• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/About_H3C/Home/doc/202208/1669073_30008_0.htm

合肥市数据资源局基于态势感知场景下的运维实践分享

【发布时间:2022-08-17】

背景

2016年12月,国务院印发〔2016〕73号《“十三五”国家信息化规划》,明确提出:要强化网络安全顶层设计,构建关键信息基础设施安全保障体系。落实国家信息安全等级保护制度,全力保障国家关键信息基础设施安全。加强金融、能源、水利、电力、通信、交通、地理信息等领域关键信息基础设施核心技术装备威胁感知和持续防御能力建设,提升网络安全防御能力和威慑能力。全天候全方位感知网络安全态势,加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析,更好地感知网络安全态势,做好风险防范工作。

2017年9月,安徽省合肥市人民政府遵从中央要求,印发了《合肥市2017年电子政务重点工作任务》,其中重点要求关注“市县两级电子政务外网,部署统一的网络运行监控平台,实现本级城域网网络设备的日常监管,完成市级电子政务外网骨干网系统三级等保测评工作”。

截至2020年2月,合肥市数据资源局(简称“信息中心”)整合/部署了多家单位的业务系统,一直处于平稳运行状态,随着各单位新业务的不断上线,同时网络架构也存在着诸多安全风险:安全边界风险、业务区风险、法律法规风险,为了响应中央政府的要求,原有的网络平台架构急需规划调整,合肥市数据资源局也同样面临着安全运维的挑战:

1、运维环境复杂,已有人员难以支撑安全运维工作

信息中心原有的网络架构庞大且承载的业务流量模型相对复杂,同时安全层面的运维也倍感压力,已有的网络运维人员日常需要自身的网络运维工作,加之缺乏完善的安全运维技能,难以很好地按质完成安全运维工作。

2、缺乏规范化的安全运维体系和运维平台

现场缺少专业的安全运维组织和统一的安全运维平台,第三方网络工程师对于网络架构中的设备和安全事件的监控、分析、处置及操作审计力度不够,且尚未形成规范化的安全运维体系,容易导致日常运维工作中因运维流程不规范引发的安全事件,影响承载业务的正常运行。

3、合肥市政府对信息中心安全状况保持高要求

合肥市政府对合肥市数据资源局的安全现状一直保持高要求、高标准、高度关注。因此为了响应政府要求同时适应接入业务的更好发展,做好安全平台建设项目是合肥市数据资源局的核心工作。

基于以上情况,合肥市数据资源局于2020年2月正式启动基于态势感知的安全平台体系建设项目。项目具体建设思路包括:

●完善合肥市数据资源局政务外网安全合规体系;

●建设合肥市数据资源局电子政务外网安全接入平台;

●建设合肥市数据资源局电子政务外网安全监测体系;

●配备专业安全协维服务人员,引入安全驻场服务;

●引入专业安全服务及咨询人员,满足合肥市数据资源局安全管理需求。

项目总体架构设计

为建立合肥市数据资源局健全的安全防护体系,该项目通过“安全云”统一管理门户整合安全防护、安全检测、安全审计等资源,在安全监管中心—安全态势感知平台统一管理下,实现以上安全资源灵活调度,对安全事件进行信息收集、记录、分析、响应等,形成闭环处理。

边界、区域内及内部主机的交互信息通过防御系统进行数据过滤后继续进行传输,检测系统实时检测传输数据,发现未知威胁实时抓取分析并将结果上传至安全监管中心,IPS(Intrusion Prevention System,入侵检测系统)若检测到高危告警会对威胁流量进行及时阻断。各类安全设备将事件日志统一发送至安全态势感知平台,平台根据内置模型分析出当前网络的安全态势。专业的安全运维人员根据平台展示的结果及事件处置建议对安全设备下发安全策略,大幅提升安全运维的效率。

图1 合肥市数据资源局安全平台建设项目总体架构设计图

项目建设目标

1、通过对合肥市数据资源局电子政务外网安全监测平台的建设,实现安全攻击威胁、安全事件的实时发现、告警及处置,对潜在威胁和风险进行预警。
2、引入专业安全服务团队形成咨询、巡检、渗透加固、运维、培训等全系列安全服务内容的供给,提升信息中心安全管理及安全运维水平。

合肥市数据资源局安全平台项目建设成果

电子政务外网安全监测平台建设

在合肥市数据资源局内部署基于H3C安全态势感知的安全资源区,实现了安全日志的统一采集、安全事件实时监控、分析、告警与处置,且多维度实时展现安全风险和潜在威胁。
1、统一的日志采集平台

为了获取内部网络、终端、情报等信息,用于分析安全态势,合肥市数据资源局部署了集群版态势感知系统作为统一的日志采集平台,一方面定期更新威胁情报,另一方面采用被动采集技术,收集网络中安全防御设备如防火墙、IPS、漏洞扫描设备,审计设备如应用审计系统、数据库审计系统、检测设备如探针、沙箱的海量日志。

图2 安全态势感知及其组件(部分组件可选)

2、安全事件智能监控分析

态势感知平台收集各类样本数据如安全日志、第三方情报后,基于平台内置的AI/机器学习和专家系统对数据进行安全分析,根据机器学习算法,建立用户行为/流量/威胁基线,以此丰富威胁判别模型、流量趋势预测等模型,同时态势感知平台自身也在场景中不断优化知识库调整模型,更准确及时地发现安全威胁及趋势预判,并给出安全事件处置建议。对于需要深入分析的安全事件,结合现场安全运维工程师的专业判断后,最终对安全事件进行闭环处理。

图3 安全平台事件智能监控分析示意图

3、自动化安全运维

资产和业务系统状态难摸底、流量走向难梳理等运维问题在基于态势感知平台开展安全运维工作后迎刃而解,态势感知基于云计算和容器技术进行微服务的自动部署和动态管理,对重要资产进行风险分析,实现对象状态实时监控。并和重要防御设备如防火墙M9000进行响应联动,一旦在平台上确认产生安全事件,运维工程师可立即通过态势感知平台向安全设备下发联动策略,一键实现及时响应和处置。

图4 自动化运维示意图

4、多维度风险展示平台

态势感知平台结合事件分析模型对数据进行分析,通过可视化技术展示安全风险,使用拓扑图、3D图表等形式多维度展现资产、流量、业务的丰富数据,使运维更直观,一定程度上提升了运维人员对安全事件的监控效率。

图5 态势感知多维度展示风险示意图

专业安全服务引入

通过引入新华三专业的安全服务,并配置专业的安全运维工程师,向信息中心提供安全预警、安全咨询、设备巡检、渗透加固、漏洞扫描、安全培训等服务内容,全面提升信息中心安全管理及安全运维水平。

1、安全驻场服务

通过配备安全运维工程师向信息中心提供:资产运维服务、流量检测服务、事件监控服务、漏洞监控服务、基线检测服务、web安全加固服务、安全通告服务、规范化安全流程。

具体包括对在网的安全设备状态进行定时巡检,按要求输出设备巡检报告,基于安全态势感知平台进行异常流量检测、安全事件的监控分析、处置,定期通过专业漏扫设备对信息中心资产进行漏洞扫描和基线核查,并输出漏洞分析报告和安全基线检测报告,通过安全运维工程师每周收集各类安全预警信息,包括但不限于国内外最新安全事件、补丁安全通告、最新漏洞公告、病毒公告等信息,通报业界安全动态及重大安全事件,对合肥市数据资源局的网络及信息系统面临的安全隐患、安全风险及时提出预警、整改建议,达到事前防御的效果,并根据信息中心现场安全现状进行安全加固。重大节假日期间除现场运维工程师外,新华三增派专业的二线专家远程支撑,为信息中心提供重大时刻安全保障服务。

合肥市数据资源局承载的新业务上线、安全策略开通、调整均需责任单位提交信息中心负责人申请,申请通过后再由安全运维工程师在防火墙等安全设备上进行策略放通等动作,且我司要求安全驻场工程师现场开展运维工作时严格遵守安全驻场服务规范和信息中心现场规范化的运维流程,降低因不遵守安全运维规范开展工作导致安全事故的可能性。

图6 定期网络安全预警通告

2、安全体系规划和咨询服务

通过新华三专业的等保专家现场调研信息中心实际情况,从技术体系、组织体系、管理体系、运维体系共四个方面对合肥市数据资源局提出合理的建议和规划,并输出《信息中心安全建设建议》及《信息中心安全规划》,经信息中心对输出建议和规划提出修改意见后,最终由信息中心侧负责人落实安全咨询服务内容。

3、渗透测试服务

新华三为信息中心提供的渗透测试服务主要包含四个阶段:用户授权—渗透方案制定与审核—服务交付—漏洞建议与整改。

在获得信息中心授权后,渗透专家才可正式开展渗透测试工作,根据约定好的测试范围制定渗透测试方案并交由信息中心技术负责人审核,方案评审通过后渗透专家按照渗透测试内容开展工作,渗透测试完毕后向信息中心输出《安全渗透测试报告》,报告中对指出的安全漏洞说明情况并给出相应的整改建议,同时专家定期跟踪整改进展,后续通过复测检验漏洞整改效果。

安全监控中心-态势感知平台还将不断地进行优化,其作为合肥市数据资源局网络安全态势风向标的同时也必将带来更为便捷化、自动化、智能化的安全运维体验。信息中心的信息化建设工作仍在继续,鉴于前期的友好合作及新华三突出的网络安全水平和专业的支撑团队表现,相信未来双方仍有很多的合作机会,共同为合肥市数据资源局的信息化建设贡献一份力量。

新华三官网
联系我们