说明:
业务背景人民检察院是国家的法律监督机关。从2000年高检院提出实施“科技强检”战略以来,各地检察机关高度重视信息化工作,信息化建设也取得了一定的成绩。但是相比较于公安系统的金盾工程、法院系统的天平工程,检察系统在之前的信息化建设一直没有纳入国家信息化发展规划,缺乏顺畅、可持续的经费来源渠道,在发展上受到限制而显得较为滞后、失衡,严重制约了检察机关工作发展和司法改革的进程。在电子检务工程纳入《“十二五”国家政务信息化工程建设规划》,国家发改委正式批复《电子检务工程项目建议书》后,各地检察机关才真正迎来了检察工作信息化发展的新篇章。电子检务工程建设覆盖省/市/区县三级检察院及派驻检察室,除检察机关内部信息共享建设外,还涉及检察院与政法委、法院、公安、司法、行政执法等相关部门的网络互联和数据资源共享建设。电子检务工程的总体目标按照新时期检察工作的总体任务和要求,结合国家信息化建设、全国电子检务工程的总体规划,构建以需求为主导、以业务为主线、以网络为基础、以应用为核心、以安全为保障的检察信息化综合体系,大力推进检察机关网络信息技术的普及与应用,加快实现检察业务工作的规范化、网络化和智能化,全面提升检察机关依法查办和积极预防职务犯罪,提高侦查办案能力,依法打击刑事犯罪,提高维护社会稳定能力,强化对诉讼活动的法律监督,提高维护司法公正能力,加强控告申诉检察工作,提高化解矛盾纠纷能力,规范检察机关内部办公和管理流程,提高综合协调能力和决策能力,促进检察机关全面正确履行法律监督职能。建成覆盖三级检察院的司法办案、检察办公、队伍管理、检务保障、检察决策支持、检务公开和服务等“六大平台”,实现对检察工作全流程规范化、网络化、智能化管理,实现与有关部门信息资源共享和实时交换。探索完善“互联网+检察”工作模式,打造智慧检务。完善检察机关各类网络系统,加强网络安全防护和管理。建设国家检察大数据中心,...
说明:
业务背景《国家中长期教育改革和发展规划纲要(2010-2020年)》指出,我国的教育现代化和信息化已经进入加快发展和全面提高质量的新时期,在这一新时期,对教育信息化提出了新任务、新要求,其中明确提出了要推进标准化高中数字化校园的建设,加快教育信息化进程。在标准化高中数字化校园建设中,数据中心建设尤为重要,其作为学校信息化建设的核心,对于整个学校的信息化应用起着至关重要的作用。近年来,标准化高中数据中心建设已经成为教育装备工作的重点,各级教育主管部门对此项目的投资力度大幅增加。安全挑战随着互联网应用日益深化,标准化高中数据中心运行环境正从传统客户机/服务器向网络连接的中心服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经熟悉到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。1. 面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,典型的应用攻击莫过于“蠕虫”。蠕虫可通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪。2. 面向网络层的攻击标准化高中数据中心面临的网络层攻击主要包括拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)等对数据中心网络带宽造成巨大压力,影响业务的正常运行。攻击者利用各种工具获取身份鉴别数据,未经授权访问网络、系统,或非法使用应用软件、文件和数据。3. 对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒很容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在校园网络内部的黑客不...
说明:
业务背景2013年11月20日召开的国务院常务会议明确提出,整合不动产登记职责、建立不动产统一登记制度,由国土资源部负责指导监督全国土地、房屋、草原、林地、海域等不动产统一登记职责,基本做到登记机构、登记簿册、登记依据和信息平台“四统一”。2015年3月1日正式实施的《不动产登记暂行条例》规定,国务院国土资源主管部门应当会同有关部门建立统一的不动产登记信息管理基础平台,各级不动产登记机构的登记信息应当纳入统一的不动产登记信息管理基础平台,确保国家、省、市、县四级登记信息的实时共享,并对外提供以下四个方面的服务:1.面向各级不动产登记机构提供登记业务支撑服务;2.面向不动产审批和交易主管部门提供信息实时互通共享服务;3.面向相关部门提供信息共享交换服务;4.面向社会公众提供信息依法查询服务。不动产登记信息管理基础平台建设对于全面履行不动产统一登记职责,促进不动产登记信息完备、准确、可靠,消除“信息孤岛”,有利于建立健全社会征信体系,保证不动产交易安全,保护群众合法权益,更有效地服务社会,具有重要意义。安全挑战国土资源不动产信息管理平台建设,核心目标是打通纵向与横向网络互联互通,打破信息孤岛壁垒,实现面向各级不动产登记机构、不动产交易审批机构以及社会公众等多类用户。这些用户需要通过网络访问不动产登记信息管理基础平台获取所需服务。不动产登记信息管理基础平台能够利用到的网络主要包括国土资源业务网、国家电子政务内网、各级政府专网和互联网。1.国家电子政务内网根据国家电子政务内网建设的总体部署,及时为网络延伸到的地方和部门提供不动产登记业务和信息服务。以国家电子政务内网为载体,向中央部门和副省级以上城市有关部门提供不动产登记信息共享和查询服务。此部分安全建设需要考虑跨网络的信息安全交换和非授权访问、恶意代码引入等安全风险。国家电子政务内网延伸到的不动产登记机构,以直接接入存储不动产登记...
说明:
业务背景我国电子政务建设围绕“两网一站四库十二金”展开。“两网”是指政务内网和政务外网,“一站”是指政府门户网站,“四库”即建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库,“十二金”,则是指十二个重要的政务办公业务资源系统,这12个重点业务系统又可以按“2523”分为四个层次,第一个“2”指提供宏观决策支持的金宏工程、金土工程,“5”指涉及金融系统的金财、金税、金卡、金审和金关工程,第二个“2”指关系到国家稳定和社会稳定的金盾工程、金保工程,“3”指具有专业性质但对国家民生具有重要意义的金农、金水、金质工程。金字工程各业务系统和国计民生息息相关,承载着国民经济持续运行的重要数据,一旦被黑客入侵成功,将给社会和经济发展带来灾难性后果。而随着IT技术的发展,IT业务变得更加复杂,网络变得更开放,同时黑客的攻击变得复杂和隐蔽,手段更加高明。传统的安全体系防护效果越来越弱,因此做好金字工程网络信息安全建设、确保各项业务系统安全稳定运行非常必要。安全挑战金保工程的开展,实现了全国社保工作的逻辑互联,集中监控能力。金保工程物理逻辑上分为公共服务区和业务专网区,由于网络存在横向机构和纵向部门间的数据交换,作为政务工作网将严格按照严格参考国家电子政务安全保障建设的思路和标准进行建设。1.公共服务区安全需求公共服务区面向普通用户开放,面临基础网络的威胁,网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性;公共服务网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁;由于网络设备、操作系统和业务应用等会不断引入新的安全漏洞,如果不能及时发现并修复,将带来很大的安全隐患;出现安全问题不能快速追溯定位的问题,同时大量的安全设备难于有效管理,导致安全运维管理不便的问题。2.业务专网系统安全需求业务专网中有不同的业务区域需要隔离和访问控制,...
说明:
业务背景金审工程是中国国家审计信息化建设项目的简称,金审工程建设的总体目标,即:用若干年的时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法、效益,实施有效监督的国家审计信息系统。金审工程由审计署统一规划,实行中央和地方审计机关分级建设。审计署实行统一规划、统一指导、分期建设、分步实施的建设原则。目前金审工程已完成一期和二期的建设,一期工程主要是基础网络平台和业务应用系统的建设,提升审计署机关和驻地方办事处的原有网络基础设施,建设、整合审计业务应用系统,初步建成连接各级审计部门的广域网络和业务应用平台。二期工程的核心是联网审计,并实现在更大范围、更高层次地审计工作协同、统一指挥和大项目管理,实现数据共享的办公应用。金审工程三期主要依托国家电子政务外网和互联网,实现部、省、市、县四级审计机关,以及与财政、税务、海关等部门的互联互通和信息共享,建成审计综合作业平台、国家审计数字化指挥平台、综合服务支撑系统以及审计大数据平台等业务支撑平台。项目建成后,显著提高审计大数据综合分析能力,逐步实现对全国范围内财政、税务、金融、社保等行业部门与审计业务相关数据的集中分析,审计效率和审计质量将大幅提升,充分发挥审计工作在促进中央政策的落实、推进反腐倡廉建设、提高财政资金效率等方面的支撑作用。安全挑战金审工程无论是从网络上看还是从应用上看都是一项十分复杂而宏大的系统工程,在金审三期阶段,审计业务更加开放,网络边界逐步消失,网络安全问题将变得更加突出。从网络上看,金审工程网络系统是由审计内网、审计专网和审计外网组成的。该网络纵向连接中央、省、市、县四级审计机关,横向连接财政、税务、银行、海关等部门,重点国有企事业单位以及其他重点被审计单位,因此,金审工程网络系统实际上是一个规模庞大的全国性共享系统。从应用功能上看,金审工程应用系统包括现场审计实施系统、审计机关辅助办公系统、联网审计...
说明:
业务背景目前,各地市正在大力推进平安城市建设,平安城市的使用主体是公安部门,一般分为三个级别,自下而上分别为派出所、区县、市。通过部署高清摄像头,对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控,预防违法犯罪事件发生,同时为事后取证提供保证。这种监控网络采用了多级级联的VPN专网,通过专线由不同的监控平台分别控制下面数量众多的监控探头,探头采集视频数据并实时通过3G/4G、无线、有线网络传输到公安系统统一的存储区域,方便公安机构留档和分析调用。安全挑战各地的视频监控设备不断爆出存在漏洞,很容易被黑客入侵、控制,这不仅会导致视频专网连接异常,并且网络攻击还会造成磁盘损坏及录像数据丢失和设备故障,进而影响公安内网的安全,导致公安系统网络出现病毒、木马、僵尸、DoS攻击、敏感信息泄露等安全问题。虽然监控视频数据采用VPN专线传输,但VPN技术本身依赖于公网传输,VPN技术虽然能一定程度上保障封装数据的安全性和保密性,但很难对传输的数据内容安全性进行检查,因而也无法阻止病毒、入侵、恶意流量等风险在网络中传播。视频监控专网的产生的监控数据,需要在公安内网存档封样,以便公安机关必要时取用,同时这些视频数据也会被电子政务外网一些相关的视频业务系统授权使用,需要保证数据存储和传输过程中的安全需求。对于庞大的公安监控网络来说,如何有效的简化视频摄像头的安全管理,便于及时发现和定位掉线或异常的网络摄像头,快速实现业务恢复也是需要考虑的安全问题。解决方案在公安通信网、电子政务网及运营商网络边界处部署捷普下一代智能防火墙系统对各网络边界数据交换进行有效的安全管控和防护,对视频专网数据进行有效清洗,防止病毒、入侵、恶意流量等风险在网络中传播;在公安的核心网络处部署捷普的入侵检测系统,为了防止重要的视频数据的丢失或损坏,需要对核心数据采用数据备份与容灾系统。按照公安网络的安全要求,在视频...
说明:
煤矿作为国家关键基础设施的重点领域,是社会生产和居民生活的物质基础。随着“数字矿山”、“智慧矿山”等先进生产技术和生产模式的发展,煤炭行业与工业互联网的融合及促进已势不可挡。传统的网闸不仅不具备对工业协议解析的能力,其安全性也无法保证,所以部署专业的工业安全隔离与信息交换系统是非常必要的。 本项目是将某煤矿的重大设备感知数据上传至省局数据采集前置机系统,进而上传至国家煤矿安全监察局,因省局数据采集前置系统、国家煤矿安全监察局都为IT网络,直接将煤矿内网感知数据接入IT网络会有黑客入侵风险,另煤矿重大设备感知数据流均为工业数据流,而传统网闸不具备对工业协议解析的能力,因此要使用工业安全隔离与信息交换系统。 煤矿现场环境复杂,在工业环网上包含井上、井下一些系统,此次煤矿项目主要接入重大设备感知数据源的数据,包含主通风机监控系统、矿井排水监控系统、立井提升监控系统、斜井提升监控系统、空压机监控系统等,如图: 确认所需指标数据为DCS、SCADA中的点位数据,用捷普工业安全隔离与信息交换系统获取到对应指标数据,经过安全处理摆渡到捷普工业安全隔离与信息交换系统的外网侧,外网侧为前置机推送数据;满足国家煤矿安全监察局要求数据按国家煤矿安全监察局要求格式上传,上传后满足国家煤矿安全监察局的要求,受到了客户的高度肯定。 数据稳定上传捷普安全隔离与信息交换系统为了符合工业现场生产的连续性及稳定性在软件上进行全面优化设计,可以在外网网络暂时性中断的情况下将内网数据缓存在本地网关设备中,并不断检测外网网络的连通性状态,当外网网络连接恢复时将缓存的数据补报到监控系统中,保证数据的连续性。系统内嵌自诊断程序,可实时监测系统的运行情况,支持系统故障自恢复功能。 满足等级保护技术规范要求通过本项目建设符合等级保护相关要求的安全防护措施,建立了有针对性的合...
说明:
现状与挑战计算机及网络技术的不断发展,推动着高校信息化建设,并对高校深化教育改革、提高高校管理水平、培养新型人才等方面提出了新的要求。在这个新形势下,各大高校尝试利用私有云计算技术,为高校建设各种网站和应用系统。但云计算以及虚拟化技术的发展和应用除了给高校工作带来易扩展、易管理等特性外,同时也带来了新的安全威胁,云安全已成为制约高校私有云发展的最大因素。1.数据安全数据安全是高校建设私有云最为担心的问题,很多场景都可能会导致云中数据的丢失和泄漏。私有云中的数据泄露可能是因为有针对性的攻击,也可能是人为错误,应用程序漏洞或糟糕的安全措施导致的。一旦高校私有云中的数据泄露,那麽将对高校带来一定的价值问题,因此如何预防数据泄露变成了高校建设私有云最关心的问题。2.不安全的接口和API云计算服务商需要提供大量的网络接口和API来整合上下游,发展业务伙伴,甚至直接提供业务。但是,从业界的安全实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API 都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后,带来了额外的安全入侵入口。3.恶意的内部员工恶意的内部人员(如系统管理员)可以访问高校私有云中潜在的敏感信息,并且可以逐渐对更关键的系统进行更高级别的访问,并最终访问数据。仅仅依靠私有云自身的一些防护措施,那麽系统将会面临巨大的安全风险。4.账号和服务劫持在云环境中,如果攻击者能够获得高校私有云的账号相关信息,就可以窃听高校的活动和交易,操纵处理高校相关数据、返回伪造的信息,将高校的私有云用户导向到假冒的站点。使用窃取的凭证,攻击者可以访问高校私有云服务的关键部分,从而破坏这些服务的机密性、完整性和可用性。5.安全监测私有云平台上的网络环境、信息系统架构与传统环境大不相同,原本单一的检查工具已经渐渐不能满足,用户越来越需要全方位的...
说明:
钢铁冶金行业作为传统的生产制造型产业,近年来在国家对钢铁行业进行供给侧结构性改革的大背景下,钢铁企业为了应对日益激烈的市场竞争,积极响应国家“两化融合”的体系建设。国内大型的钢铁企业目前已经建成了生产经营管理一体的现代化钢铁生产厂,工业控制网络与企业管理信息网络高度融合,同时,随着节能减排、增产降耗带来的生产装置升级改造使得更多的工控设备暴露,外来运维人员及远程运维带来更多危险因素,为企业的安全生产带来了新的挑战。早在2016 年,钢铁协会就已下发了《关于做好防范PLC-Blaster 蠕虫病毒工作的通知》,针对工业控制系统及工控设备的安全防护已经迫在眉睫。行业隐患■ 现场控制层、过程控制层、生产管理层网络之间未部署能够针对工业协议进行安全防护的安全隔离设备。■ 各厂区缺少恶意代码监测、异常检测、安全审计等一系列的监测审计措施,不能及时发现进入工控网的安全威胁。■ 未对工程师站、操作站主机及服务器进行安全加固,不能有效的管理移动外设,工控主机作为上位机极易受到病毒及误操作的影响。■ 第三方运维人员(尤其是国外的技术人员)在进行现场或远程运维时对工业控制系统及网络会带来病毒、误操作等安全隐患。■ 未建立统一的安全管理监控系统,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案● 在过程控制层与生产管理层之间的关键位置部署具有工业协议深度解析功能的工业防火墙,实现针对工控网络及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 部署工业入侵检测系统,设置合理的检测策略,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。● ...
说明:
智能制造技术包括自动化、信息化、互联网和制造成型四个层面,产业链涵盖工业互联网、系统集成、工业软件、数据处理系统、高端数控机床和机器人等。2015 年5 月国务院印发《中国制造2025》,将智能制造作为工业现代化的主攻方向,而云计算、大数据、物联网等技术的发展为制造业转型升级提供了重大机遇的同时,也打破了ICS 的封闭环境,工控系统面临的安全形势将更为严峻,诸如更复杂的网络风险、更大量的数据上传、更开放的生产网络、更针对性的攻击入侵等问题将时刻敦促企业生产网络安全建设。行业隐患■ 生产管理网的DNC服务器在从生产控制网中采集生产数据时,使得生产控制网存在被恶意攻击、感染病毒的风险。■ 未对工业控制网络区域间进行隔离、恶意代码监测、异常监测、访问控制等一系列的防护措施,很容易一点发生病毒或攻击,影响全部车间甚至全公司。■ 未对操作站主机及服务器进行合规的安全配置,使得暴露的终端被攻击成功的可能性很高。■ 主要设备依赖国外品牌,第三方运维人员(尤其是国外的技术人员)在进行现场或者远程运维时可能会泄露重要生产数据或DNC文件。■ 未统一对设备及日志进行统一管理,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案 ● 在各系统区域的交界处部署具有深度协议解析功能的工业防火墙,实现两个区域间针对常规及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 针对目标网络中存在的各种病毒传输、攻击事件、可疑流量等进行实时监测,采用不影响原有网络环境的“轻接触”接入方式分析来自网络内外的入侵信号及APT攻击,做到早发现、早响应。● 依靠病毒治理...
说明:
伴随着互联网信息技术、工业自动化技术的革命性突破和全球经济一体化的发展,工业互联网应运而生,工业互联网涵盖了六大重点领域:工业互联网网络、工业传感与控制、工业互联网软件、工业互联网平台、安全保障以及系统集成服务等。由于工业互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级持续性攻击等安全风险,对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保。行业隐患■ 大部分现场设备的操作系统陈旧,升级更新周期长,存在的大量漏洞极易被恶意病毒或代码感染,脆弱性高。■ 安全防护的建设速度远远落后于机械设备的数字化、信息化、网络化改造速度,越来越多的机械设备暴露于互联网中。■ 办公网络边界防护不清,存在大量安全漏洞,被不法分子利用跳板渗透工业系统控制层。■ 工业互联网的数据体重大、种类多、结构复杂,数据通信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。■ 在云平台中,作为底层支撑技术的虚拟化技术在带来效率提升和开销降低的同时,也带来了一系列由于物理的共享与逻辑隔离的冲突而导致的数据安全问题。 解决方案● 通过边界防护、入侵检测、安全审计、运维审计、未知威胁检测、容灾备份、恶意代码防护等技术手段形成对工业互联网安全的“监测、报警、处置、溯源、恢复、检查”工作闭环;● 在区域的交界处部署具有深度协议解析功能的工控防火墙,实现常规及工业协议的逻辑隔离、报文过滤访问控制等功能。● 针对各种病毒传输、攻击事件、可疑流量...
说明:
煤矿数字孪生解决方案是通过构建与物理煤矿1:1映射的虚拟模型,融合实时数据与多维度技术,实现煤矿“采、掘、运、通”全流程可视化监控、智能决策与安全预警的综合管控方案,核心是解决传统煤矿“安全风险高、生产效率低、管理难度大”的痛点。核心架构采用“物理实体-数据链路-虚拟模型-应用服务”四层架构,自下而上实现数据驱动决策:1. 物理煤矿层:涵盖井下工作面、巷道、通风系统、运输设备及井上调度中心等实体场景。2. 数据采集与传输层:通过物联网传感器(如瓦斯、温湿度、设备振动传感器)、5G/工业以太网,实时采集生产、安全、环境数据并上传。3. 数字孪生建模层:构建高精度三维模型,融合地理信息(GIS)、设备机理模型,实现物理场景的动态映射与数据同步。4. 应用服务层:基于虚拟模型提供安全监控、生产优化、设备运维等具体功能,支撑管理决策。关键模块与技术应用核心功能模块• 井下安全智能监控:实时模拟瓦斯浓度、顶板压力、涌水量等风险参数,超标时自动触发声光预警,如瓦斯浓度超限时,虚拟模型中对应区域变红并推送撤离指令。• 采掘生产可视化管理:动态呈现采煤机、掘进机的运行轨迹与工作状态,通过虚拟调试优化切割路径,减少无效作业,提升回采率。• 设备预测性维护:将设备运行数据(如电机温度、轴承振动)接入孪生模型,结合AI算法预判故障,如提前识别刮板输送机的齿轮磨损,避免突发停机。• 应急救援模拟演练:在虚拟场景中模拟火灾、透水等事故,规划最优逃生路线与救援方案,提升线下应急处置效率。关键支撑技术• 高精度建模技术:通过激光扫描(LiDAR)获取井下场景数据,确保模型与物理环境误差小于5厘米。• 实时数据融合技术:采用边缘计算预处理传感器数据,再通过云计算实现多源数据(设备、环境、人员)的协同分析。• AI决策算法:应用机器学习预测瓦斯积聚风险、优化采煤机截割参数,让虚拟模型从“映射”向“决策辅助”...