2015年,在「放管服」「互聯網+」等政策思想的牽引指導下,某省政府積極應用雲計算、大數據等先進技術,建設服務全省的政府公共雲平台,推進政務信息化。而具有豐富IT建設經驗的省電信公司,深度參與了該雲平台的建設工作,並負責後續的運營保障。經過七年的發展,該雲平台已成為省各級政府部門及有關事業單位存儲政務數據資源、實現相關業務應用和數據交換的基礎設施。
然而時移事易,平台建設時期規劃的網絡安全體系無法適應數字政府保障需求,為更好地保障雲上業務的穩定運行,省電信公司攜手長亭科技開展網絡安全能力的增強建設工作,實現對政務信息系統,高級威脅對抗能力和網絡安全水位的提升。
我國政府信息化在「十三五」時期進入新階段,建設數字政府成為推動政府治理理念、機制和方式變革的核心抓手,各地紛紛開展數字政府建設工作。而隨着威脅形式、防守措施、業務以及監管要求的變化,該省早期建設的政務信息系統,遇到新的安全挑戰。線上政務服務占比增長近六成
當前政府信息化建設由「電子政務階段」向「數字政府階段」逐步過渡,「一網通辦」「一網通管」理念逐步落地,線上政府服務比例大幅提高。
截至2022年1月,該省在線辦理的服務事項占比已由18年的22.9%增長至89.6%。
該省政務服務網歷年服務事項數量對比
得益於雲上政務單位及應用系統的集中部署,群眾可以通過政務服務網、政務APP等多個渠道,更加便捷地進行社保、醫保、戶籍、公積金等諸多政務服務的線上辦理。
但隨着應用系統運行數量、集中程度與互聯互通程度增加,雲平台需要與更多的委辦局單位,以及外部供應商建立業務連接,API等接口數量提升,也導致了風險暴露面增加,網絡安全保障難度大幅提高。政務系統面臨的APT攻擊行為日益普遍
國家互聯網應急中心監測發現,2月下旬以來,我國互聯網持續遭受境外網絡攻擊,境外組織通過攻擊控制我境內計算機,進而對俄羅斯、烏克蘭、白俄羅斯進行網絡攻擊。近兩年來,包括美國輸油管道公司、以色列政府網站、俄羅斯與烏克蘭關基設施等多國關鍵信息系統基礎設施,在具有一定安全防守能力的情況下,面對高級可持續威脅攻擊(APT),仍然出現被滲透、破壞和控制的情況,這一嚴峻形勢無疑也為我國政府單位的網絡安全建設工作敲響了警鐘。
攻防相長,面對目標精準、高度自動化、已形成商業鏈條的攻擊行為,防守方的安全建設理念也發生了較大的變化,防禦體系建設向深度、動態、自動化、精細運營的方向演進:如建設重點由邊界防禦向縱深防禦建設轉變,對內網流量檢測、終端/主機安全防護的重視程度逐步提高;如防禦理念由被動檢測向主動防禦轉變,蜜罐等偽裝欺騙類設備得到廣泛應用;法律法規「頂層設計」日趨完善
「十四五」規劃和2035年遠景目標綱要中把「加強網絡安全保護」作為「營造良好數字生態」重要內容;近年來,《網絡安全法》、《數據安全法》、《個人信息保護法》等網絡安全法律法規的密集出台,監管框架體系日益完善;伴隨21年9月《關鍵信息基礎設施安全保護條例》的施行,政務信息系統面臨更加細緻、全面的安全保障要求,運營者在關基安全保護中也將承擔更為清晰的主體責任。外部形勢、業務訴求、監管合規要求等,都促使着該省政務信息系統進行安全防守能力的更新與增強建設。
通過分析該省政務信息系統缺失的安全能力以及安全建設的痛點,考慮建設規劃及成本投入等因素,長亭科技以自身成熟的下一代安全防護體系為其量身定製安全方案,從應用安全、主動防禦、安全評估、安全服務四個角度入手,協助該省電信公司初步構建雲平台中政務信息系統的安全塔防體系底座,增強高級威脅的應對能力,並可在後續業務發展中進一步拓展、完善。
雲平台政務信息系統安全塔防體系
防禦設施的更迭與煥新
隨着線上政務服務比例的增加,WAF設備無法支持新增流量的檢測與防護,因此基於當前和可預見未來的流量規模,將其替換為具有10G應用層流量支持能力的雷池(SafeLine)下一代Web應用防火牆。而基於雷池(SafeLine)對多種部署方式的支持,替換過程並未改變雲平台網絡結構,降低了對雲上業務的影響。
結合縱深防禦與主動防禦理念,以增強高級威脅應對能力為目標,在雲平台的內網、外網分別部署了兩套諦聽(D-Sensor)偽裝欺騙系統,增強平台內網威脅發現能力,以及運營中針對攻擊者的溯源、分析、反制能力。而且在計算資源寶貴的雲平台中,基於Docker架構設計的諦聽(D-Sensor)部署簡單、輕量,具有較高的資源利用效率。
第十七條 運營者應當自行或者委託網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,並按照保護工作部門要求報送情況。——《關鍵信息基礎設施安全保護條例》
無論是等保2.0標準、還是關基條例,都對信息系統的安全檢測與風險評估做出了具體的要求,而該省電信公司為了更好的保障雲平台中業務的穩定合規運行,部署洞鑒(X-Ray)安全評估系統,以增強資產與漏洞發現的完整性,並定期開展上線業務的安全評估工作。而隨着0day、APT等新型攻擊形式的猖獗,僅通過工具檢測難以發現一些資產的深層脆弱性。因此在日常評估工作基礎上,省電信委託具有豐富攻防實戰經驗的長亭科技安全服務人員,進行了數十個重要業務系統的深度滲透測試,以及數百萬行代碼的審計工作,發現並跟蹤處理大量影響業務健康度的漏洞、配置不當等問題。
在面對影響範圍巨大的Log4J2高危漏洞事件時,長亭科技第一時間給出了緩解建議,並在數小時內完成了洞鑒(X-Ray)引擎升級,協助該省電信公司第一時間進行了漏洞的緊急普查工作,有效降低漏洞情況對雲上業務的影響。
據悉,該省政務系統21年政務服務辦事數百萬餘件!一體化政務服務能力連續4年位列地區首位。
留言列表