電子政務(wù)網(wǎng)網(wǎng)絡(luò)安全等級保護建設(shè)方案參考
概述
隨著政務(wù)外網(wǎng)建設(shè)的逐漸完善,承載單位業(yè)務(wù)逐漸增多,作為國家、省、市、縣的政務(wù)基礎(chǔ)網(wǎng)絡(luò),安全問題將是考慮的重點,如何圍繞國家等級保護政策進行各級政務(wù)外網(wǎng)的安全保障體系設(shè)計是各級主管機構(gòu)需要考慮的問題。
目前黑客針對電子政務(wù)網(wǎng)絡(luò)攻擊呈現(xiàn)攻擊主體組織化,目標(biāo)趨利化、政治化,手段智能化、網(wǎng)絡(luò)化的趨勢,以APT攻擊特征為主。APT攻擊是針對特定組織所作的復(fù)雜且多方位的網(wǎng)絡(luò)攻擊,攻擊后留給安全管理人員響應(yīng)的時間越來越短,使政府用戶來不及對入侵做出響應(yīng),目的是獲取政府內(nèi)部敏感信息或者對政務(wù)網(wǎng)絡(luò)造成破壞。
為推動國家電子政務(wù)外網(wǎng)信息安全建設(shè)和安全管理工作,滿足國家電子政務(wù)外網(wǎng)管理中心《關(guān)于加快推進國家電子政務(wù)外網(wǎng)安全等級保護工作的通知》(政務(wù)外網(wǎng)〔2011〕15號)文中提出的相關(guān)要求,需要實現(xiàn)針對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的信息安全監(jiān)控體系的建設(shè),及時發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊,防止有害信息傳播,對網(wǎng)絡(luò)和系統(tǒng)實施保護。基礎(chǔ)信息網(wǎng)絡(luò)的運營單位和各重要信息系統(tǒng)的主管部門或運營單位要根據(jù)實際情況建立和完善信息安全監(jiān)控平臺,提高對網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密的防范能力,防止有害信息傳播。保障電子政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全。
2. 防護方案
本方案描述了國家電子政務(wù)外網(wǎng)為達(dá)到國家等級保護等相關(guān)標(biāo)準(zhǔn)規(guī)定和政務(wù)外網(wǎng)的基本要求的方法和手段。
電子政務(wù)外網(wǎng)安全保障體系建設(shè)應(yīng)首先滿足適度安全原則以及標(biāo)準(zhǔn)化、可控性、完備性和最小影響的原則,為所承載的各級政務(wù)部門信息系統(tǒng)提供網(wǎng)絡(luò)傳輸通道的安全保障。在此基礎(chǔ)上,電子政務(wù)外網(wǎng)信息安全建設(shè)在設(shè)計過程中應(yīng)重點考慮以下幾點:
? 電子政務(wù)外網(wǎng)與所承載的信息系統(tǒng)區(qū)分防護
各接入電子政務(wù)外網(wǎng)的政務(wù)部門負(fù)責(zé)各自局域網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全,并按國家信息系統(tǒng)安全等級保護的法規(guī)和標(biāo)準(zhǔn)要求實施定級與保護,應(yīng)與電子政務(wù)外網(wǎng)的管理、安全防護與運維保障系統(tǒng)分別進行安全防護。
? 安全域劃分保護
電子政務(wù)外網(wǎng)等級保護根據(jù)所承載的業(yè)務(wù)應(yīng)用系統(tǒng)實際的需要,將政務(wù)外網(wǎng)劃分為公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)訪問區(qū)、托管服務(wù)區(qū)、安全接入?yún)^(qū)等不同的安全區(qū)域,實施不同的安全策略進行邊界防護。
? 基礎(chǔ)網(wǎng)絡(luò)邊界防護
邊界安全解決方案應(yīng)該能夠根據(jù)用戶訪問的IP地址、服務(wù)端口、MAC地址、物理網(wǎng)絡(luò)區(qū)域等網(wǎng)絡(luò)要素和用戶身份、應(yīng)用等要素設(shè)計具體的訪問控制策略,對不同安全等級網(wǎng)絡(luò)的互聯(lián)及各用戶局域網(wǎng)的接入,采用有效的邊界訪問控制策略,對非授權(quán)訪問、異常流量、病毒木馬、網(wǎng)絡(luò)攻擊等行為進行控制和監(jiān)測,保證網(wǎng)絡(luò)和政務(wù)業(yè)務(wù)的安全。
? 安全監(jiān)控預(yù)警平臺
電子政務(wù)外網(wǎng)安全監(jiān)控平臺建設(shè)是應(yīng)該作為核心內(nèi)容。在政務(wù)外網(wǎng)互聯(lián)網(wǎng)出入口、重要網(wǎng)絡(luò)節(jié)點嚴(yán)密監(jiān)控、及時預(yù)警大規(guī)模網(wǎng)絡(luò)攻擊和病毒傳播,監(jiān)控保障外網(wǎng)的網(wǎng)絡(luò)安全,協(xié)同各個安全設(shè)備,切實防范來自互聯(lián)網(wǎng)的大規(guī)模病毒攻擊和網(wǎng)絡(luò)攻擊,并具備安全事件的路徑分析和溯源能力,真正實現(xiàn)安全事件的預(yù)警、檢測、響應(yīng)、審計,同時作為可持續(xù)性運營的基礎(chǔ)平臺。
3. 方案價值
? 可知:建立了統(tǒng)一電子政務(wù)外網(wǎng)安全監(jiān)控預(yù)警平臺,對網(wǎng)絡(luò)運行指標(biāo)和信息安全事件集中展現(xiàn)、集中分析,掌握運行狀態(tài)和安全風(fēng)險。
? 可管理:建立健全組織、制度、標(biāo)準(zhǔn)體系,推動信息安全策略的制定、落實和執(zhí)行。
? 可控:集中管理安全設(shè)備,實現(xiàn)電子政務(wù)外網(wǎng)安全策略統(tǒng)一管理,對安全策略發(fā)布、變更和執(zhí)行進行流程化管理,確保安全設(shè)備防護有效。
? 可運維:安全工作的自動調(diào)度、自動執(zhí)行、自動核查、自動報告等機制,實現(xiàn)主動安全工作自動化。
? 可測量:對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)定期的專項合規(guī)符合性檢查,形成符合等級保護要求的安全基線達(dá)標(biāo)體系。
4. 方案優(yōu)勢
? 立體性:通過在電子政務(wù)外網(wǎng)的管理、技術(shù)和運維不同層次上實施不同的安全機制,形成多視角,立體化的信息安全體系,極大提高了檢測的準(zhǔn)確性,避免單一類型安全系統(tǒng)失效導(dǎo)致的檢測盲角。
? 先進性:充分利用先進的高考靠性的安全服務(wù)及安全產(chǎn)品,達(dá)到針對電子政務(wù)外網(wǎng)持續(xù)高效防御的目的。
? 綜合性:通過安全監(jiān)控預(yù)警平臺關(guān)聯(lián)使用,互相彌補各安全措施的功能劣勢,實現(xiàn)統(tǒng)一監(jiān)控、管理、維護,實現(xiàn)統(tǒng)一管理和安全指揮的目的。