随着我国信息化进程的不断发展,信息安全越来越受到重视。特别是2014年2月27日中央网络安全和信息化领导小组的正式成立,标志着网络安全已经上升成为国家战略。等级保护作为国家信息安全的基本制度和核心技术体系,也必然得到进一步加强。
政府机关单位为保证其核心业务应用的持续、稳定运行,实现各核心业务应用之间信息的安全共享,必须按照《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。
各单位进行等保建设之前,需要对自身网络进行了深入的调研和评估,梳理当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行定级备案、差距分析与风险评估、安全规划等一系列准备工作。
安全挑战
根据等级保护建设前期调研、评估过程,依据《GB 17859-1999 信息安全技术 信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,等级保护建设需求如下:
明确安全域、线路和节点冗余设计,实现动态流量优先级控制
各个网络区域边界没有访问控制措施
互联网出口需要重点的安全防护和冗余设计
提高安全维护人员对入侵行为的检测能力
对内部人员访问互联网进行控制和审计
加强网站应用的安全防护措施
建立符合等级保护要求的内部审计机制
构建基于用户身份的网络准入控制体系
从业务角度出发,强化应用安全、保护隐私数据
建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为
解决方案
通过对现状资产梳理,差距分析后,江苏国骏针对等保建设项目能够提供的服务如下图:
安全技术层面
物理安全:机房要满足等保三级基础要求。
网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;互联网出口部署抗拒绝服务攻击设备;同时由于双出口运营商,部署链路负载均衡实现智能选路;所有安全区域边界位置部署下一代防火墙,开启FW、IDS、WAF、AV等模块;互联网出口区域部署上网行为管理,实现应用阻截、流控和网络行为审计功能;内外网之间部署网闸设备实现数据安全交换。
主机安全:服务器及用户终端统一安装网络杀毒软件;服务器及用户终端统一安装终端安全管理系统,进行统一的终端管理和安全加固工作。
应用安全:使用统一认证系统进行身份管理和认证管理;重要业务访问建立安全加密连接,通过部署应用交付设备实现SSL卸载;业务服务器前端部署服务器负载均衡实现通信可用性保障;建立CA系统保证抗抵赖机制;实行代码审计工作防御应用级安全漏洞;远程办公用户可通过连接SSL VPN进行应用的授权登陆和加密访问;部署服务器群组防护系统实时监控应用服务的性能和审计信息;借助单点登录技术及强认证访问控制实现远程应用的安全访问和操作。
数据安全:建立备份恢复机制,部署备份服务器和存储系统;建立异地灾备设施;重要数据的存储进行加密和离线处理;建立备份恢复检验机制;通过虚拟化安全桌面技术和服务器/存储虚拟化技术,经过网闸的图像数据摆渡,实现数据的不落地操作,确保敏感数据的不外泄及链路传输的保密性原则。
安全管理层面
部署安全管理中心SOC进行全网管控;针对相关人员进行信息网络安全意识与技能系统化培训与考试;编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。
客户价值
将等级保护工作分成若干个承上启下的建设阶段和实施要点,为等级保护整改建设提供了清晰的工作思路。
充分利用多种安全技术手段,提升了业务系统边界保护能力。
实现该单位对敏感个人隐私信息的有效保护。
明确人员安全管理职责,提高了系统安全运维安全管理水平。
