圖1 安全運維管理平臺示意圖
信息安全運維平臺中心是用戶實現(xiàn)對業(yè)務(wù)系統(tǒng)的全局安全事件監(jiān)控�、安全設(shè)備監(jiān)控、系統(tǒng)的狀態(tài)監(jiān)控及安全運作管理的中心樞紐�����。該中心是一種安全監(jiān)控管理的形式�����,它的職能主要為技術(shù)和管理層面的監(jiān)控職能��,并有效地將安全監(jiān)控與分析系統(tǒng)���、態(tài)勢感知系統(tǒng)、流量監(jiān)控與分析系統(tǒng)���、僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)�����、病毒監(jiān)控系統(tǒng)�、網(wǎng)站安全監(jiān)控與評估系統(tǒng)、應(yīng)急工單管理系統(tǒng)和安全策略配置有機的整合在一起��。
在具體操作層面�,我們基于互聯(lián)網(wǎng)電子政務(wù)信息安全實施指南、信息安全等級保護相關(guān)文件為指導(dǎo)�����,結(jié)合電子政務(wù)外網(wǎng)安全現(xiàn)狀及未來發(fā)展趨勢��,建立一套完善的安全防護體系����。通過體系化�����、標準化的信息安全風(fēng)險評估���,積極采取各種安全管理和安全技術(shù)防護措施�����,落實信息安全等級保護相關(guān)要求�����。從技術(shù)與管理上提高電子政務(wù)外網(wǎng)安全防護水平��,防止網(wǎng)絡(luò)癱瘓�、應(yīng)用系統(tǒng)破壞、業(yè)務(wù)數(shù)據(jù)丟失�����、信息泄密��、終端病毒感染�、惡意滲透攻擊等,確保政務(wù)信息的安全可靠�����,同時保障政務(wù)外網(wǎng)的安全穩(wěn)定運行����。
基礎(chǔ)技術(shù)層面,我們主要進行了以下操作:
1) 風(fēng)險評估:如何加強、改進信息系統(tǒng)�����,首先就要充分了解業(yè)務(wù)系統(tǒng)�,因此我們對網(wǎng)絡(luò)結(jié)構(gòu)、相關(guān)業(yè)務(wù)系統(tǒng)進行風(fēng)險評估��,經(jīng)過精細的風(fēng)險評估�,確定重點整改方向,降低風(fēng)險�、承受風(fēng)險、轉(zhuǎn)移風(fēng)險等方面做出政務(wù)選擇;
2) 統(tǒng)一互聯(lián)網(wǎng)出口:建立電子政務(wù)外網(wǎng)統(tǒng)一互聯(lián)網(wǎng)出口防護體系�。以互聯(lián)網(wǎng)骨干運營商流量清洗和過濾技術(shù)為基礎(chǔ),通過基于政務(wù)外網(wǎng)統(tǒng)一互聯(lián)網(wǎng)傳輸層對政府部門互聯(lián)網(wǎng)接入進行整合歸并�,建立單向訪問互聯(lián)網(wǎng)出口和雙向訪問的加密通道���,聯(lián)合相關(guān)安全職能部門對統(tǒng)一出口進行實時監(jiān)控���,對政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離實現(xiàn)綜合安全控制,對各類不良網(wǎng)絡(luò)行為和信息進行監(jiān)控各和過濾;
3) 信任體系建設(shè):建立健全電子政務(wù)外網(wǎng)信任體系����。規(guī)范和加強以身份認證、授權(quán)管理、責(zé)任認定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)�����。全網(wǎng)統(tǒng)籌考慮�����,本著方便使用�、節(jié)約投資、加強管理的原則�,建立以PKI/PMI基礎(chǔ)設(shè)施為核心的全網(wǎng)統(tǒng)一的身份認證系統(tǒng)和權(quán)限管理系統(tǒng),為接入單位提供第三方的信任關(guān)系認證服務(wù);
4) 邊界隔離:對于網(wǎng)絡(luò)區(qū)的辦公域�����、接入域和業(yè)務(wù)域等不同安全等級�����、不同安全保護要求的安全區(qū)域的邊界���,要結(jié)合整體安全防護要求�,高保密�����、高可用性、高完整性的原則����,其具體的安全部署和設(shè)計是通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施保障、邊界安全隔離�、計算環(huán)境保護和安全基礎(chǔ)設(shè)施支撐等全方位的安全技術(shù)保障措施予以實現(xiàn)。特別是邊界安全��,具體的安全保障措施涉及了防火墻�、UTM、入侵檢測��、入侵防御��、網(wǎng)絡(luò)審計����、病毒過濾�����、VPN接入���、抗拒絕服務(wù)系統(tǒng)等多種安全技術(shù)措施;
5) 網(wǎng)絡(luò)傳輸安全防護:部署VPN系統(tǒng)對政務(wù)外網(wǎng)中的重要或敏感數(shù)據(jù)進行加密傳輸�。防止數(shù)據(jù)在傳輸過程中被任意竊取、篡改�����,確保傳輸數(shù)據(jù)的安全性�、保密性和完整性;
6) 安全審計與記錄:對網(wǎng)絡(luò)中終端主機用戶的操作行為(如中斷登錄、外設(shè)使用���、網(wǎng)絡(luò)操作���、進程/程序啟動等)進行實時監(jiān)控與審計;對關(guān)鍵服務(wù)器的應(yīng)用和操作行為進行實時監(jiān)控和審計;對關(guān)鍵數(shù)據(jù)庫的操作行為進行監(jiān)控和審計;對網(wǎng)絡(luò)訪問行為進行監(jiān)控和審計。通過監(jiān)控審計數(shù)據(jù)����,能夠發(fā)現(xiàn)并阻止各類違反安全策略的操作和通信行為,以及來自內(nèi)外的入侵或攻擊行為�,并為事后取證提供數(shù)據(jù)支撐;
7) 網(wǎng)站防護:網(wǎng)站已經(jīng)成為政府部門辦公的基本設(shè)施,同時也是及時與外界溝通的方式之一�����,網(wǎng)站的地位在電子政務(wù)系統(tǒng)中尤為重要�����,因此部署網(wǎng)站防護系統(tǒng),實現(xiàn)了惡意代碼主動防御��、網(wǎng)頁的文件過濾驅(qū)動保護�、防跨站攻擊、防SQL注入功能���,以防止黑客入侵�、網(wǎng)站篡改等攻擊行為��,從而更有效地對網(wǎng)站網(wǎng)頁安全進行全方位的保護;
8) 其他:在加強以上防護的同時��,我們也加強的補丁管理�、應(yīng)急響應(yīng)與備份恢復(fù)建設(shè)等,以完善色技術(shù)細節(jié)作為安全保障體系的基礎(chǔ)支撐��。
n 管理層面
為了有效地把電子政務(wù)外網(wǎng)的安全管理和信息保密管理工作落到實處����,必須設(shè)計、建立����、完善和有效運行的安全管理體系,從組織上�����、措施上�、制度上為電子政務(wù)外網(wǎng)的安全運行提供強有力的保障。
建設(shè)和完善電子政務(wù)外網(wǎng)安全保障體制���,實現(xiàn)對電子政務(wù)外網(wǎng)的集中安全管理��。結(jié)合電子政務(wù)信息安全保障工作的重要性和緊迫性����,建立相關(guān)主管部門安全保障和管理的協(xié)同機制���,建立健全信息安全管理體制��,明確責(zé)任��,防護檢查項結(jié)合���,統(tǒng)一協(xié)調(diào)、統(tǒng)一管理����。
制定電子政務(wù)外網(wǎng)安全管理標準與規(guī)范���,健全應(yīng)急響應(yīng)機制。完善應(yīng)對突發(fā)公共事件的網(wǎng)絡(luò)聯(lián)動機制����,提高重大災(zāi)害的預(yù)警防控能力,提高各級政府應(yīng)急管理�、災(zāi)害處置的水平。
技管并重
管理需要技術(shù)做支撐���,技術(shù)也改變著管理模式���。無論是國家相關(guān)政策標準,還是業(yè)界的最佳實踐活動�����,均表明信息安全體系的建設(shè)應(yīng)當兼顧技術(shù)和管理兩個層面的措施����,形成全面的安全保障體系;通過全面的,可相互關(guān)聯(lián)的技術(shù)、管理和服務(wù)�,真正實現(xiàn)了“技管并重”的防護體系。因此我們依靠電子政務(wù)系統(tǒng)信息安全運維平臺����,及工作制度的落實與監(jiān)督�,提升電子政務(wù)系統(tǒng)的安全保障。
歷屆世博會中���,2010年上海世博會創(chuàng)造了多項第一�,園區(qū)面積最大��,參加國家和組織最多�、參觀人數(shù)最多,自建館數(shù)量最多�����、世界面積最大的生態(tài)綠墻等多項第一��,并且首次同步推出網(wǎng)上世博會�。通過本次對世博會保障與管理單位的服務(wù),再次展示了天融信在大型活動中的綜合信息安全保障能力與實力���,并且沉淀了豐富的實踐經(jīng)驗�����,今后��,天融信將以更高的起點為您服務(wù)�,續(xù)寫安全保障新篇章!
