政府行业信息安全解决方案

1. 建设背景

  当前,政府内网的安全管控工作形势十分严峻,管理者对全网安全状况尚未完全掌握,无法对全网资产、风险做到“心中有数”,信息系统建设中仍面临着众多安全风险,产生了多方面的安全需求。

  安全管理需求。政府内网安全管理需要实现“大安全管理”思路,主要表现在以下三个方面。一是要实现对全网的广域监察。实现安全管理工作与流程的信息化、网络化与级联化,制定全网安全策略,形成安全产品之间的联防联动,实现全面安全督察。二是要实现对政府内部用户网的局域管控。支持接入多种安全系统/设备的信息,对安全事件、运行日志等进行统一管理,统筹规划。三是要实现政府内网信息安全态势的全域展现。能够集中展示全网资产、风险事件和运行状态等,形成政府内网信息安全整体态势。

  安全监管需求。政府内网安全监管主要应对两方面的风险:一类是由于外部人员通过非法接入、攻击渗透等手段造成的信息泄露风险。另一类是由于内部人员非授权操作、越权访问及恶意破坏等引起的信息泄露风险。“堡垒最容易从内部攻破”,要防止有一定权限的内部人员非法操作和非授权访问,并为政府内网提供不间断安全服务。

  安全审计需求。政府内网工作主机上运行的应用众多,许多应用没有严格执行注册手续,造成了应用使用较为杂乱的现象,不便于净化网内应用类型、实施统一管理。同时,政府内网应用系统中采集、处理和存储的敏感数据一旦泄密,将对政府工作带来不可估量的损失。

2. 总体思路

  在体系规划上,强调“整体设计、体系建设”的一体化思想。着眼强化体系设计,致力于成体系地建设信息网络安全管理与内网信息监控系统,通过体系化设计,实现对政府内网全方位的安全保障,提升安全管理支撑和服务能力,为政府内网能够全面、完整、高效的发挥效用提供整体安全解决方案。

  在功能规划上,实践“突出重点、适度防护”的科学化思路。深入分析政府信息系统建设中急需解决的安全问题,重点对理顺流程、发现资产、加强管理和管控信息等实施有效防护,为政府内网提供高强度的安全管控功能体系。

在建设规划上,采用“成建制推进、渐进化完善”的统筹化方法。在政府内网安全管控系统建设中通过成建制地配置设备,形成整体安全保障能力;同时,在建设过程中,通过与政府信息系统不断磨合,边建设边完善,使得政府内网安全管控系统效率更高、效用更强。

3. 建设目标

  政府内网信息安全管控系统建设目标是:通过综合运用全网资产实时监测、安全风险自动发现、入网设备统一管控等管控措施,实现“资产厘得清、风险看得见、资源管得住、流程跑得顺、责任查得出”。

  具体目标包括:是建立全网统一的安全管理技术支撑平台。能够集中发现并展示全网资产,对全网风险采用扁平化监测,具有业务流程处理功能,对全网安全设备实施统一运行监测,并提供安全态势可视化展现。二是建立严格管控的安全监管子系统。采用网络准入控制、边界监测管理、主机监控审计、违规外联监控、敏感信息检测和移动介质管理等安全机制,对政府内网的输入输出信息流进行严格管控。三是建立全时全程的安全审计子系统。针对政府内网业务系统特点,全时全程全方位监测记录用户的应用系统访问行为,为突发安全事件时追踪定责等提供技术支撑,从而形成全网安全震慑。

4. 解决方案

  安全态势集中展示。能够以地图、图表、报表等展现形式,集中展示四类安全视图,包括全网综合态势、资产监测、风险监测和运行监测等信息。

  全网资产实时统计。能够实时监测政府内网硬件、软件、终端设备等全网部署情况,能够实时自动发现终端计算机、服务器、网络设备等,对终端软件安装及变更、硬件信息及变更、IP地址使用情况进行统计监管;支持对各类资产的数量、类型等进行分类统计和管理。

  安全风险自动发现。支持对终端环境风险、终端运行风险和违规外联情况的自动发现;能够根据用户考核要求,结合安全风险情况,对被考核对象进行安全考评,包含注册率、边界备案率、防毒软件覆盖率、补丁打全率等。

  入网设备统一管控。系统具有边界发现与备案、终端接入控制功能等,可以对各类设备接入进行隔离、安全检查,并对终端进行控制管理。

  文件输出严格监管。具有敏感信息识检测和移动介质管理等功能,能够对各类文件输出行为进行审计、记录,严格管控。

应用系统安全审计。能够对重要业务系统的各种访问行为如实记录,形成包括“人员、时间、系统、数据内容、输出方式”等核心数据要素的完整审计日志,为查处不正当应用访问和修改行为提供全面、准确的数据支撑。

5. 预期效能

  政府内网信息安全管控系统解决方案将为政府内网提供一体化的网络边界管控、终端准入控制、应用安全监管和安全管理监控能力,保障政府内网安全、高效、可靠地发挥作用。

  网络边界管控能力。具有边界实时监测与注册管理能力,针对边界安全监管需求,基于网络特征与应用特性的综合分析、跟踪技术建立了异构网络的安全指标体系,实现复杂网络环境下的线路边界定位,做到边界清晰可控。

  终端准入控制能力。建立政府内网统一的终端准入控制机制,能够在线监控全网计算机终端/服务器的入网状态;系统可以通过点对点扫描技术、设备分析技术等智能识别政府内网的设备类型;提供计算机终端/服务器安全基线核查、用户操作行为监控等功能,能够有效防范非法终端和用户违规外联行为。

  应用安全监管能力。能够对政府内网应用系统上线进行申报备案及统一注册管理,并可通过技术手段对政府内网应用系统进行在线监测、智能发现;能够自动检测违规应用软件行为并及时处置;对应用系统维护操作行为进行权限控制,实现统一登录与审计。

  安全管理监控能力。建立全网安全管理与监察管控机制,形成全网统一的安全管理体系;支持省级、地市级到基层政府的两级级联管控的工作模式,实现了安全管理工作的信息化;实施全网资产细粒度管理,实时扫描检查网络安全状况,具有设备自动发现识别、安全工作流程监察、安全事件监测审计等能力,具备实时监测在网安全设备状态等功能。