XX市电子政务骨干网络等保2.0三级方案
方案建设背景
XX市电子政务外网骨干网络是XX市政务机关利用互联网通过统一门户对外统一发布信息和向社会提供信息服务、业务办理和管理监督等政务活动的公共信息网络。政务外网承载各级政务部门业务协同、社会管理、公共服务、应急联动等面向社会服务的业务应用系统。
随着等保2.0的发布,对XX市电子政务外网骨干的网络安全提出了新的要求。为进一步提升自身的安全防护能力,按照统筹资源,重点保护,适度安全的原则,结合各安全域实际情况,进行安全防护等级保护建设方案设计。
现状分析
1、XX市电子政务外网骨干网络建设现状
XX市电子政务外网骨干网络前期已开展过网络安全建设,但已建成时间距今周期较长,大部分设备已投用7至8年以上,设备已脱保且性能无法满足目前电子政务业务快速增长的需要。
2、 电子政务外网安全设备现状
目前骨干网络区域部署了防火墙,主要用作网络边界的访问控制,以及内部服务器的端口映射。防火墙在管理上采取用户名+口令的认证方式;配置了上网行为管理系统;部署了入侵检测设备等。但目前设备因投用时间长均已脱保,设备功能及性能均已无法满足电子政务外网业务快速发展的需求。
3、电子政务外网数据安全现状
目前未采用统一集中数据备份模式,当前业务数据备份在存储中,没有建设异地灾备中心。
风险分析
1、Web安全面临的威胁
RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如:DDoS),逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的威胁主要来自XSS跨站攻击、SQL 注入、网络钓鱼、恶意代码、RootKit隐身技术等。
2、 数据库安全风险
随着用户加强数据库安全建设,越来越多的数据库安全漏洞也会被数据库安全研究者所发现,漏洞一但公开,数据库厂商并不能在第一时间对漏洞进行修复并发布升级补丁,即使厂商发布了对应的漏洞升级补丁用户并不敢第一时间对数据库进行升级,直接导致数据库风险性增大。
3、 终端用户风险
由于计算机用户数量庞大,对计算机相关的知识水平参差不齐,一旦某些安全意识薄弱的用户误操作,也将给信息系统带来破坏。例如某些用户在恶意网站上下载或是错误使用了某些存储介质,从而导致计算机感染了病毒或木马程序,很可能会给整个内部网络带来灾难性的破坏。
4、不同子区域边界的安全风险
安全计算环境划分为XX市电子政务外网内网业务区域、XX市电子政务外网运维管理区域、办公区域等区域。该政务外网政府部门业务系统,划分互联网区与电子政务外网区域,两个区域之间进行逻辑隔离,倘若没有有效隔离措施,会造成两张重要网的信息侵入。
5、云平台自身安全建设不完善
Ø 数据存储层:缺乏数据监控审计、数据库运维审计;
Ø 管理和服务层:缺乏大数据的态势感知通报预警平台,实时监控云平台安全态势;
Ø 业务应用层:缺乏Web漏洞扫描系统、数据库漏洞扫描系统、系用漏洞扫描系统、基线核查等,针对云计算平台自身基于B/S架构的应用系统进行安全风险的定时发现;缺乏网页防篡改,针对云计算平台自身基于B/S架构的互联网接口应用系统进行防护。
Ø 云安全访问控制层:缺乏传统网络防火墙、病毒过滤、VPN等功能的下一代防火墙(NGFW),作为云计算中心与外部网络的第一层边界隔离手段;缺乏流量清洗设备与DNS/全局负载均衡。
项目建设方案
方案竞争优势分析