政府機構解決方案

業務內網等級保護三級整改建設案例

背景

某政府機關單位為保證其核心業務應用的持續、穩定運行,實現各核心業務應用之間信息的安全共享,該單位按照《信息安全等級保護管理辦法》(公通字[2007]43號)文件精神,結合自身核心業務系統特點開展信息安全等級保護建設整改工作。

在項目推進的前期準備階段,該單位信息中心對自身業務系統的安全狀況,邀請了專業的第三方等級保護咨詢服務商進行了深入的調研和評估,梳理和整理了當前運行的所有業務系統,并依據《信息系統等級保護定級指南》對自身核心業務系統的保護進行了定級備案、差距分析與風險評估、安全規劃等一系列準備工作。上級單位通過了該單位等級保護整改建設方案的評審,該單位等級保護工作正式進入整改建設階段。

安全需求

該單位定級了若干重要信息系統如XXX規劃信息管理系統、XXX監測預警系統、XXX培訓管理系統、XXX辦公自動化系統、XXX收費管理系統等諸多信息系統。
所有信息系統全部是內網互聯,不與互聯網直接連接。內網有辦公人員、運維人員及第三方開發人員。
根據等級保護建設前期調研、評估過程,依據《GB 17859-1999 信息安全技術 信息系統安全保護等級定級指南》和第三方等級保護咨詢機構的建議,最終確定本次等級保護建設需求如下:
1.業務內網現有網絡架構都是單節點部署同時沒有劃分安全域,需要優化設計;
2.各個網絡區域邊界沒有訪問控制措施;
3.提高安全維護人員對入侵行為的檢測能力;
4.建立符合等級保護要求的內部審計機制;
5.構建基于用戶身份的網絡準入控制體系;
6.從業務角度出發,強化應用安全、保護隱私數據;
7.建立并保持一個文件化的信息安全管理體系,明確管理職責、規范操作行為。
方案設計
通過對現狀資產梳理,差距分析后,先將整體網絡架構重新設計,如下圖:



安全技術層面:

物理安全:機房要滿足等保三級基礎要求。

網絡安全:網絡結構進行優化,所有核心節點全冗余部署,同時還要有網絡優先級控制;所有安全區域邊界位置部署NGAF,開啟FW、IDS、WAF、AV模塊;核心區域部署AC,實現網絡行為審計功能。

主機安全:服務器及用戶終端統一安裝網絡殺毒軟件;服務器及用戶終端統一安裝必要的終端安全管理系統;進行人工干預的安全加固工作。
應用安全:使用統一認證系統進行身份管理和認證管理;重要業務訪問建立安全加密連接,通過部署AD實現ssl卸載;業務服務器前端部署AD實現通信可用性保障;建立CA系統保證抗抵賴機制;實行代碼審計工作防御應用級安全漏洞。
數據安全:建立備份恢復機制,部署備份服務器和存儲系統;建立異地災備設施;重要數據的存儲進行加密和離線處理;建立備份恢復檢驗機制;異地存儲的線路可部署WOC進行優化。
安全管理層面:部署安全管理中心SOC進行全網管控;編寫對應安全管理制度、安全管理機構設定、人員安全管理規范、系統建設管理規范、系統運維管理規范。
用戶收益
· 明確了重要系統的業務邊界,優化原有的網絡結構
依據等級保護分域保護思想,為該單位規劃了不同功能的安全區域,為該單位今后業務發展以及后續網絡安全基礎設施的部署和安全策略的實現提供堅實的基礎。
· 充分利用多種安全技術手段,提升了業務系統邊界保護能力
依據相關等級別保護設計標準,通過部署下一代防火墻以及安全審計等多種安全防護產品,增強了不同區域間業務用戶訪問控制能力,提升了該單位邊界抵御內部攻擊行為的能力。
· 從多個層面初步建立了完善的審計機制
安全審計是等級保護中十分強調和關注的安全機制,針對該單位審計能力不足的問題,項目建設中通過分析業務的關鍵路徑和操作行為習慣,設計并部署了網絡審計、數據庫審計等多種探測引擎,針對用戶不同層面,不同視角的業務操作進行審計跟蹤,從而國家等級保護部門和上級主管部門對該單位業務的安全監管要求,以及組織內部責任追溯的業務訴求。
· 實現該單位對敏感個人隱私信息的有效保護
依據等級保護關于身份鑒別、可信數字電文的有關要求,實現對該單位業務系統敏感信息機密性、完整性的全面保護,保障了統計上報數據中關于個人及組織的合法利益。
· 明確人員安全管理職責,提高了系統安全運維安全管理水平
本次建設該單位在等級保護技術體系建設的同時,還配合大量的咨詢、服務的配合與支撐,提高該單位業務系統安全運維的效率和管理水平。




關注我們

2018-2020 德州網安信息技術有限公司 版權所有 備案號:魯ICP備17032094號
福建体彩网 棋牌游戏大厅完整版 彩票跑马手机计划软件 广告商赚钱多吗 能看北京pk10直播 女生做什么副业赚钱 江苏快3计划app免费 pk10杀一码在线计划 香港赛马六肖六码料 冒泡战神ol怎么赚钱 上海时时乐和值走势图 哪些星座女会吃苦赚钱 时时彩定位胆技巧 大赢家比分直播 彩民微信群 梦幻西游2 农村刷墙广告如何赚钱