X区政务网安全加固项目
用户需求说明
项目编号:
项目名称:X区政务网安全加固项目
X信息委
二零一二年十二月
一、概述
1、项目名称
《X区政务网安全加固项目》
2、项目概述
上海市X区政务网是X区政务系统的网络基础平台,X区政府以及区属各委办单位(如区审计局、区统计局、区卫生局、区建交委等等)均使用该政务网,由X区信息技术中心进行统一网络管理。 X区政府政务网承载着所有区管单位政务管理业务信息的传递、处理和存储。目前包括办公自动化应用(OA)、电子公务邮件应用、电子公文系统以及其它各项业务应用等。X区政务网在提高政务部门的办事效率,缩短办事周期,降低办事成本,规范办事流程,提高办事的透明度等方面发挥着重要作用。
为深入贯彻落实国家和市政府关于加强政府政务网安全管理工作的要求,做好X区政府政务网的安全管理及安全保障工作,积极落实国家信息安全等级保护3级基本要求中的相关各项建设。依据国家信息安全等级保护3级系统建设的相关标准,根据X区政务网的实际情况,分别从技术(主机、数据库、网络、应用等角度)和安全管理方面对X区政务网进行合理化建设和加固。以期充分达到等级保护3级的防护要求,从而预防政务网各种安全事故的发生。
3、项目目标
根据对当前X区政务网环境的分析,政务网安全加固目标的建设需积极采取诸如部署入侵防御系统、堡垒主机、网络恶意行为‘黑洞’引流、安全审计、互联网接入认证、数据存储备份系统进行应用整合,将现有系统中所有的存储系统整合为一个完整的存储资源,实现统一管理、备份、安全防护、监控、 实时审计等安全措施,切实保障X区政府政务网按照<;国办函>、<;沪网安办>相关文件要求将X区政务网安全建设落到实处。
二、项目建设内容
当前X区政务网网络中,在安全防护方面部署了传统的防火墙,在面对越来越频繁的应用层攻击、网络恶意代码攻击、恶意行为入侵等非法攻击行为,仅仅依靠传统的防
火墙无法提供全面的安全防护。并且政务网在安全审计、入侵行为检测、网络恶意行为处理和存储备份系统资源统一整合这些方面存在不足。
通过综合考虑X区政务网网X全现状,并依据《信息安全技术信息系统安全等级保护基本要求》3级建设标准,X区政务网安全加固项目建设具体包括以下建设内容。(1)数据存储备份系统安全加固
数据存储备份系统安全加固包含了:
⏹存储资源整合--目前存储资源部署比较分散,造成了存储资源不能被有效利用,
也不便于维护人员对所有的存储资源进行统一管理和维护。将存储资源整合为
一个统一的存储,在整合时,可以分阶段实现整合。首先,对存储设备的物理
连接进行整合,将所有的SAN网络通过存储交换机来实现连接,以便解决目前
面临的备份问题。其次,对存储进行虚拟化整合,将现有系统中所有的存储整
合为一个完整的存储资源,便于进行统一的管理。在进行存储资源整合时,不
能丢失正常存储的数据,现有业务系统不能被破坏。
⏹备份系统—为了防止数据的丢失,需要在数据正常运行的情况下,对X区政务
网核心系统数据进行在线备份,保证一旦数据发生故障可以及时恢复。本次备
份系统,为了充分保障数据的完整和备份成功,需使用自动化的备份软件,对
所有需要进行备份的数据实现完全的在线备份且不影响系统正常运行。X区政
务网系统中的核心应用主要包括OA数据库Oracle RAC系统、虚拟机Hyper-V
系统、文件系统。
⏹存储系统—存储系统作为备份数据的存储介质,实现对政务网系统中核心应用
数据包括OA数据库Oracle RAC系统、虚拟机Hyper-V系统等的备份数据的存
储,当需要恢复操作时,能及时的提供数据调用。存储系统需要满足大容量的
磁带库要求,并通过千兆以太网接入X区政务网系统中,通过FC光纤链路连
接到SAN环境中,负责备份数据的保存。
⏹备份服务器—使用一台服务器作为Netbackup备份软件的服务器,通过千兆以
太网接入X区政务网网络中,通过FC光纤链路连接到SAN网络环境中。备份
服务器主要负责备份系统的管理,包括备份策略和任务的制定、存储磁盘的管
理等。
(2)网络恶意行为处置
针对网络遭受的木马攻击、恶意软件传播、内部信息被窃取、僵尸网络攻击等网络恶意攻击行为,实现从检测、预警、防护、处置的网络恶意行为完整解决方案,形成对恶意代码从检测到处置的多层次、多角度的主动防御,确保网络内终端服务器免受网络恶意行为的攻击。
(3)核心防火墙系统
在政务网的内部网络与外部网络互联的链路上,部署了防火墙安全设备,使Internet与Intranet之间建立起了一个安全防护的屏障,从而保护内部网络免受非法用户的侵入。但由于政务网相关安全设备大多数是在2004年部署的,故这些安全设备已经进入故障多发期,且随着政务网的不断建设和发展,安全设备的性能已经无法满足业务发展的需求。所以需要对核心防火墙系统进行更换和部署。
核心防火墙系统部署需要满足一下要求:
➢防火墙安全策略与之前防火墙设备的策略一致;
➢内部网络和外部网络之间的所有网络数据流必须经过防火墙;
➢只有符合安全策略要求的数据流才允许通过防火墙;
➢防火墙自身应具有非常强的抗攻击能力。
(4)网络入侵检测系统
为保证政务网内网与互联网数据交互的安全性,需对内网和外网之间的数据流做安全过滤,以确保能
及时检测并抵御DDOS、拒绝服务、入侵行为、僵尸网络、木马行为等网络恶意攻击。网络入侵检测系统需要提供主动检测网络的易受攻击点和安全漏洞,系统采用动态安全技术实时捕捉、网络监视与安全分析相结合,发现危险攻击的特征,进而探测出攻击行为并发出警报,同时可与相关安全设备如防火墙进行安全联动,在探测到攻击行为时,及时的进行主动防御。
(5)内控堡垒主机系统
为了规范政务网内、外部信息管理维护人员对服务器、数据库等IT基础架构关键资源的运维操作,并对这些关键操作提供强有力的监控和审计手段,减少对信息化设施的误操作和恶意操作的概率,缩短故障和安全事件的定位时间,提高信息系统运行维护的能力和效率,切实满足企业内控管理的合规性要求。内控堡垒主机系统需能够对Unix
和Windows服务器、网络与安全设备上的数据访问进行安全、有效的操作审计,支持实时监控、实时告警和事后全程回放审计。能够提供内容审计,集认证、授权、管理、审计为一体,有效地实现事前预防、事中控制和事后审计。通过内控堡垒主机系统完善系统安全防护体系。
(6)安全审计和管理系统
安全审计和管理系统,是作为一个统一的日志监控与审计平台,需要能够实时不间断地收集各类主机
、数据库、应用及不同厂商的安全设备、网络设备、操作系统、中间件等用户业务系统的日志、警报等信息汇聚到审计中心,并由安全设计和管理系统进行统一存储、管理和分析。
帮助管理员随时了解整个政务网信息系统的运行情况,通过实时的日志分析及时发现系统异常和非法访问行为;另一方面,通过事后分析和丰富的报表系统,方便管理员高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,安全审计系统可以确保日志完整性和可用性,协助管理员进行故障快速定位,并提供客观依据进行追查和恢复。安全审计和管理系统需保证7×24小时正常、持续、稳定运行,降低信息系统的整体安全风险。
(7)操作系统安全加固系统
在所有网络系统内,服务器是信息系统中敏感信息的直接载体,也是各类应用运行的平台。而作为对外开放的应用平台,服务器操作系统也是最薄弱、最易受攻击、保护力度相对缺乏的区域。因此,为了服务器应用数据的安全、服务器运行的稳定等因素,采用操作系统安全加固系统,对服务器操作系统进行安全保护。
(8)镜像分路器系统
由于单台的网络设备交换机所允许的镜像口数量有限,当接入多台旁路设备需要镜像流量时,就无法支撑业务的需求。所以使用镜像分路器系统,来辅助增多交换机镜像口。
使用镜像分路器系统主要是为了在多个交换机镜像端口上平均分配网络分析和监控设备,对整个政务网网络进行可视性和集中化管理以加快问题解决速度、缩短停机时间、增加用户生产效率以及提高投资回报率。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议