政府機構解決方案

業務全網等級保護三級整改建設案例

背景

某政府機關單位為保證其核心業務應用的持續、穩定運行,實現各核心業務應用之間信息的安全共享,該單位按照《信息安全等級保護管理辦法》(公通字[2007]43號)文件精神,結合自身核心業務系統特點開展信息安全等級保護建設整改工作。

在項目推進的前期準備階段,該單位信息中心對自身業務系統的安全狀況,邀請了專業的第三方等級保護咨詢服務商進行了深入的調研和評估,梳理和整理了當前運行的所有業務系統,并依據《信息系統等級保護定級指南》對自身核心業務系統的保護進行了定級備案、差距分析與風險評估、安全規劃等一系列準備工作。上級單位通過了該單位等級保護整改建設方案的評審,該單位等級保護工作正式進入整改建設階段。
安全需求
核心信息系統部署于內網,外網區域部署了若干對外發布應用服務和網站,內外網需要物理隔離。
辦公區域分為內網辦公區和外網辦公區,外網辦公區有無線辦公環境、虛擬化辦公環境及傳統PC辦公環境。
根據等級保護建設前期調研、評估過程,依據《GB 17859-1999 信息安全技術 信息系統安全保護等級定級指南》和第三方等級保護咨詢機構的建議,最終確定本次等級保護建設需求如下:
1.明確安全域、線路和節點冗余設計,實現動態流量優先級控制;
2.各個網絡區域邊界沒有訪問控制措施;
3.互聯網出口需要重點的安全防護和冗余設計;
4.提高安全維護人員對入侵行為的檢測能力;
5.對內部人員訪問互聯網進行控制和審計;
6.加強網站應用的安全防護措施;
7.建立符合等級保護要求的內部審計機制;
8.構建基于用戶身份的網絡準入控制體系;
9.從業務角度出發,強化應用安全、保護隱私數據;
10.建立并保持一個文件化的信息安全管理體系,明確管理職責、規范操作行為。
方案設計
通過對現狀資產梳理,差距分析后,先將整體網絡架構重新設計,如下圖:

安全技術層面:

物理安全:機房要滿足等保三級基礎要求。
網絡安全:網絡結構進行優化,所有核心節點全冗余部署,同時還要有網絡優先級控制;互聯網出口部署抗拒絕服務攻擊設備;同時由于雙出口運營商,部署鏈路負載均衡實現智能選路;所有安全區域邊界位置部署NGAF,開啟FW、IDS、WAF、AV模塊;互聯網出口區域部署AC,實現應用阻截、流控和網絡行為審計功能;內外網之間部署網閘設備和VDS;無線環境總出口部署WAC實現無線認證和管控。
主機安全:服務器及用戶終端統一安裝網絡殺毒軟件;服務器及用戶終端統一安裝必要的終端安全管理系統;進行人工干預的安全加固工作;虛擬化辦公環境部署ADesk瘦終端,與VDS實現連接后,通過網閘擺渡圖像數據,實現遠程虛擬化訪問,確保主機自身安全性。
應用安全:使用統一認證系統進行身份管理和認證管理;重要業務訪問建立安全加密連接,通過部署AD實現SSL卸載;業務服務器前端部署服務器負載均衡實現通信可用性保障;建立CA系統保證抗抵賴機制;實行代碼審計工作防御應用級安全漏洞;遠程辦公用戶可通過連接SSL VPN進行應用的授權登陸和加密訪問;部署APM實時監控應用服務的性能和審計信息;通過虛擬化技術訪問遠端應用,借助單點登錄技術及強認證訪問控制實現虛擬化應用的安全訪問和操作。
數據安全:建立備份恢復機制,部署備份服務器和存儲系統;建立異地災備設施;重要數據的存儲進行加密和離線處理;建立備份恢復檢驗機制;異地存儲的線路和總部到分支機構的線路間可部署WOC進行優化;通過虛擬化安全桌面技術和服務器/存儲虛擬化技術,經過網閘的圖像數據擺渡,實現數據的不落地操作,確保敏感數據的不外泄及鏈路傳輸的保密性原則。
安全管理層面:部署安全管理中心SOC進行全網管控;編寫對應安全管理制度、安全管理機構設定、人員安全管理規范、系統建設管理規范、系統運維管理規范。
用戶收益
· 明確了重要系統的業務邊界,優化原有的網絡結構
依據等級保護分域保護思想,為該單位規劃了不同功能的安全區域,為該單位今后業務發展以及后續網絡安全基礎設施的部署和安全策略的實現提供堅實的基礎。
· 充分利用多種安全技術手段,提升了業務系統邊界保護能力
依據相關等級別保護設計標準,通過部署下一代防火墻以及安全審計等多種安全防護產品,增強了不同區域間業務用戶訪問控制能力,提升了該單位邊界抵御內部攻擊行為的能力。
· 從多個層面初步建立了完善的審計機制
安全審計是等級保護中十分強調和關注的安全機制,針對該單位審計能力不足的問題,項目建設中通過分析業務的關鍵路徑和操作行為習慣,設計并部署了網絡審計、數據庫審計等多種探測引擎,針對用戶不同層面,不同視角的業務操作進行審計跟蹤,從而國家等級保護部門和上級主管部門對該單位業務的安全監管要求,以及組織內部責任追溯的業務訴求。
· 實現該單位對敏感個人隱私信息的有效保護
依據等級保護關于身份鑒別、可信數字電文的有關要求,實現對該單位業務系統敏感信息機密性、完整性的全面保護,保障了統計上報數據中關于個人及組織的合法利益。
· 明確人員安全管理職責,提高了系統安全運維安全管理水平
本次建設該單位在等級保護技術體系建設的同時,還配合大量的咨詢、服務的配合與支撐,提高該單位業務系統安全運維的效率和管理水平。


關注我們

2018-2020 德州網安信息技術有限公司 版權所有 備案號:魯ICP備17032094號
福建体彩网