政府機構等級保護建設解決方案
業務背景
隨著我國信息化進程的不斷發展����,信息安全越來越受到重視�。特別是2014年2月27日中央網絡安全和信息化領導小組的正式成立���,標志著網絡安全已經上升成為國家戰略�。等級保護作為國家信息安全的基本制度和核心技術體系,也必然得到進一步加強。
政府機關單位為保證其核心業務應用的持續�����、穩定運行�����,實現各核心業務應用之間信息的安全共享�,必須按照《信息安全等級保護管理辦法》(公通字[2007]43號)文件精神�,結合自身核心業務系統特點開展信息安全等級保護建設整改工作。
各單位進行等保建設之前�,需要對自身網絡進行了深入的調研和評估�����,梳理當前運行的所有業務系統,并依據《信息系統等級保護定級指南》對自身核心業務系統的保護進行定級備案�、差距分析與風險評估��、安全規劃等一系列準備工作。
安全挑戰
根據等級保護建設前期調研���、評估過程,依據《GB 17859-1999 信息安全技術 信息系統安全保護等級定級指南》和第三方等級保護咨詢機構的建議��,等級保護建設需求如下:
明確安全域�����、線路和節點冗余設計��,實現動態流量優先級控制
各個網絡區域邊界沒有訪問控制措施
互聯網出口需要重點的安全防護和冗余設計
提高安全維護人員對入侵行為的檢測能力
對內部人員訪問互聯網進行控制和審計
加強網站應用的安全防護措施
建立符合等級保護要求的內部審計機制
構建基于用戶身份的網絡準入控制體系
從業務角度出發�,強化應用安全��、保護隱私數據
建立并保持一個文件化的信息安全管理體系,明確管理職責��、規范操作行為
解決方案
通過對現狀資產梳理���,差距分析后��,江蘇國駿針對等保建設項目能夠提供的服務如下圖:
安全技術層面
物理安全:機房要滿足等保三級基礎要求���。
網絡安全:網絡結構進行優化�����,所有核心節點全冗余部署,同時還要有網絡優先級控制���;互聯網出口部署抗拒絕服務攻擊設備;同時由于雙出口運營商�,部署鏈路負載均衡實現智能選路����;所有安全區域邊界位置部署下一代防火墻���,開啟FW����、IDS、WAF����、AV等模塊�����;互聯網出口區域部署上網行為管理�,實現應用阻截、流控和網絡行為審計功能�����;內外網之間部署網閘設備實現數據安全交換�。
主機安全:服務器及用戶終端統一安裝網絡殺毒軟件;服務器及用戶終端統一安裝終端安全管理系統�����,進行統一的終端管理和安全加固工作��。
應用安全:使用統一認證系統進行身份管理和認證管理���;重要業務訪問建立安全加密連接��,通過部署應用交付設備實現SSL卸載;業務服務器前端部署服務器負載均衡實現通信可用性保障;建立CA系統保證抗抵賴機制�����;實行代碼審計工作防御應用級安全漏洞���;遠程辦公用戶可通過連接SSL VPN進行應用的授權登陸和加密訪問�����;部署服務器群組防護系統實時監控應用服務的性能和審計信息��;借助單點登錄技術及強認證訪問控制實現遠程應用的安全訪問和操作。
數據安全:建立備份恢復機制���,部署備份服務器和存儲系統;建立異地災備設施�����;重要數據的存儲進行加密和離線處理�����;建立備份恢復檢驗機制�;通過虛擬化安全桌面技術和服務器/存儲虛擬化技術�����,經過網閘的圖像數據擺渡���,實現數據的不落地操作����,確保敏感數據的不外泄及鏈路傳輸的保密性原則����。
安全管理層面
部署安全管理中心SOC進行全網管控;針對相關人員進行信息網絡安全意識與技能系統化培訓與考試;編寫對應安全管理制度�、安全管理機構設定���、人員安全管理規范��、系統建設管理規范、系統運維管理規范。
客戶價值
將等級保護工作分成若干個承上啟下的建設階段和實施要點,為等級保護整改建設提供了清晰的工作思路�。
充分利用多種安全技術手段��,提升了業務系統邊界保護能力。
實現該單位對敏感個人隱私信息的有效保護。
明確人員安全管理職責���,提高了系統安全運維安全管理水平。
