|
《论语·卫灵公》:工欲善其事,必先利其器。对于政府信息化工作者,打造固若金汤的电子政务系统是首当其冲的任务,天融信则全力配合上海市政府。在本次服务,业务目标清晰,我们所需要的就是一种知晓全局的安全保障,以业务为核心的安全保障,并且这种安全保障需要全局观的安全策略,一系列可以实实在在的落地安全策略,从而形成有一个电子政务安全保障体系。如何知晓全局、如何使这些网络安全设施能最大限度地发挥其安全保障功能,就必须借助一个良好的安全运维管理平台,知晓全局,分析业务流程,对业务系统的运行进行有效的安全监控、安全审计、健康性评估等方面的管控,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告、健康性报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络、系统和组织中的问题与安全隐患。只有这样,信息网络和业务应用系统才能真正地实现安全运行,从而形成确实有效的电子政务安全保障体系和管理机制。如下图所示:
信息安全运维平台中心是用户实现对业务系统的全局安全事件监控、安全设备监控、系统的状态监控及安全运作管理的中心枢纽。该中心是一种安全监控管理的形式,它的职能主要为技术和管理层面的监控职能,并有效地将安全监控与分析系统、态势感知系统、流量监控与分析系统、僵尸网络监控系统、病毒监控系统、网站安全监控与评估系统、应急工单管理系统和安全策略配置有机的整合在一起。
在具体操作层面,我们基于互联网电子政务信息安全实施指南、信息安全等级保护相关文件为指导,结合电子政务外网安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求。从技术与管理上提高电子政务外网安全防护水平,防止网络瘫痪、应用系统破坏、业务数据丢失、信息泄密、终端病毒感染、恶意渗透攻击等,确保政务信息的安全可靠,同时保障政务外网的安全稳定运行。
基础技术层面,我们主要进行了以下操作:
1)风险评估:如何加强、改进信息系统,首先就要充分了解业务系统,因此我们对网络结构、相关业务系统进行风险评估,经过精细的风险评估,确定重点整改方向,降低风险、承受风险、转移风险等方面做出政务选择;
2)统一互联网出口:建立电子政务外网统一互联网出口防护体系。以互联网骨干运营商流量清洗和过滤技术为基础,通过基于政务外网统一互联网传输层对政府部门互联网接入进行整合归并,建立单向访问互联网出口和双向访问的加密通道,联合相关安全职能部门对统一出口进行实时监控,对政务外网与互联网逻辑隔离实现综合安全控制,对各类不良网络行为和信息进行监控各和过滤;
3)信任体系建设:建立健全电子政务外网信任体系。规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。全网统筹考虑,本着方便使用、节约投资、加强管理的原则,建立以PKI/PMI基础设施为核心的全网统一的身份认证系统和权限管理系统,为接入单位提供第三方的信任关系认证服务;
4)边界隔离:对于网络区的办公域、接入域和业务域等不同安全等级、不同安全保护要求的安全区域的边界,要结合整体安全防护要求,高保密、高可用性、高完整性的原则,其具体的安全部署和设计是通过网络基础设施保障、边界安全隔离、计算环境保护和安全基础设施支撑等全方位的安全技术保障措施予以实现。特别是边界安全,具体的安全保障措施涉及了防火墙、UTM、入侵检测、入侵防御、网络审计、病毒过滤、VPN接入、抗拒绝服务系统等多种安全技术措施;
5)网络传输安全防护:部署VPN系统对政务外网中的重要或敏感数据进行加密传输。防止数据在传输过程中被任意窃取、篡改,确保传输数据的安全性、保密性和完整性;
(责编:邱文峰) 声明:凡注明CIO时代网(www.ciotimes.com)原创之作品(文字、图片、图表),转载请务必注明出处,违者本网将依法追究责任。
| 
