说明:
业务背景我国电子政务建设围绕“两网一站四库十二金”展开。“两网”是指政务内网和政务外网,“一站”是指政府门户网站,“四库”即建立人口、法人单位、空间地理和自然资源、宏观经济等四个基础数据库,“十二金”,则是指十二个重要的政务办公业务资源系统,这12个重点业务系统又可以按“2523”分为四个层次,第一个“2”指提供宏观决策支持的金宏工程、金土工程,“5”指涉及金融系统的金财、金税、金卡、金审和金关工程,第二个“2”指关系到国家稳定和社会稳定的金盾工程、金保工程,“3”指具有专业性质但对国家民生具有重要意义的金农、金水、金质工程。金字工程各业务系统和国计民生息息相关,承载着国民经济持续运行的重要数据,一旦被黑客入侵成功,将给社会和经济发展带来灾难性后果。而随着IT技术的发展,IT业务变得更加复杂,网络变得更开放,同时黑客的攻击变得复杂和隐蔽,手段更加高明。传统的安全体系防护效果越来越弱,因此做好金字工程网络信息安全建设、确保各项业务系统安全稳定运行非常必要。安全挑战金保工程的开展,实现了全国社保工作的逻辑互联,集中监控能力。金保工程物理逻辑上分为公共服务区和业务专网区,由于网络存在横向机构和纵向部门间的数据交换,作为政务工作网将严格按照严格参考国家电子政务安全保障建设的思路和标准进行建设。1.公共服务区安全需求公共服务区面向普通用户开放,面临基础网络的威胁,网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性;公共服务网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁;由于网络设备、操作系统和业务应用等会不断引入新的安全漏洞,如果不能及时发现并修复,将带来很大的安全隐患;出现安全问题不能快速追溯定位的问题,同时大量的安全设备难于有效管理,导致安全运维管理不便的问题。2.业务专网系统安全需求业务专网中有不同的业务区域需要隔离和访问控制,...
说明:
业务背景金审工程是中国国家审计信息化建设项目的简称,金审工程建设的总体目标,即:用若干年的时间,建成对依法接受审计监督的财政收支或者财务收支的真实、合法、效益,实施有效监督的国家审计信息系统。金审工程由审计署统一规划,实行中央和地方审计机关分级建设。审计署实行统一规划、统一指导、分期建设、分步实施的建设原则。目前金审工程已完成一期和二期的建设,一期工程主要是基础网络平台和业务应用系统的建设,提升审计署机关和驻地方办事处的原有网络基础设施,建设、整合审计业务应用系统,初步建成连接各级审计部门的广域网络和业务应用平台。二期工程的核心是联网审计,并实现在更大范围、更高层次地审计工作协同、统一指挥和大项目管理,实现数据共享的办公应用。金审工程三期主要依托国家电子政务外网和互联网,实现部、省、市、县四级审计机关,以及与财政、税务、海关等部门的互联互通和信息共享,建成审计综合作业平台、国家审计数字化指挥平台、综合服务支撑系统以及审计大数据平台等业务支撑平台。项目建成后,显著提高审计大数据综合分析能力,逐步实现对全国范围内财政、税务、金融、社保等行业部门与审计业务相关数据的集中分析,审计效率和审计质量将大幅提升,充分发挥审计工作在促进中央政策的落实、推进反腐倡廉建设、提高财政资金效率等方面的支撑作用。安全挑战金审工程无论是从网络上看还是从应用上看都是一项十分复杂而宏大的系统工程,在金审三期阶段,审计业务更加开放,网络边界逐步消失,网络安全问题将变得更加突出。从网络上看,金审工程网络系统是由审计内网、审计专网和审计外网组成的。该网络纵向连接中央、省、市、县四级审计机关,横向连接财政、税务、银行、海关等部门,重点国有企事业单位以及其他重点被审计单位,因此,金审工程网络系统实际上是一个规模庞大的全国性共享系统。从应用功能上看,金审工程应用系统包括现场审计实施系统、审计机关辅助办公系统、联网审计...
说明:
业务背景目前,各地市正在大力推进平安城市建设,平安城市的使用主体是公安部门,一般分为三个级别,自下而上分别为派出所、区县、市。通过部署高清摄像头,对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控,预防违法犯罪事件发生,同时为事后取证提供保证。这种监控网络采用了多级级联的VPN专网,通过专线由不同的监控平台分别控制下面数量众多的监控探头,探头采集视频数据并实时通过3G/4G、无线、有线网络传输到公安系统统一的存储区域,方便公安机构留档和分析调用。安全挑战各地的视频监控设备不断爆出存在漏洞,很容易被黑客入侵、控制,这不仅会导致视频专网连接异常,并且网络攻击还会造成磁盘损坏及录像数据丢失和设备故障,进而影响公安内网的安全,导致公安系统网络出现病毒、木马、僵尸、DoS攻击、敏感信息泄露等安全问题。虽然监控视频数据采用VPN专线传输,但VPN技术本身依赖于公网传输,VPN技术虽然能一定程度上保障封装数据的安全性和保密性,但很难对传输的数据内容安全性进行检查,因而也无法阻止病毒、入侵、恶意流量等风险在网络中传播。视频监控专网的产生的监控数据,需要在公安内网存档封样,以便公安机关必要时取用,同时这些视频数据也会被电子政务外网一些相关的视频业务系统授权使用,需要保证数据存储和传输过程中的安全需求。对于庞大的公安监控网络来说,如何有效的简化视频摄像头的安全管理,便于及时发现和定位掉线或异常的网络摄像头,快速实现业务恢复也是需要考虑的安全问题。解决方案在公安通信网、电子政务网及运营商网络边界处部署捷普下一代智能防火墙系统对各网络边界数据交换进行有效的安全管控和防护,对视频专网数据进行有效清洗,防止病毒、入侵、恶意流量等风险在网络中传播;在公安的核心网络处部署捷普的入侵检测系统,为了防止重要的视频数据的丢失或损坏,需要对核心数据采用数据备份与容灾系统。按照公安网络的安全要求,在视频...