡壘機(jī)、日志綜合審計(jì)、數(shù)據(jù)庫審計(jì)、網(wǎng)頁防篡改、主機(jī)安全管理等多項(xiàng)安全防護(hù)技術(shù)，實(shí)現(xiàn)電子政務(wù)外網(wǎng)內(nèi)部橫向的安全防護(hù)和管控。通過大數(shù)據(jù)智能分析平臺(tái)，針對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行安全分析，及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，同時(shí)為頂層安全決策提供直觀的可視化視圖及有效的數(shù)據(jù)支撐。通過建設(shè)數(shù)據(jù)一體化備份平臺(tái)實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一集中備份，滿足等級(jí)保護(hù)的相關(guān)要求。

總體建設(shè)拓?fù)鋱D

方案競爭優(yōu)勢(shì)分析

滿足等級(jí)保護(hù)技術(shù)規(guī)范要求

本次項(xiàng)目建設(shè)方案既可以滿足等級(jí)保護(hù)的相關(guān)要求，又能夠全方面為XX市電子政務(wù)外網(wǎng)信息系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。

構(gòu)建三維一體全方位數(shù)據(jù)防護(hù)

從數(shù)據(jù)庫服務(wù)器的底層系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫三個(gè)層面分別進(jìn)行三位一體的立體防護(hù)。從根本上保證數(shù)據(jù)庫服務(wù)器的底層操作系統(tǒng)免受攻擊、網(wǎng)絡(luò)層面實(shí)現(xiàn)有效的網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)庫層面實(shí)現(xiàn)合規(guī)訪問控制和攻擊防護(hù)，徹底解決數(shù)據(jù)庫的安全防護(hù)難題。

AI技術(shù)：安全威脅分析發(fā)現(xiàn)

利用AI技術(shù)實(shí)現(xiàn)用戶行為分析（UEBA），通過機(jī)器學(xué)習(xí)算法快速訓(xùn)練客戶現(xiàn)場(chǎng)安全場(chǎng)景，對(duì)異常行為進(jìn)行定位跟蹤，風(fēng)險(xiǎn)閾值實(shí)現(xiàn)智能動(dòng)態(tài)調(diào)整，實(shí)現(xiàn)智能安全判定，對(duì)殘余風(fēng)險(xiǎn)、隱蔽威脅、未知攻擊和0day攻擊等未知風(fēng)險(xiǎn)進(jìn)行檢測(cè)。

提升體系化縱深聯(lián)動(dòng)防御

通過大數(shù)據(jù)分析技術(shù)發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，預(yù)測(cè)即將發(fā)生的安全事件并與安全防護(hù)設(shè)備形成聯(lián)動(dòng)能力，自動(dòng)安全調(diào)整訪問控制策略下發(fā)至防御設(shè)備，第一時(shí)間阻斷(通過聯(lián)動(dòng)防御設(shè)備進(jìn)行安全阻斷，如WAF、IPS、防火墻等）攻擊者的連接，形成安全閉環(huán)，提升阿拉爾市電子政務(wù)外網(wǎng)信息安全風(fēng)險(xiǎn)管理和應(yīng)對(duì)能力。

實(shí)現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)可視化

以綜合角度出發(fā)，匯集重要信息系統(tǒng)的資產(chǎn)、威脅風(fēng)險(xiǎn)、網(wǎng)絡(luò)攻擊、安全事件、預(yù)警處置總體分布情況，通過柱形圖、餅圖、趨勢(shì)曲線圖以及不斷變化的趨勢(shì)數(shù)值進(jìn)行綜合展現(xiàn)。從多個(gè)維度，提供大數(shù)據(jù)分析結(jié)果，為研判、決策及重要時(shí)期的網(wǎng)絡(luò)安全保障工作提供有效支撐。

保障云上業(yè)務(wù)網(wǎng)絡(luò)安全

通過對(duì)云平臺(tái)邊界安全建設(shè)和云內(nèi)安全建設(shè)，打造網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)多層安全保障的云基礎(chǔ)環(huán)境，并從外部攻擊防御到內(nèi)部安全管控兩方面提升云安全水平，提供各項(xiàng)云內(nèi)環(huán)境安全防護(hù)手段，不同信息系統(tǒng)可靈活選擇與搭配，最終建設(shè)形成自有的云內(nèi)信息系統(tǒng)安全防護(hù)策略。

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>