安全資訊

業(yè)務(wù)背景

隨著(zhù)我國信息化進(jìn)程的不斷發(fā)展，信息安全越來(lái)越受到重視。特別是2014年2月27日中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組的正式成立，標志著(zhù)網(wǎng)絡(luò )安全已經(jīng)上升成為國家戰略。等級保護作為國家信息安全的基本制度和核心技術(shù)體系，也必然得到進(jìn)一步加強。

政府機關(guān)單位為保證其核心業(yè)務(wù)應用的持續、穩定運行，實(shí)現各核心業(yè)務(wù)應用之間信息的安全共享，必須按照《信息安全等級保護管理辦法》（公通字[2007]43號）文件精神，結合自身核心業(yè)務(wù)系統特點(diǎn)開(kāi)展信息安全等級保護建設整改工作。

各單位進(jìn)行等保建設之前，需要對自身網(wǎng)絡(luò )進(jìn)行了深入的調研和評估，梳理當前運行的所有業(yè)務(wù)系統，并依據《信息系統等級保護定級指南》對自身核心業(yè)務(wù)系統的保護進(jìn)行定級備案、差距分析與風(fēng)險評估、安全規劃等一系列準備工作。

安全挑戰

根據等級保護建設前期調研、評估過(guò)程，依據《GB 17859-1999 信息安全技術(shù) 信息系統安全保護等級定級指南》和第三方等級保護咨詢(xún)機構的建議，等級保護建設需求如下：

明確安全域、線(xiàn)路和節點(diǎn)冗余設計，實(shí)現動(dòng)態(tài)流量?jì)?yōu)先級控制

各個(gè)網(wǎng)絡(luò )區域邊界沒(méi)有訪(fǎng)問(wèn)控制措施

互聯(lián)網(wǎng)出口需要重點(diǎn)的安全防護和冗余設計

提高安全維護人員對入侵行為的檢測能力

對內部人員訪(fǎng)問(wèn)互聯(lián)網(wǎng)進(jìn)行控制和審計

加強網(wǎng)站應用的安全防護措施

建立符合等級保護要求的內部審計機制

構建基于用戶(hù)身份的網(wǎng)絡(luò )準入控制體系

從業(yè)務(wù)角度出發(fā)，強化應用安全、保護隱私數據

建立并保持一個(gè)文件化的信息安全管理體系，明確管理職責、規范操作行為

解決方案

通過(guò)對現狀資產(chǎn)梳理，差距分析后，我們針對等保建設項目提供服務(wù)

安全技術(shù)層面

物理安全：機房要滿(mǎn)足等保三級基礎要求。

網(wǎng)絡(luò )安全：網(wǎng)絡(luò )結構進(jìn)行優(yōu)化，所有核心節點(diǎn)全冗余部署，同時(shí)還要有網(wǎng)絡(luò )優(yōu)先級控制；互聯(lián)網(wǎng)出口部署抗拒絕服務(wù)攻擊設備；同時(shí)由于雙出口運營(yíng)商，部署鏈路負載均衡實(shí)現智能選路；所有安全區域邊界位置部署下一代防火墻，開(kāi)啟FW、IDS、WAF、AV等模塊；互聯(lián)網(wǎng)出口區域部署上網(wǎng)行為管理，實(shí)現應用阻截、流控和網(wǎng)絡(luò )行為審計功能；內外網(wǎng)之間部署網(wǎng)閘設備實(shí)現數據安全交換。

主機安全：服務(wù)器及用戶(hù)終端統一安裝網(wǎng)絡(luò )殺毒軟件；服務(wù)器及用戶(hù)終端統一安裝終端安全管理系統，進(jìn)行統一的終端管理和安全加固工作。

應用安全：使用統一認證系統進(jìn)行身份管理和認證管理；重要業(yè)務(wù)訪(fǎng)問(wèn)建立安全加密連接，通過(guò)部署應用交付設備實(shí)現SSL卸載；業(yè)務(wù)服務(wù)器前端部署服務(wù)器負載均衡實(shí)現通信可用性保障；建立CA系統保證抗抵賴(lài)機制；實(shí)行代碼審計工作防御應用級安全漏洞；遠程辦公用戶(hù)可通過(guò)連接SSL VPN進(jìn)行應用的授權登陸和加密訪(fǎng)問(wèn)；部署服務(wù)器群組防護系統實(shí)時(shí)監控應用服務(wù)的性能和審計信息；借助單點(diǎn)登錄技術(shù)及強認證訪(fǎng)問(wèn)控制實(shí)現遠程應用的安全訪(fǎng)問(wèn)和操作。

數據安全：建立備份恢復機制，部署備份服務(wù)器和存儲系統；建立異地災備設施；重要數據的存儲進(jìn)行加密和離線(xiàn)處理；建立備份恢復檢驗機制；通過(guò)虛擬化安全桌面技術(shù)和服務(wù)器/存儲虛擬化技術(shù)，經(jīng)過(guò)網(wǎng)閘的圖像數據擺渡，實(shí)現數據的不落地操作，確保敏感數據的不外泄及鏈路傳輸的保密性原則。

安全管理層面

部署安全管理中心JSOC進(jìn)行全網(wǎng)管控；編寫(xiě)對應安全管理制度、安全管理機構設定、人員安全管理規范、系統建設管理規范、系統運維管理規范。

客戶(hù)價(jià)值

將等級保護工作分成若干個(gè)承上啟下的建設階段和實(shí)施要點(diǎn)，為等級保護整改建設提供了清晰的工作思路。

充分利用多種安全技術(shù)手段，提升了業(yè)務(wù)系統邊界保護能力。

實(shí)現該單位對敏感個(gè)人隱私信息的有效保護。

明確人員安全管理職責，提高了系統安全運維安全管理水平。