政府解決方案
政府機關統一(yī)安全管理與運維審計解決方案
行業痛點及需求

在政府部門信息化建設初期,由于建設經驗不足,存在重建設、重應用、輕安全的現象,緻使部分(fēn)政府部門信息系統缺乏必要的安全防護措施。同時,網絡安全制度不健全、落實不到位、 網絡安全意識薄弱等問題層出不窮。随着電(diàn)子政務“一(yī)站”、“兩網”、“四庫”、“十金”的快速發展和信息水平的提高,數據中(zhōng)心不但為政府單位公衆服務業務的快速發展發揮基礎的支撐和保障作用,而且對于提高政府機構内部管理水平,進而提高資(zī)源配置效率和信息安全度具有重要意義,這也意味着政府機構對IT信息系統的依賴已經到了須臾不可離(lí)的境地。對重要信息系統及敏感數據進行必要的保護顯得尤為重要,當前政府機關單位在IT運維層面,主要面臨着以下(xià)安全風險:


1. 身份不明确,授權不清晰,目前政府機關單位的IT事務基本采用是項目制,很少有單位有自己的IT運維團隊。即使一(yī)線大(dà)城市的重要單位,其運維也是外(wài)包給第三方公司完成。作為第三方運維公司,其人員(yuán)的身份、授權往往會存在多種問題,比如運維人員(yuán)可以使用什麼等級的賬号、擁有什麼權限、權限維系的時間多長,如果事先未曾明确規定,就将帶來運維安全問題;

2. 操作不透明,行為不可控,從以往各大(dà)政府部門發生(shēng)的安全事件中(zhōng)可以發現,某些第三方服務公司服務人員(yuán)在服務期間,多次未經授權就登錄到核心系統和數據庫,導緻公民隐私信息洩漏。而在時間發生(shēng)後,問題沒有得到暴露,這本身就說明第三方公司在進行IT運維操作的時候操作不透明、過程不可控。而類似的案例在業界其實并不鮮見。在此情況下(xià),用戶隐私信息的安全,就隻能依靠第三方運維人員(yuán)的操守與職業道德。很顯然,這種缺乏監管的IT運維操作,是帶有巨大(dà)風險的;

3. 事後難以審計,責任不明确,由于運維工(gōng)作多交給第三方,且缺乏有效的身份認證與權限控制,造成IT運維存在很多和不受監管的彈性操作餘地,以至于安全事發之後,相關部門不能及時有效地對失職人員(yuán)追責,事後還需投入大(dà)量的人力物(wù)力進行調查。


我(wǒ)(wǒ)們的方案


針對這些需求,帕拉迪研發的統一(yī)安全管理與綜合審計系統能夠全面的監控運維人員(yuán)的任何操作,可進行細顆粒度的訪問授權、操作記錄控制、審計和回放(fàng)、以及監控阻斷,實現運維過程的事前預防、事中(zhōng)控制和事後審計,提升政府機關單位網絡運維安全和管理水平。

通過建立統一(yī)安全管理和綜合審計平台,統一(yī)訪問入口,所有運維操作都必須在信息中(zhōng)心運維區連接到運維審計系統進行,集中(zhōng)權限控制,實現運維操作的集中(zhōng)化、規範化管理,專人專職。對不同系統中(zhōng)的接入維護進行統一(yī)管理,進行的帳号管理,身份認證和授權。可以在平台上基于用戶的權限,進行統一(yī)的網絡層和應用層訪問控制,提高系統安全性。


部署方式


客戶收益


1. 滿足政務網相關規定、《網絡安全等級保護基本要求》、《網絡安全法》等法案法規合規性審計要求;

2. 為監管部門提供運維管理的審計報表和原始準确的運維操作日志(zhì);

3. 有助于完善組織的IT内控與安全審計體(tǐ)系,使信息系統能夠順利通過國家信息安全等級保護測評;

4. 避免了非法終端、不安全終端直接連接核心資(zī)源,降低木馬、間諜、内部安全威脅等對核心資(zī)源造成的影響,減輕管理員(yuán)工(gōng)作壓力,提高工(gōng)作效率;

5. 發生(shēng)安全事故,通過回放(fàng)操作記錄可快速、準确的進行責任鑒定和安全事件追蹤。

經典案例
  • 國家稅務總局
  • 浙江省稅務局
  • 安徽省國土資(zī)源廳
  • 人力資(zī)源和社會保障部
  • 中(zhōng)國海事
  • 鐵道研究院
  • 黃河水利委員(yuán)會
  • 台州法院
  • 成都市工(gōng)商(shāng)局
  • 國家統計局
  • 河南(nán)省國稅局
  • 陝西省國稅局
  • 晉城财政
  • 浙江省公安廳
  • 陝西地稅
Copyright © 2019 All Rights Reserved Designed
杭州瑞禅網絡科技有限公司