解决方案-杭州汉领信息科技有限公司

政府解决方案

政府机关统一安全管理与运维审计解决方案�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

行业痛点及需求 �� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 我们的方案 �� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 客户收益经典案例

行业痛点及需求 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��

在政府部门信息化建设初期,�� Ƴ�� Ƴ�� Ƴ�� Ƴ��由于建设经验不足,存在重�� Ƴ�� Ƴ�� Ƴ�� Ƴ��建设、重应用、轻安全的现象，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��致使部分政府部门信息系统�� Ƴ�� Ƴ�� Ƴ�� Ƴ��缺乏必要的安全防护措施。同时,网络安全制度不健全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��、落实不到位、网络安全意识薄弱等问�� Ƴ�� Ƴ�� Ƴ�� Ƴ��题层出不穷。随着电子政务“�� Ƴ�� Ƴ�� Ƴ�� Ƴ��一站”、“两网”、“四库”、“十�� Ƴ�� Ƴ�� Ƴ�� Ƴ��金”的快速发展和信息水平�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的提高，数据中心不但为政府单位公众服务业务的快�� Ƴ�� Ƴ�� Ƴ�� Ƴ��速发展发挥基础的支撑和保障作用，而且�� Ƴ�� Ƴ�� Ƴ�� Ƴ��对于提高政府机构内部管理�� Ƴ�� Ƴ�� Ƴ�� Ƴ��水平，进而提高资源配置效率�� Ƴ�� Ƴ�� Ƴ�� Ƴ��和信息安全度具有重要意义，这�� Ƴ�� Ƴ�� Ƴ�� Ƴ��也意味着政府机构对IT信息系统的依赖已经到了须臾�� Ƴ�� Ƴ�� Ƴ�� Ƴ��不可离的境地。对重要信息�� Ƴ�� Ƴ�� Ƴ�� Ƴ��系统及敏感数据进行必要的保护显�� Ƴ�� Ƴ�� Ƴ�� Ƴ��得尤为重要，当前政府机关单位在I�� Ƴ�� Ƴ�� Ƴ�� Ƴ��T运维层面，主要面临着以下安全风险：

1. 身份不明确，授权不清晰，目前政�� Ƴ�� Ƴ�� Ƴ�� Ƴ��府机关单位的IT事务基本采用是项目�� Ƴ�� Ƴ�� Ƴ�� Ƴ��制，很少有单位有自己的IT运维团队�� Ƴ�� Ƴ�� Ƴ�� Ƴ��。即使一线大城市的重要单位，�� Ƴ�� Ƴ�� Ƴ�� Ƴ��其运维也是外包给第三方公司完成。作为第三�� Ƴ�� Ƴ�� Ƴ�� Ƴ��方运维公司，其人员的身份、授权往�� Ƴ�� Ƴ�� Ƴ�� Ƴ��往会存在多种问题，比如运维�� Ƴ�� Ƴ�� Ƴ�� Ƴ��人员可以使用什么等级的账�� Ƴ�� Ƴ�� Ƴ�� Ƴ��号、拥有什么权限、权限维系的时间多长，如果事先未�� Ƴ�� Ƴ�� Ƴ�� Ƴ��曾明确规定，就将带来运维安全问题；

2. 操作不透明，行为不�� Ƴ�� Ƴ�� Ƴ�� Ƴ��可控，从以往各大政府部门发�� Ƴ�� Ƴ�� Ƴ�� Ƴ��生的安全事件中可以发现，某些第三方服务�� Ƴ�� Ƴ�� Ƴ�� Ƴ��公司服务人员在服务期间，多次�� Ƴ�� Ƴ�� Ƴ�� Ƴ��未经授权就登录到核心系统和数�� Ƴ�� Ƴ�� Ƴ�� Ƴ��据库，导致公民隐私信息泄漏。而在时间发�� Ƴ�� Ƴ�� Ƴ�� Ƴ��生后，问题没有得到暴露，这本身就�� Ƴ�� Ƴ�� Ƴ�� Ƴ��说明第三方公司在进行IT运维操作的时候操�� Ƴ�� Ƴ�� Ƴ�� Ƴ��作不透明、过程不可控。而类似的案�� Ƴ�� Ƴ�� Ƴ�� Ƴ��例在业界其实并不鲜见。在�� Ƴ�� Ƴ�� Ƴ�� Ƴ��此情况下，用户隐私信息的安全，就只能依靠�� Ƴ�� Ƴ�� Ƴ�� Ƴ��第三方运维人员的操守与职业�� Ƴ�� Ƴ�� Ƴ�� Ƴ��道德。很显然，这种缺乏监管的IT运维操作，是带有�� Ƴ�� Ƴ�� Ƴ�� Ƴ��巨大风险的；

3. 事后难以审计，责任�� Ƴ�� Ƴ�� Ƴ�� Ƴ��不明确，由于运维工作多交给�� Ƴ�� Ƴ�� Ƴ�� Ƴ��第三方，且缺乏有效的身份认证与权限�� Ƴ�� Ƴ�� Ƴ�� Ƴ��控制，造成IT运维存在很多和不受监�� Ƴ�� Ƴ�� Ƴ�� Ƴ��管的弹性操作余地，以至于安全事发之后，相�� Ƴ�� Ƴ�� Ƴ�� Ƴ��关部门不能及时有效地对失职人员追责，事�� Ƴ�� Ƴ�� Ƴ�� Ƴ��后还需投入大量的人力物力进行调查。

我们的方案

针对这些需求，汉领研发的统一安全管理与综合审计�� Ƴ�� Ƴ�� Ƴ�� Ƴ��系统能够全面的监控运维人员�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的任何操作，可进行细颗粒度的访问授权、操作记录�� Ƴ�� Ƴ�� Ƴ�� Ƴ��控制、审计和回放、以及监控阻断，实现运维过程的事�� Ƴ�� Ƴ�� Ƴ�� Ƴ��前预防、事中控制和事后审计，提升政府机关单�� Ƴ�� Ƴ�� Ƴ�� Ƴ��位网络运维安全和管理水平。

通过建立统一安全管理和综合审计平台，统一�� Ƴ�� Ƴ�� Ƴ�� Ƴ��访问入口，所有运维操作都必须�� Ƴ�� Ƴ�� Ƴ�� Ƴ��在信息中心运维区连接到运维审计系统进行�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，集中权限控制，实现运维操作的集中化、规范�� Ƴ�� Ƴ�� Ƴ�� Ƴ��化管理，专人专职。对不同系统中的接入维�� Ƴ�� Ƴ�� Ƴ�� Ƴ��护进行统一管理，进行的帐号管理，身份�� Ƴ�� Ƴ�� Ƴ�� Ƴ��认证和授权。可以在平台上基于用户�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的权限，进行统一的网络层和应用层访问控制，提高系�� Ƴ�� Ƴ�� Ƴ�� Ƴ��统安全性。

部署方式

客户收益

1. 满足政务网相关规定、《网络�� Ƴ�� Ƴ�� Ƴ�� Ƴ��安全等级保护基本要求》、《网络安全法》�� Ƴ�� Ƴ�� Ƴ�� Ƴ��等法案法规合规性审计要求；

2. 为监管部门提供运维管理的审计报表和�� Ƴ�� Ƴ�� Ƴ�� Ƴ��原始准确的运维操作日志；

3. 有助于完善组织的IT内控与�� Ƴ�� Ƴ�� Ƴ�� Ƴ��安全审计体系，使信息系统能够顺利通过国家信息�� Ƴ�� Ƴ�� Ƴ�� Ƴ��安全等级保护测评；

4. 避免了非法终端、不安全终端直接连接核�� Ƴ�� Ƴ�� Ƴ�� Ƴ��心资源，降低木马、间谍、内部安全威胁等对核�� Ƴ�� Ƴ�� Ƴ�� Ƴ��心资源造成的影响，减轻管理员�� Ƴ�� Ƴ�� Ƴ�� Ƴ��工作压力，提高工作效率；

5. 发生安全事故，通过回放操作记�� Ƴ�� Ƴ�� Ƴ�� Ƴ��录可快速、准确的进行责任鉴定和安全事件追踪。

经典案例 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��

安徽省国土资源厅 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
铁道研究院 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
台州法院 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
成都市工商局 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
国家统计局 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
河南省国税局 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
陕西省国税局 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
晋城财政 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��
浙江省公安厅
陕西地税