- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
一、背景
2016年12月,國務院印發〔2016〕73號《“十三五”國家信息化規劃》,明確提出:要強化網絡安全頂層設計,構建關鍵信息基礎設施安全保障體係。落實國家信息安全等級保護製度,全力保障國家關鍵信息基礎設施安全。加強金融、能源、水利、電力、通信、交通、地理信息等領域關鍵信息基礎設施核心技術裝備威脅感知和持續防禦能力建設,提升網絡安全防禦能力和威懾能力。全天候全方位感知網絡安全態勢,加強網絡安全態勢感知、監測預警和應急處置能力建設。建立統一高效的網絡安全風險報告機製、情報共享機製、研判處置機製,準確把握網絡安全風險發生的規律、動向、趨勢。建立政府和企業網絡安全信息共享機製,加強網絡安全大數據挖掘分析,更好地感知網絡安全態勢,做好風險防範工作。
2017年9月,安徽省合肥市人民政府遵從中央要求,印發了《合肥市2017年電子政務重點工作任務》,其中重點要求關注“市縣兩級電子政務外網,部署統一的網絡運行監控平台,實現本級城域網網絡設備的日常監管,完成市級電子政務外網骨幹網係統三級等保測評工作”。
截至2020年2月,合肥市數據資源局(簡稱“信息中心”)整合/部署了多家單位的業務係統,一直處於平穩運行狀態,隨著各單位新業務的不斷上線,同時網絡架構也存在著諸多安全風險:安全邊界風險、業務區風險、法律法規風險,為了響應中央政府的要求,原有的網絡平台架構急需規劃調整,合肥市數據資源局也同樣麵臨著安全運維的挑戰:
1、運維環境複雜,已有人員難以支撐安全運維工作
信息中心原有的網絡架構龐大且承載的業務流量模型相對複雜,同時安全層麵的運維也倍感壓力,已有的網絡運維人員日常需要自身的網絡運維工作,加之缺乏完善的安全運維技能,難以很好地按質完成安全運維工作。
2、缺乏規範化的安全運維體係和運維平台
現場缺少專業的安全運維組織和統一的安全運維平台,第三方網絡工程師對於網絡架構中的設備和安全事件的監控、分析、處置及操作審計力度不夠,且尚未形成規範化的安全運維體係,容易導致日常運維工作中因運維流程不規範引發的安全事件,影響承載業務的正常運行。
3、合肥市政府對信息中心安全狀況保持高要求
合肥市政府對合肥市數據資源局的安全現狀一直保持高要求、高標準、高度關注。因此為了響應政府要求同時適應接入業務的更好發展,做好安全平台建設項目是合肥市數據資源局的核心工作。
基於以上情況,合肥市數據資源局於2020年2月正式啟動基於態勢感知的安全平台體係建設項目。項目具體建設思路包括:
●完善合肥市數據資源局政務外網安全合規體係;
●建設合肥市數據資源局電子政務外網安全接入平台;
●建設合肥市數據資源局電子政務外網安全監測體係;
●配備專業安全協維服務人員,引入安全駐場服務;
●引入專業安全服務及谘詢人員,滿足合肥市數據資源局安全管理需求。
二、項目總體架構設計
為建立合肥市數據資源局健全的安全防護體係,該項目通過“安全雲”統一管理門戶整合安全防護、安全檢測、安全審計等資源,在安全監管中心—安全態勢感知平台統一管理下,實現以上安全資源靈活調度,對安全事件進行信息收集、記錄、分析、響應等,形成閉環處理。
邊界、區域內及內部主機的交互信息通過防禦係統進行數據過濾後繼續進行傳輸,檢測係統實時檢測傳輸數據,發現未知威脅實時抓取分析並將結果上傳至安全監管中心,IPS(Intrusion Prevention System,入侵檢測係統)若檢測到高危告警會對威脅流量進行及時阻斷。各類安全設備將事件日誌統一發送至安全態勢感知平台,平台根據內置模型分析出當前網絡的安全態勢。專業的安全運維人員根據平台展示的結果及事件處置建議對安全設備下發安全策略,大幅提升安全運維的效率。
圖1 合肥市數據資源局安全平台建設項目總體架構設計圖
三、項目建設目標
1、通過對合肥市數據資源局電子政務外網安全監測平台的建設,實現安全攻擊威脅、安全事件的實時發現、告警及處置,對潛在威脅和風險進行預警。
2、引入專業安全服務團隊形成谘詢、巡檢、滲透加固、運維、培訓等全係列安全服務內容的供給,提升信息中心安全管理及安全運維水平。
四
合肥市數據資源局安全平台項目建設成果
電子政務外網安全監測平台建設
在合肥市數據資源局內部署基於H3C安全態勢感知的安全資源區,實現了安全日誌的統一采集、安全事件實時監控、分析、告警與處置,且多維度實時展現安全風險和潛在威脅。
1、統一的日誌采集平台
為了獲取內部網絡、終端、情報等信息,用於分析安全態勢,合肥市數據資源局部署了集群版態勢感知係統作為統一的日誌采集平台,一方麵定期更新威脅情報,另一方麵采用被動采集技術,收集網絡中安全防禦設備如防火牆、IPS、漏洞掃描設備,審計設備如應用審計係統、數據庫審計係統、檢測設備如探針、沙箱的海量日誌。
圖2 安全態勢感知及其組件(部分組件可選)
2、安全事件智能監控分析
態勢感知平台收集各類樣本數據如安全日誌、第三方情報後,基於平台內置的AI/機器學習和專家係統對數據進行安全分析,根據機器學習算法,建立用戶行為/流量/威脅基線,以此豐富威脅判別模型、流量趨勢預測等模型,同時態勢感知平台自身也在場景中不斷優化知識庫調整模型,更準確及時地發現安全威脅及趨勢預判,並給出安全事件處置建議。對於需要深入分析的安全事件,結合現場安全運維工程師的專業判斷後,最終對安全事件進行閉環處理。
圖3 安全平台事件智能監控分析示意圖
3、自動化安全運維
資產和業務係統狀態難摸底、流量走向難梳理等運維問題在基於態勢感知平台開展安全運維工作後迎刃而解,態勢感知基於bobty下载软件 和容器技術進行微服務的自動部署和動態管理,對重要資產進行風險分析,實現對象狀態實時監控。並和重要防禦設備如防火牆M9000進行響應聯動,一旦在平台上確認產生安全事件,運維工程師可立即通過態勢感知平台向安全設備下發聯動策略,一鍵實現及時響應和處置。
圖4 自動化運維示意圖
4、多維度風險展示平台
態勢感知平台結合事件分析模型對數據進行分析,通過可視化技術展示安全風險,使用拓撲圖、3D圖表等形式多維度展現資產、流量、業務的豐富數據,使運維更直觀,一定程度上提升了運維人員對安全事件的監控效率。
圖5 態勢感知多維度展示風險示意圖
專業安全服務引入
通過引入BOB登陆 專業的安全服務,並配置專業的安全運維工程師,向信息中心提供安全預警、安全谘詢、設備巡檢、滲透加固、漏洞掃描、安全培訓等服務內容,全麵提升信息中心安全管理及安全運維水平。
1、安全駐場服務
通過配備安全運維工程師向信息中心提供:資產運維服務、流量檢測服務、事件監控服務、漏洞監控服務、基線檢測服務、web安全加固服務、安全通告服務、規範化安全流程。
具體包括對在網的安全設備狀態進行定時巡檢,按要求輸出設備巡檢報告,基於安全態勢感知平台進行異常流量檢測、安全事件的監控分析、處置,定期通過專業漏掃設備對信息中心資產進行漏洞掃描和基線核查,並輸出漏洞分析報告和安全基線檢測報告,通過安全運維工程師每周收集各類安全預警信息,包括但不限於國內外最新安全事件、補丁安全通告、最新漏洞公告、病毒公告等信息,通報業界安全動態及重大安全事件,對合肥市數據資源局的網絡及信息係統麵臨的安全隱患、安全風險及時提出預警、整改建議,達到事前防禦的效果,並根據信息中心現場安全現狀進行安全加固。重大節假日期間除現場運維工程師外,BOB登陆 增派專業的二線專家遠程支撐,為信息中心提供重大時刻安全保障服務。
合肥市數據資源局承載的新業務上線、安全策略開通、調整均需責任單位提交信息中心負責人申請,申請通過後再由安全運維工程師在防火牆等安全設備上進行策略放通等動作,且我司要求安全駐場工程師現場開展運維工作時嚴格遵守安全駐場服務規範和信息中心現場規範化的運維流程,降低因不遵守安全運維規範開展工作導致安全事故的可能性。
圖6 定期網絡安全預警通告
2、安全體係規劃和谘詢服務
通過BOB登陆 專業的等保專家現場調研信息中心實際情況,從技術體係、組織體係、管理體係、運維體係共四個方麵對合肥市數據資源局提出合理的建議和規劃,並輸出《信息中心安全建設建議》及《信息中心安全規劃》,經信息中心對輸出建議和規劃提出修改意見後,最終由信息中心側負責人落實安全谘詢服務內容。
3、滲透測試服務
BOB登陆 為信息中心提供的滲透測試服務主要包含四個階段:用戶授權—滲透方案製定與審核—服務交付—漏洞建議與整改。
在獲得信息中心授權後,滲透專家才可正式開展滲透測試工作,根據約定好的測試範圍製定滲透測試方案並交由信息中心技術負責人審核,方案評審通過後滲透專家按照滲透測試內容開展工作,滲透測試完畢後向信息中心輸出《安全滲透測試報告》,報告中對指出的安全漏洞說明情況並給出相應的整改建議,同時專家定期跟蹤整改進展,後續通過複測檢驗漏洞整改效果。
安全監控中心-態勢感知平台還將不斷地進行優化,其作為合肥市數據資源局網絡安全態勢風向標的同時也必將帶來更為便捷化、自動化、智能化的安全運維體驗。信息中心的信息化建設工作仍在繼續,鑒於前期的友好合作及BOB登陆 突出的網絡安全水平和專業的支撐團隊表現,相信未來雙方仍有很多的合作機會,共同為合肥市數據資源局的信息化建設貢獻一份力量。
