業(yè)務背景

隨著我國信息化進程的不斷發(fā)展，信息安全越來越受到重視。特別是2014年2月27日中央網(wǎng)絡安全和信息化領導小組的正式成立，標志著網(wǎng)絡安全已經(jīng)上升成為國家戰(zhàn)略。等級保護作為國家信息安全的基本制度和核心技術體系，也必然得到進一步加強。

政府機關單位為保證其核心業(yè)務應用的持續(xù)、穩(wěn)定運行，實現(xiàn)各核心業(yè)務應用之間信息的安全共享，必須按照《信息安全等級保護管理辦法》（公通字[2007]43號）文件精神，結合自身核心業(yè)務系統(tǒng)特點開展信息安全等級保護建設整改工作。

各單位進行等保建設之前，需要對自身網(wǎng)絡進行了深入的調(diào)研和評估，梳理當前運行的所有業(yè)務系統(tǒng)，并依據(jù)《信息系統(tǒng)等級保護定級指南》對自身核心業(yè)務系統(tǒng)的保護進行定級備案、差距分析與風險評估、安全規(guī)劃等一系列準備工作。

安全挑戰(zhàn)

根據(jù)等級保護建設前期調(diào)研、評估過程，依據(jù)《GB 17859-1999 信息安全技術 信息系統(tǒng)安全保護等級定級指南》和第三方等級保護咨詢機構的建議，等級保護建設需求如下：

明確安全域、線路和節(jié)點冗余設計，實現(xiàn)動態(tài)流量優(yōu)先級控制

各個網(wǎng)絡區(qū)域邊界沒有訪問控制措施

互聯(lián)網(wǎng)出口需要重點的安全防護和冗余設計

提高安全維護人員對入侵行為的檢測能力

對內(nèi)部人員訪問互聯(lián)網(wǎng)進行控制和審計

加強網(wǎng)站應用的安全防護措施

建立符合等級保護要求的內(nèi)部審計機制

構建基于用戶身份的網(wǎng)絡準入控制體系

從業(yè)務角度出發(fā)，強化應用安全、保護隱私數(shù)據(jù)

建立并保持一個文件化的信息安全管理體系，明確管理職責、規(guī)范操作行為

解決方案

通過對現(xiàn)狀資產(chǎn)梳理，差距分析后，我們針對等保建設項目提供服務

安全技術層面

物理安全：機房要滿足等保三級基礎要求。

網(wǎng)絡安全：網(wǎng)絡結構進行優(yōu)化，所有核心節(jié)點全冗余部署，同時還要有網(wǎng)絡優(yōu)先級控制；互聯(lián)網(wǎng)出口部署抗拒絕服務攻擊設備；同時由于雙出口運營商，部署鏈路負載均衡實現(xiàn)智能選路；所有安全區(qū)域邊界位置部署下一代防火墻，開啟FW、IDS、WAF、AV等模塊；互聯(lián)網(wǎng)出口區(qū)域部署上網(wǎng)行為管理，實現(xiàn)應用阻截、流控和網(wǎng)絡行為審計功能；內(nèi)外網(wǎng)之間部署網(wǎng)閘設備實現(xiàn)數(shù)據(jù)安全交換。

主機安全：服務器及用戶終端統(tǒng)一安裝網(wǎng)絡殺毒軟件；服務器及用戶終端統(tǒng)一安裝終端安全管理系統(tǒng)，進行統(tǒng)一的終端管理和安全加固工作。

應用安全：使用統(tǒng)一認證系統(tǒng)進行身份管理和認證管理；重要業(yè)務訪問建立安全加密連接，通過部署應用交付設備實現(xiàn)SSL卸載；業(yè)務服務器前端部署服務器負載均衡實現(xiàn)通信可用性保障；建立CA系統(tǒng)保證抗抵賴機制；實行代碼審計工作防御應用級安全漏洞；遠程辦公用戶可通過連接SSL VPN進行應用的授權登陸和加密訪問；部署服務器群組防護系統(tǒng)實時監(jiān)控應用服務的性能和審計信息；借助單點登錄技術及強認證訪問控制實現(xiàn)遠程應用的安全訪問和操作。

數(shù)據(jù)安全：建立備份恢復機制，部署備份服務器和存儲系統(tǒng)；建立異地災備設施；重要數(shù)據(jù)的存儲進行加密和離線處理；建立備份恢復檢驗機制；通過虛擬化安全桌面技術和服務器/存儲虛擬化技術，經(jīng)過網(wǎng)閘的圖像數(shù)據(jù)擺渡，實現(xiàn)數(shù)據(jù)的不落地操作，確保敏感數(shù)據(jù)的不外泄及鏈路傳輸?shù)谋Ｃ苄栽瓌t。

安全管理層面

部署安全管理中心JSOC進行全網(wǎng)管控；編寫對應安全管理制度、安全管理機構設定、人員安全管理規(guī)范、系統(tǒng)建設管理規(guī)范、系統(tǒng)運維管理規(guī)范。

客戶價值

將等級保護工作分成若干個承上啟下的建設階段和實施要點，為等級保護整改建設提供了清晰的工作思路。

充分利用多種安全技術手段，提升了業(yè)務系統(tǒng)邊界保護能力。

實現(xiàn)該單位對敏感個人隱私信息的有效保護。

明確人員安全管理職責，提高了系統(tǒng)安全運維安全管理水平。