“目前,区党政机关电子政务外网的终端和服务器正在全面进行的信创的替代改造。在这个过程中,信创和非信创终端同时并存,终端面临的安全风险更加复杂,包括如何对进行资产识别、仿冒发现?如何确保访问身份和权限安全?如何确保接入安全合规?这些都关系到电子政务的整体防护能力。” 深圳市某区政数局相关负责人这样谈到。 深圳市某区政数局于2019年3月15日正式挂牌成立。其核心职责之一,就是统筹推进全区电子政务建设,负责电子政务外网(含政务办公网和政务服务网)、政务云平台、公共支撑平台、通用应用系统的建设、管理、应用和安全保障等工作,统筹协调各部门业务应用系统建设,指导各街道电子政务建设。 在国产化全面替代的大潮之下,该区政数局走在了前列,截至目前,政数局及下辖6个街道办的信创替代已经完成了约90%。同时,该区政数局深知电子政务稳定运行和数据安全的重要性,尤其面对信创和非信创同时存在的复杂环境,探索了“1+6”新一代信创准入安全防御体系。 信创终端替代超10000台 安全风险愈加复杂 作为全球电子信息的聚集地之一,深圳近年来积极推动信创产品的替代浪潮。今年5月,深圳发布了《关于促进消费持续恢复的若干措施》,明确提出了“扩大信创产品市场规模”。其中包括“对采购50 万元以上信创产品、符合条件的用户单位,按采购额的3%给予补贴。原则上新增办公系统、业务系统中信创产品的采购比例,金融、能源、教育、医疗、电信、交通等重点领域不低于20%;新增关键信息基础设施中信创产品的采购比例,党政机关、国资国企不低于40%。” 目前,该区政数局管理的信创终端(含区委机关部门),以及下属的六个街道,信创替换已经达到了90%,扩容信创终端超过10000台。该区信息中心负责人表示,由于大量信创及非信创终端同时存在,加上电子政务外网业务本身的开放性,以及日趋严重的勒索病毒、木马、黑客等攻击,安全风险变得更加复杂。 更具体而言,体现在四个方面: 首先是接入设备的资产识别和仿冒发现。目前包括区政数局,以及六个街道办,接入各类设备多达数万,其中包括移动终端、哑终端、泛终端、PC等等,如何对这些终端进行及时准确的资产识别和仿冒发现,是保障电子政务外网安全的关键。 其次是访问身份和权限的管理。电子政务外网很多业务对外开放,需要各方人员接入到政务网中。在这个过程中,访问身份和权限是否安全,访问的终端是否合规可信,遇到问题如何做设备定位追踪、接入行为溯源,以及接入安全分析,需要整体的防御体系。 第三是信创PC安装率及使用率的保障。国产化替代的过程中,不可避免存在信创PC没有有效落地的情况,安全一方面要保障信创PC安装率及使用率,防止非法卸载,另一方面要确保接入安全合规。 最后是不同终端针对性的准入策略配置。由于信创与非信创终端并存,且分布非常分散和混杂,需要进行有效识别,制定针对性策略。 综合以上情况,该区政数局意识到,亟需在区政数局和6个街道办各增加部署一套准入系统,实现信创终端、非信创终端的识别与分类管控,保障国产化替代过程中的网络接入安全。 基于“1+6”准入方案 实现统一监管、统一准入 在病毒、木马、蠕虫以及黑客等等不断威胁并入侵政府内部网络资源的形势下,区政数局深知,终端安全不仅仅局限于恶意代码防范、病毒查杀、漏洞修补等方面,合规保障、接入感知、资产发现、认证授权、安全检查、追溯审计等“一站式”准入安全管理,都是电子政务安全不可缺少的一部分。 为此,该区政数局通过和奇安信的深入研究和探讨,双方在部署天擎终端安全管理基础上,共同制定了“1+6” 新一代信创准入(NAC)解决方案,以实现电子政务网整体安全防护能力的全面提升。 图 网络安全准入系统(NAC)产品功能 而在拓扑建设方面,政数局及6个街道办的准入设备采取集群方式部署,各街道办设置二级管控中心自行运维。通过一级管控中心进行集中统一监管,真正做到区政数局及6个街道办终端集中管理、整体防护、可视化呈现。具体拓扑建设情况如下: 图 深圳市某区政数局信创准入部署方案 在能力匹配方面,该区政数局根据信创PC扩容要求,信创及非信创终端统一安全管控,以及各街道办网络改造及接入资产管控需求,对新部署准入系统提出以下三项能力要求: 首先是能识别区分非信创及信创终端,实现入网合规基线检查(有没有装防病毒软件、是否存在弱口令、是否自带病毒),并能统一管控; 其次是能做终端资产识别梳理(视频IP/MAC、设备类型、系统类型、厂商、网络位置、开放端口、流量协议),识别泛终端(如摄像头、打印机、交换机等)、移动终端和PC,做到绑定终端IP和MAC地址(防止终端随意修改IP); 第三是支持IPv6地址。在满足当下电子政务网络的前提下,更好适应未来互联网升级演进的需求。 “1+6”方案凸显三大价值 对于“1+6”新一代的信创准入安全防御体系,该区政数局总结了三方面的价值和优势。 首先是一体化设计,实现了天擎和准入完美联动。信创准入系统客户端与信创天擎客户端共用,信创准入系统支持与终端安全一体化管理平台联动,通过联动可强制PC机安装信创天擎客户端,通过信创准入系统了解该区信创终端资产数量及替换率。一体化管理解决终端杀毒补丁等安全需求的同时,通过合规准入、违规外联等基线策略的检查,有效管控内部资源违规访问和泄露的问题。 据介绍,在过去,安全准入和终端安全软件往往是相互独立的,这给管理和部署带来了一些难题。而奇安信NAC可以基于天擎集中统一管理,可在天擎“一体化”平台对引擎设备进行集中策略下发、设备批量升级、设备统一监测、区域分权管理等方式,适应超大规模用户的部署,多种灵活的手段满足大型网络架构下的业务管理需求,解决了传统方式的独立管理、散兵模式的部署难题。 同时,这种一体化管理显著减轻了用户运维人员的工作量。另一方面,由于NAC和天擎终端安全进行一体化的联动,使得终端只需打开一个进程,避免多进程对计算资源的消耗。 其次是“1+6” 新一代的信创准入模式,实现分级和统一两者兼得。通过“1+6”信创准入模式,既实现了各街道办分级管理终端,又能汇总全网数据,建立该区党政机关电子政务外网统一的终端安全管控系统。 值得一提的是,奇安信NAC方案最显著优势就是部署更灵活。NAC可采用旁路部署方式,对网络环境依赖较小,不改变用户网络架构,支持集中和分布式部署方式。而且,该产品支持多种准入技术混合部署模式,可实现核心区域的准入控制、终端层的准入控制、接入层边界的准入控制,满足不同场景下的应用部署需求。 第三是支持信创平滑替换,并全面兼容国产系统。据介绍,为满足国产化替代要求,奇安信网络安全准入系统提供基于PK(飞腾麒麟)架构的国产化硬件设备,可通过多种手段准确识别网络中的windows终端和信创终端,针对不同终端执行不同入网策略。在windows终端替换为信创终端,以及第三方安全管理软件替换为天擎终端安全管理系统过程中,不关闭原准入策略,不影响待替换windows系统正常使用。 更重要的是,NAC 准入系统完全适用主流国产系统银河麒麟、中标麒麟和专用国产系统银河麒麟、中标麒麟、中科方德操作系统,终端运行对国产系统中办公软件群均无冲突和影响。同台管理Windows终端、Windows服务器、Linux服务器、国产通用终端、国产通用服务器、国产专用终端、国产专用服务器,在单一平台统一管理多种类型终端,显著减少了管理员的管理成本。 信创替换运行平稳 安全事件实现“零事故” “网络安全不能抱有侥幸心理,电子政务尤其如此,严格合规始终是我们的红线。”该区负责人反复强调安全的重要性。据介绍,得益于信创准入系统的部署,整个替换过程非常顺利,目前信创和非信创终端均运行平稳,未出现一起的安全事故,同时各项业务均在平稳进行。 (文章来自奇安信集团,如有违权请联系删除!) |