电子政务外网解决方案
项目背景
某区信息化主管单位为保证其管理的电子政务外网横向接入网的持续稳定运行,为各部门业务应用提供安全的网络环境,根据《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合区电子政务外网应用特点,按照信息安全等级保护要求进行电子政务外网某区横向接入网络建设。
安全需求
根据《GBT 22240-2008 信息安全技术 信息系统安全保护等级定级指南》的要求,安全建设需求如下:
1.明确安全域、线路和节点冗余建设,实现动态流量优先级控制;
2.各个网络区域边界建立访问控制、安全防护措施;
3.互联网出口在市级,安全防护由市级负责建设;
4.对网络入侵行为建立检测和防护措施;
5.对各部门工作人员访问应用业务、互联互通进行控制和审计;
6.对业务应用加强安全防护措施;
7.建立符合等级保护要求的内部审计机制;
8.构建基于用户身份的网络准入控制体系;
9.从业务角度出发,强化应用安全、保护重要业务数据。
方案设计
按照《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》,结合区级应用情况,电子政务外网某区横向接入网络拓扑如下图:
(1)安全物理环境方面
● 机房满足等保三级基础要求。
(2)安全通信网络方面
● 网络进行分区分域管控,所有核心节点全冗余部署,同时建立网络优先级控制;
● 核心链路采用双链路或多链路连接;
● 重要业务访问建立安全加密连接,通过多网隔离系统客户或VPN实现通信加密传输;
● 使用多网隔离系统进行身份管理和认证管理;
● 所有安全区域边界位置部署超融合安全网关,开启FW、IPS、WAF、AV、VPN模块等功能模块;今后随着业务的发展,可以自定义添加其他安全防护功能模块。
● 互联网接入区与公用网络区之间部署网闸设备,
● 公用网络区与专用网络区之间部署网闸设备;
● 服务器及用户终端统一安装网络杀毒软件;
● 服务器及用户终端统一安装必要的终端安全管理系统;
● 通过人工干预对服务器及用户终端进行安全加固工作;
● 建立备份恢复机制,部署备份一体机;
● 重要数据的存储进行加密和离线处理;
● 建立备份恢复检验机制;
● 部署数据库审计系统监听用户与数据库进行通讯的所有操作,及时掌控业务运行情况,有效防护数据安全。
● 加强安全管理,指定系统管理员、审计管理员、安全管理员,并通过安全运维网关实现相关人员安全权限的划分;
● 通过日志统一存储、关联分析,由安全设备集中管理系统统一调度安全设备或安全防护功能模块进行全网一体化协同安全防护;
● 建设态势感知平台,在骨干节点部署威胁检测探针,利用大数据分析能力,实现全网安全态势分析与展示。
用户收益
依据等级保护分区分域保护思想,为某区规划了不同功能的安全区域,为今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基础。
(2)充分利用多种安全技术手段,提升了业务系统的边界保护能力
依据相关等级别保护设计标准,通过部署下超融合安全网关以及安全审计等多种安全防护产品,增强了不同区域间业务用户访问控制能力,提升了各区边界抵御内外部攻击行为的能力。
安全审计是等级保护中十分强调和关注的安全机制,通过部署了网络审计、数据库审计等多种安全设备或探测引擎,针对用户不同层面,不同视角的业务操作进行审计跟踪,从而某区业务的安全监管要求,以及责任追溯的业务诉求。
(4)建立态势感知平台,增强全网安全态势感知感知能力
依照等级保护技术体系建设的要求,建设态势感知平台,实现未知威胁监测以及全网安全态势展示,提高全网安全防护水平。