政务办公从纸质办公到电子办公、平台办公再到现在的互联网+政务,信息化手段不断丰富。但在信息化建设的早期,政府的主要工作是将政务办公向各种业务系统上迁移,导致建设比较分散,安全建设也比较滞后。
2015年9月30日,四部委联合发布《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(简称“2562号文件”)。其中重要一点就是党政机关以及事业单位开展网站群建设工作,将网站、业务系统集中建设,统一监管防护。
民政部下设部级门户网站、直属单位网站和部分省级、地方民政部门网站站点,全国最低生活保障信息系统和全国婚姻登记管理信息系统等共100个网站群及96个业务系统重要网站及业务信息系统,其根据自身的安全需要以及国家的相关要求,开展了网站群的建设,目前已经初步完成,
网站群建立以后,如何进行安全建设则是部委信息中心比较困扰的问题。根据比较先进的安全理念,网络中心提出了以下几方面需求:
1、加强对于风险的发现及管理,重点在于漏洞的及时发现(包括Web漏洞、系统漏洞、数据库漏洞、中间件漏洞),以及弱口令的检查。
2、对于网络攻击具有防御能力,尤其要具备防御针对网站、业务系统的攻击,并能防御内部攻击者。
3、建立纵深防御体系,对于攻击具备告警、溯源能力;对网站及业务系统的安全状态能够实时进行监控。
4、能够对网站群进行统一的管理、监测、防御。
5、安全产品应为国产化自主可控产品
监控预警与态势感知平台助其建立“安全指挥部”
通过对于客户实际网络环境的考察以及和客户的多次探讨,民政部最终选择WebRAY 云墙软联动Web安全解决方案。盛邦安全为本次安全建设提出了以下目标:看的见,摸得着,防的住。
1)看的见:对民政部的网站和重要信息系统进行全方位监测,检测与监测结合,检测防护结合,威胁可知。
a.在互联网区域部署监控预警引擎,监测互联网区域和全国各地民政厅以及民政部直属机构的互联网业务安全状况;
b.在三级等保区、内网区部署监控引擎的前提下,结合内网业务,部署流量安全分析识别,进行窃密性木马、内网攻击的侦测;
c.在所有区域部署对数据库、中间件、交换路由设备、虚拟化等进行重点安全检测;
2)摸得着:对内网区、三级等保区、互联网接入区所发生的事件进行收集、汇总,能清晰的知道不同区域的访问路径,结合内置大数据分析平台,对所有事件进行综合溯源分析,快速定位,预警。
3)防的住:结合防护设备(Web应用防护系统、抗DDoS系统),通过总控中心进行联动,如果发现篡改、高危漏洞,烽火台调动各个区域防护设备自动进行威胁封堵。
针对三个目标,分别设计3大子系统:监控感知子系统、安全防护子系统,数据分析及溯源子系统,同时考虑在内网上与CA认证体系对接,保障系统本身安全可靠。
根据民政部业务不同,每个区域定义不同安全关注优先级,如下图所示:
具体拓扑如下:
通过监控预警与态势感知平台的搭建以及WAF、防火墙等一系列安全产品的部署,为该部委建立了一套可实现风险控制、攻击防御、威胁预警、态势感知的统一监管系统。在验收现场也回答了各位专家领导的问题,实施效果也得到了大家的一致认可。
通过可视化的展示界面,直观的对于网站及业务系统的安全情况进行查看,从而制定相应策略。
1.可视化展示区效果:
2.安全监控结果展现效果:(包含可用性、挂马、钓鱼、篡改、暗链、敏感词、后门监测)
3.网站及业务系统漏洞检查效果:(包含Web漏洞、数据库漏洞、中间件漏洞、系统漏洞检测)
项目点评
1)本次项目是针对大部委在网络安全新形势下的一次探索,将监控-防护-应急处置有效整合,形成自动防御平台;
2)内网安全与互联网安全不同,通过技术手段以及安全级别划分,有效进行整合,兼顾不同维度的安全风险,从而提供有效预防和处理,比如与内网CA系统结合,进行安全设备整合认证的方式,是一种非常有益的探索。
3)针对用户级别,定义不同级别的安全管理视角与报告,多样式的展示效果提高决策效率。