电子政务信息安全监控预警平台建设方案

天融信电子政务外网安全监控预警解决方案

电子政务外网建设到今天，基本建成从中央到地方统一的国家政务外网，横向连接各级党委、人大、政府、政协、法院、检察院等各级政务部门，纵向覆盖中央、省、地（市）、县，满足各级政务部门社会管理和公共服务的需要，确保了国家政务外网的统一性和完整性。这对政务外网的监管提出了更高的要求，建设信息安全监控体系，及时发现和处置网络攻击，防止有害信息传播，对网络和系统实施保护与监控是当务之急。

1. 电子政务外网面临的安全威胁

电子政务外网是一个综合的、复杂的信息网络系统，它的运行情况、每一个环节和部件是否存在安全隐患和故障因素，应用系统的服务器和数据库资源是否存在安全漏洞和数据泄密或丢失等情况，就会对电子政务外网造成严重的威胁，主要威胁如下：

? 基础网络面临的威胁：纵向到底，横向到边的政务外网基础网络架

构，为电子政务提供了最基本的网络平台，而网络入侵、病毒入侵、僵尸网络等攻击行为严重威胁到网络的可用性、安全性。 ? 互联网出口面临的威胁：电子政务外网的互联网出口处于一个公开

的网络环境，信息泄露、病毒攻击、黑客防攻击、僵尸网络等严重威胁到电子政务的互联网出口边界。

? 网站面临的威胁：“政府网站”的权威性和公信力都是其它网站所

不能比拟的，同时政府门户网站促进了政府办事效率的提高，增强政府与企业与民众的亲和力，改善了政府的形象，而政府网站极易受到篡改、SQL注入、跨站攻击、网站挂马、网络舆情、网站服务中断的威胁。

? 应用系统面临的威胁：业务应用是核心，而应用系统依赖多种基础

设施支撑，管理人员很难直接判定问题是出在基础网络、系统服务器、数据库还是应用系统自身，故障难以定位将直接导致业务恢复时间的推迟，影响业务系统的正常运行，大大降低工作效率。

2. 天融信电子政务外网安全解决方案

天融信基于TSM-TopAnalyzer建立的电子政务外网信息安全监控预警平台，实现全面的网络态势感知与监控预警系统，对网络活动行为进行有效的监控与评判，这就意味着基于事件的整合，发现这些问题，并对这些问题采取措施。并从管理的角度体现信息安全系统的动态模型，而不仅仅是一些静态的管理模型，重点提升对网络、互联网出口、核心业务系统、重要网站的主要安全威胁的可知、可控、可管能力。如下图所示：

图1 天融信电子政务外网安全监控预警平台重点业务示意图

电子政务系统信息安全监控预警平台是用户实现对业务系统的全局安全事件监控、安全设备监控、系统的状态监控及安全运作管理的中心枢纽。该平台是一种安全监控管理的形式，它的职能主要为技术和管理层面的监控职能，并有效地将安全监控与分析系统、态势感知系统、流量监控与分析系统、僵尸网络监控系统、蜜罐系统、病毒监控系统、网站安全监控与评估系统、应急工单管理系统和安全策略配置有机的整合在一起，如下图所示：

领导IT主管运维视角维护人员安全事件视角审计人员审计视角业务部门业务视角…………展示层监管视角外网监控预警中心互联网出口监控预警中心信息系统监控预警中心图形化展示、报表化展示、事件实时化展示……网站监控预警中心核心处理层专家知识库安全策略库安全监控模块关联分析模块事件监控模块态势感知模块流量分析模块违规监控模块流量监控模块风险分析模块预警响应模块网站评估模块病毒监控模块……其他外部系统接口应急响应体系数据采集层归一化引擎解析引擎过滤引擎流量清洗系统僵尸网络监测系统病毒监测系统蜜罐监测系统网站监测系统漏洞监测系统BGP路由监测……归并引擎监控对象层被动主动Syslog、SnmpTrap、SchedulorCollector、FileCollector、WMI、导入业务系统应用系统数据库网络设备其他基础设施…… 图2 天融信电子政务外网安全监控预警平台技术架构示意图

3. 方案优势

本方案以用户业务风险管理为核心，充分利用天融信强大的日志采集专利技术、关联分析引擎和安全态势感知技术，实现对电子政务外网进行实时、高效的监控与预警。

?

以业务风险为核心的全新安全视角

在全面、深入的了解客户业务的基础上，抽取出相应的安全目标，并结合一系列国际、国内以及行业标准和规范，为客户定制专用的业务风险计算模型和计算方法。从技术和管理的双重角度实现风险管理，为用户构建动态的可信安全监控预警平台。

?

完善的事件采集

TSM-TopAnalyzer通过代理（Agent）收集多类安全事件源产生的日志信息，如安全设备、网络设备、操作系统以及应用系统等，在支持日常的日志格式（包括Syslog、Snmp trap、文件、数据库等）采集的同时，充分利用天融信专利技术（专利号：200710304767.3）可快速对未知设备（系统）的日志进行采集与分析。

?

强大的关联分析引擎

由于各种攻击行为都会在不同的网络设备及安全设备中留下蛛丝马迹，导致事件的产生，但是单一的设备事件确难以有效的分析攻击行为及网络中实时威胁。天融信TSM-TopAnalyzer基于状态机原理，实时关联检测技术通过使用状态机来抽象和描述攻击的过程与场景，状态机间的状态转换的条件由不同安全事件触发，可以有效的帮助我们过滤事件，在大量事件（甚至是误报事件）中提取有用的信息。

?

安全态势感知技术

天融信TSM-TopAnalyzer充分利用态势感知技术，实现政务网络安全监控，综合分析处理中心的报警信息，依据建立的安全态势评估指标，从不同层次、不同信息源、不同用户需求感知网络系统的安全状态，并对危险安全状态发出警报，为应急响应提供有用情报信息，并提供回溯机制，以便于管理员查看引起系统处于危险状态的详细原因，提供一个整体和全局的概念。态势感知技术有助于用户提高应急响应能力，缓解网络攻击造成的危害。

本文来源：https://www.bwwdw.com/article/1wcp.html