需求背景
政府作为国家的职能机关,其信息系统安全跟国家安全紧密结合在一起。信息的可用性、可控性尤为重要。近年随着国内电子政务的蓬勃发展,政府上网前期高潮,政务公开、资源贡献、网上公文等是政府信息化的必然趋势,这样就不可避免的会设涉及到信息安全的问题。政府网络一般是为各级政府机关单位建立的统一的计算机信息网络,提供包括数据、视频、语音、多媒体通讯、数据共享、安全防护等多种功能,满足各直隶属组织的机要通信和电子办公的要求。
国家电子政务外网是一个跨地区、跨部门的综合性网络系统,由国家信息中心同全国省级、副省级、地市级和县级四级政府部门信息中心构成的完整体系构成。政务外网与政务内网物理隔离,与互联网逻辑隔离。国家电子政务外网安全管理平台用于管理国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件。电子政务外网面临的最大威胁是来自互联网的恶意攻击行为,重在“防范”,需要通过部署各种安全设备,例如IDS、防火墙、防垃圾邮件、防拒绝服务攻击系统等,以保障电子政务外网的正常运行。这时我们发现,当安全攻击和防御技术越来越复杂,安全威胁越来越多,安全系统越来越庞大的同时,要有效的、动态的、及时的处理安全问题,防范未知威胁,提高工作效率变得越来越困难,传统的信息安全系统的运行方式成为许多安全隐患形成的根源,信息安全应该是一个多层次、多因素、综合的动态过程,要求对信息系统和组织体系进行综合思考和统一规划,需要一种新的运行方式,能将不同位置、不同安全系统中分散且海量的单一安全时间进行汇总,统一规范和分析处理,从全局的角度分析安全问题,体现安全风险状况,并形成有效的安全事件处理决策,制订统一的处理流程规范,对安全事件进行统一响应和处理。
北京启明星辰信息技术有限公司拥有在信息安全领域超过十年的经验和技术积累,早在2002年就开始投入技术力量研究和开发能解决整体安全以及安全管理等问题的安全管理平台类产品,并于2006年承担了国家信息中心电子政务外网网络安全管理平台项目的建设。
解决方案
电子政务外网信息安全规划遵循以下原则:体系化原则、动态化原则、等级化原则、统一管理化原则、以人为本原则,基本出发点是整体考虑,尽可能小的投入获得足够的安全保障。为了满足国家电子政务外网的业务需求,启明星辰泰合信息安全运营中心系统与电子政务外网部署的各类安全设备形成一个完整的安全保障体系,从而实现了高效、全面的网络安全防护、检测和响应。
建成后的国家电子政务外网安全保障体系是在统一的网络安全管理平台基础上,制订政务外网的安全策略和管理制度,合理划分安全域,实现与互联网可控的逻辑隔离;建设电子政务外网中央网管中心部分的网络安全防护体系、统一的安全管理中心和网络信任体系,从而保障电子政务业务应用系统的真实性,完整性和保密性。完全具备监控、预警、响应、追踪等功能,并具备可审计功能,即对内部安全管理人员的相关操作进行日志记录。
国家电子政务外网安全管理平台具有以下功能:
1. 资产管理
管理网络综合安全运行管理系统所管辖的设备和系统对象。它将电子政务外网所辖IP设备资产信息登记入库,并可与现有资产管理软件实现信息双向交互,可自动发现管理域里的新增资产,并按照ISO13335标准对资产的CIA属性(保密性、可用性、完整性)进行评估。
2. 事件管理
事件管理处理事件收集、事件整合和事件可视化三方面工作。
事件管理功能首先要完成对事件的采集与处理。它通过代理(Agent)和事件采集器的部署,在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息,并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。
在事件收集的过程中,事件管理功能还将完成事件的整合工作,包括聚并、过滤、范式化,从而实现了全网的安全事件的高效集中处理。事件管理功能本身支持大多数被管理设备的日志采集,对于一些尚未支持的设备,可通过通用代理技术(UA)支持,确保事件的广泛采集。
在事件统一采集与整合的基础上,泰合安全运营中心提供多种形式的事件分析与展示,将事件可视化,包括实时事件列表、统计图表、事件仪表盘等。此外,还能够基于各种条件进行事件的关联分析、查询、备份、维护,并生成报表。
3. 综合分析、风险评估和预警
综合分析是安全管理平台的核心模块,其接收来自安全事件监控中心的事件,依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析,并基于资产(CIA属性)进行综合风险评估分析,形成统一的5级风险级别,并按照风险优先级针对各个业务区域和具体事件产生预警,参照安全知识库的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。将预警传递到指定的安全管理人员,使安全管理人员掌握网络的最新安全风险动态,并为调整安全策略适应网络安全的动态变化提供依据。通过风险管理可以掌握组织的整体以及局部的风险状况,根据不同级别的风险状况,各级安全管理机构及时采取降低的风险的防范措施,从而将风险降低到组织可以接受的范围内。
预警模块中心从资产管理模块得到资产的基本信息,从脆弱性管理模块获取资产的脆弱性信息,从安全事件监控模块获取发生的安全事件。得到上述这些原始信息后,本模块进行综合安全风险分析。综合安全风险分析是分析整个企业面临的威胁和确保这些威胁所带来的挑战处于可以接受的范围内的连续流程。应能够根据各监控点的资产信息、脆弱性统计信息以及威胁分布信息,为每一个资产定量地计算出相应的风险等级,同时根据业务逻辑,分析此风险对其他系统的影响,计算出业务系统或区域的整体安全风险等级。
4. 脆弱性管理
通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
5. 响应管理
仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。响应管理作为TSOC的重要组成部分之一为响应服务实现工具化、程序化、规范化提供了管理平台。
响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。响应模块负责根据预定义好的安全策略规则,可通过工单、邮件、屏幕、声音、手机短消息、语音电话等方式及时发布工作指令,调动有关资源做出响应。应在安全管理平台上实现人机接口。TSOC同时提供图形化的工作流管理,可按照实际情况定义响应流程,例如可以在图形界面上定制工单的流向状态等。
6. 策略管理
网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过TSOC策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
7. 安全知识库
安全知识库包括安全管理信息、安全技术园地、安全案例库、补丁库、CNCVE漏洞库、教学资料等栏目的信息发布管理和浏览,另外,提供BBS形式的安全技术信息交流功能,提供自学习型的安全知识库,大大提高安全技术人员技术水平。
启明星辰泰合安全运营中心系统在国家信息中心电子政务外网的顺利部署,将安全管理员从复杂的设备配置和海量日志信息中解脱出来,把精力专注于发现和处理各种重要安全事件;同时又将各自独立的安全设备组成为一个有机的整体,通过基于资产管理的事件关联分析和管理,及时发现安全风险、安全事件和业务安全隐患,并结合安全策略和安全知识的管理,提供多种安全响应机制,从而使得管理人员能够实时掌控电子政务外网的安全态势。
综上所述,国家电子政务外网工程涉及到全国电子政务工作的顺利开展,安全管理平台是国家电子政务外网安全保障体系的关键系统,通过安全管理平台可以及时掌握电子政务外网的安全情况,在平台上展开安全保障工作,是国家电子政务外网网络安全有力的管理工具,对国家电子政务外网的安全管理起到的支撑平台的作用。
(来源:中国国家信息中心SOC建设信息安全与通信保密)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
