[外网动态]

  省经济信息中心政务信息系统整合共享

  工作总结展示暨再动员大会召开

  11月19日,山西省经济信息中心召开政务信息系统整合共享阶段性工作总结展示暨再动员大会。

  省发展改革委信息化处处长张绪郡、副处长王瑞鑫、省审计厅电子数据审计处处长王玉峰、省中心政务信息系统整合共享工作领导组、办公室及各专责小组主要成员、专家咨询委员会的部分专家及各合作方代表出席了此次会议。会议由省经济信息中心主任张尚礼主持。

  会上首先对这项工作的阶段性工作进行总结发言和成果展示。省经济信息中心副主任田虹总体汇报了当前我省政务信息系统整合共享工作的进展情况,指出了一些影响工作推进的实际问题和难点,并针对性提出了工作建议和安排。省经济信息中心高级顾问丁杰、信息化研究部部长杨俊芳、信息资源部部长白景涛、外网运行部部长陈伟、综合业务部黄勇分别就技术培训、共享交换平台建设、目录编制工作进展、政务外网接入、项目管理综合保障等方面进行了汇报。此外,各合作方代表就交换系统、数据中心、目录管理系统、共享网站、开放网站等项目的实施情况分别进行了汇报。

  截至目前,省经济信息中心已就我省政务信息系统整合共享工作汇编形成涉及综合管理、系统自查、目录编制、共享平台建设四方面20余册阶段性成果资料。在综合管理方面,形成《山西省政务信息系统整合共享工作请示汇报资料汇编》、《山西省政务信息系统整合共享政策文件汇编》、《山西省政务信息系统整合共享培训资料汇编》;在系统自查方面,形成《山西省政务信息系统自查清理资料汇编》;在目录编制方面,形成《山西省政务信息资源目录》、《山西省政务信息资源需求目录》;在共享平台建设方面,形成《山西省政务信息资源数据共享交换平台(外网)建设项目可行性研究报告》、《山西省政务信息资源目录管理系统使用说明,操作手册和技术报告》、《山西省政务信息共享网站(政务外网)设计方案、使用说明、操作手册和技术报告》、《山西省公共数据开放网站(互联网)设计方案》、《山西省政务信息资源数据共享交换系统设计方案》等。

  在听取了工作汇报、观看成果展示后,省发展改革委信息化处处长张绪郡作了重要讲话,首先传达了省政府主要领导对此项工作的关切重视和指示精神,高度评价了当前政务信息系统整合共享工作取得的成果,同时指出省发展改革委将继续做好组织推进工作,将从制度建设、督办机制、共建共享、项目保障等方面推动此项工作取得实效,希望省经济信息中心继续做好技术支撑工作,按照国务院、省政府有关要求高质量完成工作任务。

  省审计厅电子数据审计处处长王玉峰在讲话中,首先介绍了当前省直政府部门政务信息系统审计工作的进展情况和下一步工作安排,同时对审计过程中发现的共性问题提出了看法和建议。会上还进行卓有成效的交流讨论,进一步加强彼此工作的协同与配合。

  最后,省经济信息中心主任张尚礼作总结性发言,并对中心下一步工作安排提出了几点要求。他指出,政务信息系统整合共享工作任重而道远,需持之以恒、扎实推进。他提出,要进一步明确任务和分工,要进一步明确任务的时间节点,要认真做好试点工作,要全力配合好委信息化处的工作,要进一步做好汇报工作和技术交流工作。中心各部门、各合作方要戮力同心、再接再厉、乘势而上、再创佳绩。

  (山西省电子政务外网管理中心)

  

  

  山西省电子政务外网助力我省政务信息

  资源共享开放

  按照我省政务信息资源数据共享交换平台建设工作的安排,落实好省发展改革委、省委网信办、省财政厅、省审计厅联合下发的《山西省加快推进落实<政务信息系统整合共享实施方案>2017年行动计划》的通知(晋发改信息发〔2017〕773号)文件精神,我省政务信息资源数据共享交换平台将依托电子政务外网部署,共涉及61个省级部门和11个地市,要求政务信息通过政务外网实现政府部门间的数据共享与交换,由山西省经济信息中心负责政务外网的网络联通保障工作。

  政务信息资源数据共享交换平台依托政务外网部署,是对我省电子政务外网的承载能力的考验,同时对于电子政务外网也是一次难得的发展机遇。

  我省政务外网建设起步于2007年,历经10年建设,现已实现市县全覆盖,乡镇大部分延伸,省级部门已连接104家,政务外网基础网络广泛、深入联通,目前依托政务外网部署的全省性业务系统超过130项,包括省政府“13710”电子督办系统、全省党员管理信息化系统、省政务服务平台、省公共资源交易平台、省信用信息共享平台、省投资在线审批监管平台等。政务外网现已具备全面承载全省性重大业务系统的保障能力。

  政务外网作为政务信息资源数据共享交换平台的基础支撑平台,对政务部门职能转变,深入推进“放管服”改革,提高政府执行能力,有效解决政务部门间信息不畅通,甚至信息孤岛等问题,实现全面提升政府服务水平总目标有着重要的战略意义。

  我中心将全面贯彻党的十九大精神,树立创新、协调、绿色、开放、共享的发展理念,抓住政务信息资源数据共享交换平台建设这一发展机遇,围绕政府治理和公共服务的改革需要,进一步加强政务外网网络保障和技术支持工作,推动全省政务信息资源数据共享交换,实现我省数字经济大发展。

  (山西省电子政务外网管理中心)

  [经验交流]

  政务外网大数据开创全省征信新局面

  随着“互联网+”、云计算、大数据等新兴技术的兴起,“大数据+征信”在信用信息的归集、共享和交换方面展现出蓬勃发展的活力。大数据征信凭借其资源海量处理和数据深度挖掘等方面的优势,越来越受到各行各业的重视。

  为了加强我省信用体系建设,建立以市场为核心的新型市场监管体制,我中心依托全省电子政务外网建设了山西省信用信息共享交换平台,通过大数据技术有效解决了当前我省信用体系面临的最紧迫任务——信用信息的归集、共享和交换,从而以此开创我省征信新局面。

  众所周知,传统征信有着三方面缺陷:第一,数据获取渠道方面。传统征信数据主要来自资金借贷领域,最典型的就是信用卡消费记录,大大限制了征信数据的来源。第二,信用评价方面。传统征信信用评价是用昨天信用记录判断今天信用状况,导致无法实时反映受评对象信用状况。第三,应用领域方面。传统征信主要应用于资金借贷领域,对于生活化、日常化更普遍的领域,如租房、租车、预付酒店押金等领域应用较少。

  针对这些缺陷,政务外网大数据征信有着其独特的优势。一是数据获取渠道更多。大数据征信数据来源于电商平台的交易数据、社交网络的关系数据、第三方支付的消费数据、P2P网贷数据等,拓宽了征信数据来源渠道。二是信用评价更及时。在更新速度与后续跟踪上,借助于网络的及时性,大数据征信系统随着受评对象的信息变化而更新,可以实时反映受评对象的信用状况。三是应用领域更宽广。大数据征信不仅可以应用于经济金融领域,而且可以将应用场景扩大到日常化、生活化的方方面面,如租房、租车、预定酒店、签证、婚恋、求职就业、保险办理等各种需要信用履约的生活场景。

  “大数据+征信”在政务外网的应用,不仅推进了守信联合激励和失信联合惩戒信息的共享,做到让守信者享受公共服务便利,让失信者寸步难行;而且促进了征信业的转型升级、优化了征信市场格局、完善了我省征信体系与社会信用体系建设;还提升了我省政务服务水平与质量,做到让企业和群众少跑路、好办事,真正共享“互联网+政务服务”发展成果。

  (山西省电子政务外网管理中心)

  服务器端等保配置技术交流报告

  网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。随着我国第一部全面规范网络空间安全管理方面问题的基础性法律《网络安全法》的颁布,建设网络强国、维护和保障我国国家网络安全的战略任务正在转化为一种可执行、可操作的制度。网络安全防护朝着有法可依、有法必依、执法必严、违法必究迈出重要的一步。《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护。

  山西省经济信息中心根据网络安全法相关规定,在网络运行安全和加强信息基础设施方面开展了一系列工作,并于十月初通过信息系统等级保护三级测评,圆满的完成了十九大期间的电子政务外网网络安全保障工作。在等保测评期间,外网运行部积极配合测评人员完成政务外网机房内的相关服务器、安全设备、网络设备的配置检查及整改工作。服务器作为业务系统的核心,也是最容易遭受黑客攻击的设备,做好服务器安全防护,可以有效的防止安全事件的发生。结合等保测评工作,从以下六个方面交流基于Windows操作系统的服务器端有关等保配置要求。

  一、身份鉴别类

  身份鉴别是指确认用户是否应该被允许对系统资源进行访问,是指正用户的真实身份与其所声称的身份是否相符的过程。我们可以通过设置复杂性密码,启用登陆失败处理功能等一系列身份验证措施保障系统安全。

  1、等保三级要求对登录操作系统和数据库系统的用户进行身份标识和鉴别。我们需在初次登录设备时就设置密码,杜绝无密码直接登录系统的情况发生。

  2、等保三级要求操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。我们需启用密码策略,具体步骤:控制面板-管理工具-本地安全策略-帐户策略-密码策略-启用口令复杂性要求策略:口令最小长度不小于8位;最短期限30天;最长期限42天;控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户-右键-属性-不勾选“密码永不过期”。

  3、等保三级要求启用登录失败处理功能。我们应采取结束会话、限制非法登录次数和自动退出等措施,具体步骤:控制面板-管理工具-本地安全策略-帐户策略-帐户锁定策略-设置内容为锁定阀值5次,锁定时间30分钟,锁定计数器30分钟。

  4、等保三级要求当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。我们应关闭有关远程服务,具体步骤:查看控制面板-管理工具-服务-禁用telnet服务。

  5、等保三级要求为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。在日常工作中应杜绝多个用户使用同一账号登录系统。

  6、等保三级要求应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。我们可以采用RA认证通过秘钥登录的方式进行身份甄别。

  二、访问控制

  访问控制是指对通过了身份鉴别用户的系统资源访问行为进行约束,检查用户标识及口令,根据授予的权限限制其对资源利用的范围和程度,以保证网络资源不被非法使用和访问。

  1、等保三级要求启用访问控制功能,依据安全策略控制用户对资源的访问。我们应设立用户权限表,实现主机管理员帐户三权分立,设置系统管理员、安全管理员、安全审计员,具体步骤:控制面板-管理工具-用户-创建安全管理员及归属组,归属组选择Backup Operations和Power User、创建安全审计员及归属组,归属组选择Event logo Readers和performance logo Users。

  2、等保三级要求实现操作系统和数据库系统特权用户的权限分离。我们应为系统管理员和数据库管理员设立不同的账号,由不同的人管理。

  3、等保三级要求严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。我们应重命名来宾和系统管理员账户,具体步骤:查看控制面板-管理工具-本地安全策略-安全选项帐户:重命名来宾帐户、重命名系统管理员帐户。

  4、等保三级要求及时删除多余的、过期的帐户,避免共享帐户的存在。我们应禁用Guest帐户,删除其他不需要的帐户。具体步骤:查看控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户。

  5、等保三级要求应对重要信息资源设置敏感标记。我们应定义主机中的重要信息资源和为主机内的重要信息设置敏感标记。

  三、安全审计

  安全审计是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。

  1、等保三级要求审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。我们应开启必要的审核策略,具体步骤:控制面板-管理工具-本地安全策略-本地策略-审核策略。

  2、等保三级要求审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。具体步骤:控制面板-管理工具-本地安全策略-本地策略-审核策略-将失败和成功都记录选项勾选。

  3、等保三级要求审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。我们应开启完善的审核策略,具体步骤:控制面板-管理工具-本地安全策略-本地策略-审核策略。

  4、等保三级要求能够根据记录数据进行分析,并生成审计报表。我们应制定人工分析审计数据,且有对应审计记录。

  5、等保三级要求应保护审计记录,避免受到未预期的删除、修改或覆盖等。我们应添加Reg_DWORD类型的键:RestrictGuestAcces,键值为1且只有审计员、administrators具有“管理审核和安全日志”权限,具体步骤:启动注册表编辑器(Registry Editor),展开HKEY-LOCAL-MACHINE/ SYSTEM/

  CurrentControlSet/service/Eventlog键。

  四、资源控制

  资源控制指对计算机的系统资源进行实时监控,确保计算机资源的良好利用,保证位于计算机系统内的重要信息资源不被无权限用户越权访问,帮助我们迅速定位服务器运行状态中出现的各种问题。

  1、等保三级要求通过设定终端接入方式、网络地址范围等条件限制终端登录。我们应对区域防火墙和核心交换机进行限制。

  2、等保三级要求根据安全策略设置登录终端的操作超时锁定。我们应对启用屏保并勾选“在恢复时显示登录屏幕”、设置“活动但空闲的远程桌面服务会话时间的限制15分钟”,具体步骤:桌面右键-个性化-屏幕保护程序、在运行中输入gpedit.msc打开“组策略”,在计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-会话时间限制。

  3、等保三级要求对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。我们目前利用采用h3c cas监控管理设备统一管理,并对主机服务器的CPU、内存、网络等资源的使用情况进行监控。

  4、等保三级要求限制单个用户对系统资源的最大或最小使用限度,以WEB网站为例,设置只对网站目录有增删改权限。

  5、等保三级要求能够对系统的服务水平降低到预先规定的最小值进行检测和报警。我们目前采用h3c cas监控管理设备统一管理,人工定期查看资源使用情况。

  五、入侵防范

  入侵检测是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。

  1、等保三级要求应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。我们应安装主机入侵检测系统。

  2、等保三级要求应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。我们应购置有关备份设备,对重要数据进行备份,当系统因故丢失数据时,能及时恢复备份数据,减少系统损失。

  3、等保三级要求操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。我们应安装SP2、安装SP2后续的hotfix、通过开启服务器端防火墙实现仅开启需要的服务端口、关闭不需要的组件和应用程序,仅启用必须的功能、关闭默认共享。具体步骤:控制面板-管理工具-计算机管理-系统工具-共享文件夹-选择停止共享。

  六、恶意代码防范

  恶意代码防范是指利用防病毒软件,安全网关等查找恶意代码的工具,实现对系统的安全保护。

  1、等保三级要求应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。我们应安装了防病毒软件,防病毒软件版本为最新、病毒库已更新至最新、开启Windows Defender,并更新到最新。

  2、等保三级要求主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。我们采用网络层面部署防病毒过滤网关,主机部署杀毒软件相结合。

  随着各种业务系统的开展,服务器承担着越来越重要的角色,存储着更加庞大的信息数据,做好安全防护能力更要不断提高。服务器的安全防护,不能只靠采购几台安全防护设备放置于网络环境之内就能高枕无忧,必须要通过相关安全策略配置以及必要的监控和日志分析等共同努力才能切实加强服务器的安全防护能力。目前山西省电子政务外网机房服务器共有一百多台,承载着“13710”电子督办系统、信用信息管理平台,投资在线审批监管平台等重大业务。外网运行部将进一步深入研究安全防护的先进理念和安全防护措施,更好的为山西省政务外网保驾护航。  

  (山西省电子政务外网管理中心)

  

  

Top