隨著政府機構信息化建設的深入,政府專網、數字化服務平臺數量激增,越來越多的業務通過互聯網實現。而由于外部攻擊與內部安全管控不足,政府數字化轉型方面存在巨大安全挑戰,建設一套行之有效的政府單位違規外聯監控平臺,實現對政府專網違規外聯的監控和處置就成為了保證政府機構網絡安全與信息安全的一項重要任務。
針對當前政務專網建設中存在的跨網訪問現象嚴重、違規外聯行為發生較多、外部單位運維缺少必要管控、私搭亂建無線熱點、資產信息統計乏力等問題,依據《信息安全技術-網絡安全等級保護基本要求》中對安全區域邊界等相關要求,明朝萬達提出建設覆蓋硬件、網絡、軟件到應用的違規外聯監控子平臺。
該平臺的建設可有效解決政府各單位出現的辦公終端及服務器等違規打通互聯網的情況,實現政務專網安全的實時管控、實時洞察、智能運行,對發現違規行為后在控制臺告警,并逐級報送給上級管理臺,建立對下屬各級終端資產的統一管控平臺。
· 違規外聯實時管控
實時檢測內網中存在的同互聯網連接的計算機,及時發現違規外聯行為,并作詳細記錄,并向管理中心上報違規記錄。
· 設備資產實時洞察
支持查看資產活躍情況、資源使用情況。通過資產發現掃描,可發現、統計未安裝管理程序的具體資產,發現問題時,可快速定位。
政務專網違規外聯監控子平臺
本平臺建設系統架構設計除了滿足本次核心業務需求外,同時考慮和兼顧了為了國產化適配的擴展與等保相關的需求,具有擴展性和完善的安全性。
△ 總體架構圖
系統架構
? 應用與展示層
用戶需求
① 需要對平臺的統一管理和采集數據,對采集數據的可視化展示;② 采集基礎數據查詢和終端采集點、區域采集點等管理。解決方案通過對采集上報的各區域的終端數據進行存儲和匯總統計,支持自定義圖形可視化方式展示終端資產設備的分布情況,并對全域內的數據資產和設備資產進行可視化查看。通過建立對終端采集點的基礎信息進行統一管理和維護,包括采集終端、所屬單位、終端用戶信息、是否允許訪問互聯網等。
? 區域采集匯聚層
用戶需求
① 需要對區域內的終端進行管理;
② 需要對數據采集和向上同步;
③ 需要對數據采集的路徑進行規劃。
解決方案
通過對存儲各區域管轄的各類終端設備采集,上報各類終端資產情況,建立本區域的設備資產清單。
對采集信息進行資產等數據的上報,保證數據及時采集與上報,對出現異常情況進行標識與預警。
? 終端采集層
用戶需求
① 需要對服務端進行接入認證和客戶端設備資產發現和信息采集;
② 需要對上外網連接進行檢測,以及對終端版本管理。
解決方案
通過采集上報相關設備信息,以及是否聯通互聯網情況。
支持對設備在線情況和訪問互聯網信息進行監測。
支持對客戶端進行版本檢測,以及查看終端的版本信息。
? 基礎設施層
實現對政府單位各類資產的采集,包括對Windows、Linux操作系統的客戶端采集,同時對網絡設備的其他情況進行采集。
方案優勢
? 解決終端設備一機兩用違規監測核心訴求。
? 輕量級部署,不影響終端使用和業務運行。
? 簡便快捷監測手段提升監測效率,降低運維監管復雜度。
? 統一管理和配置服務有效降低管控難度。
? 建立全局設備資產的可視化視圖提升管控效率。
? 日志、告警第一時間通知管理人員,保障業務平臺的持續性。
? 平臺擴展性強,支持第三方系統對接和自身版本智能升級與迭代。
