文本描述
深信服电子政务外网安全升级改造方案
现状与目标
目前,电子政务外网省市县三级纵向覆盖率已基本达到90%,各级政务外网已经建设了边界防火墙等网络安全设备。由于政务需求不断变化,安全形势日趋严峻,网络安全法和等保2.0的颁布,监管要求更加严格,已有的安全防护体系急需在合规的基础上进行进一步改造升级。
习总书记在“4.19讲话中”强调,要“加快构建关键信息基础设施安全保障体系”,并构建“全天候全方位感知网络安全态势”能力。电子政务外网作为重要公共基础设施,根据《网络安全法》,需要“在网络安全等级保护制度的基础上,实行重点保护”。现阶段,电子政务外网的安全建设目标应该是构建一个“能够全天候全方位感知网络安全态势并实现有效立体防护和管理”的安全保障体系,因此亟需加强以下几个方面建设:
强化检测,建设“感知”的基础
现有电子政务外网设备堆叠的边界安全建设方式,只能提供碎片化的安全认知和割裂的防御手段,无法进行流量、日志的联动分析,缺乏全网态势感知能力。同时,现有的安全框架只能提供事中被动防御,缺乏事前预知风险以及事后持续检测和响应的能力,无法有效应对新威胁。因此,强化整网安全的检测能力,升级现有安全基础架构,建立“感知”的基础势在必行。
风险可视,建立“感知”核心
“知己知彼,才能百战不殆”,在现今安全环境下,已有的安全建设对BYOD、内部泄密、APT攻击等新技术新威胁难以发现。
另外,维护网络安全,首先要知道风险在哪,现有安全设备仅关注内外流量安全,忽略了内部的安全检测和可视;各委办局终端数量众多,内部横向威胁无法溯源,安全风险难以快速定位。
因此,建立具备风险管理机制、呈现安全建设效果的“感知”中心是必要的。
化繁为简,实现有效管理
电子政务外网为各级部门提供支撑,连年建设,网内涵盖大量安全设备,运维管理复杂。
政务外网向基层不断延伸,基层缺乏合适的安全运维人员。
一旦出现安全事件,割裂的日志需要大量人力物力才能分析出具体问题点,安全风险不可控。
因此,建立起集中设备管理和统一安全日志分析平台,才能有效简化运维,以最少人员实现最大限度的安全风险管控。
深信服电子政务外网整体解决方案
整体安全架构
深信服提出以融合事前预知风险,事中构建L2-7层主动防御,事后持续检测和快速响应的方式,结合云端安全、边界安全、端点安全,帮助用户构建“强检测、高可视、轻运维”的安全体系架构,让安全更简单、更有效。
针对现有电子政务外网安全建设的主要问题,深信服提出如下安全升级改造要点:
继续完善政务外网二期工程的建设内容,推进“三融五跨” 构建一体化“互联网+政务服务”技术和服务体系,优化电子政务外网骨干网络结构,加快非涉密政务专网迁移整合或融合互联,实现中央、?⑹小⑾馗骷墩癫棵诺乃募陡哺牵涌煜蛳缯颉⒔值馈⑸缜⑴┐逖由欤?
针对现有的情况,继续实现省以下广域骨干网全覆盖,在各级广域网边界增设下一代防火墙实现L2-7层的一体化防御,增设广域骨干网流量监测系统,实现广域骨干网安全可视;
在各安全域边界增设下一代防火墙和潜伏威胁检测探针,实现整网各关键节点的安全防御的同时,强化安全检测能力,再通过增设安全态势感知平台进行统一的安全事件分析和展示,作为全网统一的安全分析入口;
在应用区服务器上增设EDR端点插件,实现业务区东西向流量可视和安全检测;
在安全管理区增设集中管理平台,对所有的深信服设备进行统一的配置管理,作为全网统一的设备运维入口;
增加云端监测和响应服务,从外部视角监测内部安全,结合人工渗透和应急响应服务,实现内部安全风险的有效处理,形成安全闭环。
整体安全设计以安全感知平台为核心,以各关键节点探针、端点安全插件、下一代防火墙等设备为内部安全数据采集节点,结合深信服+第三方的外部威胁情报并配合机器学习分析等先进技术,对网内流量进行分析,强化整网的安全风险检测能力,对内部潜伏威胁和横向攻击进行持续检测。
同时借助安全感知平台的可视化技术将所有安全态势和安全事件进行统一的展示,实现整个电子政务外网安全风险的高度可视,让安全情况了然于胸。
此外,依托SC集中管理平台,对深信服的安全产品,包括NGAF、VPN、AC等数量较多的设备进行统一的安全配置集中管理,大大简化安全运维,实现轻量级运维。
方案价值
持续检测,提升风险管理能力
在已有基础上为安全建设补全检测、响应的能力,以业务维度帮助运维人员具备风险管理的条件和能力,感知整网安全风险。
立体保护,实现”防、管、控”一体化的安全治理
建立“云端、边界、内网”的立体保护的安全能力,引入云端安全能力,配合本地安全服务人员,最小化安全域,以业务为中心,构建云端、边界、端点的立体防护体系,有效抵御APT攻击、勒索病毒、未知恶意代码、僵尸网络等高级威胁,提升政务外网的整体安全性。
==>> 点击下载文档
