解决方案
联系我们
助力政府等级保护建设
分享到0
浏览次136数 发表时间:2014/6/30 14:35:45   加入收藏

概述

等级保护的核心是综合防御,强调运用多种技术手段,根据业务重要性等级实施差异化的保护。而等级保护的要求比较复杂,以三级系统为例,仅网络安全部分就包含了7个控制点,33个要求项,这对用户带来挑战。

Hillstone应对此挑战,推出了政府等级保护网络安全解决方案,通过部署Hillstone企业安全网关,运用多维度、多层面的检测与控制技术,实现包括身份认证与访问控制、智能应用识别、恶意代码与攻击防范、数据远程安全传输、带宽资源控制等多种安全措施,在满足等级保护合规性要求的同时,提升用户信息网络的安全性。

1、安全需求

作为国家重要信息系统基础设施,政府行业信息网络的安全建设,应参考等级保护基本要求而展开。为此用户需要引入多种安全技术与措施,根据业务重要性及业务运行特点,有目标性地进行部署和配置,但由于等级保护的要求非常复杂,用户在进行合规性建设的过程中,往往感觉无从下手,从而影响了安全系统的效果发挥。

以三级系统为例,仅网络安全部分的技术要求就包含了7个控制点,33个要求项,如果用不同的产品来满足不同控制点要求,就会使得建成的系统过于复杂,过多的安全设备造成过高的采购成本,运行维护的难度也很高,还增加了故障点。

另外,作为信息安全建设的国家标准,等级保护仅从技术措施的内容上,提出了系统性的要求,但是各种技术措施应该配置到什么程度,部署的安全设备应当配置怎样的策略,都未有明确的要求,这也使得等级保护面临落地难的状态。综合起来,用户在等级保护建设上,往往存在如下的安全需求:
  全面符合等级保护要求,并通过相关测评;
  在全面满足等级保护多种安全技术要求的同时,合理降低安全设备的总体成本;
  应具有集中安全管理手段,能够有效监控各个安全设备的运行状态,并深入分析信息网络中是否存在着不安全的状态,还能够对所有的安全设备进行集中管理,提升管理效能。

2、解决方案

Hillstone政府等级保护网络安全解决方案,既是为简化政府用户等级保护建设而提出的,方案运用融合多种安全技术为一体的Hillstone企业安全网关,能够符合等级保护网络安全技术要求,从接入、行为、网络等多个维度,对政府信息网络实施综合性的防护。

以某政府信息网络为例,假设其具有多个业务系统,不同业务系统的重要性不同,定级也不同。在等级保护建设时,用户首先就需要划分安全域,将支撑不同业务系统的应用服务器、数据库服务器、网络设备在逻辑上隔离出来。在此基础上,将Hillstone企业安全网关部署在不同安全域之间的边界,并根据安全域内运行的业务系统配置对应的安全策略,使业务系统在受控的状态下被合理地访问。


Hillstone政府等级保护安全网关部署示意图

由于Hillstone企业安全网关融合了多种安全技术,包括流量监控与带宽管理、网络访问控制、恶意代码防护、入侵防御、数据安全传输、深度应用识别与控制等,单台设备上即可实现等级保护网络安全的要求,对比多系统防护的模式,大大减少了设备的投入,还降低了配置维护的难度。

此外,由于政府多业务的特点,依然会导致存在多个安全域,而部署了多台Hillstone企业安全网关,为此还可通过部署Hillstone安全管理平台(HSM),实现集中化的管理。

3、方案效果

融合了多种安全技术的Hillstone企业安全网关,为政府用户满足等级保护网络安全要求而发挥积极作用,以三级系统为例,等级保护网络安全要求包含了结构安全、访问控制、按安全审计、边界完整性检查、入侵防范、恶意代码防范以及网络设备防护,从满足要求的角度,方案的建设内容包括:
  通过安全域的隔离,以及深度流量监测、带宽控制等技术,满足结构安全要求;
  提供基于用户、事件、地址、协议、端口的细粒度访问控制,满足访问控制要求;
  基于用户、行为、流量等提供的审计,满足安全审计内容要求;
  专用的集中安全管理平台,满足对审计记录保护的要求;
  提供基于802.1X的准入管理,保障边界完整性;
  提供的入侵防御、病毒过滤等,满足入侵防范和恶意代码防范要求;
  强化设备的管理类型和行为,实现网络设备防护。

融合多种技术的Hillstone企业安全网关,对比多安全设备的方案,大大减少了设备的投入,并且降低了策略配置的难度,使政府用户的系统管理人员更关注于业务保护能力的实现,在满足合规性要求的同时,为业务的安全性得到更进一步的提升;

方案在整合了Hillstone集中安全管理平台后,对于多节点部署Hillstone企业安全网关,实施集中化的管理,包括实时监控设备状态、统一收集及分析日志、集中配置安全策略等,提升了整体安全运维的效能。