近年来,随着计算机网络的迅速发展,政府部门信息化建设已成为一种趋势,但由于政府办公网络环境中终端分布存在地域差异,安全需求各不相同,使得政府业务系统极易出现安全问题,影响政府部门正常工作,甚至危害公民及国家安全。为此,实行信息系统安全等级划分制度,并逐级制定管理规范,成为政府部门保障信息化建设的工作重点。
2003年,中办颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》。随后,为进一步推动信息安全建设,国家先后于2004年和2007年颁布了《信息安全等级保护工作实施意见》及《信息安全等级保护管理办法》。规定指出,信息系统划分成五个安全等级,且在维护信息终端安全稳定方面需做到逐级的身份认证、访问控制、数据加密、病毒防护、系统加固、安全审计等要求,以确保信息系统保密性、完整性和可用性。
然而由于等级保护工作监管措施存在问题,一些部门在业务系统发生变化后未能及时进行重新定级,导致系统安全等级划分不明确,安全策略制定不到位,非法访问、数据泄漏、威胁入侵等问题在政府网络中依然存在。为进一步提高信息终端安全管理水平,保障信息化健康发展,减少安全隐患和事故发生,信息安全等级保护工作进入全面整改阶段。为尽快完成等级保护整改工作目标,当前电子政务终端安全管理急需解决以下问题:
访问管理、身份认证机制存在弊端:虽然目前网络环境中已经对访问管理、身份控制有了一定的防护措施,但由于运用虚假CA证书欺骗手段,或基于漏洞绕过访问控制机制入侵网络环境的案例频繁发生,现阶段网络终端仍然存在众多安全隐患。
漏洞发现不及时:由于漏洞本身的发现存在滞后性,可能导致一些第三方应用及系统本身漏洞存在于网络环境中,如果检测和分发安全策略不全面及时,将会给病毒、恶意软件、木马等威胁可乘之机,甚至造成严重危害。
漏洞补丁和现有系统的兼容性:由于某些专用的业务系统需要针对特定的操作系统软件环境。新出现的漏洞补丁和原有应用系统之间的兼容性问题,需要耗费大量的人力、物力进行验证,而这项工作往往被忽视。某些网络中,特别是专用业务网络中,为了避免该问题,索性采取不打任何补丁的策略,埋下了信息安全隐患。
定向攻击手段层出不穷:当APT等极具针对性的定向攻击案例一次又一次的被曝光时,政府部门越来越意识到,仅仅依靠传统的终端安全解决方案,已经无法对其进行及时防范,被动响应,或者单纯依靠简单的黑/白名单逻辑的安全防御模式,已经明显的滞后于安全防范的新要求。
缺乏安全意识:虽然安全管理设备已经置备齐全,但由于用户在操作习惯上的随意性,仍然会出现对于终端安全等级及策略制定不明确,或发生在非涉密终端上处理涉密或敏感信息等情况,给专用业务IT环境埋下极大的安全隐患。
偏重个体方案实施,忽视体系建设管理:纵观国内政府信息安全系统,大多同时配备了防火墙、入侵监测和病毒防范等安全管理软/硬件设施,单纯的产品罗列和叠加不但会产生资源抢占等问题,同时缺乏一套完善的安全防御技术体系,也给安全风险的控制造成极大的困难。
上述这些问题的存在,使得目前政府部门急需一套以信息安全管理体系为基础,符合国家信息安全保障工作要求,信息安全等级保护工作规范的全方位一体化终端安全管理解决方案,帮助管理员实现对政府IT业务环境的高度可控。
对此,金山安全公司提出了金山私有云安全管理系统。该系统凭借金山多年在安全领域经验积累,以及基于金山公有云的先进技术和运维理念,将威胁防护与终端管理有效结合在一起,打造出基于私有云平台的一体化终端安全管理解决方案,有效减少单一功能设备罗列产生的资源浪费与管理风险,确保政府部门信息系统持续可用,实现政府信息系统IT环境的可视、可信、可控、可审计、可回溯。
金山一体化终端安全管理体系模型
该体系将政府终端安全防护分为事前、事中、事后三个阶段,并针对每个阶段行了详细方案制定。事前,通过完善的访问控制、漏洞管理等机制,为建立稳定的信息化业务系统打下良好的基础。事中,通过运行保障、应急保障机制实现安全监测预警,及时发现安全威胁,排除安全隐患,快速进行关键业务主机的IT环境锁定,为关键业务主机提供一个“恒温/恒压”的软件运行环境,确保业务系统长时间无故障运行。事后,通过恢复保障体系及审计机制针对突发灾难导致的后果进行秒级快速修复,迅速恢复损坏的业务系统IT软件环境,并对事件过程进行详细记录,明确责任划分,为调查取证及快速制定整改提供依据。
事前:保障系统稳定性。
由于政府涉密信息系统安全防护不仅要符合等级保护中的相关要求,还需根据分级保护规定对其进行密级划分。为此:
金山网络专业的安全团队可帮助用户量身定制符合其业务安全等级需求的防御机制,确保用户业务系统合规性;
精确的访问控制机制,能够根据用户身份信息与应用进行匹配,确保了被标记的重要信息受限访问;
基于系统实际应用环境需求制定的补丁驱动更新机制,加之虚拟补丁技术的结合,能够有效降低业务系统安全风险,保障核心业务稳定进行。
凭借对政府终端安全防护领域多年的经验积累,金山私有云最终帮助政府制定出一套能够满足用户需求的事前保障机制。
事中:实现业务连续性
基于为政府部门量身打造的安全基线实现的细粒度应用监控。
金山私有云能够对潜在的安全风险进行检测,一旦发现控制策略以外的未知应用,客户端会根据策略对其进行自动拦截或放行。对于APT这种针对性攻击形式,金山私有云基于安全基线理念形成了一套领先的防御体系,帮助管理员更好的实现风险的管理。
在维持安全性和可用性上,金山私有云能够放权于用户,让用户自主对基线进行定制,保证特殊应用在系统内的正常运行。
此外,基于安全基线制定的业务系统恢复机制,可以快速将系统回滚至上个正常运行节点。
凭借应用监控与业务恢复机制的相互融合,为业务系统的连续可用提供运行保障及应急保障。
事后:确保及时运维整改
基于实际应用监控策略实现的详细审计机制,满足了等级保护中对于安全风险快速定位的要求,帮助政府部门实现事故责任明确划分。同时,完善的知识库体系,能够为管理员提供丰富的运维经验支持,帮助管理员针对业务系统薄弱环节,快速制定运维整改方案。
包含审计功能及完善知识库的一整套事后处理机制,为及时调查取证及运维整改提供了可靠的恢复保障。
目前,金山私有云已经在国内完成了多个项目的测试,并且已经成功在某大型跨国企业中完成项目实施,成为国内第一个落地的私有云产品项目。未来,金山私有云将凭借自身云平台架构的优势来满足更多不同用户需求,为电子政务稳定运转及效率提升保驾护航。 |