“治水即治国,治水之道是重要的治国之道。”
水运连着国运,兴利除害、安邦利民是水利的本色。水利工程不仅与农业、工业息息相关,同时也是关键信息基础设施重点行业领域之一,是经济社会运行的“神经中枢”,其网络安全的重要性不言而喻。
某基层水利局近年来在加速数字化转型的过程中,将网络安全建设作为重中之重,该单位通过和奇安信合作,通过部署奇安天界安全合规一体机,实现了业务高效运行和合规监管两者兼顾、两者并重,为基层单位高性价比通过等保测评,打造了可借鉴的标杆示范。
01 水利网信建设“加速度”,等保2.0提供合规指引
2019年,水利部印发了《水利网信水平提升三年行动方案(2019—2021年)》,明确要以习近平新时代中国特色社会主义思想为指导,积极践行“节水优先、空间均衡、系统治理、两手发力”治水方针和网络强国战略思想,按照“安全、实用”总要求,针对差距大、风险高的重点薄弱环节,补齐水利网信突出短板,提升强监管支撑能力,建成省级以上水利网络安全防护体系,构建高速互联的水利信息网,初步建成天空地一体化的水利监测感知网,基本建成水利数据共享分析服务体系,基本建成高效协同的水利业务应用体系,提供较为丰富的水利公共服务产品。
2019年12月等保2.0正式发布,从合规标准上很好的解决了当前水利网信面临的问题,通过推进等保2.0为水利网信三年行动方案提供基础支撑。全力推进信息技术与水利业务深度融合,加快提升水利网信信息化水平,为新时代水利改革发展提供强力驱动和有力支撑。
02 端、网、审计,网络安全存在多重短板
在上线天界安全合规一体机之前,该水利局正面临来自终端、边界、运维审计、日志溯源等多重方面的短板,表现在以下几个方面:
第一是缺乏对终端统一安全运维处置能力。
任何的终端都存在风险,都可能成为网络违法人员的入口。该水利局日常所用办公终端未建立有效的终端统一管控措施,对于病毒威胁、漏洞管理等问题,管理员无法直接对网内所有终端进行统一病毒查杀、补丁修复、特征库升级等,易造成病毒、木马攻击,数据丢失等安全隐患,同时也无法满足等级保护相关要求。
第二是边界防范能力不足。
外网与内部局域网相关区域虽然建设有相关隔离措施,由于建设时间较久,无法应对新型网络攻击,不能实现边界入侵防范与网络恶意代码防范,同时也无法满足等保合规中对边界未知恶意代码检测和未知漏洞攻击检测的要求。
第三是运维过程缺乏审计控制。
该水利局在系统和相关资产的运行维护过程中,会涉及外包人员的运行维护以及信息管理人员的运行维护,对于系统、资产被运行维护过程没有有效的审计与控制,可能存在因有意/无意的违规操作,造成资产的关键配置或数据被篡改、删除。
第四是日志留存无法支撑溯源。
系统、应用、设备等日志无法长期留存,当出现故障/威胁事件需要检索日志进行分析溯源时,现有日志留存措施不支持对于较长时间事件和内容的分析溯源。
第五是无法符合安全合规要求。
该水利局需要按照网络安全法和相关行业网络安全管理办法落实合规义务。根据该水利局业务系统在系统服务和业务信息两方面对客体造成的影响程度,系统应按照等级保护-第二级要求进行安全合规建设,并执行落实“三化六防”相关举措。
03 一个中心、三重防护,保障业务安全和等保要求
在奇安信的支持下,该水利局制定了“一个中心、三重防护”的安全建设模式,方案采用奇安信全新推出的奇安天界安全合规一体机,融合了包括智慧防火墙、IPS(入侵防御)、VPN、堡垒机、日志审计、主机安全等虚拟化网元,在技术层面通过安全区域边界、安全计算环境、安全管理中心等技术要求来建设总体安全策略,使信息系统满足等级保护二级安全要求,同时保障客户的业务安全,满足行业监管要求。
根据项目详细实施方案,拓扑图在互联网边界处部署一套奇安信天界安全合规一体机,集成新一代智慧防火墙、日志审计、堡垒机、终端安全管理系统组件。
通过新一代智慧防火墙组件实现边界访问控制、入侵防范、网络防病毒等能力;
通过终端安全管理组件对终端进行统一病毒查杀、补丁修复等,让终端威胁实现可视、可控、可溯;
通过堡垒机、日志审计组件建立纵深防御底座;
通过该统一安全管理平台的建设,最终满足网络安全等级保护二级要求。
通过该项目的实施,奇安天界安全合规一体机基于虚拟化的能力在单台设备中解决安全能力集成及服务链编排的难题,不仅为客户提供灵活的安全防护能力和网络的纵深防御效果,还满足安全合规需求。通过以软件定义安全为核心,统筹客户需求的安全组件,形成快捷、可靠、有效的一体化安全合规解决方案,从而为客户安全建设实现了集约化、标准化、全功能一体化,打造出网络安全新范式。
截至目前,该项目获得以下效果:
首先是等保合规,满要求。奇安天界安全合规一体机集成了防火墙、终端杀毒、堡垒机和日志审计等安全模块,满足等保二级的标准,符合等保测评要求。
其次是多元融合,高灵活。奇安天界内置多种安全网元能力,可以根据客户安全需求、合规需求、等保需求等,灵活实现安全能力的组合,从而实现全面的纵深安全防护体系。
再次是软硬一体,易部署。奇安天界可实现一体化交付,解决了传统等保方案部署多台硬件设备复杂部署的问题,可实现轻量级的即插即用,提高交付效率和周期。
然后是化繁为简,低成本。基于融合集成的理念,奇安天界不仅可以替换原有网络的网关出口设备,而且多种安全能力的融合完全可以替代复杂的传统硬件等保方案建设和网络安全建设,减少安全设备的投入,减低成本。
最后是集中管理,简运维。奇安天界支持一体化交付、一体化运维和一体化管理,解决了传统安全架构多设备类型、多厂商异构等复杂运维问题,简化运维难度,提高了运维效率。
在整个项目中,奇安天界内置的多个组件,充分体现了“All in one”的理念,旨在用一台设备解决各种等保合规问题。
其中,新一代智慧防火墙组件是核心基础,它包含复杂环境组网、扫描攻击防护等基础功能,深度集成漏洞防护、间谍软件防护、失陷服务器检测等高级安全能力。
终端安全管理系统组件提供终端加固,含系统补丁、病毒防护、终端防火墙及安全小助手;启用病毒防护实现威胁监测响应,满足等保等相关要求。
堡垒机组件提供了高效安全管理工具,可以融合运维与安全,实现运维事前规划(身份管理、权限自定义)、事中控制(单点登录、命令管控、实时监控)、事后审计(会话查询、视频回放、审计报表),还集成自动化运维、资产拓扑发现和账号安全。
日志收集与分析系统组件可以集中收集、标准化处理安全事件和系统日志,发现安全威胁与异常,支持事件追溯,提供追责依据和分析数据源能力。
04 监管、安全、管理,天界实现多重价值
该水利局相关负责人表示,基于天界为主的网络安全建设,对于支撑单位的业务系统连续性提供有效保障,在落实法律法规要求、提升安全防护水平等方面都具有重要意义。
第一重价值是满足行业监管要求,构建合规的防御体系。
该水利局网络安全建设严格按照等级保护要求进行规划与建设,形成了技术与管理并重和构建了“一个中心、三重防护”的纵深安全防御体系,满足行业监管对单位的相关网络安全建设要求。
第二重价值是提升安全防护水平,保障单位业务连续性。
该水利局基于系统性和体系化的建设差距分析,充分发现现网存在的安全隐患,并针对性地进行加固,全面提升了单位的安全防护水平,为业务连续保驾护航。
第三重价值是集中管理,减少成本投入。
一站式新等保解决方案,通过奇安天界安全合规一体机,实现集中的安全管理、安全监控和安全审计等要求,省去多产品统一管理和兼容、联动的烦扰,减轻维护工作量。一体化交付,降低资金投入;一体化部署,减少实施成本;一体化运维,提高运维效率。
截至目前,奇安天界合规一体机已在超1000家政企客户场景中实现成功部署。分析人士认为,对于某水利局这类注重投入性价比,同时对业务运行和安全保障同步重视的轻量级需求客户而言,奇安天界合规一体机的价值远超“单一设备”范畴,它更像是一套集等保合规建设与网络安全防护于一体的一站式快捷解决方案,能精准匹配轻量场景下的高效防护需求,可以帮助广大中小企业、基层机构的数字化化转型筑牢“安全底座”,从容应对合规监管压力,保障业务长期稳定运行。
立即拨打
京公网安备11000002002064号