电子政务外网整合改造项目建设方案安全部分.docx
- 文档编号:24277372
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:11
- 大小:512.66KB
电子政务外网整合改造项目建设方案安全部分.docx
《电子政务外网整合改造项目建设方案安全部分.docx》由会员分享,可在线阅读,更多相关《电子政务外网整合改造项目建设方案安全部分.docx(11页珍藏版)》请在冰豆网上搜索。
电子政务外网整合改造项目建设方案安全部分
电子政务外网升级改造
网络安全技术方案
深信服科技股份有限公司
2020年10月
1.概述
1.1背景
目前,我国电子政务外网省市县三级纵向覆盖率已基本达到90%,各级政务外网也已经建设了边界防火墙等网络安全设备。
但由于政务需求不断变化,安全形势日趋严峻,监管要求更加严格,电子政务外网已有的网络安全防护体系急需在合规的基础上进行进一步改造升级。
自2011年关于电子政务外网开展等级保护工作的通知下发开始,至2017年6月1日《网络安全法》正式施行,对属于我国关键基础设施的电子政务外网的安全监管要求越来越高,信息安全工作不仅仅是工作,更是法律责任。
随着国家各种相关法律法规对电子政务外网信息安全的规范逐步加强,电子政务外网安全管理方面的重要性正在变得越来越高,但同时由于缺乏灵活、自动化的安全手段导致的被动境地也正在变得越来越明显。
2020年3月18号,河北省人民政府办公厅下发《河北省人民政府办公厅关于加强政务外网网络安全防控的通知》;4月22号,河北省人民政府办公厅下发《关于优化各市县电子政务外网网络结构的通知》;结合上述发文,沧州市人民政府办公室近期下发《沧州市县级电子政务外网升级改造技术指南》,其核心要求如下:
1、实现县级部门单位联网全覆盖;
2、实现县级统一互联网出口;
3、具备整合非涉密垂建业务专网的承载能力;
4、强化网络安全防护;
5、规范跨网访问控制。
综上,本方案基于国家、河北省以及沧州市相关电子政务网络建设标准规范,结合信息安全建设的方法论,适应新形势的安全建设思路,基于电子政务外网现状梳理,对电子政务外网升级改造建设进行阐述。
1.2建设内容
依照“提升电子政务外网运行效率和服务能力”与“推进网络安全等级保护建设,保障政务信息系统安全”的总体要求,结合实际需求,充分利用新技术,把握产品更新换代周期,对电子政务网络进行升级改造,主要建设包括政务网络升级改造、网络边界安全防护建设、内部安全防护能力建设、安全运维管理能力建设、符合等保2.0的三级等保建设四项内容。
1、政务网络升级改造。
充分利用电子政务外网已有资源,通过对外网结构进行优化和改造,构建结构合理、技术先进、稳定可靠的电子政务外网,提高网络服务质量和管理水平,为各类信息系统提供可靠的网络支撑。
2、根据河北省委办公厅省政府办公厅印发的《关于推进互联网协议第六版(IPv6)规模部署行动计划的实施意见》确定的实施步骤,本次升级改造后网络基础设施支持IPv6技术,初步具备非涉密垂建业务专网向电子政务外网迁移后的承载能力。
3、网络边界安全防护建设。
构建网络边界安全防护体系,保障电子政务外网入口处网络安全,构筑整网第一道安全防线。
4、内部安全防护能力建设。
以保障网络内部与信息系统安全为目的,利用先进的技术设备,持续进行全方位监测,及时发现未知威胁,防止可疑入侵,降低网络安全风险。
5、安全运维管理能力建设。
以提升全网安全运维管理效率为目标,构建电子政务外网安全运维管理区域,提供对网络和信息系统访问请求进行收集和分析,提供全网安全的统一监控、能对用户上网行为进行管理,提升日志审计与溯源能力等等。
6、等保2.0规范后的三级等保建设。
根据国家安全法的规定,机房及网络建设需要按照等保2.0的规范执行,政务外网网络及机房需要符合等保三级的要求,以达到安全合规的标准。
2.建设思路
2.1建设目标
项目本期信息安全的建设,应当达到以下目标:
1.完成电子政务外网信息安全改造,建设完备的电子政务外网安全技术和管理体系,完善网络安全等级保护建设。
对现有的网络边界安全设备进行升级,并对设备性能进行合理预留,能够满足未来3-5年的信息化政务发展需求。
同时建设统一的电子政务外网互联网出口,承载政务外网用户稳定、安全、高效访问外部互联网的需求。
建立完善统一互联网出口的“积极防御”边界安全体系,并快速构建全网可视可控技术能力
2.采用先进技术和理念,构建电子政务外网主动防护能力。
在全网实现双向流量检测和主动防御能力,加强对黑客攻击、病毒木马、应用层攻击的防护能力。
构建电子政务外网全网态势感知能力,进一步提高电子政务网络突发安全事件监测预警能力和潜伏威胁发现能力,实现电子政务外网安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理,并与沧州市电子政务外网安全态势平台对接。
能够抵御针对业务和数据的各种威胁和入侵,保证业务的正常运行和不中断,维护信息的保密性和完整性。
3.能够提供严格的用户网络行为控制能力和高效的审核查证手段,实现更加安全的上网行为管理和审计机制,做到所有网上行为的准确追溯,防止内部人员违规操作。
实现全网上网行为的大数据搜集和分析,从中分析、监管潜在的关键信息,如潜在违规操作、敏感信息泄露、工作效率统计等。
2.2方案设计思路
电子政务外网安全加固的主要建设思路是:
在保证出口稳定、高性能的基础上,全面提高互联网出口的整体安全防护能力,重点加强项目方案可实施性,易运维管理性,提升方案实施和日常运维效率。
相关思路如下:
第一步:
构建稳定、高性能的政务外网互联网出口及核心网络:
依托高稳定性、高吞吐网络和安全设备,充分考虑带宽、性能冗余以及未来业务扩展需求,构建高可用、高性能的政务外网统一互联网出口以及核心网络。
第二步:
构建安全的政务网络边界。
通过统一互联网出口处的外界隔离防护、入侵检测,减少威胁的攻击面以及漏洞暴露时间;通过划分网络安全域,加强安全域边界的防护,隔离受感染的区域,降低入侵威胁造成的损失;通过终端的网络准入机制进行策略遵从和强制策略执行,实施网络接入与终端安全管理等等。
第三步:
加强对内网风险识别与防护。
边界防御一旦被突破,需要加强内网的安全风险监测与防护。
主要手段边界安全设备对内网流量和终端行为的资产、行为可视化,持续检测,以及发现威胁后的隔离、联动查杀等。
包括终端防病毒、僵尸主机检测、信息资产防泄密等。
不同于以往堆叠产品的安全规划,以体系化规划,分步建设为目标,建设安全体系,形成安全制度,达到合规、可视、简化运维的效果。
从时间维度,考虑安全的“事前、事中、事后”,从空间维度,考虑“外部看外部、外部看内部、内部看内部”,形成立体化的保护体系。
最后,将需要人工的运维成本降至最低,以人机共智的方式提供运维接口,以风险的维度看安全,完成安全建设。
3.总体设计
3.1建设原则
方案设计遵循如下原则:
稳定性:
网络结构设计,必须具备电信级可靠性,能够保持长时间的稳定运行。
在突发故障的情况下,必须能够提供快速业务恢复机制。
安全性:
整个系统设计中应具有良好的安全性规划,确保网络在发生外部或者内部的安全威胁如病毒、网络攻击时具有优异的自动防范和处理威胁的能力,保证业务系统的正常运行。
先进性:
整体网络系统设计从架构、具体产品选型和解决方案组合方面,应采用业界领先的技术和成熟产品,保证此次网络系统的设计当前领先,并且能够随着未来几年业务量的增加具有良好的扩展性。
开放和标准性:
整体系统设计中所涉及的产品应采用标准化的协议和开放的技术架构,确保整个系统的兼容性,同时方便后期的扩容。
可扩展性:
整体网络系统选型的产品,必须在未来几年保持技术领先,并对未来可能出现的业务有良好的支撑。
同时,本次选型的产品,必须在未来十年能够提供扩展模块,以保持平滑的升级,保护原有投资。
合理性:
整个系统设计应本着经济性和实用性的原则,不仅能够满足当前业务的需求,而且在系统容量和功能方面能够随着信息化的不断发展而进行相应的扩展。
易管理和易维护性:
整个系统应具有良好的管理和维护特性,能够使网络信息中心维护人员经过厂商的培训之后,掌握整个网络系统的运行情况包括流量、用户行为、设备状态、安全风险等,在故障或者风险发生前采取有效的防范和规避措施。
3.2参考政务文献
[1]《关于印发促进大数据发展行动纲要的通知》(国发[2015]50号)
[2]《国家信息化发展纲要》(中办发[2016]48号)
[3]《“十三五”国家信息化规划》(国发[2016]73号)
[4]《关于积极推进“互联网+”行动的指导意见》(国发[2016]40号)
[5]《政务信息资源共享管理暂行办法》(国发[2016]51号)
[6]《推进“互联网+政务服务”开展信息惠民试点实施方案》(国办发〔2016〕23号)
[7]《推进“互联网+政务服务”工作的指导意见》(国发〔2016〕55号)
[8]《“互联网+政务服务”技术体系建设指南》(国办发[2016]108号)
[9]《政务信息资源目录编制指南(试行)》的通知发改高技〔2017〕1272号
[10]《加快推进落实政务信息系统整合共享实施方案工作方案》的通知发改高技[2017]1529号
[11]《政务信息系统整合共享实施方案》(国办发[2017]39号)
[12]GB/T22239-2019《信息安全技术信息系统安全等级保护基本要求》
[13]GB/T25070-2019《信息安全技术信息系统安全等级保护设计要求》
[14]《信息安全技术电子政务移动办公系统安全技术规范》(报批稿)
[15]GW0103-2004《国家电子政务外网安全等级保护基本要求》
[16]GW0104-2014《国家电子政务外网安全等级保护实施指南》
[17]GW0202-2014《国家电子政务外网安全接入平台技术规范》
[18]GW0204-2014《国家电子政务外网安全管理系统技术要求与接口规范》
[19]《河北省人民政府办公厅关于加强政务外网网络安全防控的通知》
[20]《河北省人民政府办公厅关于优化各市县电子政务外网网络结构的通知》
[21]《沧州市县级电子政务外网升级改造技术指南》
3.3电子政务外网安全整体方案设计
“核心+接入”二层网络架构模式下政务外网安全建设拓扑图
图3-1电子政务外网升级拓扑图(仅参考安全设备位置)
整网架构分为核心层和接入层,接入层分为市电子政务外网上联区、统一互联网接入区、数据中心接入区、县直部门接入区(一类/二类节点)和安全管理区;各区网络安全设计及详细建设说明如下:
(1)统一互联网接入区
双机部署链路负载设备,提供链路负载均衡等功能;
双机部署防火墙,在网络出口处提供在互联网出口边界进行隔离和访问控制,行为审计,从2-7层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击;
双机部署防病毒网关,防范恶意软件、病毒、木马、蠕虫、后门、勒索软件、间谍软件、灰色软件等;
双机部署上网行为管理设备对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验;
部署一台威胁流量监测设备对恶意流量、网络攻击和新型网络威胁等进行实时监测、告警和分析溯源,支持统一接入市级安全态势感知平台。
(2)核心交换区
双机部署网络入侵防御,检测并阻断木马远控、勒索软件、恶意链接、僵尸网络、异常流量蠕虫、挖矿病毒等网络安全威胁;
部署一套终端准入认证与网管系统,实现电子政务外网用户须进行统一认证。
所有终端均需安装准入控制终端软件,通过认证、授权、终端安全合规检查后,才可以访问网络。
支持电子政务外网、互联网分时分域认证功能,用户终端同一时间只能访问一张网络。
(3)县直一类部门局域网接入区(29个)
双机部署防火墙,在边界提供需在互联网出口边界进行隔离和访问控制,从2-7层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击。
终端部署准入认证系统插件,实现电子政务外网用户须进行统一认证。
所有终端均需安装准入控制终端软件,通过认证、授权、终端安全合规检查后,才可以访问网络。
支持电子政务外网、互联网分时分域认证功能,用户终端同一时间只能访问一张网络。
(4)县直二类部门局域网接入区及乡镇局域网接入区(38个)
单机部署防火墙对边界进行隔离和访问控制,对安全事件进行监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击。
终端部署准入认证系统插件,实现电子政务外网用户须进行统一认证。
终端均需安装准入控制终端软件,通过认证、授权、终端安全合规检查后,才可以访问网络。
支持电子政务外网、互联网分时分域认证功能,用户终端同一时间只能访问一张网络。
(5)大数据中心
双机部署防火墙,实现数据中心边界安全防护和访问控制。
(6)安全管理区
单机部署防火墙,实现安全管理区边界安全防护和访问控制。
单机部署堡垒机,管理人员和运维人员使用堡垒机实现运维操作审计。
审计管理员能够对管理人员和运维人员的操作进行审计。
加强对相关运维事项的责任认定,运维工作质量、数量的评估与考核,满足事前预防(通过统一认证和授权运维人员只能对其有权限的设备进行运维操作)、运维事件的事中控制、操作内容事后审计的要求。
单机部署日志审计,对分散在各个设备上的审计数据进行收集汇总和集中分析,并安排专人定期对系统日志进行集中分析,设备日志留存时间至少要6个月以上。
单机部署漏洞扫描,实时汇集漏洞扫描信息,感知漏洞分布及危害情况;
4.方案优势
电子政务外网安全建设,主要通过当前提供边界防护,内网威胁持续监测,全局可视,风险管理以及人工智能、大数据技术,借助统一的安全管理与可视化中心,提供管理和决策支撑。
相关优势如下图所示:
图4-1电子政务外网方案优势
安全可视
加强政务外网资产、风险、脆弱性等检测等手段,实现全网安全风险的可视可控。
图4全网安全可视
联动防御
●威胁情报联动
基于云端域名库、IP地址库等情报,实现防御、检测及响应效率的极大提升
●防火墙内部联动
防御模块及检测响应模块联动,如杀毒模块与基础防火墙模块联动
融合架构
设备能力层面融合防御、检测、响应技术,一台设备能解决的,不用多台设备解决,同时降低安全架构的复杂度。
●建设架构的简化(设备减法,安全建设支出更合理)
图5安全设备精简
●安全能力的融合(能力加法,安全建设更有效)
图6安全能力融合
设备先进
所选用设备均为满足国家及省市政府发文对政务外网改造要求使用设备,参数选择均采用优于要求标准的设备。
附件1《市直部门节点分类表》
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子政务 整合 改造 项目 建设 方案 安全 部分