案例｜内外兼修，多维度护航省级数字政府安全升级

2015年，在“放管服”“互联网+”等政策思想的牵引指导下，某省政府积极应用云计算、大数据等先进技术，建设服务全省的政府公共云平台，推进政务信息化。而具有丰富IT建设经验的省电信公司，深度参与了该云平台的建设工作，并负责后续的运营保障。经过七年的发展，该云平台已成为省各级政府部门及有关事业单位存储政务数据资源、实现相关业务应用和数据交换的基础设施。

 

然而时移事易，平台建设时期规划的网络安全体系无法适应数字政府保障需求，为更好地保障云上业务的稳定运行，省电信公司携手长亭科技开展网络安全能力的增强建设工作，实现对政务信息系统，高级威胁对抗能力和网络安全水位的提升。

 

 

数字政府、云、安全

浪潮促进下的变化

 

我国政府信息化在“十三五”时期进入新阶段，建设数字政府成为推动政府治理理念、机制和方式变革的核心抓手，各地纷纷开展数字政府建设工作。而随着威胁形式、防守措施、业务以及监管要求的变化，该省早期建设的政务信息系统，遇到新的安全挑战。

 

业务规模变化

线上政务服务占比增长近六成

 

当前政府信息化建设由“电子政务阶段”向“数字政府阶段”逐步过渡，“一网通办”“一网通管”理念逐步落地，线上政府服务比例大幅提高。

 

截至2022年1月，该省在线办理的服务事项占比已由18年的22.9%增长至89.6%。

 

该省政务服务网历年服务事项数量对比

 

得益于云上政务单位及应用系统的集中部署，群众可以通过政务服务网、政务APP等多个渠道，更加便捷地进行社保、医保、户籍、公积金等诸多政务服务的线上办理。

 

但随着应用系统运行数量、集中程度与互联互通程度增加，云平台需要与更多的委办局单位，以及外部供应商建立业务连接，API等接口数量提升，也导致了风险暴露面增加，网络安全保障难度大幅提高。

 

 

 

威胁形势变化

 

 

政务系统面临的APT攻击行为日益普遍

 

 

 

国家互联网应急中心监测发现，2月下旬以来，我国互联网持续遭受境外网络攻击，境外组织通过攻击控制我境内计算机，进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。

 

 

 

近两年来，包括美国输油管道公司、以色列政府网站、俄罗斯与乌克兰关基设施等多国关键信息系统基础设施，在具有一定安全防守能力的情况下，面对高级可持续威胁攻击（APT），仍然出现被渗透、破坏和控制的情况，这一严峻形势无疑也为我国政府单位的网络安全建设工作敲响了警钟。

 

攻防相长，面对目标精准、高度自动化、已形成商业链条的攻击行为，防守方的安全建设理念也发生了较大的变化，防御体系建设向深度、动态、自动化、精细运营的方向演进：

 

• 如建设重点由边界防御向纵深防御建设转变，对内网流量检测、终端/主机安全防护的重视程度逐步提高；

• 如防御理念由被动检测向主动防御转变，蜜罐等伪装欺骗类设备得到广泛应用；

• .......

 

 

政策要求变化

 

法律法规“顶层设计”日趋完善

 

• “十四五”规划和2035年远景目标纲要中把“加强网络安全保护”作为“营造良好数字生态”重要内容；

• 近年来，《网络安全法》、《数据安全法》、《个人信息保护法》等网络安全法律法规的密集出台，监管框架体系日益完善；

• 伴随21年9月《关键信息基础设施安全保护条例》的施行，政务信息系统面临更加细致、全面的安全保障要求，运营者在关基安全保护中也将承担更为清晰的主体责任。

 

外部形势、业务诉求、监管合规要求等，都促使着该省政务信息系统进行安全防守能力的更新与增强建设。

 

 

安全增强建设思路

 

通过分析该省政务信息系统缺失的安全能力以及安全建设的痛点，考虑建设规划及成本投入等因素，长亭科技以自身成熟的下一代安全防护体系为其量身定制安全方案，从应用安全、主动防御、安全评估、安全服务四个角度入手，协助该省电信公司初步构建云平台中政务信息系统的安全塔防体系底座，增强高级威胁的应对能力，并可在后续业务发展中进一步拓展、完善。

 

云平台政务信息系统安全塔防体系

 

 

 

落地方案与价值

 

防御设施的更迭与焕新

 

随着线上政务服务比例的增加，WAF设备无法支持新增流量的检测与防护，因此基于当前和可预见未来的流量规模，将其替换为具有10G应用层流量支持能力的雷池（SafeLine）下一代Web应用防火墙。而基于雷池（SafeLine）对多种部署方式的支持，替换过程并未改变云平台网络结构，降低了对云上业务的影响。

 

高级威胁应对能力增强

 

结合纵深防御与主动防御理念，以增强高级威胁应对能力为目标，在云平台的内网、外网分别部署了两套谛听（D-Sensor）伪装欺骗系统，增强平台内网威胁发现能力，以及运营中针对攻击者的溯源、分析、反制能力。而且在计算资源宝贵的云平台中，基于Docker架构设计的谛听（D-Sensor）部署简单、轻量，具有较高的资源利用效率。

 

全面和深度的安全检查

 

 

 

第十七条　运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

 

——《关键信息基础设施安全保护条例》

 

 

 

无论是等保2.0标准、还是关基条例，都对信息系统的安全检测与风险评估做出了具体的要求，而该省电信公司为了更好的保障云平台中业务的稳定合规运行，部署洞鉴（X-Ray）安全评估系统，以增强资产与漏洞发现的完整性，并定期开展上线业务的安全评估工作。

 

而随着0day、APT等新型攻击形式的猖獗，仅通过工具检测难以发现一些资产的深层脆弱性。因此在日常评估工作基础上，省电信委托具有丰富攻防实战经验的长亭科技安全服务人员，进行了数十个重要业务系统的深度渗透测试，以及数百万行代码的审计工作，发现并跟踪处理大量影响业务健康度的漏洞、配置不当等问题。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！