政府行业统一安全管理与综合审计系统解决方案
随着电子政务“一站”、“两网”、“四库”、“十金”的快速发展和信息水平的提高,数据中心不但为政府单位公众服务业务的快速发展发挥基础的支撑和保障作用,而且对于提高政府机构内部管理水平,进而提高资源配置效率和信息安全度具有重要意义,这也意味着政府机构对IT信息系统的依赖已经到了须臾不可离的境地。
而在对重要信息系统及敏感数据进行维护时,政府部门面临着以下安全风险:
- 事前:身份不明确,授权不清晰
目前的IT事务基本采用是项目制,很少有单位有自己的IT运维团队。即使一线大城市的重要单位,其运维也是外包给第三方公司完成。作为第三方运维公司,其人员的身份、授权往往会存在多种问题,比如运维人员可以使用什么等级的账号、拥有什么权限、权限维系的时间多长,如果事先未曾明确规定,就将带来运维安全问题。
- 事中:操作不透明、过程不可控
从以往各大政府部门发生的安全事件中可以发现,某些第三方服务公司服务人员在服务期间,多次未经授权就登录到核心系统和数据库,导致公民隐私信息泄漏。而在时间发生后,问题没有得到暴露,这本身就说明第三方公司在进行IT运维操作的时候操作不透明、过程不可控。而类似的案例在业界其实并不鲜见。在此情况下,用户隐私信息的安全,就只能依靠第三方运维人员的操守与职业道德。很显然,这种缺乏监管的IT运维操作,是带有巨大风险的。
- 事后:结果无法审计、责任不明确
由于IT运维是个缺乏客观性标准的行业,有很多弹性和偶然性因素存在,内部系统及人员管理极其混乱,以至于安全事发之后,相关部门不能及时有效地对失职人员追责,事后还需投入大量的人力物力进行调查。
相关政策:
为加强政府机构的信息安全管理,出台了针对信息安全的相关政策法规:
《国务院办公厅关于开展重点领域网络与信息安全检查行动的通知》(国办函[2012]102号)
《信息安全等级保护监督检查通知书》(公信安 检字[2012] 001号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《计算机信息系统安全保护划分准则》(GB17859-1999)
《信息系统安全等级保护基本要求》(GBT 22239-2008)
2012年6月28日,国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号文件,大力推进信息化发展和切实保障信息安全。
随着信息安全等级保护制度的开展,各政府机构都积极进行自身信息系统的定级、测评和备案工作。通过第三方测评机构对信息系统的测评后,针对测评报告中不符合或部分符合项进行的后续整改工作,成为各政府机构信息部门的重要工作任务。对于技术配置的标准和管理制度的完善,机构本身通过技术力量的实施可以较快的达到政策法规要求;但是对于网络整体安全、安全审计等整改要求的落地,成为了各部门的“烦恼之地”。
针对这些需求,帕拉迪研发的统一安全管理与综合审计系统能够全面的监控运维人员的任何操作,可进行细颗粒度的访问授权、操作记录控制、审计和回放、以及监控阻断,实现运维过程的事前预防、事中控制和事后审计,提升政府单位网络运维安全和管理水平。
1、部署描述:
- 运维审计系统以逻辑网关的方式部署在核心区,所有的运维操作都不能绕过运维审计系统。
- 所有运维操作都必须在信息中心运维区连接到运维审计系统进行,且通过网络控制只有在信息中心运维区才能访问运维审计系统。
- 将原来离散的接入层、汇聚层及核心层交换机及路由器进行了统一集中管控,将管理权限分配给了相应权限的网络管理员。
- 将内部网络中所有安全设备统一集中管控,将权限分配给相应的安全运维专员。
- 将原来分布在公众专网和资源共享专网的应用系统(政协服务、移动办公、数字报纸、民政一网通、办公平台、门户网站等等)以图形终端和字符终端进行分文别类,将管理权限分配给相应应用系统管理员及数据库管理员。
- 信息中心领导把控统一安全管理与综合审计系统最高级权限,负责信息中心运维人员的权限分配及管理。
2、我们使用的安全体系模型
1、规范运维管理
- 建立统一安全管理和综合审计平台,统一访问入口,集中权限控制,实现运维操作的集中化、规范化管理。平台可对不同系统中的接入维护进行统一管理,进行的帐号管理,身份认证和授权。可以在平台上基于用户的权限,进行统一的网络层和应用层访问控制,提高系统安全性。
- 减轻管理员工作压力,提高工作效率,确保管理制度的顺利实施。
2、满足合规性要求
- 满足政务网相关规定、公安部《信息安全等级保护基本要求》等法案法规合规性审计要求。
- 为监管部门提供运维管理的审计报表和原始准确的运维操作日志。
- 有助于完善组织的IT内控与安全审计体系,使信息系统能够顺利通过国家信息安全等级保护测评。
3、降低资源风险,快速故障定位和责任追踪
- 采用堡垒主机的技术,避免了非法终端、不安全终端直接连接核心资源,降低木马、间谍、内部安全威胁等对核心资源造成的影响。
- 对第三方代维、系统集成商现场施工的规范化管理,防范外来风险。
- 发生安全事故,通过回放操作记录可快速、准确的进行责任鉴定和安全事件追踪。