为落实江西省委、省政府关于数字政府建设和数字经济发展的决策部署,夯实江西省电子政务关键信息基础设施安全,江西省信息中心按照“风险监测可视化、安全防护自动化、安全服务人性化、安全指挥实时化”的原则,整合已有安全基础设施,重点围绕接入安全、传输安全、云平台安全和数据安全,打造了“一个政务云一体化安全中心,四大安全系统联动”的新型政务云安全防护体系(以下简称安全创新平台),保障政务云及承载业务系统安全,为我省数字政府建设和数字经济发展提供坚实的安全能力支撑。
一、实施背景
根据江西省政府办公厅《关于加快推进全省政务数据共享工作方案》《江西省2023年数字政府建设工作要点》等相关文件要求,按照“集约化建设”“加强省电子政务外网安全运营中心建设,提升政务外网网络安全监测和应急处置能力,提升数据安全管控能力”要求,伴随省级电子政务云平台承载的政务系统以及汇集的数据不断增多,云平台的安全性就愈发突显,江西省信息中心在政府数字化转型过程中,承担着更加重要的网络安全保障职责,需不断筑牢数字政府建设安全防线。
二、建设内容
安全创新平台通过打造“一个政务云一体化安全中心,四大安全系统联动”的新型政务云安全体系,即一个政务云一体化安全中心,统筹管理四大安全系统;负责收集数据的侦察监测系统;保障通道安全的传输通信系统;提供核心安全防护能力的立体防护系统;提供机动安全服务的运营服务系统。
(一)实时化的政务云一体化安全中心
政务云一体化安全中心可快速进行安全研判和决策,及时为四大安全系统下达响应指令,实现对政务云安全全时、全域立体监控,形成实时化的政务云一体化安全中心。
安全中心是安全创新平台的核心,负责指挥、统筹协调安全防护资源,管理提供安全能力的各个系统。由安全指挥中心管理平台和具备监测预警、研判分析、响应处置、决策管理的专业人员构成,实现全局安全态势统一管理、安全威胁的统一研判、安全处置的统一联动。安全中心管理平台通过体系化安全防护措施,实现政务云平台安全状态的全景洞察、感知可视、细粒监测和决策处置。
(二)构建全方位、立体化的威胁数据侦察监测系统
在政务云数据中心机房部署监控设备、环境感知组件、消防感知组件等,在政务云平台网络出口、核心网络设备部署网络层流量探针和数据层数据探针等,结合云主机安全管理软件,构建完整云网端一体的政务云运行监测体系,并将采集的相关数据上报至政务云一体化安全中心管理平台进行统一分析、研判和决策。
侦察监测系统主要任务是对威胁动态、重要关键节点的监测,为安全中心获取情报。以机房动环系统、安全探针、漏洞扫描等网络感知组件形成监测系统,实时采集政务云平台中物理环境、安全情况等基础设施运行状态信息,汇聚到安全中心。
(三)构建面向接入用户链路通道安全的传输通信系统
面向非政务外网用户、政务外网用户,运用SSL VPN,零信任等技术,结合国密算法,构建专用通信加密隧道,保障接入用户访问政务云平台安全。
传输通信系统的主要任务是保障信息传输的安全可靠。运用国产密码加密搭建通信隧道、访问控制、动态终端环境监测等技术手段,面向非政务外网环境用户访问政务云平台、政务外网环境用户访问政务云平台两大场景,搭建安全接入平台、零信任终端集中管控及双网隔离平台,统筹外部用户与政务云平台的通信传输安全。
(四)构建从外到里、从网到数纵深防御的立体防护系统
设置网络层边界防护、云平台层防护,应用和数据层防护三道防线,部署网络安全防护系统、云安全防护系统和应用安全防护系统,构建政务云多层纵深的防御体系。
立体防护系统是提供安全防护能力的核心,为安全防护、安全处置赋能。包括政务云平台安全立体防护层和大数据安全防护层,构建边界安全系统、云安全系统、应用安全系统和数据安全系统,形成网络层边界防护、云平台层防护,应用和数据层防护三道防线。
(五)构建高效灵活、人员齐全的运营服务系统
打造政务云安全服务系统,创新安全即服务的交付模式,通过配备齐全的安服人员及技术设备,为政务云平台提供日常防护、重保值守、安全评估、运营管理、应急响应等专业化、定制化的能力和服务。
运营服务系统是执行非静态守卫任务的系统,主要承担执行机动任务和处理突发事件的工作。通过打造政务云安全服务系统,提供专业化、定制化的能力和服务。
三、创新点
安全创新平台重点探索新技术应用,利用零信任技术、区块链技术、国密算法等技术,结合管理模式创新,全力保障江西省政务云平台安全。
(一)技术创新
1.零信任技术实践
充分运用零信任技术,建设江西省政务云零信任一体化系统,围绕身份可信、终端可信、传输可信、权限可信、行为可信开展核心技术应用。目前政务云零信任一体化系统在江西省“赣政通”平台得到了典型应用,“赣政通”是江西省推进政府治理能力现代化为目标,按照“统一平台、一体在线、协同高效”的原则,集约化建设的全省政务办公协同大平台。政务云零信任一体化平台通过对用户身份与赣政通进行扫码登陆对接,实现对全省60余万公职人员用户身份的认证,保障身份可信。2023年,“基于零信任的政务云身份和访问管理应用实践”荣获中国信通院“2022年零信任杰出实践奖”。
2.安全组件服务化
在云安全防护系统中,引入安全资源池,服务化交付云租户所需的各类安全组件,对共性的安全技术能力采用集中化、平台化、轻量化的方式统一建设,降低安全体系建设运维成本。
3.区块链技术
充分运用区块链技术,建设省政务区块链系统,提供基于区块链的PaaS能力服务,将各安全系统收集的威胁发现日志、安全处置日志等数据信息上链,将数据全生命周期管理中涉及的全链路业务行为上链,实现了数据共享开放过程的安全可信、可追溯。
4.国密算法应用
充分运用国密算法,建设省级云密码服务支撑平台,提供基于国产密码应用的PaaS能力服务。2020年,通过集约化、标准化的云密码服务模式建设了云密码服务支撑平台,为政务云平台承载的政务信息系统提供统一的密码服务。同时,为确保云密码服务支撑平台自身的安全与合规性,云密码服务支撑平台通过了商用密码应用安全性评估,成为江西省第一个通过密评的信息系统、全国第一个通过密评的政务云密码服务平台。出台了江西省地方标准《基于政务云平台密码服务技术规范》(DB36/T 1585—2022),为全省的政务云平台密码服务提供了统一标准。“全鉴密码服务平台”荣获工信部2022年网络安全技术应用试点示范项目。
5.云网端一体联动
通过安全处置自动编排技术,按照一个指挥中心为核心,多个安全系统联合防护的原则,聚合网络侧、终端侧、应用侧、数据侧的安全能力,实现网络、终端、服务器、数据库、云平台、应用系统、安全设备安全事件的统一识别、报警和分析,形成安全闭环。
(二)管理创新
面对日益严峻的安全威胁,江西省信息中心在2022年6月组建了服务全省的江西省电子政务外网安全运营中心(以下简称安全运营中心),将原本分割、异构的各道防线与安全服务多口归一,通过统一安全运维流程,将技术、人员有机结合,形成“人机共智”的安全服务体系,实现政务云平台7*24全时全域安全防控。安全运营中心以“四个一”为框架,即全天候监测平台、可视化服务平台、高效的工作机制、开放的安全生态,助推省级电子政务云平台一体化安全体系建设。在省委网信办、省公安厅等部门组织的各项网络安全攻防演习活动中取得了较好成绩,为政务云平台承载的610余个政务信息系统构筑起了牢固的安全防线。安全运营中心自成立以来平均每周拦截攻击近700万次,相关安全事件已全部下发至各厅局委办单位通知整改修复,处置率95%以上。
四、实施效果
安全创新平台从2015年投入建设,2021年初步建成并投入使用,2019年率先通过国家信息中心组织的等保2.0试点测评,2022年率先完成与国家政务外网安全监测平台对接,初步建立了国、省两级协同联动的安全监测体系。全年共捕获攻击次数四亿余次,平均每天捕获攻击近90万次,攻击者数量100余万,来源国家或地区170余个。其中异常访问事件、网络扫描窃听事件、后门攻击事件为主的网络攻击事件有50000余次;有害程序事件1900+次,全年处理这三类风险比例占全年总风险的80%;针对这些风险,共处置风险主机1万余次,未发生信息内容安全事件、灾难性事件等;安全创新平台在重大活动、HW期间等重要保障时期持续发挥安全作用,保护政务云平台整体安全,未发生安全事件,并获得优秀防守单位称号。
2022年基于安全创新平台实践的“江西省政务云一体化安全作战中心项目”荣获工信部“网络安全技术应用试点示范项目”以及2023年荣获中国信通院“政务云创新实践优秀案例”。