某市戒毒管理局统一综合安全监管平台

　　一、适用业务

　　打造全网统一综合监管平台

　　以戒毒管理局九大业务系统为核心，以多源数据为驱动，以安全策略为基石，以安全风险闭环处置（发现、响应、处置、验证）为终极目标，提升戒毒管理局电子政务外网的网络安全策略管理 能力、安全态势感知能力、NDay 漏洞发现能力、安全系统管控能力、安全事件分析和智能追踪能力、 安全风险预警能力和安全事件智能处置能力，从而实现戒毒专网可信、可管、可防、可控的动态防御体系。

　　深化安全运维保障能力

　　建设全网统一综合安全监管平台，可实现专网的网络可视化综合展现、全网风险监控、运维管 理、智能化风险处理等服务，帮助管理人员从全局、多维度掌握全网实时运行情况、阶段运行趋势 以及各种综合统计数据；帮助业务人员掌握业务应用运行情况、资源情况、故障情况、运行趋势； 为运维人员提供运维管理相关的综合信息、掌握运维服务质量、开展日常运维事务的工具。

　　二、创新点

　　 专业的身份模型助力数字身份体系管理

　　身份管理覆盖全生命周期管理，与企业人事管理系统联动，入职分配身份，离职冻结身份。

　　 全场景单点登录联结数字化系统融合

　　丰富的接入能力，标准化协议适配，覆盖多终端、多设备、多场景的单点登录。

　　 智能多因素认证提升办公效率

　　通过强大的认证策略和智能多因素认证，提升办公效率。同时增强认证、协同认证等认证能力 的应用，提升关键业务安全等级。

　　 精细化的访问控制

　　统一综合安全监管平台可以终端环境感知、可信接入代理、API 网关等进行深度融合，实现基 于上下文的自适应访问控制安全。

　　 全面支持国产化完全自主可控

　　支持国产系统、国产数据库，所使用的密码技术均为符合相关规范。

　　三、可解决的问题

　　统一登入门户

　　统一综合安全监管平台具有一个统一的认证门户，认证门户是统一身份认证系统的统一入口， 为普通操作人员和管理人员提供一个基于 Web 方式的标准化工作界面。门户具有严格的安全保护措 施以及用户强身份认证和鉴权机制，依据登录人员的不同身份展现不同的操作界面，操作界面中具 有该认证人员权限范围内的全部应用系统。

　　建立全网统一监控

　　戒毒管理局部署产品/系统种类多，日常工作需要逐一登入不同的系统，造成时间和资源的浪费。 部署统一安全监控平台能够主动、被动监测九大核心业务系统相关的操作系统、数据库、中间件、 网络设备、安全设备、服务器等运行状态，运行状态至少包括 CPU、内存、会话、带宽等利用率以 及安全攻击事件，并且可根据告警信息进行通告对应的管理员，其中，操作系统包含但不限于 Windows、 Linux、中标麒麟、银河麒麟、深度、中科方德等，数据库、中间件、安全设备应覆盖主流的信息技 术与创新类的产品，安全攻击事件应包括有害程序事件、网络攻击事件、信息破坏事件、信息内容 安全事件、设备设施故障、灾害性事件和其他事件。

　　建立统一可信身份认证体系

　　戒毒管理局业务系统、网络设备、安全设备、数据库种类和数量烦多，在运维过程中需要分别 登入或者多次登入系统，给使用和安全方面带来居多隐患，因此戒毒管理局应建立覆盖以戒毒管理 局为核心，覆盖全市七个戒毒所的统一可信身份认证体系，同时，该认证体系应与 XX 市司法局 PKI/CA 体系可实现无缝对接；统一身份认证系统以身份为中心的认证体系和单点登录，实现强化了认证和 访问控制双重管控要求。

　　建立统一的安全策略管理平台

　　戒毒管理局根据《信息安全技术 网络安全等级保护基本要求》（GB∕T22239-2019）三级要求， 通过技术手段和管理手段使戒毒管理局的网络安全防护水平达到一个较高的水准，但是同样带了新 的挑战，例如产品种类繁多、技术能力参齐不齐、运维工作量大，因此戒毒管理局建立统一的安全 策略管理系统实现九大业务系统的精准防御、动态防御、主动防御、联防联控。

　　统一的安全策略管理系统能够实现与在网部署的安全产品实现一键处置及设备的联动能力，能 够针对已知威胁场景，基于运维知识库，能快速形成在线的闭环能力，大幅提升运维工作效率。

　　建立多层级细粒度集中授权

　　统一综合安全监管平台提供集群管理、数据存储、数据计算、南北向数据、SDK 等接口，能够 满足监控业务可扩展性需求；同时，也可根据后期信息化发展需要，在平台上层开发安全业务应用。

　　为了实现对应用精细化授权，统一综合监管平台能实现与 API 网关进行协调联动的能力，兼顾 业务可用性与安全性。统一综合安全监管平台的安全接入代理网关实现先认证授权再连接，可将监 狱管理局九大业务系统暴露的 API 接口全面隐藏；同时接口调用过程中配合细粒度流控及内容安全检查，保障业务数据安全性。支持负载均衡、服务状态监控，HA、集群等保障业务可用性。 统一综合安全监管平台可以终端环境感知、可信接入代理、API 网关等进行深度融合，可基于

　　终端安全状态、用户身份合法性、访问行为合规性、应用安全、功能授权、API 接口级授权及网络 安全的评估结果，执行多层级、细粒度的动态访问控制策略，实现基于上下文的自适应访问控制安 全。

　　四、应用成效

　　全方位安全评估、提供安全监管能力

　　通过态势评估引擎可以得到态势评估数据（综合态势、分类态势、资产态势、脆弱性态势、环 境感知态势等），通过运维组件的评估度量组件得到运维度量数据（在运维工作台可查看到对应数据）。 从资产组或责任部门视角，对其所管辖范围内的资产风险数据及事件处置率和处置时间、漏洞处置 率和处置时间，失陷资产数、失陷资产处置率及处置时间，进行同比与环比分析，通过统一综合安 全监管平台得到对应数据，进行度量分析，得到网络安全状况的发展趋势和安全运维成效的度量分 析。同时，安全评估人员结合用户内部访谈数据、以及外部情报数据、专家针对安全状况的实际分 析得到最终的安全运营有效性评估数据。

　　提升安全威胁发现和安全处置能力

　　某市戒毒管理局统一综合监管平台解决方案以大数据分析和动态身份验证为核心，通过各类安 全探针（防火墙、WEB 应用防火墙、入侵防御系统、统一威胁分析系统、威胁分析系统、终端环境 感知等）识别和收集各类安全信息，包括日志信息、流量信息等，然后自动将所有的安全信息汇总 给大数据平台进行进行处理，包括数据范式化、去重合并、归类聚合；然后再结合威胁情报，进行 大数据分析、机器学习以及规则匹配，还原攻击链过程，从而发现网络中存在的 APT 攻击和 Oday 漏 洞攻击。同时，统一综合安全监管平台联动各安全设备（具有通用的 API 接口），以实现对应的阻断、 隔离等的动作。

　　多层级细粒度动态授权，避免数据泄露

　　全网日志、风险数据信息统一汇聚在统一综合安全监管平台，经过平台的大数据组件进行数据 分析，将安全风险进行编排，动态下发给各类安全探针。统一综合监管平台通过外部风险源（各类 安全探针）的联动，可将运维人员身份与运维终端安全状态、访问行为、应用安全、网络安全等风 险评估结果结合，实现基于上下文信息的综合访问控制，实现动态、细粒度的授权控制，保障持续 的最小化授权访问，从而避免运维过程中数据泄露。

　　责任编辑：广汉