為落實(shí)江西省委、省政府關(guān)于數(shù)字政府建設(shè)和數(shù)字經(jīng)濟(jì)發(fā)展的決策部署,夯實(shí)江西省電子政務(wù)關(guān)鍵信息基礎(chǔ)設(shè)施安全,江西省信息中心按照“風(fēng)險(xiǎn)監(jiān)測(cè)可視化、安全防護(hù)自動(dòng)化、安全服務(wù)人性化、安全指揮實(shí)時(shí)化”的原則,整合已有安全基礎(chǔ)設(shè)施,重點(diǎn)圍繞接入安全、傳輸安全、云平臺(tái)安全和數(shù)據(jù)安全,打造了“一個(gè)政務(wù)云一體化安全中心,四大安全系統(tǒng)聯(lián)動(dòng)”的新型政務(wù)云安全防護(hù)體系(以下簡(jiǎn)稱安全創(chuàng)新平臺(tái)),保障政務(wù)云及承載業(yè)務(wù)系統(tǒng)安全,為我省數(shù)字政府建設(shè)和數(shù)字經(jīng)濟(jì)發(fā)展提供堅(jiān)實(shí)的安全能力支撐。
一、實(shí)施背景
根據(jù)江西省政府辦公廳《關(guān)于加快推進(jìn)全省政務(wù)數(shù)據(jù)共享工作方案》《江西省2023年數(shù)字政府建設(shè)工作要點(diǎn)》等相關(guān)文件要求,按照“集約化建設(shè)”“加強(qiáng)省電子政務(wù)外網(wǎng)安全運(yùn)營(yíng)中心建設(shè),提升政務(wù)外網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)和應(yīng)急處置能力,提升數(shù)據(jù)安全管控能力”要求,伴隨省級(jí)電子政務(wù)云平臺(tái)承載的政務(wù)系統(tǒng)以及匯集的數(shù)據(jù)不斷增多,云平臺(tái)的安全性就愈發(fā)突顯,江西省信息中心在政府?dāng)?shù)字化轉(zhuǎn)型過(guò)程中,承擔(dān)著更加重要的網(wǎng)絡(luò)安全保障職責(zé),需不斷筑牢數(shù)字政府建設(shè)安全防線。
二、建設(shè)內(nèi)容
安全創(chuàng)新平臺(tái)通過(guò)打造“一個(gè)政務(wù)云一體化安全中心,四大安全系統(tǒng)聯(lián)動(dòng)”的新型政務(wù)云安全體系,即一個(gè)政務(wù)云一體化安全中心,統(tǒng)籌管理四大安全系統(tǒng);負(fù)責(zé)收集數(shù)據(jù)的偵察監(jiān)測(cè)系統(tǒng);保障通道安全的傳輸通信系統(tǒng);提供核心安全防護(hù)能力的立體防護(hù)系統(tǒng);提供機(jī)動(dòng)安全服務(wù)的運(yùn)營(yíng)服務(wù)系統(tǒng)。
(一)實(shí)時(shí)化的政務(wù)云一體化安全中心
政務(wù)云一體化安全中心可快速進(jìn)行安全研判和決策,及時(shí)為四大安全系統(tǒng)下達(dá)響應(yīng)指令,實(shí)現(xiàn)對(duì)政務(wù)云安全全時(shí)、全域立體監(jiān)控,形成實(shí)時(shí)化的政務(wù)云一體化安全中心。
安全中心是安全創(chuàng)新平臺(tái)的核心,負(fù)責(zé)指揮、統(tǒng)籌協(xié)調(diào)安全防護(hù)資源,管理提供安全能力的各個(gè)系統(tǒng)。由安全指揮中心管理平臺(tái)和具備監(jiān)測(cè)預(yù)警、研判分析、響應(yīng)處置、決策管理的專業(yè)人員構(gòu)成,實(shí)現(xiàn)全局安全態(tài)勢(shì)統(tǒng)一管理、安全威脅的統(tǒng)一研判、安全處置的統(tǒng)一聯(lián)動(dòng)。安全中心管理平臺(tái)通過(guò)體系化安全防護(hù)措施,實(shí)現(xiàn)政務(wù)云平臺(tái)安全狀態(tài)的全景洞察、感知可視、細(xì)粒監(jiān)測(cè)和決策處置。
(二)構(gòu)建全方位、立體化的威脅數(shù)據(jù)偵察監(jiān)測(cè)系統(tǒng)
在政務(wù)云數(shù)據(jù)中心機(jī)房部署監(jiān)控設(shè)備、環(huán)境感知組件、消防感知組件等,在政務(wù)云平臺(tái)網(wǎng)絡(luò)出口、核心網(wǎng)絡(luò)設(shè)備部署網(wǎng)絡(luò)層流量探針和數(shù)據(jù)層數(shù)據(jù)探針等,結(jié)合云主機(jī)安全管理軟件,構(gòu)建完整云網(wǎng)端一體的政務(wù)云運(yùn)行監(jiān)測(cè)體系,并將采集的相關(guān)數(shù)據(jù)上報(bào)至政務(wù)云一體化安全中心管理平臺(tái)進(jìn)行統(tǒng)一分析、研判和決策。
偵察監(jiān)測(cè)系統(tǒng)主要任務(wù)是對(duì)威脅動(dòng)態(tài)、重要關(guān)鍵節(jié)點(diǎn)的監(jiān)測(cè),為安全中心獲取情報(bào)。以機(jī)房動(dòng)環(huán)系統(tǒng)、安全探針、漏洞掃描等網(wǎng)絡(luò)感知組件形成監(jiān)測(cè)系統(tǒng),實(shí)時(shí)采集政務(wù)云平臺(tái)中物理環(huán)境、安全情況等基礎(chǔ)設(shè)施運(yùn)行狀態(tài)信息,匯聚到安全中心。
(三)構(gòu)建面向接入用戶鏈路通道安全的傳輸通信系統(tǒng)
面向非政務(wù)外網(wǎng)用戶、政務(wù)外網(wǎng)用戶,運(yùn)用SSL VPN,零信任等技術(shù),結(jié)合國(guó)密算法,構(gòu)建專用通信加密隧道,保障接入用戶訪問(wèn)政務(wù)云平臺(tái)安全。
傳輸通信系統(tǒng)的主要任務(wù)是保障信息傳輸?shù)陌踩煽俊_\(yùn)用國(guó)產(chǎn)密碼加密搭建通信隧道、訪問(wèn)控制、動(dòng)態(tài)終端環(huán)境監(jiān)測(cè)等技術(shù)手段,面向非政務(wù)外網(wǎng)環(huán)境用戶訪問(wèn)政務(wù)云平臺(tái)、政務(wù)外網(wǎng)環(huán)境用戶訪問(wèn)政務(wù)云平臺(tái)兩大場(chǎng)景,搭建安全接入平臺(tái)、零信任終端集中管控及雙網(wǎng)隔離平臺(tái),統(tǒng)籌外部用戶與政務(wù)云平臺(tái)的通信傳輸安全。
(四)構(gòu)建從外到里、從網(wǎng)到數(shù)縱深防御的立體防護(hù)系統(tǒng)
設(shè)置網(wǎng)絡(luò)層邊界防護(hù)、云平臺(tái)層防護(hù),應(yīng)用和數(shù)據(jù)層防護(hù)三道防線,部署網(wǎng)絡(luò)安全防護(hù)系統(tǒng)、云安全防護(hù)系統(tǒng)和應(yīng)用安全防護(hù)系統(tǒng),構(gòu)建政務(wù)云多層縱深的防御體系。
立體防護(hù)系統(tǒng)是提供安全防護(hù)能力的核心,為安全防護(hù)、安全處置賦能。包括政務(wù)云平臺(tái)安全立體防護(hù)層和大數(shù)據(jù)安全防護(hù)層,構(gòu)建邊界安全系統(tǒng)、云安全系統(tǒng)、應(yīng)用安全系統(tǒng)和數(shù)據(jù)安全系統(tǒng),形成網(wǎng)絡(luò)層邊界防護(hù)、云平臺(tái)層防護(hù),應(yīng)用和數(shù)據(jù)層防護(hù)三道防線。
(五)構(gòu)建高效靈活、人員齊全的運(yùn)營(yíng)服務(wù)系統(tǒng)
打造政務(wù)云安全服務(wù)系統(tǒng),創(chuàng)新安全即服務(wù)的交付模式,通過(guò)配備齊全的安服人員及技術(shù)設(shè)備,為政務(wù)云平臺(tái)提供日常防護(hù)、重保值守、安全評(píng)估、運(yùn)營(yíng)管理、應(yīng)急響應(yīng)等專業(yè)化、定制化的能力和服務(wù)。
運(yùn)營(yíng)服務(wù)系統(tǒng)是執(zhí)行非靜態(tài)守衛(wèi)任務(wù)的系統(tǒng),主要承擔(dān)執(zhí)行機(jī)動(dòng)任務(wù)和處理突發(fā)事件的工作。通過(guò)打造政務(wù)云安全服務(wù)系統(tǒng),提供專業(yè)化、定制化的能力和服務(wù)。
三、創(chuàng)新點(diǎn)
安全創(chuàng)新平臺(tái)重點(diǎn)探索新技術(shù)應(yīng)用,利用零信任技術(shù)、區(qū)塊鏈技術(shù)、國(guó)密算法等技術(shù),結(jié)合管理模式創(chuàng)新,全力保障江西省政務(wù)云平臺(tái)安全。
(一)技術(shù)創(chuàng)新
1.零信任技術(shù)實(shí)踐
充分運(yùn)用零信任技術(shù),建設(shè)江西省政務(wù)云零信任一體化系統(tǒng),圍繞身份可信、終端可信、傳輸可信、權(quán)限可信、行為可信開(kāi)展核心技術(shù)應(yīng)用。目前政務(wù)云零信任一體化系統(tǒng)在江西省“贛政通”平臺(tái)得到了典型應(yīng)用,“贛政通”是江西省推進(jìn)政府治理能力現(xiàn)代化為目標(biāo),按照“統(tǒng)一平臺(tái)、一體在線、協(xié)同高效”的原則,集約化建設(shè)的全省政務(wù)辦公協(xié)同大平臺(tái)。政務(wù)云零信任一體化平臺(tái)通過(guò)對(duì)用戶身份與贛政通進(jìn)行掃碼登陸對(duì)接,實(shí)現(xiàn)對(duì)全省60余萬(wàn)公職人員用戶身份的認(rèn)證,保障身份可信。2023年,“基于零信任的政務(wù)云身份和訪問(wèn)管理應(yīng)用實(shí)踐”榮獲中國(guó)信通院“2022年零信任杰出實(shí)踐獎(jiǎng)”。
2.安全組件服務(wù)化
在云安全防護(hù)系統(tǒng)中,引入安全資源池,服務(wù)化交付云租戶所需的各類(lèi)安全組件,對(duì)共性的安全技術(shù)能力采用集中化、平臺(tái)化、輕量化的方式統(tǒng)一建設(shè),降低安全體系建設(shè)運(yùn)維成本。
3.區(qū)塊鏈技術(shù)
充分運(yùn)用區(qū)塊鏈技術(shù),建設(shè)省政務(wù)區(qū)塊鏈系統(tǒng),提供基于區(qū)塊鏈的PaaS能力服務(wù),將各安全系統(tǒng)收集的威脅發(fā)現(xiàn)日志、安全處置日志等數(shù)據(jù)信息上鏈,將數(shù)據(jù)全生命周期管理中涉及的全鏈路業(yè)務(wù)行為上鏈,實(shí)現(xiàn)了數(shù)據(jù)共享開(kāi)放過(guò)程的安全可信、可追溯。
4.國(guó)密算法應(yīng)用
充分運(yùn)用國(guó)密算法,建設(shè)省級(jí)云密碼服務(wù)支撐平臺(tái),提供基于國(guó)產(chǎn)密碼應(yīng)用的PaaS能力服務(wù)。2020年,通過(guò)集約化、標(biāo)準(zhǔn)化的云密碼服務(wù)模式建設(shè)了云密碼服務(wù)支撐平臺(tái),為政務(wù)云平臺(tái)承載的政務(wù)信息系統(tǒng)提供統(tǒng)一的密碼服務(wù)。同時(shí),為確保云密碼服務(wù)支撐平臺(tái)自身的安全與合規(guī)性,云密碼服務(wù)支撐平臺(tái)通過(guò)了商用密碼應(yīng)用安全性評(píng)估,成為江西省第一個(gè)通過(guò)密評(píng)的信息系統(tǒng)、全國(guó)第一個(gè)通過(guò)密評(píng)的政務(wù)云密碼服務(wù)平臺(tái)。出臺(tái)了江西省地方標(biāo)準(zhǔn)《基于政務(wù)云平臺(tái)密碼服務(wù)技術(shù)規(guī)范》(DB36/T 1585—2022),為全省的政務(wù)云平臺(tái)密碼服務(wù)提供了統(tǒng)一標(biāo)準(zhǔn)。“全鑒密碼服務(wù)平臺(tái)”榮獲工信部2022年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目。
5.云網(wǎng)端一體聯(lián)動(dòng)
通過(guò)安全處置自動(dòng)編排技術(shù),按照一個(gè)指揮中心為核心,多個(gè)安全系統(tǒng)聯(lián)合防護(hù)的原則,聚合網(wǎng)絡(luò)側(cè)、終端側(cè)、應(yīng)用側(cè)、數(shù)據(jù)側(cè)的安全能力,實(shí)現(xiàn)網(wǎng)絡(luò)、終端、服務(wù)器、數(shù)據(jù)庫(kù)、云平臺(tái)、應(yīng)用系統(tǒng)、安全設(shè)備安全事件的統(tǒng)一識(shí)別、報(bào)警和分析,形成安全閉環(huán)。
(二)管理創(chuàng)新
面對(duì)日益嚴(yán)峻的安全威脅,江西省信息中心在2022年6月組建了服務(wù)全省的江西省電子政務(wù)外網(wǎng)安全運(yùn)營(yíng)中心(以下簡(jiǎn)稱安全運(yùn)營(yíng)中心),將原本分割、異構(gòu)的各道防線與安全服務(wù)多口歸一,通過(guò)統(tǒng)一安全運(yùn)維流程,將技術(shù)、人員有機(jī)結(jié)合,形成“人機(jī)共智”的安全服務(wù)體系,實(shí)現(xiàn)政務(wù)云平臺(tái)7*24全時(shí)全域安全防控。安全運(yùn)營(yíng)中心以“四個(gè)一”為框架,即全天候監(jiān)測(cè)平臺(tái)、可視化服務(wù)平臺(tái)、高效的工作機(jī)制、開(kāi)放的安全生態(tài),助推省級(jí)電子政務(wù)云平臺(tái)一體化安全體系建設(shè)。在省委網(wǎng)信辦、省公安廳等部門(mén)組織的各項(xiàng)網(wǎng)絡(luò)安全攻防演習(xí)活動(dòng)中取得了較好成績(jī),為政務(wù)云平臺(tái)承載的610余個(gè)政務(wù)信息系統(tǒng)構(gòu)筑起了牢固的安全防線。安全運(yùn)營(yíng)中心自成立以來(lái)平均每周攔截攻擊近700萬(wàn)次,相關(guān)安全事件已全部下發(fā)至各廳局委辦單位通知整改修復(fù),處置率95%以上。
四、實(shí)施效果
安全創(chuàng)新平臺(tái)從2015年投入建設(shè),2021年初步建成并投入使用,2019年率先通過(guò)國(guó)家信息中心組織的等保2.0試點(diǎn)測(cè)評(píng),2022年率先完成與國(guó)家政務(wù)外網(wǎng)安全監(jiān)測(cè)平臺(tái)對(duì)接,初步建立了國(guó)、省兩級(jí)協(xié)同聯(lián)動(dòng)的安全監(jiān)測(cè)體系。全年共捕獲攻擊次數(shù)四億余次,平均每天捕獲攻擊近90萬(wàn)次,攻擊者數(shù)量100余萬(wàn),來(lái)源國(guó)家或地區(qū)170余個(gè)。其中異常訪問(wèn)事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、后門(mén)攻擊事件為主的網(wǎng)絡(luò)攻擊事件有50000余次;有害程序事件1900+次,全年處理這三類(lèi)風(fēng)險(xiǎn)比例占全年總風(fēng)險(xiǎn)的80%;針對(duì)這些風(fēng)險(xiǎn),共處置風(fēng)險(xiǎn)主機(jī)1萬(wàn)余次,未發(fā)生信息內(nèi)容安全事件、災(zāi)難性事件等;安全創(chuàng)新平臺(tái)在重大活動(dòng)、HW期間等重要保障時(shí)期持續(xù)發(fā)揮安全作用,保護(hù)政務(wù)云平臺(tái)整體安全,未發(fā)生安全事件,并獲得優(yōu)秀防守單位稱號(hào)。
2022年基于安全創(chuàng)新平臺(tái)實(shí)踐的“江西省政務(wù)云一體化安全作戰(zhàn)中心項(xiàng)目”榮獲工信部“網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目”以及2023年榮獲中國(guó)信通院“政務(wù)云創(chuàng)新實(shí)踐優(yōu)秀案例”。