首頁 > 客戶案例 > 正文

XX市電子政務(wù)骨干網(wǎng)絡(luò)等保2.0三級方案

閱讀量：

方案建設(shè)背景

XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)是XX市政務(wù)機(jī)關(guān)利用互聯(lián)網(wǎng)通過統(tǒng)一門戶對外統(tǒng)一發(fā)布信息和向社會提供信息服務(wù)、業(yè)務(wù)辦理和管理監(jiān)督等政務(wù)活動的公共信息網(wǎng)絡(luò)。政務(wù)外網(wǎng)承載各級政務(wù)部門業(yè)務(wù)協(xié)同、社會管理、公共服務(wù)、應(yīng)急聯(lián)動等面向社會服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)。

隨著等保2.0的發(fā)布，對XX市電子政務(wù)外網(wǎng)骨干的網(wǎng)絡(luò)安全提出了新的要求。為進(jìn)一步提升自身的安全防護(hù)能力，按照統(tǒng)籌資源，重點保護(hù)，適度安全的原則，結(jié)合各安全域?qū)嶋H情況，進(jìn)行安全防護(hù)等級保護(hù)建設(shè)方案設(shè)計。

現(xiàn)狀分析

1、XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)建設(shè)現(xiàn)狀

?XX市電子政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)前期已開展過網(wǎng)絡(luò)安全建設(shè)，但已建成時間距今周期較長，大部分設(shè)備已投用7至8年以上，設(shè)備已脫保且性能無法滿足目前電子政務(wù)業(yè)務(wù)快速增長的需要。

2、?電子政務(wù)外網(wǎng)安全設(shè)備現(xiàn)狀

目前骨干網(wǎng)絡(luò)區(qū)域部署了防火墻，主要用作網(wǎng)絡(luò)邊界的訪問控制，以及內(nèi)部服務(wù)器的端口映射。防火墻在管理上采取用戶名＋口令的認(rèn)證方式；配置了上網(wǎng)行為管理系統(tǒng)；部署了入侵檢測設(shè)備等。但目前設(shè)備因投用時間長均已脫保，設(shè)備功能及性能均已無法滿足電子政務(wù)外網(wǎng)業(yè)務(wù)快速發(fā)展的需求。

3、電子政務(wù)外網(wǎng)數(shù)據(jù)安全現(xiàn)狀

目前未采用統(tǒng)一集中數(shù)據(jù)備份模式，當(dāng)前業(yè)務(wù)數(shù)據(jù)備份在存儲中，沒有建設(shè)異地災(zāi)備中心。

風(fēng)險分析

1、Web安全面臨的威脅

RSA大會研究顯示，Web應(yīng)用安全已超過所有以前網(wǎng)絡(luò)層安全（如：DDoS），逐漸成為最嚴(yán)重、最廣泛、危害性最大的安全問題。WEB安全的威脅主要來自XSS跨站攻擊、SQL 注入、網(wǎng)絡(luò)釣魚、惡意代碼、RootKit隱身技術(shù)等。

2、?數(shù)據(jù)庫安全風(fēng)險

隨著用戶加強(qiáng)數(shù)據(jù)庫安全建設(shè)，越來越多的數(shù)據(jù)庫安全漏洞也會被數(shù)據(jù)庫安全研究者所發(fā)現(xiàn)，漏洞一但公開，數(shù)據(jù)庫廠商并不能在第一時間對漏洞進(jìn)行修復(fù)并發(fā)布升級補(bǔ)丁，即使廠商發(fā)布了對應(yīng)的漏洞升級補(bǔ)丁用戶并不敢第一時間對數(shù)據(jù)庫進(jìn)行升級，直接導(dǎo)致數(shù)據(jù)庫風(fēng)險性增大。

3、?終端用戶風(fēng)險

由于計算機(jī)用戶數(shù)量龐大，對計算機(jī)相關(guān)的知識水平參差不齊，一旦某些安全意識薄弱的用戶誤操作，也將給信息系統(tǒng)帶來破壞。例如某些用戶在惡意網(wǎng)站上下載或是錯誤使用了某些存儲介質(zhì)，從而導(dǎo)致計算機(jī)感染了病毒或木馬程序，很可能會給整個內(nèi)部網(wǎng)絡(luò)帶來災(zāi)難性的破壞。

4、不同子區(qū)域邊界的安全風(fēng)險

安全計算環(huán)境劃分為XX市電子政務(wù)外網(wǎng)內(nèi)網(wǎng)業(yè)務(wù)區(qū)域、XX市電子政務(wù)外網(wǎng)運(yùn)維管理區(qū)域、辦公區(qū)域等區(qū)域。該政務(wù)外網(wǎng)政府部門業(yè)務(wù)系統(tǒng)，劃分互聯(lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)域，兩個區(qū)域之間進(jìn)行邏輯隔離，倘若沒有有效隔離措施，會造成兩張重要網(wǎng)的信息侵入。

5、云平臺自身安全建設(shè)不完善

?? 數(shù)據(jù)存儲層：缺乏數(shù)據(jù)監(jiān)控審計、數(shù)據(jù)庫運(yùn)維審計；

?? 管理和服務(wù)層：缺乏大數(shù)據(jù)的態(tài)勢感知通報預(yù)警平臺，實時監(jiān)控云平臺安全態(tài)勢；

?? 業(yè)務(wù)應(yīng)用層：缺乏Web漏洞掃描系統(tǒng)、數(shù)據(jù)庫漏洞掃描系統(tǒng)、系用漏洞掃描系統(tǒng)、基線核查等，針對云計算平臺自身基于B/S架構(gòu)的應(yīng)用系統(tǒng)進(jìn)行安全風(fēng)險的定時發(fā)現(xiàn)；缺乏網(wǎng)頁防篡改，針對云計算平臺自身基于B/S架構(gòu)的互聯(lián)網(wǎng)接口應(yīng)用系統(tǒng)進(jìn)行防護(hù)。

?? 云安全訪問控制層：缺乏傳統(tǒng)網(wǎng)絡(luò)防火墻、病毒過濾、VPN等功能的下一代防火墻（NGFW），作為云計算中心與外部網(wǎng)絡(luò)的第一層邊界隔離手段；缺乏流量清洗設(shè)備與DNS/全局負(fù)載均衡。

項目建設(shè)方案?

在XX市電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)邊界部署鏈路負(fù)載均衡設(shè)備，實現(xiàn)對電信和移動鏈路的負(fù)載，安全邊界通過冗余部署下一代防火墻（含VPN模塊）、入侵防御、上網(wǎng)行為管理等設(shè)備進(jìn)行安全防護(hù)和管控。?

本次等保三級整改按照等保2.0標(biāo)準(zhǔn)新建安全運(yùn)維中心，安全運(yùn)維中心中主要部署了天池安全管理平臺、網(wǎng)絡(luò)安全態(tài)勢感知平臺以及數(shù)據(jù)一體化備份平臺。天池等保一體機(jī)平臺由一臺物理設(shè)備搭建（可按需橫向擴(kuò)展），按需激活漏洞掃描、WEB防火墻、虛擬防火墻、堡壘機(jī)、日志綜合審計、數(shù)據(jù)庫審計、網(wǎng)頁防篡改、主機(jī)安全管理等多項安全防護(hù)技術(shù)，實現(xiàn)電子政務(wù)外網(wǎng)內(nèi)部橫向的安全防護(hù)和管控。通過大數(shù)據(jù)智能分析平臺，針對全網(wǎng)數(shù)據(jù)進(jìn)行安全分析，及時發(fā)現(xiàn)安全風(fēng)險，同時為頂層安全決策提供直觀的可視化視圖及有效的數(shù)據(jù)支撐。通過建設(shè)數(shù)據(jù)一體化備份平臺實現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一集中備份，滿足等級保護(hù)的相關(guān)要求。

總體建設(shè)拓?fù)鋱D

方案競爭優(yōu)勢分析

滿足等級保護(hù)技術(shù)規(guī)范要求

本次項目建設(shè)方案既可以滿足等級保護(hù)的相關(guān)要求，又能夠全方面為XX市電子政務(wù)外網(wǎng)信息系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護(hù)能力。

構(gòu)建三維一體全方位數(shù)據(jù)防護(hù)

從數(shù)據(jù)庫服務(wù)器的底層系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫三個層面分別進(jìn)行三位一體的立體防護(hù)。從根本上保證數(shù)據(jù)庫服務(wù)器的底層操作系統(tǒng)免受攻擊、網(wǎng)絡(luò)層面實現(xiàn)有效的網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)庫層面實現(xiàn)合規(guī)訪問控制和攻擊防護(hù)，徹底解決數(shù)據(jù)庫的安全防護(hù)難題。

AI技術(shù)：安全威脅分析發(fā)現(xiàn)

利用AI技術(shù)實現(xiàn)用戶行為分析（UEBA），通過機(jī)器學(xué)習(xí)算法快速訓(xùn)練客戶現(xiàn)場安全場景，對異常行為進(jìn)行定位跟蹤，風(fēng)險閾值實現(xiàn)智能動態(tài)調(diào)整，實現(xiàn)智能安全判定，對殘余風(fēng)險、隱蔽威脅、未知攻擊和0day攻擊等未知風(fēng)險進(jìn)行檢測。

提升體系化縱深聯(lián)動防御

通過大數(shù)據(jù)分析技術(shù)發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊，預(yù)測即將發(fā)生的安全事件并與安全防護(hù)設(shè)備形成聯(lián)動能力，自動安全調(diào)整訪問控制策略下發(fā)至防御設(shè)備，第一時間阻斷(通過聯(lián)動防御設(shè)備進(jìn)行安全阻斷，如WAF、IPS、防火墻等）攻擊者的連接，形成安全閉環(huán)，提升阿拉爾市電子政務(wù)外網(wǎng)信息安全風(fēng)險管理和應(yīng)對能力。

實現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)可視化

以綜合角度出發(fā)，匯集重要信息系統(tǒng)的資產(chǎn)、威脅風(fēng)險、網(wǎng)絡(luò)攻擊、安全事件、預(yù)警處置總體分布情況，通過柱形圖、餅圖、趨勢曲線圖以及不斷變化的趨勢數(shù)值進(jìn)行綜合展現(xiàn)。從多個維度，提供大數(shù)據(jù)分析結(jié)果，為研判、決策及重要時期的網(wǎng)絡(luò)安全保障工作提供有效支撐。

保障云上業(yè)務(wù)網(wǎng)絡(luò)安全

通過對云平臺邊界安全建設(shè)和云內(nèi)安全建設(shè)，打造網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)多層安全保障的云基礎(chǔ)環(huán)境，并從外部攻擊防御到內(nèi)部安全管控兩方面提升云安全水平，提供各項云內(nèi)環(huán)境安全防護(hù)手段，不同信息系統(tǒng)可靈活選擇與搭配，最終建設(shè)形成自有的云內(nèi)信息系統(tǒng)安全防護(hù)策略。

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護(hù)檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點安全>

>

商用密碼>