行业背景
2018年6月,国务院办公厅印发《进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案》,旨在进一步深化“互联网+政务服务”,充分运用信息化手段解决企业和群众反映强烈的办事难、办事慢、办事繁的问题。方案提出,要深化“放管服”改革,进一步推进“互联网+政务服务”,加快构建全国一体化网上政务服务体系,推进跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。
电子政务一体化系统建设项目主要建设内容包括集成市级政务服务管理平台、市级政务服务数据共享交换平台、统一身份认证平台、电子证照库等软件系统;在充分利用现有机房基础设施和软硬件资源的基础上,新购置安装交换机、服务器、磁盘阵列及防火墙、堡垒机和安全态势感知等信息安全保障系统软硬件设备;在现有国家、省电子政务外网网络条件基础上,对省节点到市骨干网及到各部门城域网链路扩容;编制网上政服务服务相关标准规范。到2018年底,市级网上政务服务平台建成,市县级行政审批事项(除涉密事项外)、公共服务事项全面入驻,部门网上服务资源有效整合,实现“全省一张网,最多跑一次”,企业和群众办事实现“一网通办”。部门信息共享、业务协同加快推进,相关网上服务标准规范基本建立,政务服务水平显著提升,最大程度便企利民。
客户需求
在国家网络安全等级保护相关政策和标准的指导下,全面提升“互联网+放管服”政务一体化系统建设项目的安全性,能面对目前和未来一段时期内的安全威胁、实现对全网安全状况的统一管理,全面提升信息系统安全防护水平,并使核心业务“互联网+放管服”政务一体化系统达到国家网络安全等级保护三级要求。
1) 基础架构安全:
政务云分区分域,安全域间策略管控;边界隔离与防护,应用细粒度管控;
互联网+放管服政务接入终端安全统一管控,日志统一管理、运维堡垒机化
2) 法律法规合规
满足《网络安全法》及等保2.0合规要求,在传统数据中心安全建设基础上,完善移动互联网和虚拟化环境安全;
建立基本的网络安全应急事件处理机制和溯源手段;
3) 业务安全增强
数据安全管理及审计,终端、边界、云端自动化联动防护;
网络态势感知及安全管理,未知威胁及网络攻击检测、预警与溯源;
4) 安全运营体系
网络安全常态化运维,告警分析、策略优化、应急处置等;
定期网络安全分析报告、资产管理及内网漏洞扫描,信息中心安全运营管理体系,制度及流程完善。
解决方案
在进行安全体系的方案设计中,根据国家网络安全等级保护相关要求,通过分析“互联网+放管服”政务一体化系统的实际安全需求,结合业务信息的实际特性,并依据及参照相关政策标准,建立了符合待建系统的网络安全保障体系框架,设计安全保障体系方案,综合提升信息系统的安全保障能力和防护水平,确保信息系统的安全稳定运行。
方案设计过程中,将立足于信息化的长期发展规划,从宏观战略层面制定完整统一的安全保障体系规划。并且充分考虑信息化建设每一阶段的切实的安全需求,制定符合信息系统发展需求的阶段性安全规划。同步规划、同步建设、同步运营,保证信息化安全建设的合理性与可持续性。
方案内容
按照国家关于政务数据共享开放的总体要求,电子政务外网(“互联网+放管服”)一体化系统安全建设需求主要包括:物理安全、网络安全、主机安全,应用与数据安全等几个方面的内容。同时,结合XX市政务大数据应用需求情况,建立大数据安全分析平台,增加大数据平台的整体安全性,预测大数据平台入侵事件,分析回溯大数据平台入侵证据链,对大数据平台IT各个层次增加防御设备及监控设备,充分保证大数据平台和数据的安全。
根据国家网络安全等级保护相关要求,通过分析“互联网+放管服”政务一体化系统的实际安全需求,结合业务信息的实际特性, “互联网+放管服”政务一体化系统平台网络安全整体规划如下:
建立覆盖终端、通信网络、区域边界隔离防护、安全计算环境、安全管理和运营的整体安全防护体系。通过VPN、堡垒机、准入、终端安全管理系统等技术保证终端接入的安全性和数据的加密传输,防止被非法窃取,保障身份安全。通过划分多个安全域,并在区域边界进行安全隔离防护,部署抗DDOS系统、防火墙、入侵防御、未知威胁检测、上网行为管理、日志及网络审计等系统保障区域间数据交换和业务访问的安全。
同时,部署态势感知与安全运营平台,利用大数据等创新技术手段,针对各种网络安全数据进行分析处理,为安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。
借鉴国际先进的自适应安全体系架构和模型思路,贯彻“安全运营闭环管理并基于数据分析为核心”的安全运营理念,结合电子政务环境实际情况和需求,构建安全运营体系,形成威胁预测、威胁防护、持续检测、响应处置的闭环安全运营体系,打造四位一体的安全运营机制,确保“互联网+放管服”政务一体化平台安全稳定运行。
方案优势
以等级保护基础,结合当前“互联网+放管服”政务一体化平台的业务需求,采用新的信息安全保护技术,按照体系化的信息安全防护策略进行的整体规划,同时强化风险应对(监测、预警、处置、溯源等)能力,建设一套完整的“事前有防范、事中有应对、事后有追溯”的安全防御体系,并后续进行合理的安全运营管理,实现新形势下安全管理上台阶、安全技术见实效、综合实力有提升的建设成效,形成具有主动防御和协同运营能力的新一代网络安全保障体系,实现“互联网+放管服”政务一体化平台长期安全稳定的运行。
实现了从云端到边界到链路到终端,全方位的保障电子政务外网和“互联网+放管服”相关业务系统的安全性,利用安全大数据,实现了大数据安全,并得以可视化的方式呈现安全态势;
通过专业驻场安全服务,实现工具+人+流程的整合,完成网络安全风险分析、策略加固、安全管理制度和应急响应流程的完善,保障安全的落地。