政府機(jī)構(gòu)等級保護(hù)建設(shè)解決方案
業(yè)務(wù)背景
隨著我國信息化進(jìn)程的不斷發(fā)展,信息安全越來越受到重視�。特別是2014年2月27日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的正式成立,標(biāo)志著網(wǎng)絡(luò)安全已經(jīng)上升成為國家戰(zhàn)略��。等級保護(hù)作為國家信息安全的基本制度和核心技術(shù)體系��,也必然得到進(jìn)一步加強(qiáng)����。
政府機(jī)關(guān)單位為保證其核心業(yè)務(wù)應(yīng)用的持續(xù)、穩(wěn)定運(yùn)行�����,實(shí)現(xiàn)各核心業(yè)務(wù)應(yīng)用之間信息的安全共享��,必須按照《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)文件精神�����,結(jié)合自身核心業(yè)務(wù)系統(tǒng)特點(diǎn)開展信息安全等級保護(hù)建設(shè)整改工作。
各單位進(jìn)行等保建設(shè)之前��,需要對自身網(wǎng)絡(luò)進(jìn)行了深入的調(diào)研和評估��,梳理當(dāng)前運(yùn)行的所有業(yè)務(wù)系統(tǒng)�,并依據(jù)《信息系統(tǒng)等級保護(hù)定級指南》對自身核心業(yè)務(wù)系統(tǒng)的保護(hù)進(jìn)行定級備案、差距分析與風(fēng)險評估�����、安全規(guī)劃等一系列準(zhǔn)備工作����。
安全挑戰(zhàn)
根據(jù)等級保護(hù)建設(shè)前期調(diào)研、評估過程�����,依據(jù)《GB 17859-1999 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級定級指南》和第三方等級保護(hù)咨詢機(jī)構(gòu)的建議��,等級保護(hù)建設(shè)需求如下:
明確安全域�����、線路和節(jié)點(diǎn)冗余設(shè)計(jì)�����,實(shí)現(xiàn)動態(tài)流量優(yōu)先級控制
各個網(wǎng)絡(luò)區(qū)域邊界沒有訪問控制措施
互聯(lián)網(wǎng)出口需要重點(diǎn)的安全防護(hù)和冗余設(shè)計(jì)
提高安全維護(hù)人員對入侵行為的檢測能力
對內(nèi)部人員訪問互聯(lián)網(wǎng)進(jìn)行控制和審計(jì)
加強(qiáng)網(wǎng)站應(yīng)用的安全防護(hù)措施
建立符合等級保護(hù)要求的內(nèi)部審計(jì)機(jī)制
構(gòu)建基于用戶身份的網(wǎng)絡(luò)準(zhǔn)入控制體系
從業(yè)務(wù)角度出發(fā)�����,強(qiáng)化應(yīng)用安全��、保護(hù)隱私數(shù)據(jù)
建立并保持一個文件化的信息安全管理體系��,明確管理職責(zé)���、規(guī)范操作行為
解決方案
通過對現(xiàn)狀資產(chǎn)梳理��,差距分析后���,江蘇國駿針對等保建設(shè)項(xiàng)目能夠提供的服務(wù)如下圖:
安全技術(shù)層面
物理安全:機(jī)房要滿足等保三級基礎(chǔ)要求。
網(wǎng)絡(luò)安全:網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化���,所有核心節(jié)點(diǎn)全冗余部署�,同時還要有網(wǎng)絡(luò)優(yōu)先級控制�;互聯(lián)網(wǎng)出口部署抗拒絕服務(wù)攻擊設(shè)備;同時由于雙出口運(yùn)營商���,部署鏈路負(fù)載均衡實(shí)現(xiàn)智能選路��;所有安全區(qū)域邊界位置部署下一代防火墻�����,開啟FW����、IDS、WAF��、AV等模塊��;互聯(lián)網(wǎng)出口區(qū)域部署上網(wǎng)行為管理���,實(shí)現(xiàn)應(yīng)用阻截�����、流控和網(wǎng)絡(luò)行為審計(jì)功能����;內(nèi)外網(wǎng)之間部署網(wǎng)閘設(shè)備實(shí)現(xiàn)數(shù)據(jù)安全交換����。
主機(jī)安全:服務(wù)器及用戶終端統(tǒng)一安裝網(wǎng)絡(luò)殺毒軟件;服務(wù)器及用戶終端統(tǒng)一安裝終端安全管理系統(tǒng)���,進(jìn)行統(tǒng)一的終端管理和安全加固工作��。
應(yīng)用安全:使用統(tǒng)一認(rèn)證系統(tǒng)進(jìn)行身份管理和認(rèn)證管理�;重要業(yè)務(wù)訪問建立安全加密連接�����,通過部署應(yīng)用交付設(shè)備實(shí)現(xiàn)SSL卸載��;業(yè)務(wù)服務(wù)器前端部署服務(wù)器負(fù)載均衡實(shí)現(xiàn)通信可用性保障����;建立CA系統(tǒng)保證抗抵賴機(jī)制;實(shí)行代碼審計(jì)工作防御應(yīng)用級安全漏洞�����;遠(yuǎn)程辦公用戶可通過連接SSL VPN進(jìn)行應(yīng)用的授權(quán)登陸和加密訪問�;部署服務(wù)器群組防護(hù)系統(tǒng)實(shí)時監(jiān)控應(yīng)用服務(wù)的性能和審計(jì)信息;借助單點(diǎn)登錄技術(shù)及強(qiáng)認(rèn)證訪問控制實(shí)現(xiàn)遠(yuǎn)程應(yīng)用的安全訪問和操作�。
數(shù)據(jù)安全:建立備份恢復(fù)機(jī)制�,部署備份服務(wù)器和存儲系統(tǒng)���;建立異地災(zāi)備設(shè)施���;重要數(shù)據(jù)的存儲進(jìn)行加密和離線處理;建立備份恢復(fù)檢驗(yàn)機(jī)制�;通過虛擬化安全桌面技術(shù)和服務(wù)器/存儲虛擬化技術(shù),經(jīng)過網(wǎng)閘的圖像數(shù)據(jù)擺渡��,實(shí)現(xiàn)數(shù)據(jù)的不落地操作����,確保敏感數(shù)據(jù)的不外泄及鏈路傳輸?shù)谋C苄栽瓌t。
安全管理層面
部署安全管理中心SOC進(jìn)行全網(wǎng)管控��;針對相關(guān)人員進(jìn)行信息網(wǎng)絡(luò)安全意識與技能系統(tǒng)化培訓(xùn)與考試���;編寫對應(yīng)安全管理制度�����、安全管理機(jī)構(gòu)設(shè)定��、人員安全管理規(guī)范�、系統(tǒng)建設(shè)管理規(guī)范、系統(tǒng)運(yùn)維管理規(guī)范�����。
客戶價值
將等級保護(hù)工作分成若干個承上啟下的建設(shè)階段和實(shí)施要點(diǎn)�,為等級保護(hù)整改建設(shè)提供了清晰的工作思路���。
充分利用多種安全技術(shù)手段�,提升了業(yè)務(wù)系統(tǒng)邊界保護(hù)能力��。
實(shí)現(xiàn)該單位對敏感個人隱私信息的有效保護(hù)���。
明確人員安全管理職責(zé)���,提高了系統(tǒng)安全運(yùn)維安全管理水平。
