在项目推进的前期准备阶段,该单位信息中心对自身业务系统的安全状况,邀请了专业的第三方等级保护咨询服务商进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审,该单位等级保护工作正式进入整改建设阶段。安全需求核心信息系统部署于内网,外网区域部署了若干对外发布应用服务和网站,内外网需要物理隔离。办公区域分为内网办公区和外网办公区,外网办公区有无线办公环境、虚拟化办公环境及传统PC办公环境。根据等级保护建设前期调研、评估过程,依据《GB 17859-1999 信息安全技术 信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下:1.明确安全域、线路和节点冗余设计,实现动态流量优先级控制;2.各个网络区域边界没有访问控制措施;3.互联网出口需要重点的安全防护和冗余设计;4.提高安全维护人员对入侵行为的检测能力;5.对内部人员访问互联网进行控制和审计;6.加强网站应用的安全防护措施;7.建立符合等级保护要求的内部审计机制;8.构建基于用户身份的网络准入控制体系;9.从业务角度出发,强化应用安全、保护隐私数据;10.建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为。方案设计通过对现状资产梳理,差距分析后,先将整体网络架构重新设计,如下图:
物理安全:机房要满足等保三级基础要求。网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;互联网出口部署抗拒绝服务攻击设备;同时由于双出口运营商,部署链路负载均衡实现智能选路;所有安全区域边界位置部署NGAF,开启FW、IDS、WAF、AV模块;互联网出口区域部署AC,实现应用阻截、流控和网络行为审计功能;内外网之间部署网闸设备和VDS;无线环境总出口部署WAC实现无线认证和管控。主机安全:服务器及用户终端统一安装网络杀毒软件;服务器及用户终端统一安装必要的终端安全管理系统;进行人工干预的安全加固工作;虚拟化办公环境部署ADesk瘦终端,与VDS实现连接后,通过网闸摆渡图像数据,实现远程虚拟化访问,确保主机自身安全性。应用安全:使用统一认证系统进行身份管理和认证管理;重要业务访问建立安全加密连接,通过部署AD实现SSL卸载;业务服务器前端部署服务器负载均衡实现通信可用性保障;建立CA系统保证抗抵赖机制;实行代码审计工作防御应用级安全漏洞;远程办公用户可通过连接SSL VPN进行应用的授权登陆和加密访问;部署APM实时监控应用服务的性能和审计信息;通过虚拟化技术访问远端应用,借助单点登录技术及强认证访问控制实现虚拟化应用的安全访问和操作。数据安全:建立备份恢复机制,部署备份服务器和存储系统;建立异地灾备设施;重要数据的存储进行加密和离线处理;建立备份恢复检验机制;异地存储的线路和总部到分支机构的线路间可部署WOC进行优化;通过虚拟化安全桌面技术和服务器/存储虚拟化技术,经过网闸的图像数据摆渡,实现数据的不落地操作,确保敏感数据的不外泄及链路传输的保密性原则。安全管理层面:部署安全管理中心SOC进行全网管控;编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。用户收益· 明确了重要系统的业务边界,优化原有的网络结构依据等级保护分域保护思想,为该单位规划了不同功能的安全区域,为该单位今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基础。· 充分利用多种安全技术手段,提升了业务系统边界保护能力依据相关等级别保护设计标准,通过部署下一代防火墙以及安全审计等多种安全防护产品,增强了不同区域间业务用户访问控制能力,提升了该单位边界抵御内部攻击行为的能力。· 从多个层面初步建立了完善的审计机制安全审计是等级保护中十分强调和关注的安全机制,针对该单位审计能力不足的问题,项目建设中通过分析业务的关键路径和操作行为习惯,设计并部署了网络审计、数据库审计等多种探测引擎,针对用户不同层面,不同视角的业务操作进行审计跟踪,从而国家等级保护部门和上级主管部门对该单位业务的安全监管要求,以及组织内部责任追溯的业务诉求。· 实现该单位对敏感个人隐私信息的有效保护依据等级保护关于身份鉴别、可信数字电文的有关要求,实现对该单位业务系统敏感信息机密性、完整性的全面保护,保障了统计上报数据中关于个人及组织的合法利益。· 明确人员安全管理职责,提高了系统安全运维安全管理水平 本次建设该单位在等级保护技术体系建设的同时,还配合大量的咨询、服务的配合与支撑,提高该单位业务系统安全运维的效率和管理水平。
