天融信:服务上海世博保障电子政务安全

第41届世界博览-中国2010年上海世博会已圆满闭幕,本次世博会按照胡锦涛总书记指示:举全国之力 集世界智慧 把上海世博会办成一届成功精彩难忘的世博会。

本次博览会的主题是-城市让生活更美好,她体现了以人为本的理念,真实的反映了人类对城市发展前景的希望和渴求,这也将是一个永恒的主题。在本次世博安保任务部队出色、完美的完成了安保任务,在场外,上海市政府同样也进行者一场悄无声息的保卫战,保障电子政务系统,使其更好的为世博会服务。

《论语□卫灵公》:工欲善其事,必先利其器。对于政府信息化工作者,打造固若金汤的电子政务系统是首当其冲的任务,天融信则全力配合上海市政府。在本次服务,业务目标清晰,我们所需要的就是一种知晓全局的安全保障,以业务为核心的安全保障,并且这种安全保障需要全局观的安全策略,一系列可以实实在在的落地安全策略,从而形成有一个电子政务安全保障体系。如何知晓全局、如何使这些网络安全设施能最大限度地发挥其安全保障功能,就必须借助一个良好的安全运维管理平台,知晓全局,分析业务流程,对业务系统的运行进行有效的安全监控、安全审计、健康性评估等方面的管控,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告、健康性报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络、系统和组织中的问题与安全隐患。只有这样,信息网络和业务应用系统才能真正地实现安全运行,从而形成确实有效的电子政务安全保障体系和管理机制。如下图所示:

图1 安全运维管理平台示意图

信息安全运维平台中心是用户实现对业务系统的全局安全事件监控、安全设备监控、系统的状态监控及安全运作管理的中心枢纽。该中心是一种安全监控管理的形式,它的职能主要为技术和管理层面的监控职能,并有效地将安全监控与分析系统、态势感知系统、流量监控与分析系统、僵尸网络监控系统、病毒监控系统、网站安全监控与评估系统、应急工单管理系统和安全策略配置有机的整合在一起。

在具体操作层面,我们基于互联网电子政务信息安全实施指南、信息安全等级保护相关文件为指导,结合电子政务外网安全现状及未来发展趋势,建立一套完善的安全防护体系。通过体系化、标准化的信息安全风险评估,积极采取各种安全管理和安全技术防护措施,落实信息安全等级保护相关要求。从技术与管理上提高电子政务外网安全防护水平,防止网络瘫痪、应用系统破坏、业务数据丢失、信息泄密、终端病毒感染、恶意渗透攻击等,确保政务信息的安全可靠,同时保障政务外网的安全稳定运行。

基础技术层面,我们主要进行了以下操作:

1) 风险评估:如何加强、改进信息系统,首先就要充分了解业务系统,因此我们对网络结构、相关业务系统进行风险评估,经过精细的风险评估,确定重点整改方向,降低风险、承受风险、转移风险等方面做出政务选择;

2) 统一互联网出口:建立电子政务外网统一互联网出口防护体系。以互联网骨干运营商流量清洗和过滤技术为基础,通过基于政务外网统一互联网传输层对政府部门互联网接入进行整合归并,建立单向访问互联网出口和双向访问的加密通道,联合相关安全职能部门对统一出口进行实时监控,对政务外网与互联网逻辑隔离实现综合安全控制,对各类不良网络行为和信息进行监控各和过滤;

3) 信任体系建设:建立健全电子政务外网信任体系。规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设。全网统筹考虑,本着方便使用、节约投资、加强管理的原则,建立以PKI/PMI基础设施为核心的全网统一的身份认证系统和权限管理系统,为接入单位提供第三方的信任关系认证服务;

4) 边界隔离:对于网络区的办公域、接入域和业务域等不同安全等级、不同安全保护要求的安全区域的边界,要结合整体安全防护要求,高保密、高可用性、高完整性的原则,其具体的安全部署和设计是通过网络基础设施保障、边界安全隔离、计算环境保护和安全基础设施支撑等全方位的安全技术保障措施予以实现。特别是边界安全,具体的安全保障措施涉及了防火墙、UTM、入侵检测、入侵防御、网络审计、病毒过滤、VPN接入、抗拒绝服务系统等多种安全技术措施;

5) 网络传输安全防护:部署VPN系统对政务外网中的重要或敏感数据进行加密传输。防止数据在传输过程中被任意窃取、篡改,确保传输数据的安全性、保密性和完整性;

6) 安全审计与记录:对网络中终端主机用户的操作行为(如中断登录、外设使用、网络操作、进程/程序启动等)进行实时监控与审计;对关键服务器的应用和操作行为进行实时监控和审计;对关键数据库的操作行为进行监控和审计;对网络访问行为进行监控和审计。通过监控审计数据,能够发现并阻止各类违反安全策略的操作和通信行为,以及来自内外的入侵或攻击行为,并为事后取证提供数据支撑;

7) 网站防护:网站已经成为政府部门办公的基本设施,同时也是及时与外界沟通的方式之一,网站的地位在电子政务系统中尤为重要,因此部署网站防护系统,实现了恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入功能,以防止黑客入侵、网站篡改等攻击行为,从而更有效地对网站网页安全进行全方位的保护;

8) 其他:在加强以上防护的同时,我们也加强的补丁管理、应急响应与备份恢复建设等,以完善色技术细节作为安全保障体系的基础支撑。

n 管理层面

为了有效地把电子政务外网的安全管理和信息保密管理工作落到实处,必须设计、建立、完善和有效运行的安全管理体系,从组织上、措施上、制度上为电子政务外网的安全运行提供强有力的保障。

建设和完善电子政务外网安全保障体制,实现对电子政务外网的集中安全管理。结合电子政务信息安全保障工作的重要性和紧迫性,建立相关主管部门安全保障和管理的协同机制,建立健全信息安全管理体制,明确责任,防护检查项结合,统一协调、统一管理。

制定电子政务外网安全管理标准与规范,健全应急响应机制。完善应对突发公共事件的网络联动机制,提高重大灾害的预警防控能力,提高各级政府应急管理、灾害处置的水平。

技管并重

管理需要技术做支撑,技术也改变着管理模式。无论是国家相关政策标准,还是业界的最佳实践活动,均表明信息安全体系的建设应当兼顾技术和管理两个层面的措施,形成全面的安全保障体系;通过全面的,可相互关联的技术、管理和服务,真正实现了“技管并重”的防护体系。因此我们依靠电子政务系统信息安全运维平台,及工作制度的落实与监督,提升电子政务系统的安全保障。

历届世博会中,2010年上海世博会创造了多项第一,园区面积最大,参加国家和组织最多、参观人数最多,自建馆数量最多、世界面积最大的生态绿墙等多项第一,并且首次同步推出网上世博会。通过本次对世博会保障与管理单位的服务,再次展示了天融信在大型活动中的综合信息安全保障能力与实力,并且沉淀了丰富的实践经验,今后,天融信将以更高的起点为您服务,续写安全保障新篇章!