`
说明: 业务背景中保办2011年下发《关于加强涉密网络测评审批工作的通知》,明确要求“中央和国家机关在用涉密网络及各省(区、市)机关、单位在用涉密网络,需要根据要求完成测评审批”,捷普在全国个省(区、市)重点推广分级保护咨询、继承业务项目,用自身的安全技术和涉密网建设经验优势服务客户。依据《中华人民共和国保守国家秘密法》和国家秘密及其密级具体范围的规定,国家秘密信息的密级分为秘密级、机密级和绝密级。涉密信息系统应按照所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级,涉密信息系统以系统内所处理信息的最高密级确定系统密级。安全挑战涉密改造需要严格按照国家保密局新颁布的国家保密标准BMB23-2008《涉及国家秘密的信息系统分级保护方案设计指南》进行设计,参照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》对机密级信息系统的技术要求进行设计,参照BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》对机密级信息系统的管理要求进行设计。涉密信息系统安全需求如下:1.物理隔离涉密信息系统不得直接或间接连接互联网,应实行物理隔离。2.安全保密产品选择涉密信息系统中使用的安全保密产品原则上应选用国产设备。安全保密产品应通过国家相关主管部门授权的测评机构的检测。3.安全域边界防护1) 安全域之间的边界应划分明确,安全域与安全域之间的所有数据通信都应安全可控:2) 对于不同等级的安全域间通信,应禁止高密级信息由高等级安全域流向低等级安全域。4.密级标识涉密信息系统中的信息应有相应的密级标识。密级标识应与信息主体不可分离,其自身不可篡改。针对以上整改需求,本方案主要针对安全域边界防护部分。解决方案根据上述技术要求,在方案设计时应采取的技术措施包括防火墙、入侵防御系统、防病毒网关、信息审计系统、漏洞扫描系统等,如下表所示。BMB17要求的技术措施本方...
说明: 业务背景教育城域网的建设对于加快本地区教育信息化的步伐,以信息化带动教育的现代化,全面提高教育管理水平和教学水平有深远的意义。教育城域网的建设能推动以学生为中心的教学改革实践和信息化平台上的基础教育实验,更好地培养适应信息社会生存和发展需要的合格公民,从而达到“教会一个学生、带动一个家庭、推动整个社会”的目的。其价值体现在为使用者带来的服务体验和应用效果中。教育城域网是一对上连接省、市有关单位和CERNET、互联网主干网,对下连接各区、县教育局、学校,沟通全市教育系统各事业单位和学校,对外面向全社会服务的大型综合性信息网络。随着教育信息化进程的推进,各种不良信息、非法入侵、系统漏洞、病毒等安全问题不断涌现,对城域网和应用系统产生巨大的威胁,城域网的安全问题就变得尤其重要。安全挑战教育城域网是本地区的教育信息化的业务开展和技术实现的基础,是本地区教育部门的门户中心、数据中心和交换中心,教育服务中心、管理中心,以及本地的网上教育社区。教育城域网作为整个信息化系统的基础网络,面临的安全风险主要包括:1. 网络基础服务安全挑战教育城域网作为本地区教育信息化的主要平台,必须提供高可靠性、安全性的基础通信服务。由于教育城域网使用基础TCP/IP协议,网络层、应用层协议本身的漏洞和网络技术的开放性,将会给教育城域网带来巨大的安全隐患。教育城域网的主要网络基础安全问题包括缺乏漏洞管理、必要的边界防护措施、计算机病毒、接入安全等。2. 教育相关业务安全挑战教育城域网提供远程教育、名师名教、培训认证等各种在线业务,具有极高的商业价值,必须有良好的安全保障体系进行保护。另外,教育网的很多信息是通过教育网的门户网站来对外发布的,很多业务是对互联网开放,应从网络运营角度提供必要的手段减少安全隐患,防止攻击者入侵、DDoS攻击之类的安全威胁。3. 网络运维管理安全挑战随着...
说明: 业务背景随着我国信息化进程的不断发展,信息安全越来越受到重视。特别是2014年2月27日中央网络安全和信息化领导小组的正式成立,标志着网络安全已经上升成为国家战略。等级保护作为国家信息安全的基本制度和核心技术体系,也必然得到进一步加强。政府机关单位为保证其核心业务应用的持续、稳定运行,实现各核心业务应用之间信息的安全共享,必须按照《信息安全等级保护管理办法》(公通字[2007]43号)文件精神,结合自身核心业务系统特点开展信息安全等级保护建设整改工作。各单位进行等保建设之前,需要对自身网络进行了深入的调研和评估,梳理当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行定级备案、差距分析与风险评估、安全规划等一系列准备工作。安全挑战根据等级保护建设前期调研、评估过程,依据《GB 17859-1999 信息安全技术 信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,等级保护建设需求如下:明确安全域、线路和节点冗余设计,实现动态流量优先级控制各个网络区域边界没有访问控制措施互联网出口需要重点的安全防护和冗余设计提高安全维护人员对入侵行为的检测能力对内部人员访问互联网进行控制和审计加强网站应用的安全防护措施建立符合等级保护要求的内部审计机制构建基于用户身份的网络准入控制体系从业务角度出发,强化应用安全、保护隐私数据建立并保持一个文件化的信息安全管理体系,明确管理职责、规范操作行为解决方案通过对现状资产梳理,差距分析后,交大捷普针对等保建设项目能够提供的服务如下图:安全技术层面物理安全:机房要满足等保三级基础要求。网络安全:网络结构进行优化,所有核心节点全冗余部署,同时还要有网络优先级控制;互联网出口部署捷普抗拒绝服务攻击设备;同时由于双出口运营商,部署链路负载均衡实现智能选路;所有安全区域边界位置部署捷普下一代防火墙,开启FW...
说明: 业务背景数字化校园是以网络为基础,利用先进的信息化手段和工具—计算机技术、网络技术、通讯技术,实现对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制,扩展传统校园的功能,最终实现教育过程的全面信息化。在各教育主管部门的推进下,普通教育、职业教育的信息化程度有了很大提高,很多中小学、中高职业学校正在或已建自己的校园网络。在网络为学校教学、应用带来便利的同时,校园网内病毒泛滥,网络收到攻击、网页被篡改挂马等网络安全事故却也屡屡发生。由于各学校在信息安全方面的认识和投入不足,数字化校园的网络安全问题需要引起足够的重视。安全挑战数字化校园面临的主要网络安全威胁包括:1. 外部恶意扫描和攻击中小学校、中高职业学校的网络边界防护缺失,外部攻击者可轻松通过扫描等方式可以发现漏洞并发起攻击,同时可能会发起渗透式入侵,获取、篡改甚至破坏敏感数据,直接影响中小学校园网络的正常运作。2. 校园网站被挂马篡改外部攻击者通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到校园网站的管理权限,进而篡改网页代码,影响及其恶劣。3. 校园宽带滥用校区办公人员或者学生大量访问P2P资源,消耗大量校园宽带,由于缺少专业的流量控制和应用管理,导致正常业务流量无法得到保证,进而影响大校园网的正常运行。4. 内网病毒蠕虫传播由于校园网内部病毒、蠕虫防范手段缺失,很容易造成内部的广泛传播,不仅会对核心敏感数据造成严重的威胁,甚至可能造成网络拥塞,最终导致网络中断。5. 网络违规访问行为校区办公人员、校内学生可能存在本地浏览非法网站、发表敏感信息和传播非法言论,造成恶劣社会影响,并导致相关国家法律问题。解决方案交大捷普根据信息安全等级保护的相关要求,结合...
说明: 业务背景智慧城市是指充分运用物联网、云计算等先进信息技术手段,全面感测、分析、整合城市运行中的各项关键信息,通过提供智能化的服务,使城市的管理和服务更有效,为城市工商业活动和市民提供人与社会、人与人、人与物和谐共处的环境。智慧城市是新一轮信息技术变革和知识经济进一步发展的产物,是工业化、城市化与信息化深度融合的必然趋势,是综合解决“城市病”的一种有效途径,是一种可持续的城市发展模式。智慧城市建设是在原有城市基础设施上,综合运用新一代的信息技术,赋予基础设施交互能力,对物体进行识别,感测城市运行的基本状况,实现物与物之间的信息传递;并对交互感知得到的信息通过云计算平台进行统一管理和调度,城市各相关部门根据所需提取信息进行智能处理、分析预测,形成诸多智能系统方案,如:智能交通管理系统、智能安防管理系统、智慧能源管理系统等。通过打造一个统一的城市运营指挥中心,为城市管理者提供高效的城市管理手段和途径,从而为企业提供优质服务和广阔的创新空间,为市民提供更好的生活品质。智慧城市需要政府打破数据行政壁垒,统筹社会各方完成大数据采集与共享的能力。因此,智慧城市建设需要专门的城市运营指挥中心来负责城市政务大数据的采集、管理与共享发布,进而推动大数据的研究、挖掘、应用与产业发展。而在智慧城市建设过程中,这些海量基础数据包含公民和政府敏感信息,数据潜藏无限价值,成为黑客、敌对势力、间谍组织的重要攻击目标。在过去的数十年中,由于我国对革命性新技术的系统认识不足,前瞻性投入不够,导致从半导体、计算机、网络基础设施,到操作系统和数据库等主流IT技术的控制权完全旁落,国家安全几乎“无密可保”,教训深刻。“棱镜门”事件只是揭开了我国网络与信息系统安全问题的冰山一角,随着大数据时代的来临,我们所面临的严峻安全形势只会日益加重,迫切需要建立我国自主可控的安全体系,否则信息化程度越高,安全风险反而越大。试想一...
说明: 业务背景“双高双普”是高质量、高水平普及九年义务教育,普及学前教育、普通高中阶段教育的简称,是由《国家中长期教育改革和发展规划纲要(2010-2020年)》确定的教育发展方针。通过加大教育经费投入,优化教育资源配置,为适龄儿童、少年创造公平接受义务教育的条件,努力提高义务教育普及水平和教育质量,不断满足经济社会发展对高素质劳动者和技能型人才的需求。随着“双高双普”建设的推进,各省区市也相继出台了具体的政策要求和评估标准,其中对学校的网络建设、现代化教育装备等均提出了明确的要求,通过学校网络化、信息化的建设,逐步实现“宽带网络校校通、优质资源班班通、网络学习空间人人通”。安全挑战在“双高双普”网络信息化建设的过程中,主要面临以下网络安全风险和威胁:1. 网络攻击与入侵网络攻击逐渐从简单的网络层攻击转向应用层攻击,基于应用漏洞的攻击以及采用非固定端口的攻击行为给校园网络安全带来了更多的挑战,计算机病毒和木马的恶意传播时刻威胁着网络的安全和稳定。如何检测应用级别的攻击成为网络设备必须面对的问题。 2. 恶意带宽消耗据统计,校园网络有60%以上的流量都被P2P等带宽消耗业务占用,严重影响了正常业务的带宽资源,更严重的将导致远程网络教学无法开展,教师无法获取互联网上的优秀教学课件,大大影响了网络及多媒体教学的质量。另外,P2P软件也逐渐成为病毒和木马传播的主要途径。3. 关键网络业务无法保障互联网是基于开放的IP网络,IP协议本身采用“尽力而为”的方式对数据进行处理,由此导致了互联网应用的无序化竞争,从而间接的导致了网络资源经常处于饱和状态。在带宽资源竞争的过程中,与教学相关的网络应用经常性的处于被动的劣势地位,迫切需要相关网络应用管理策略保证关键应用(如多媒体远程教学、视频会议、电子邮件等)和关键用户的服务体验。 4. 内...
说明: 业务背景人民检察院是国家的法律监督机关。从2000年高检院提出实施“科技强检”战略以来,各地检察机关高度重视信息化工作,信息化建设也取得了一定的成绩。但是相比较于公安系统的金盾工程、法院系统的天平工程,检察系统在之前的信息化建设一直没有纳入国家信息化发展规划,缺乏顺畅、可持续的经费来源渠道,在发展上受到限制而显得较为滞后、失衡,严重制约了检察机关工作发展和司法改革的进程。在电子检务工程纳入《“十二五”国家政务信息化工程建设规划》,国家发改委正式批复《电子检务工程项目建议书》后,各地检察机关才真正迎来了检察工作信息化发展的新篇章。电子检务工程建设覆盖省/市/区县三级检察院及派驻检察室,除检察机关内部信息共享建设外,还涉及检察院与政法委、法院、公安、司法、行政执法等相关部门的网络互联和数据资源共享建设。电子检务工程的总体目标按照新时期检察工作的总体任务和要求,结合国家信息化建设、全国电子检务工程的总体规划,构建以需求为主导、以业务为主线、以网络为基础、以应用为核心、以安全为保障的检察信息化综合体系,大力推进检察机关网络信息技术的普及与应用,加快实现检察业务工作的规范化、网络化和智能化,全面提升检察机关依法查办和积极预防职务犯罪,提高侦查办案能力,依法打击刑事犯罪,提高维护社会稳定能力,强化对诉讼活动的法律监督,提高维护司法公正能力,加强控告申诉检察工作,提高化解矛盾纠纷能力,规范检察机关内部办公和管理流程,提高综合协调能力和决策能力,促进检察机关全面正确履行法律监督职能。建成覆盖三级检察院的司法办案、检察办公、队伍管理、检务保障、检察决策支持、检务公开和服务等“六大平台”,实现对检察工作全流程规范化、网络化、智能化管理,实现与有关部门信息资源共享和实时交换。探索完善“互联网+检察”工作模式,打造智慧检务。完善检察机关各类网络系统,加强网络安全防护和管理。建设国家检察大数据中心,...
说明: 业务背景《国家中长期教育改革和发展规划纲要(2010-2020年)》指出,我国的教育现代化和信息化已经进入加快发展和全面提高质量的新时期,在这一新时期,对教育信息化提出了新任务、新要求,其中明确提出了要推进标准化高中数字化校园的建设,加快教育信息化进程。在标准化高中数字化校园建设中,数据中心建设尤为重要,其作为学校信息化建设的核心,对于整个学校的信息化应用起着至关重要的作用。近年来,标准化高中数据中心建设已经成为教育装备工作的重点,各级教育主管部门对此项目的投资力度大幅增加。安全挑战随着互联网应用日益深化,标准化高中数据中心运行环境正从传统客户机/服务器向网络连接的中心服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经熟悉到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。1. 面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,最典型的应用攻击莫过于“蠕虫”。蠕虫可通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪。2. 面向网络层的攻击标准化高中数据中心面临的网络层攻击主要包括拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)等对数据中心网络带宽造成巨大压力,影响业务的正常运行。攻击者利用各种工具获取身份鉴别数据,未经授权访问网络、系统,或非法使用应用软件、文件和数据。3. 对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒最易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在校园网络内部的黑客不...
说明: 业务背景2013年11月20日召开的国务院常务会议明确提出,整合不动产登记职责、建立不动产统一登记制度,由国土资源部负责指导监督全国土地、房屋、草原、林地、海域等不动产统一登记职责,基本做到登记机构、登记簿册、登记依据和信息平台“四统一”。2015年3月1日正式实施的《不动产登记暂行条例》规定,国务院国土资源主管部门应当会同有关部门建立统一的不动产登记信息管理基础平台,各级不动产登记机构的登记信息应当纳入统一的不动产登记信息管理基础平台,确保国家、省、市、县四级登记信息的实时共享,并对外提供以下四个方面的服务:1.面向各级不动产登记机构提供登记业务支撑服务;2.面向不动产审批和交易主管部门提供信息实时互通共享服务;3.面向相关部门提供信息共享交换服务;4.面向社会公众提供信息依法查询服务。不动产登记信息管理基础平台建设对于全面履行不动产统一登记职责,促进不动产登记信息完备、准确、可靠,消除“信息孤岛”,有利于建立健全社会征信体系,保证不动产交易安全,保护群众合法权益,更有效地服务社会,具有重要意义。安全挑战国土资源不动产信息管理平台建设,核心目标是打通纵向与横向网络互联互通,打破信息孤岛壁垒,实现面向各级不动产登记机构、不动产交易审批机构以及社会公众等多类用户。这些用户需要通过网络访问不动产登记信息管理基础平台获取所需服务。不动产登记信息管理基础平台能够利用到的网络主要包括国土资源业务网、国家电子政务内网、各级政府专网和互联网。1.国家电子政务内网根据国家电子政务内网建设的总体部署,及时为网络延伸到的地方和部门提供不动产登记业务和信息服务。以国家电子政务内网为载体,向中央部门和副省级以上城市有关部门提供不动产登记信息共享和查询服务。此部分安全建设需要考虑跨网络的信息安全交换和非授权访问、恶意代码引入等安全风险。国家电子政务内网延伸到的不动产登记机构,以直接接入存储不动产登记...
说明: 业务背景我国电子政务建设围绕“两网一站四库十二金”展开。“两网”是指政务内网和政务外网,“一站”是指政府门户网站,“四库”即建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库,“十二金”,则是指十二个重要的政务办公业务资源系统,这12个重点业务系统又可以按“2523”分为四个层次,第一个“2”指提供宏观决策支持的金宏工程、金土工程,“5”指涉及金融系统的金财、金税、金卡、金审和金关工程,第二个“2”指关系到国家稳定和社会稳定的金盾工程、金保工程,“3”指具有专业性质但对国家民生具有重要意义的金农、金水、金质工程。金字工程各业务系统和国计民生息息相关,承载着国民经济持续运行的重要数据,一旦被黑客入侵成功,将给社会和经济发展带来灾难性后果。而随着IT技术的发展,IT业务变得更加复杂,网络变得更开放,同时黑客的攻击变得复杂和隐蔽,手段更加高明。传统的安全体系防护效果越来越弱,因此做好金字工程网络信息安全建设、确保各项业务系统安全稳定运行非常必要。安全挑战金保工程的开展,实现了全国社保工作的逻辑互联,集中监控能力。金保工程物理逻辑上分为公共服务区和业务专网区,由于网络存在横向机构和纵向部门间的数据交换,作为政务工作网将严格按照严格参考国家电子政务安全保障建设的思路和标准进行建设。1.公共服务区安全需求公共服务区面向普通用户开放,面临基础网络的威胁,网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性;公共服务网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁;由于网络设备、操作系统和业务应用等会不断引入新的安全漏洞,如果不能及时发现并修复,将带来很大的安全隐患;出现安全问题不能快速追溯定位的问题,同时大量的安全设备难于有效管理,导致安全运维管理不便的问题。2.业务专网系统安全需求业务专网中有不同的业务区域需要隔离和访问控制,...
说明: 业务背景金审工程是中国国家审计信息化建设项目的简称,金审工程建设的总体目标,即:用若干年的时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法、效益,实施有效监督的国家审计信息系统。金审工程由审计署统一规划,实行中央和地方审计机关分级建设。审计署实行统一规划、统一指导、分期建设、分步实施的建设原则。目前金审工程已完成一期和二期的建设,一期工程主要是基础网络平台和业务应用系统的建设,提升审计署机关和驻地方办事处的原有网络基础设施,建设、整合审计业务应用系统,初步建成连接各级审计部门的广域网络和业务应用平台。二期工程的核心是联网审计,并实现在更大范围、更高层次地审计工作协同、统一指挥和大项目管理,实现数据共享的办公应用。金审工程三期主要依托国家电子政务外网和互联网,实现部、省、市、县四级审计机关,以及与财政、税务、海关等部门的互联互通和信息共享,建成审计综合作业平台、国家审计数字化指挥平台、综合服务支撑系统以及审计大数据平台等业务支撑平台。项目建成后,显著提高审计大数据综合分析能力,逐步实现对全国范围内财政、税务、金融、社保等行业部门与审计业务相关数据的集中分析,审计效率和审计质量将大幅提升,充分发挥审计工作在促进中央政策的落实、推进反腐倡廉建设、提高财政资金效率等方面的支撑作用。安全挑战金审工程无论是从网络上看还是从应用上看都是一项十分复杂而宏大的系统工程,在金审三期阶段,审计业务更加开放,网络边界逐步消失,网络安全问题将变得更加突出。从网络上看,金审工程网络系统是由审计内网、审计专网和审计外网组成的。该网络纵向连接中央、省、市、县四级审计机关,横向连接财政、税务、银行、海关等部门,重点国有企事业单位以及其他重点被审计单位,因此,金审工程网络系统实际上是一个规模庞大的全国性共享系统。从应用功能上看,金审工程应用系统包括现场审计实施系统、审计机关辅助办公系统、联网审计...
说明: 业务背景目前,各地市正在大力推进平安城市建设,平安城市的使用主体是公安部门,一般分为三个级别,自下而上分别为派出所、区县、市。通过部署高清摄像头,对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控,预防违法犯罪事件发生,同时为事后取证提供保证。这种监控网络采用了多级级联的VPN专网,通过专线由不同的监控平台分别控制下面数量众多的监控探头,探头采集视频数据并实时通过3G/4G、无线、有线网络传输到公安系统统一的存储区域,方便公安机构留档和分析调用。安全挑战各地的视频监控设备不断爆出存在漏洞,很容易被黑客入侵、控制,这不仅会导致视频专网连接异常,并且网络攻击还会造成磁盘损坏及录像数据丢失和设备故障,进而影响公安内网的安全,导致公安系统网络出现病毒、木马、僵尸、DoS攻击、敏感信息泄露等安全问题。虽然监控视频数据采用VPN专线传输,但VPN技术本身依赖于公网传输,VPN技术虽然能一定程度上保障封装数据的安全性和保密性,但很难对传输的数据内容安全性进行检查,因而也无法阻止病毒、入侵、恶意流量等风险在网络中传播。视频监控专网的产生的监控数据,需要在公安内网存档封样,以便公安机关必要时取用,同时这些视频数据也会被电子政务外网一些相关的视频业务系统授权使用,需要保证数据存储和传输过程中的安全需求。对于庞大的公安监控网络来说,如何有效的简化视频摄像头的安全管理,便于及时发现和定位掉线或异常的网络摄像头,快速实现业务恢复也是需要考虑的安全问题。解决方案在公安通信网、电子政务网及运营商网络边界处部署捷普下一代智能防火墙系统对各网络边界数据交换进行有效的安全管控和防护,对视频专网数据进行有效清洗,防止病毒、入侵、恶意流量等风险在网络中传播;在公安的核心网络处部署捷普的入侵检测系统,为了防止重要的视频数据的丢失或损坏,需要对核心数据采用数据备份与容灾系统。按照公安网络的安全要求,在视频...
Copyright ©2018 西安交大捷普网络科技有限公司 陕ICP备18022218号-1
犀牛云提供企业云服务