省级政务服务领域安全管理体系深化项目设计.docxVIP

ShanXi省政务服务领域安全管理体系深化项目 河南信通研究中心 2023年6月 PAGE PAGE 110 建设目标 根据《中华人民共和国网络安全法》《中华人民共和国密码法》《国家信息化领导小组关于加强信息安全保障工作的意见》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《大数据安全标准化白皮书（2020）》《基于云计算的电子政务公共平台安全规范》《国家电子政务外网跨网数据安全交换技术要求与实施指南》《信息安全技术政务计算机终端核心配置规范》《信息安全技术终端计算机通用安全技术要求与测试评价方法》《信息安全技术云计算服务安全能力要求》《信息技术个人信息安全规范》《信息安全技术网络安全等级保护基本要求》等规范文件，建立健全涵盖安全建设、安全监管、安全技术、安全运营和安全管理内容的网络安全保障体系，贯穿政务服务领域应用系统、支撑保障体系规划、建设、运营、管理全过程，为安全运行管理保驾护航。 持续推进完成自治区政务服务和公共资源交易中心所在地民泰大厦网络安全优化建设，提升网络安全等级与风险防范能力。 持续推进完成自治区政务服务和公共资源交易中心私有云网络安全建设，提升私有云网络安全水平。 持续推进完成自治区政务服务和公共交易中心覆盖政务服务类业务信息系统的规划、设计、建设和运行的全生命周期的专业安全运营体系建设，解决系统和数据的安全防护问题。 民泰大厦办公网络安全建设 网络拓扑及整体安全防护效果 ShanXi省政务服务和公共资源交易中心的网络拓扑结构如下图所示： 整个技术防护体系采取的主要安全措施总结如下： 1、采用防火墙系统对区域边界进行访问控制，根据业务需求，设置访问控制策略，定期进行安全策略的优化和维护，开启防火墙的IPS（入侵防御模块）、AV模块（防病毒模块），对网络入侵行为和网络层病毒进行检测和阻断，并进行告警。 2、采用专业抗APT攻击系统实现对新型网络攻击行为的检测、发现。 3、采用一体化终端安全管理系统实现对物理主机的安全防护，并对终端进行集中安全管控、集中病毒管理、统一补丁管理和安全审计； 4、采用堡垒机实现对设备的集中管理和运维审计，并实现运维管理日志的集中存储和安全运维。 5、采用数据库审计系统、上网行为审计系统、一体化终端安全管理系统的审计功能实现对用户行为审计的全覆盖，并满足远程访问和上网行为审计需求。 6、采用漏洞扫描系统，对网络设备、安全设备及业务系统等进行脆弱性检测，并给出整改建议。 7、采用准入设备，通过802.1X方式与接入交换机联动实现对终端接入的接口及管控，防止非授权终端的非法接入。 8、采用日志审计系统对内网网络设备、安全设备及服务器的日志信息进行统一收集汇总和集中分析。 9、采用备份一体机，将备份软件、备份服务器(或介质服务器)和磁盘存储介质整合至一体，实时备份重要数据，并在需要时能够及时还原数据。 安全通信网络 安全网络架构 为了给ShanXi省政务服务和公共资源交易中心网络实现良好的安全保障，参照等级保护的要求对系统安全区域进行划分设计，实现办公终端、服务器业务与外部接入等区域之间的安全隔离。 根据ShanXi省政务服务和公共资源交易中心整体安全需求并参照《网络安全等级保护基本技术要求》和《网络安全等级保护安全设计技术要求》中的相关要求，区域划分如下： （1）网络接入域 包含与电子政务外网通信的安全边界设备防火墙、上网行为管理设备负责内部网络与电子政务外网通信，通过配置防火墙隔离策略、IPS入侵防御策略、上网行为策略实现对整个网络的访问控制、入侵和病毒防御、审计的功能。 （2）核心交换域 包含核心交换机和安全设备，对网络信息系统起数据通讯支撑作用。向外连接网络接入域，负责内部网络与互联网及电子政务外网的数据交互；向内连接业务服务器域、安全管理域、办公终端域等，主要负责这各区域间的通信。这样部署提高了网络通讯新能，增加网络可靠性和安全性，为今后网络信息系统扩展提供了一个基础网络平台。 （3）服务器域 包含汇聚交换机和监标服务器，向外通过核心交换域与其它区域有通信；通过旁挂部署的防火墙实现对业务的隔离防护，通过数据库审计系统对访问监标数据的行为进行审计。 （4）终端接入域 包含接入交换机，与服务器域、电子政务外网和安全管理区有通信，连接核心交换域，主要包括办公终端、维护终端、广播设备、电子门牌等。部署终端安全管理AGENT实现一体化安全管理包括防病毒、补丁管理、运维管控、行为审计等，通过部署的终端准入系统，采用802.1x联动交换机，实现身份识别准入的功能。 （5）安全管理域 包含交换机、终端安全管理系统、终端准入系统，与所有的区域都有通信；支撑安全管理功能，实现终端统一防护、终端认证准入、终端行为升级等功能。 （6）视频监控域 该区域用于监控探头的接入，通过部