金审三期——审计专网及数据分析网
网络安全建设方案
一、 建设背景
金审三期工程网络分为审计专网和审计数据分析网两张网络,依据《中华人民共和国网络安全法》和网络信息安全等级保护制度以及金审工程三期项目安全系统建设指南的相关要求,对两张网络安全防护系统进行设计。审计专网网络信息安全保障体系需遵照国家信息安全等级保护技术第三级的要求进行建设,审计数据分析网网络信息安全保障体系需遵照国家信息安全等级保护技术第四级的要求进行建设。目前河南省审计厅已经完成审计专网、数据分析网的信息系统及等级保护建设,市、县区的专网接入及等级保护建设成为金审三期亟待建设的主要内容,河南省审计厅已于8月10日下发相关指导文件,统筹推进各审计机关相关建设。
审计专网全面覆盖省、市、区县各级审计机关单位,各审计机关单位需要依托于现有电子政务外网链路,通过国家商用密码算法加密的方式接入审计专网内,市级审计机关后续将依托于该审计专网进行地市一级智慧审计平台的建设,作为省平台的补充。数据分析网分为省、市两级,市审计局建立数据分析室,并通过专线+加密的方式接入数据分析网。
二、 建设需求
本期设计将金审工程三期网络主要分为审计专网安全建设需求、数据分析网安全接入需求、审计专网安全接入需求三个方面的需求。
审计专网安全系统建设将参照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术 网络安全等级保护设计技术要求》(GB/T 25070-2019)第三级防护要求,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、云计算安全扩展等几方面进行建设,确保系统安全、高效、可靠运行。
网络接入区分为审计专网网络接入区和审计数据分析网网络接入区。审计专网接入满足河南省审计厅相关要求,同时需要满足电子政务外网接入相关要求。审计数据分析网通过采用专线接入和在网络接入区设立加密机、防火墙、病毒过滤网关等安全手段,确保审计数据分析网在与上级和下级审计机关进行通信时的安全。
三、 建设内容
1)审计专网区域等保建设,该区域按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第三级等保的要求进行建设,使审计专网具备***威胁监测、防御、处置能力,并能统一监测全市审计专网网络安全风险;
2)市、区、县审计机关审计专网安全接入防护建设,在满足安全合规要求的前提下,充分保障边界接入的安全性;
3)市审计机关数据分析网安全接入防护建设。
四、 建设方案
整体建设方案拓扑如下图所示:
市级审计局接入审计专网及数据分析网。1)在审计专网的接入安全上,部署接入防火墙做审计专网边界的访问控制、入侵防御;部署IPSec VPN设备,使用国家商用密码算法进行加密,与省厅进行对接。2)在数据分析网的接入安全上,部署接入防火墙做数据分析网边界的访问控制、入侵防御;部署加密机设备,与省厅数据分析网进行对接;在数据分析终端上,部署防病毒软件,实现终端的恶意代码监测与查杀。3)在接入安全建设的基础上,市级审计专网内按照等保2.0中三级相关要求进行网络安全建设,部署***行为管理设备,审计本地上网行为数据,留存日志6个月及以上;部署终端防病毒系统实现办公终端恶意代码防范功能;部署日志审计设备,收集网络内主机、系统、网络设备、安全设备日志数据,并留存6个月及以上;部署堡垒机,保障日常IT运维的安全性;部署漏洞扫描系统,定期发现内部脆弱性风险并进行安全加固。部署态势感知平台+威胁探针,构建审计专网市级统一安全监测平台,实现市、区、县审计专网安全态势的可视、可管、可控,及时发现内部***威胁与安全事件,并进行体系内通报预警。
县区审计局接入审计专网。1)在审计专网的接入安全上,部署接入防火墙做审计专网边界的访问控制、入侵防御;部署IPSec VPN设备,使用国家商用密码算法进行加密,与省厅进行对接。2)在区县审计专网内按照等保2.0中三级相关要求进行网络安全建设,部署***行为管理设备,审计本地上网行为数据,留存日志6个月及以上;部署终端防病毒系统实现办公终端恶意代码防范功能;部署日志审计设备,收集网络内主机、系统、网络设备、安全设备日志数据,并留存6个月及以上;部署堡垒机,保障日常IT运维的安全性;部署漏洞扫描系统,定期发现内部脆弱性风险并进行安全加固。部署态势感知平台,构建审计专网安全监测区县子平台,区县可依托于该子平台,实现网络安全风险的内部监测、处置闭环,并级联市级监测平台,自动同步子平台安全监测数据。
五、 预算清单
所属网络 | 设备名称 | 数量 | 产品说明 | 备注 |
审计专网 (市) | IPSec VPN | 1台 | 对接省厅,基于IPSec协议、国家商用密码算法构建虚拟专网。 | 必选 |
接入防火墙 | 1台 | 入侵防御、访问控制 | 必选 | |
***行为管理 | 1台 | 上网行为审计、行为日志留存,满足等保合规要求 | 推荐 | |
日志审计系统 | 1台 | 网络设备、安全设备、主机、操作系统的 | 推荐 | |
终端防病毒 | 若干 | 终端恶意代码防范能力 | 必选 | |
堡垒机 | 1台 | 运维安全审计 | 推荐 | |
漏洞扫描系统 | 1台 | 漏洞、弱密码等风险问题发现 | 推荐 | |
威胁探针 | 1台 | 网络流量收集、清洗并提交安全态势感知平台进行分析 | 推荐 | |
安全态势感知平台 | 1台 | ***威胁检测能力、全市审计专网安全监测能力、通报预警能力 | 推荐 | |
数据分析网 (市) | 加密机 | 1台 | 对接省厅,基于IPSec协议、国家商用密码算法构建虚拟专网 | 必选 |
终端防病毒 | 若干 | 终端恶意代码防范能力 | 必选 | |
接入防火墙 | 1台 | 入侵防御、访问控制 | 必选 | |
审计专网 (县区) | IPSec VPN | 1台 | 对接省厅,基于IPSec协议、国家商用密码算法构建虚拟专网。 | 必选 |
接入防火墙 | 1台 | 入侵防御、访问控制 | 必选 | |
***行为管理 | 1台 | 上网行为审计、行为日志留存,满足等保合规要求 | 推荐 | |
日志审计系统 | 1台 | 网络设备、安全设备、主机、操作系统的 | 推荐 | |
终端防病毒 | 若干 | 终端恶意代码防范能力 | 必选 | |
堡垒机 | 1台 | 运维安全审计 | 推荐 | |
漏洞扫描系统 | 1台 | 漏洞、弱密码等风险问题发现 | 推荐 | |
威胁探针 | 1台 | 网络流量收集、清洗并提交安全态势感知平台进行分析 | 推荐 | |
安全态势感知平台 | 1台 | ***威胁检测能力、区县本级的审计专网安全监测能力 | 推荐 |
国资委监管至少113家中央直属企业的正部级机构,包括核工业集团、航天科技集团、中石油、中石化、***、电信、联通、移动等。***国资委同时还负责管理31个省级国资委和众多市级国资委的工作。
由于所监管企业在市场经济中占有重要地位,所以监管工作也变得尤为重要。国资委对于中央直属企业的监管,仅利用信息系统汇报数据是远远不够的,国资委相关领导也需要深入基层实地调研,采集央企、各省市国资委的数据作为决策基础。因此***国资委相关领导需要经常在外接入***相关系统进行移动办公,而国资委内部存在大量的关系到国家安全的数据和信息,这样的数据如果直接在公共互联网上传输则会存在着很大的风险。
基于以上考虑,国资委选用深信服SSL VPN设备用于保障移动办公的安全。
安全的发布业务
深信服SSL VPN结合端到端的安全机制,利用身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制***仅可由***用户、使用***安全级别的终端、访问到***应用的强控制。同时整个应用平台可以安全的延伸到各个国企、控股单位、各个移动用户,组建灵活的应用发布网络。
快速访问提升工作效率
在面对高丢包高延时、跨运营商访问、无线访问等恶劣网络环境情况下,结合深信服 SSL VPN多重加速技术,可大幅提升***国资委用户的访问速度。SSL VPN访问速度的提升,内部应用访问速度的加快,直接提升了***国资委的工作效率。
使用体验高,降低管理工作量
深信服SSL VPN的建立无须在终端主机上安装任何客户端软件,非常适合移动用户的使用,接入方式对于用户而言易用性高、上手快。同时结合SANGFOR SSL VPN提供的系统托盘、默认服务页面等多种易用性功能,进一步提高***国资委用户的使用体验。方案大大降低国资委IT管理人员对整套VPN系统的管理和维护工作量。
除***国资委外,北京、上海、安徽、四川等多省市的国资委也采购了深信服SSL VPN设备,专门用于各项政策、指导文件的下发以及传输各大***企业汇报财务、人事、重大项目、投资等重要,为国资委和央企、国企之间建立了快速、稳定的传输平台。