为及时发现漯河市电子政务外网网络安全风险并进行处置闭环,防止网络安全事件的发生,同时以安全监测促进各单位的网络安全意识提升。漯河市政务服务和大数据管理局于2021年12月搭建了漯河市电子政务外网安全态势感知监管平台,并构建了配套的网络安全运营体系,实现网络安全的可视、可控、可感知。平台监测对象为漯河市全市电子政务外网公共区、互联网区、各接入单位以及政务云互联网区与专有区信息系统,到目前为止监测范围覆盖两县三区三个功能区共计八个县区以及全市各党政机关、政务服务各职能部门共计300多家单位。
平台上线至今,共下发了104起安全风险预警,通过通报预警流程,处置闭环率达98%,有效遏制了网络安全事件的发生。同时,全市各单位网络安全意识进一步提升,掌握了常见安全风险的预防及处置办法。
通过该平台的构建,进一步丰富了漯河市电子政务外网信息安全保障体系,构建了可靠的网络环境,提升了电子政务外网用户整体的网络安全意识及安全技能。
一、实施背景
电子政务外网建设是政务信息化建设的先导工程,漯河市主管部门按照中央和省关于网络安全和信息化发展的工作要求,结合“负责信息安全的统筹规划和协调管理,协调信息安全保障体系建设”的机构职能,以统筹协调全市各级党政机关单位全面提升基础电子政务网络、重要网站、信息系统的安全防御能力,构建漯河市电子政务网络信息安全保障体系为总体目标,从2013年起开展电子政务网络信息安全保障体系的规划设计及建设工作,目前项目各项建设工作进展正常。近年来重点完成了两方面的工作:一是有效支撑了全市每年联合开展网络信息安全和保密检查工作;二是构建全市电子政务网络安全保障体系。初步形成了我市电子政务网络与信息安全工作推进的长效机制,实现了网络信息安全保障工作的体系化和常态化,全面提高了电子政务平台的安全保障能力。
为了进一步加快我市电子政务外网建设,推动各级政务部门利用电子政务网络便捷的开展各类应用,充分发挥电子政务网络的公共设施作用和效能,根据相关政策文件精神,提升我市电子政务网络信息安全保障体系的服务能力,增加电子政务网络信息安全基础设施及技术手段,加强电子政务外网骨干网安全威胁监测能力以及市直机关单位重要业务系统安全风险深度监测预警能力,确保我市电子政务外网安全运行和电子政务业务健康发展是我市电子政务外网安全建设的主要课题。
二、实施目标
统一规划部署漯河市电子政务外网网络安全监测体系,通过对内部和外部的安全监管,提高电子政务外网的安全监测、纵深防御、风险管控和应急响应能力。建立“事前、事中、事后”全程安全监管机制与科学、有效、迅速响应的应急工作机制,提升网络安全突发事件的处置能力。及时反馈网络安全通报和事件处置结果,配合相关部门处置各类网络安全事件。以安全监测促进电子政务外网各用网单位的网络安全意识提升,提高各单位网络安全负责人的网络安全能力和业务水平。
可视:通过多维度的统计与图形化呈现,展示综合安全态势、业务资产、应急演练、安全事件、处置跟踪、安全评价指数等可视化数据。
可感:基于深度检测、关联分析、异常分析等技术,建立全方位全天候的安全威胁、漏洞风险、异常行为的实时发现能力,全面掌握安全态势。
可控:持续安全监测,在威胁未发生之前实现最大化精准识别与预警,并进行安全联动处置与策略调整,实现主动快速响应,精准拦截攻击行为。解决当前电子政务外网信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高漯河市电子政务网络突发安全事件监测预警能力,实现市级电子政务外网核心节点和8个区县节点网络安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。
可达:成立网络安全工作领导小组,明确工作权责及制定场景化的工作内容与流程,围绕安全预防、保障、监控、应急等方面工作开展,构建体系化的流程化的工作协同机制。
三、建设内容
漯河市电子政务外网安全态势感知监管平台由网络安全监测平台、流量监测工具、安全运营机制组成,构建全市电子政务外网安全威胁全面感知、精准分析与研判、智能决策、协同响应等安全闭环的统一安全监管能力,从全局、整体的思路整合资源和优化流程,打造一体化的高效运行的网络安全监管体系,实现监管协同化、管理集约化、技术平台化、数据标准化。
(一)网络安全监测平台
漯河市电子政务外网安全态势感知监管平台旁路部署于漯河市电子政务外网核心交换机。通过大数据处理结构设计,将关键节点流量数据进行收集、处理、分析、存储。最终实现资产识别、脆弱性评估、日志关联性分析、外部威胁检测、安全事件分析溯源、违规外连检测、内部横向攻击检测安全可视化等能力。
(二)流量收集工具
在漯河市8个区县电子政务外网汇聚节点旁路部署流量收集工具:临颍县、舞阳县、郾城区、源汇区、召陵区、城乡一体化示范区、国家级经济技术开发区、西城区。在电子政务外网双核心、政务云部署流量收集工具。通过网络流量镜像在内部对用户到业务资产、业务的访问关系进行识别,基于捕捉到的网络流量对内部进行初步的攻击识别、违规行为检测与内网异常行为识别。传统的发生在内部的横向移动攻击边界防御无法进行检测,如通过失陷主机向内网业务资产发起的横向移动或者跳板攻击。通过该流量收集工具能够对绕过边界防御的进入到内网的攻击进行检测,以弥补传统检测方式的不足。
(三)安全运营机制
在日常监测工作中开展资产梳理、安全评估、漏洞管理、威胁管理、通报预警、事件处置、持续运营等环节,不断完善网络安全体系建设和安全能力建设。
资产梳理:借助安全工具对当前信息资产进行全面发现和深度识别,并结合人工梳理成真实、可用的资产台账。
安全评估:从脆弱性评估、病毒类事件评估、攻击行为评估、失陷类事件评估等方面对现有安全问题以及成熟度进行客观评估。
漏洞管理:识别系统安全漏洞,并对漏洞进行专业验证,同时结合多种信息对识别的漏洞进行优先级排序,最后提出切实可行的漏洞修复指导。
威胁管理:结合大数据分析技术实时监测网络安全状态,对监测到的安全问题,安全运维工程师介入进行及时进行分析与定位,下发通报及处置建议给对应单位,同时依据安全知识库协助进行事件处置工作。
通报预警:结合最新威胁情报、漏洞情报,安全运维工程师排查是否对电子政务外网资产造成威胁并通知涉及单位,协助及时进行安全加固。
处置闭环:对安全评估、威胁检测、漏洞检测等发现的问题,进行具体研判评估后通过短信、纸质报告等方式通报给对应单位责任人,并协助进行处置,收到处置反馈后进行二次验证,无误则标记事件已闭环,进行归档留存。
四、实施效果
通过在电子政务外网部署安全感知平台,并结合完善的安全运营流程的方式,极大地提升了漯河市电子政务外网的网络安全监测、闭环能力,有较好的应用效果和推广价值,主要体现在:
(一)构建了完善的安全管理体系
建立网络安全组织机构,明确关键岗位成员和工作职责;
建立漯河市电子政务外网各单位网络安全联络机制,利于在全市范围内开展网络安全工作;
完善网络安全管理体系,以方针策略为总纲,明确各类网络安全管理制度,规范各项网络安全技术,从顶层设计、管理体系、技术规范三位一体全面建立网络安全管理体系基线;
提升各单位的网络安全意识和网络安全能力。
(二)构建了持续全面的安全运营流程
资产梳理:持续完善IT资产指纹信息,保障资产台账清晰,将终端、服务器资产落实到具体单位,各单位安全状态一目了然;
外部威胁:通过持续检测,实时发现来自外部的安全攻击威胁,优化安全防护策略,提升防御水平,至今无一例成功攻击事件;
内部威胁:对内部主机进行实时检测,识别感染恶意木马程序的主机,并进行协助处置。经人工确认,其准确率达到100%,有效提升安全风险处置效率;
漏洞处置:持续监测各类资产的漏洞风险情况,协助各单位对各类漏洞进行漏洞修复和加固;
预警通报:运营期间,累计完成104次安全预警通报分析和排查,未检测到安全事件,处置率达到98%。
