政府行业网络安全解决方案

背景:


政府行业,即“公共管理、社会保障和社会组织”,可以按照大类、中类和小类三个方面来划分,大类即 “国家机构”;而中类是指国家行政机构,即国务院及所属行政主管部门的活动;县以上地方各级人民政府及所属各工作部门的活动;乡(镇)级地方人民政府的活动;行政管理部门下属的监督、检查机构的活动;小类即指中央和地方人民政府的活动,以及依法管理全国或地方综合事务的政府主管部门的活动,还包括政府事务管理。
因此政府行业所包含的内容是链接管理层与民众最紧密的纽带与桥梁,政府行业所涉足的领域关系到民众最切身的利益。随着互联网的发展,该行业也发生了深刻的变革,也不断推出更多的业务内容无纸化办公,即互联网流程,例如政府网站为各级人民政府及其部门发布政府信息、提供在线服务,同时网站的公众互动交流功能为群众解决切实问题提供了窗口,电子流程在提高行政效能、提升政府公信力等方面发挥了重要作用。

政府网站的职能主要有以下三个部分组成:


职能分布图




构建为企业和公众提供政府各个部门服务的“一站式”政府门户网站。


同时,随着互联网的变革,云计算、大数据技术的兴起,以及政务内网、政务外网的建设,政府行业的联网模式也不断得进行了变革,由原来的分开建设变成了统一租用的方式,因此这对于系统的变革也带来了质的飞越。

因此政府行业与技术的紧密度,越来越高,行业也不断利用着技术的革新推出更广泛和更便民的服务,提高了效率,节省了资源,但是技术给办事带来便利的同时,也随之引来了安全性的问题,因此对于技术的安全性考虑,也是当下政府部门需要重点考虑的对象。

威胁:


随着支撑政府行业办公互联网变革的云计算、大数据等技术发展还不完全成熟,安全机制尚不完善;以及政府员工的缺乏安全意识,政府网络架设以实用为主,未考虑安全架构的背景之下,2016年,主要出现了如下所示的几个严重的安全事件:



2016年重要安全事件


• 勒索病毒横行
FBI报告指出:2016年勒索赎金总规模达到10亿美元。勒索病毒是一种新型电脑病毒,主要以邮件和恶链木马的形式进行传播。主要通过邮件附件、钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用系统内部的加密处理,而且是一种不可逆的加密,必须拿到解密的秘钥才有可能破解。
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人是不可能解密的。而随着政府部门的互联网化,以及员工安全意识的缺乏,这种入侵变得尤其容易。


• 黑客干政
2016年12月9日,中情局在一份秘密报告中认定,俄罗斯干扰了美国2016年总统选举,为的是确保特朗普上台。在该报告之前,先是维基解密的创始人阿桑奇在18日放话,要把希拉里干的一堆破事公诸于众。从那天开始,15封邮件已经放出来了,内容即指希拉里与ISIS恐怖分子有瓜葛,还从资助恐怖分子的国家获取了千万美金,而后引发“邮件门”风波,致希拉里支持率大幅下挫。
该事件在2016年变成了严重的政治事件,而幕后的参与者即技术黑客,是黑客辅助成就了政治事件,而这种事件屡见不鲜,例如伊朗的核电站事件。因此信息安全变成了一个国家的政治任务而存在,而对于安全技术的要求也日渐重视。


• 账户被盗

2016年最大的信息泄露事件应该属于雅虎,雅虎公司目前正在飞速的刷新互联网行业的各种记录和三观,其泄露的数据量先破行业记录再破自己的记录。2016年九月份时该公司披露曾在2014年遭到黑客入侵,这次入侵事件泄露出去的用户数据至少有5个亿。2016年十二月份该公司再次披露2013年遭到黑客入侵,这次入侵事件泄露的数据量破纪录的达到10亿。值得提醒的是前两次攻击事件发生很久雅虎公司一直未知,还是相关调查部分发现数据主动通知雅虎的。


由此也可以看到这个曾经的互联网超级巨头对于安全方面以及用户数据和隐私方面的保护力度是及其不重视。而这正是很多部门所正在经历的事情,往往丢失了数据,但是并不知情,网络架构完成了最基本职能的处理,但是未考虑任何安全体系,认为只要达到职能功能即可。

• 物联网DDoS攻击
2016年,美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击,导致 Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报等数百家网站无法访问。媒体将此次攻击称作是 “史上最严重 DDoS 攻击”,可见其影响之恶劣。值得注意的是,此次网络攻击中,黑客利用了大量的物联网设备。如今,越来越多的物品贴上了 “智能” 标签,成为了联网设备。这给人们的生活带来许多便利,但是,这些设备的安全问题常常被人忽视。在卫报的采访中,Technology Partnership 的产品研发顾问 Richard Sims 说,物联网设备通常是默认联网的,并且其代码常是开源软件,因此,它们很容易被黑客攻击。


威斯敏斯特大学的教授 Mercedes Bunz 说,物联网设备的问题在于,它们常常不安装安全软件。“你不能在婴儿监控器上安装防火墙,因为它没有足够的存储空间。” 专业领域的物联网设备相对来说更加安全,因为设计之初就考虑到安全问题,而且,它们常常与互联网隔离,难以遭受攻击。而随着政府部门对于物联网设备的使用,也往往会成为利用的对象,例如摄像头设备、智能手机设备等等。

• 助学金诈骗
2016年,以568分的成绩被南京邮电大学英语专业录取。2016年8月21日,因被诈骗电话骗走上大学的费用9900元,伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,但仍不幸离世。
这次诈骗轰动全国,牵出了一系列大家痛心疾首的诈骗经历,而也正是这个事件,推动了《中华人民共和国公民个人信息保护法》的尽快出台,最后直接导致了教育部网络安全和信息化领导小组成立,2017年数据安全管理将成为政府、教育行业的热点。


政策:



2016年重要安全政策


整体防护思路:



整体的防护思路


安全建设技术架构:
下图为典型的政府行业网络安全部署架构示意图:

政府行业整体安全防护思路


安全解决方案:
安恒信息根据政府行业的特点与威胁:从安全技术、安全服务两个方面,给予了主动防护,同时安恒与时俱进,在云安全方面,构建了安全防护体系,并在业界得到了广泛的验证与实践。


安全技术保障: 


• 访问控制(如防火墙)用于边界隔离与方访问控制授权; 
• 远程接入管理(如VPN)用于应对非授权接入;
• 入侵防御系统(IPS)用于应对外部入侵系统和网络层攻击;
• 恶意代码防护(如防毒墙)应对网络蠕虫、网络病毒与恶意脚本代码攻击;
• Web应用防火墙(WAF)应对基于web层的攻击,如跨站脚本、SQL注入等攻击;
• 网站安全卫士从应用系统层安全防护使其无法进行恶意篡改等行为的发生;
• 数据库审计系统记录所有对数据库的请求与操作,进行事中和事后审计保障;
• 部署运维审计与风险控制系统加强内部与第三方人员的规范与合规内控管理;
• APT预警监测可对隐蔽性强、潜伏性深,甚至0day威胁进行监测与告警;
• 事前通过主机、系统、数据库的漏洞扫描与安全基线配置核查进行全网加固;
• 综合日志审计对所有安全威胁与事件进行采集、归并与分析。


安全服务保障:




安全服务体系

云安全保障


针对政府行业的上云进程,安恒阿尔法实验室与天池系统,专门针对云上的安全,提供了一套云安全一体化解决方案,对政府行业业务系统提供云端漏洞发现、风险检测、事件监测、攻击防御以及流量审计安全服务,不但在本网站的防护上提供安全体系,而且在政府主导的私有云架设上,提供了安全的建议与构思。


安恒信息AILPHA实验室的整体架构如下图所示:


AILPHA实验室保障构成


根据对于政务云的了解分析,安恒信息形成了天池系统,该系统有效解决云安全租户的问题,给予政府部门自建云系统的安全体系,给予了极大的安全技术保障,天池系统详细的功能组成如下所示:



天池系统的安全功能项


方案优势与价值

• 有效的DDoS安全防护架构,能够进行流量清洗;
• 事前、事中、事后的一体化防护;
• 配合协作统一的安全管理;
• 纵深立体主动的安全防护体系,高针对性的防护措施;
• 提供持续性安全服务,并提供高级分析服务;
• 有效防止数据泄露和拖库事件发生;
• 保障安全有效性的前提下满足监管合规需求;
• 大幅提高防护效果,有效抵御各种攻击,从而降低总体安全成本;
• 提供安全攻击证据,震慑非法攻击者、恶意员工;

部分用户案例:

全国政协办公厅、公安部、商务部、教育部、水利部、国家统计局、共青团中央、国家广电总局、银监会、新闻出版总署、质检总局、安监总局、港澳办……




返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |