第一篇：電子政務(wù)內(nèi)網(wǎng)安全域防護體系設(shè)計方案

電子政務(wù)內(nèi)網(wǎng)安全域防護體系設(shè)計方案

摘要：本文結(jié)合咸陽市電子政務(wù)信息系統(tǒng)實際，以安全域作為安全設(shè)計和建設(shè)的輔助線，進行綜合的防護體系設(shè)計，并提出用安全管理平臺解決管理問題以及如何解決安全管理平臺存在的監(jiān)控平臺設(shè)計，種類繁多的設(shè)備數(shù)據(jù)采集和與其它網(wǎng)絡(luò)應(yīng)用平臺互聯(lián)互通三個技術(shù)難點。

內(nèi)網(wǎng)安全案例背景

電子政務(wù)作為信息網(wǎng)絡(luò)的一個特殊應(yīng)用領(lǐng)域，運行著大量需要保護的數(shù)據(jù)和信息，有其自身特殊性。如果系統(tǒng)的安全性被破壞，造成敏感信息暴露或丟失，或網(wǎng)絡(luò)被攻擊等安全事件，可能導(dǎo)致嚴(yán)重的后果。構(gòu)建電子政務(wù)信息安全保障體系在當(dāng)今的網(wǎng)絡(luò)發(fā)展中變得尤為重要。但如何設(shè)計完善的信息安全系統(tǒng)，如何形成有效的信息安全管理體系等問題都是電子政務(wù)信息化的難點和要點。

電子政務(wù)內(nèi)網(wǎng)安全域劃分 安全域的基本概念

安全域（securitydomain）就是由實施共同安全策略的主體和客體組成的集合。網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同或相似的安全保護需求，相互信任，并具有相同或相似的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或子網(wǎng)，相同或相似的網(wǎng)絡(luò)安全域共享一樣的安全策略。

安全域方法是對一個組織的資產(chǎn)、業(yè)務(wù)、網(wǎng)絡(luò)和系統(tǒng)的理解方法，經(jīng)過安全域的分析和整合，可以更好地體現(xiàn)一個組織的特征。

安全域的基本原則 安全域的理論和方法所遵循的根本原則如下：

1.業(yè)務(wù)保障原則：安全域方法在保證安全的同時，還要保障業(yè)務(wù)的正常和高效運行。

2.結(jié)構(gòu)簡化原則：安全域劃分并不是粒度越細越好，否則可能導(dǎo)致安全域的管理過于復(fù)雜和困難。

3.分級保護原則：安全域的劃分要做到每個安全域的信息資產(chǎn)具有相同或相近的密級分級、安全環(huán)境、安全策略等。

4.立體協(xié)防原則：安全域的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、防病毒、ca認(rèn)證、容災(zāi)備份等電子政務(wù)內(nèi)網(wǎng)的整體安全環(huán)境。

電子政務(wù)內(nèi)網(wǎng)安全域結(jié)構(gòu)劃分

將安全域劃分作為安全解決方案的主線，電子政務(wù)安全域劃分為如下結(jié)構(gòu)：

互聯(lián)域：包含了電子政務(wù)的網(wǎng)絡(luò)核心設(shè)備，連接路由設(shè)備等； 接入域：包含了政務(wù)內(nèi)網(wǎng)和連接的各委辦局網(wǎng)絡(luò)，根據(jù)屬性的不同還可細分為內(nèi)部接入域（局域網(wǎng)用戶）和各委辦局接入域；

服務(wù)域：包含了電子政務(wù)內(nèi)網(wǎng)的oa系統(tǒng)、公文傳輸系統(tǒng)、電子印章系統(tǒng)、檔案管理系統(tǒng)、內(nèi)網(wǎng)門戶網(wǎng)站系統(tǒng)、pki/ca系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等系統(tǒng)服務(wù)器；

安全管理支撐域：新加域，主要包含了電子政務(wù)系統(tǒng)所有的系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的管理終端和管理服務(wù)器。

電子政務(wù)安全域防護體系 總體安全解決方案

在明確了電子政務(wù)安全域結(jié)構(gòu)后，根據(jù)安全域邊界和內(nèi)部的風(fēng)險分析，制定了電子政務(wù)的安全解決方案，解決安全域邊界防護，安全域防護問題?？傮w的安全解決方案如下：

安全域邊界：主要安全風(fēng)險為網(wǎng)絡(luò)訪問控制、防網(wǎng)絡(luò)入侵、防資源濫用、防區(qū)域網(wǎng)絡(luò)病毒傳播和防數(shù)據(jù)泄漏。采用的安全技術(shù)有防火墻、防毒墻與vlan以及vpn相結(jié)合的方式進行訪問控制。

接入域內(nèi)部：主要安全風(fēng)險為病毒、接入控制、文檔防護、終端漏洞、非法外聯(lián)、終端維護和終端審計。采用的安全技術(shù)有網(wǎng)絡(luò)防病毒、內(nèi)網(wǎng)安全管理系統(tǒng)。

互聯(lián)域內(nèi)部：互聯(lián)域主要是網(wǎng)絡(luò)設(shè)備，因此主要風(fēng)險是設(shè)備的單點故障等問題，這類問題可通過設(shè)備冗余的方式解決；互聯(lián)域的一個主要作用是各個安全域之間數(shù)據(jù)的傳輸，因此是對各個安全域間交換數(shù)據(jù)的最佳監(jiān)控點。采用的安全技術(shù)是利用入侵檢測系統(tǒng)[2]對各個安全域的交換數(shù)據(jù)進行檢測。

服務(wù)域內(nèi)部：主要安全風(fēng)險為系統(tǒng)漏洞、業(yè)務(wù)漏洞、業(yè)務(wù)違規(guī)操作、防系統(tǒng)入侵、數(shù)據(jù)庫漏洞和數(shù)據(jù)庫違規(guī)操作。采用的安全技術(shù)有漏洞掃描系統(tǒng)和ips入侵防御系統(tǒng)。

安全管理支撐域內(nèi)部：安全管理域承擔(dān)著漏洞管理、威脅管理、日志管理、資產(chǎn)管理、信息采編、網(wǎng)絡(luò)管理和用戶管理等功能，面臨的安全風(fēng)險有管理系統(tǒng)的遠程管理、管理人員誤操作、管理人員權(quán)限分配問題、管理人員身份確認(rèn)問題和多系統(tǒng)的有效安全管理問題。部署了所有安全設(shè)備的管理服務(wù)器，并部署了內(nèi)網(wǎng)安全管理系統(tǒng)、行為審計系統(tǒng)、網(wǎng)維系統(tǒng)、日志審計系統(tǒng)，用ca/ra認(rèn)證系統(tǒng)[3]進行身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定，用安全管理平臺進行全面統(tǒng)一的管理。

利用安全管理平臺解決安全域防護體系管理問題

在電子政務(wù)安全平臺的建設(shè)中將不同位置、不同安全系統(tǒng)中分散且海量的安全事件進行匯總、過濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險事件，并形成統(tǒng)一的安全決策對安全事件進行響應(yīng)和處理。系統(tǒng)部署可以分為核心系統(tǒng)部署配置和數(shù)據(jù)采集系統(tǒng)部署配置兩大步驟。

核心系統(tǒng)部署和配置

核心系統(tǒng)一般包括管理服務(wù)器、數(shù)據(jù)庫服務(wù)器、事件采集服務(wù)器。管理服務(wù)器完成對數(shù)據(jù)處理、顯示和報告功能；數(shù)據(jù)庫服務(wù)器實現(xiàn)數(shù)據(jù)存儲功能；事件采集服務(wù)器完成對各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機應(yīng)用系統(tǒng)的弱點數(shù)據(jù)采集和威脅數(shù)據(jù)采集功能。

1.數(shù)據(jù)采集系統(tǒng)部署和配置

數(shù)據(jù)采集系統(tǒng)指部署在被評估環(huán)境中的各種可以提供弱點數(shù)據(jù)和威脅數(shù)據(jù)的設(shè)備，包括已有設(shè)備和風(fēng)險評估必須使用的設(shè)備。數(shù)據(jù)采集的范圍和對象包括已有安全設(shè)備，防火墻、防病毒、入侵檢測、日志審計等系統(tǒng)數(shù)據(jù)采集。也包括對核心業(yè)務(wù)和資產(chǎn)配置數(shù)據(jù)采集，關(guān)鍵數(shù)據(jù)庫、操作系統(tǒng)日志采集。

2.安全管理平臺的軟件架構(gòu)

平臺由“四個中心、五個功能模塊”組成。四個中心為漏洞評估中心、運行狀況監(jiān)控中心、事件/流量監(jiān)控中心、安全預(yù)警風(fēng)險管理與響應(yīng)管理中心；五個功能模塊為策略管理、資產(chǎn)管理、用戶管理、安全知識管理、自身系統(tǒng)維護管理。具有以下功能特點：安全事件集中收集和處理、漏洞評估管理、關(guān)聯(lián)分析、資產(chǎn)管理風(fēng)險評估、安全事件/流量監(jiān)控安全、策略管理、響應(yīng)管理、全面知識管理、多樣化顯示方式以及豐富直觀的報表。

安全管理平臺 1.監(jiān)控平臺的結(jié)構(gòu)

監(jiān)控平臺，是安全管理平臺的重要組成部分，它包含遠端安全設(shè)備（事件發(fā)生）、安全事件收集、事件分析、狀態(tài)監(jiān)視、展現(xiàn)報表等重要組件。除技術(shù)之外，還有一個重要組成部分就是運行人員、應(yīng)急小組和專家隊伍。所以，監(jiān)控平臺需要相應(yīng)的管理制度和應(yīng)急處理流程，在應(yīng)急處理流程中還應(yīng)該包括明確的事件升級制度。

監(jiān)控平臺主要由安全設(shè)備集中管理、安全運維流程、應(yīng)急響應(yīng)和組織的安全管理四部分組成。

2.安全設(shè)備集中管理

集中管理平臺可以自動發(fā)現(xiàn)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，并且以設(shè)備碼的形式對其進行分類，以可視化的拓撲圖形式對其進行管理。

以集中統(tǒng)一的方式收集、存儲整個系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全系統(tǒng)、主機服務(wù)器的日志和報警信息。并對所有的日志進行關(guān)聯(lián)分析，收集和整合所有重復(fù)的和相似的事件到單一的事件，采用統(tǒng)一的數(shù)據(jù)定義格式，形成專業(yè)的分析報告。

3.snmp和syslog接口

一方面平臺設(shè)備間要進行數(shù)據(jù)傳輸和搜集，另一方面接口要支持api定制，因此，在電子政務(wù)平臺的接口中主要應(yīng)用snmp和syslog兩種標(biāo)準(zhǔn)接口，其優(yōu)點是通用性和兼容性好。

（1）snmp接口

簡單網(wǎng)絡(luò)管理協(xié)議(snmp)是一種應(yīng)用層協(xié)議,便于在網(wǎng)絡(luò)設(shè)備間交換管理信息。它是tcp/ip協(xié)議簇的一部分。網(wǎng)絡(luò)管理員使用snmp管理網(wǎng)絡(luò)性能,發(fā)現(xiàn)和解決網(wǎng)絡(luò)故障,并計劃網(wǎng)絡(luò)增長。有兩種snmp版本:snmpv1和snmpv2。它們有一些共同的特征,但snmpv2提供增強功能。snmpv3的標(biāo)準(zhǔn)化還沒有完成。

（2）syslog接口

syslog功能是通過信息中心模塊（info-center）實現(xiàn)的，它是信息中心模塊所具有的一個子功能?，F(xiàn)在主要對輸出到日志主機的日志格式做簡略的說明。輸出到日志主機采用端口號514。格式根據(jù)rfc3164（thebsdsyslogprotocol）制定，并對消息頭部進行擴展。

總結(jié)

本文在防護體系設(shè)計中采用了很好的“工具”——安全域。通過安全域的劃分，清晰了整個電子政務(wù)內(nèi)網(wǎng)的業(yè)務(wù)管理、業(yè)務(wù)邊界和業(yè)務(wù)區(qū)域，這樣通過各個區(qū)域的風(fēng)險分析，有針對性的進行設(shè)備和技術(shù)的選擇，在保證充分發(fā)揮功能的同時，避免了設(shè)備功能的重復(fù)和無效的資金投入。針對安全管理平臺存在的技術(shù)難點，本文通過采用snmp和syslog接口，并試用api接口編輯的方式解決了平臺對于數(shù)據(jù)采集、多平臺互聯(lián)互通問題。

內(nèi)網(wǎng)安全管理在很多領(lǐng)域都有被應(yīng)用到，以上只是講述了 電子政務(wù)內(nèi)網(wǎng)的案例，讀者如果想了解更多內(nèi)網(wǎng)安全的案例，以前的文章中已經(jīng)介紹。

第二篇：電子政務(wù)內(nèi)網(wǎng)安全

電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)計方案

方案部署說明：

一、在網(wǎng)絡(luò)出口處部署1臺路由器，通過專線與國辦網(wǎng)絡(luò)連接。

二、在路由器的后端，部署1臺密碼機，對出入政務(wù)內(nèi)網(wǎng)的所有數(shù)據(jù)進行加解密處理。

三、部署1臺入侵檢測系統(tǒng)，對各安全域進行監(jiān)控，及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，并向控制臺傳送報警信息和事件過程記錄，做到事后有據(jù)可查。

四、通過1臺高性能防火墻將網(wǎng)絡(luò)劃分成“應(yīng)用服務(wù)區(qū)”、“安全支撐區(qū)”和“用戶終端區(qū)”。首先在防火墻上配置終端用戶區(qū)域全部禁止訪問服務(wù)器區(qū)域，然后，根據(jù)用戶區(qū)域需要訪問的服務(wù)器區(qū)域應(yīng)用系統(tǒng)，打開的端口和協(xié)議進行特定訪問權(quán)限配置，包括：登錄域需要使用的TCP/UDP端口，訪問的目的地址集和源地址集等，病毒服務(wù)器的策略分發(fā)、升級、遠程安裝需要使用的TCP端口等。配置防火墻訪問控制日志保存策略，配置防火墻安全管理員、用戶管理員、審計管理員的用戶權(quán)限和相應(yīng)的密碼。

五、“安全支撐區(qū)”主要部署防病毒系統(tǒng)（金山毒霸網(wǎng)絡(luò)版）、域控制器、終端審計系統(tǒng)（中軟）、違規(guī)外聯(lián)監(jiān)控系統(tǒng)（山谷）、內(nèi)網(wǎng)安全管理系統(tǒng)（銳捷）、終端及服務(wù)器安全登錄系統(tǒng)（北信源）和USB移動存儲介質(zhì)使用管理系統(tǒng)（國邁），該區(qū)域主要為整個涉密信息系統(tǒng)提供安全及管理的功能支撐。

六、“應(yīng)用服務(wù)區(qū)”主要部署網(wǎng)站、電子郵件、文檔和DNS等應(yīng)用系統(tǒng)，為整個涉密信息系統(tǒng)提供應(yīng)用支撐。

七、在每臺涉密計算機上安裝中軟主機監(jiān)控與審計系統(tǒng)客戶端，對終端行為進行監(jiān)控。它充分利用透明加解密、身份認(rèn)證、訪問控制和審計跟蹤等技術(shù)手段，對涉密信息的存儲、傳播和處理過程，實施安全保護；最大限度地防止敏感信息泄漏、被破壞和違規(guī)外傳，并完整記錄涉及敏感信息的操作日志，以便日后審計或追究相關(guān)的泄密責(zé)任。

八、部署1套國邁USB移動存儲介質(zhì)使用管理系統(tǒng)，對USB移動介質(zhì)進行統(tǒng)一認(rèn)證，實現(xiàn)信息保密、訪問控制、審計等功能。用技術(shù)的手段，實現(xiàn)移動存儲設(shè)備信息安全的“五不”原則，即：進不來、拿不走、讀不懂、改不了、走不脫。

九、在系統(tǒng)中部署1套山谷違規(guī)外聯(lián)監(jiān)控系統(tǒng)，防止涉密網(wǎng)計算機接入互聯(lián)網(wǎng)，造成涉密信息泄露。

十、在系統(tǒng)中部署1套北信源終端服務(wù)器安全登錄系統(tǒng)，能夠?qū)崿F(xiàn)對用戶的身份鑒別，確保只有經(jīng)過合法驗證的終端用戶才能使用服務(wù)器，具體采用USBKeyClient和USBKey相結(jié)合的方式。

十一、另外，配備啟明星辰天鏡脆弱性掃描與管理系統(tǒng)和金路標(biāo)計算機終端保密檢查工具各1套，定期對涉密信息系統(tǒng)內(nèi)服務(wù)器和計算機終端進行安全隱患檢查。

十二、新增50臺天津光電聚能RBI-1型電磁泄漏防護插座和10臺萬里紅WLH-2型視頻干擾器，對不符合電磁泄漏發(fā)射防護要求的計算機及服務(wù)器進行安全防護。

第三篇：水務(wù)局電子政務(wù)內(nèi)網(wǎng)自查報告

一、加強領(lǐng)導(dǎo)，落實管理

(一)加強領(lǐng)導(dǎo)，落實責(zé)任。一是建立健全領(lǐng)導(dǎo)小組，由“一把手”負總責(zé)，分管領(lǐng)導(dǎo)具體抓，政工股為責(zé)任股室，電子政務(wù)內(nèi)網(wǎng)工作落實了專人負責(zé)，確立了應(yīng)用操作專職人員對網(wǎng)絡(luò)進行維護。二是把電子政務(wù)目標(biāo)任務(wù)納入機關(guān)工作目標(biāo)考核，在年初分解落實到責(zé)任股室，確保了電子政務(wù)目標(biāo)任務(wù)的完成。

(二)加強培訓(xùn)，提高水平。我局積極組織信息人員參加縣委機要局和保密局舉辦的網(wǎng)絡(luò)失泄密防范工作培訓(xùn)會和政務(wù)內(nèi)網(wǎng)應(yīng)用和信息培訓(xùn)會，著力提高了信息員和技術(shù)員的工作能力。

(三)保障經(jīng)費，確保工作。我局針對黨政網(wǎng)進行升級改造，對黨政網(wǎng)電腦配置，網(wǎng)絡(luò)管理，日常維護和保密工作費用進行實報實銷，使經(jīng)費得到保障。

二、狠抓應(yīng)用，突顯功能

(一)切實加強網(wǎng)上公共應(yīng)用。積極配合縣委機要局開展新公文交換系統(tǒng)的推廣應(yīng)用，按縣委要求對公文的收發(fā)、pdf的制作、電子印章加蓋、網(wǎng)上傳輸公文范圍、公文管理的內(nèi)容進行規(guī)范管理，完成縣網(wǎng)管中心下達的目標(biāo)任務(wù)。

(二)著力打造部門網(wǎng)站。一是積極開展創(chuàng)新特色欄目的建設(shè)，做好具有水務(wù)特色的“兩脈暢流”網(wǎng)頁信息的公布。二是規(guī)范網(wǎng)站基本欄目設(shè)置，著力搞好基本信息、動態(tài)信息、業(yè)務(wù)信息數(shù)據(jù)庫存等內(nèi)容的日常維護，及時更新單位動態(tài)工作信息，定期完善基本信息。

三、加強網(wǎng)絡(luò)安全管理

(一)規(guī)范計算機物理網(wǎng)絡(luò)接入。一是配合電信部門做好本單位的網(wǎng)絡(luò)改造，實現(xiàn)了網(wǎng)絡(luò)光纖接入。二是嚴(yán)格計算機網(wǎng)絡(luò)端口接入，做到了電子政務(wù)內(nèi)網(wǎng)與外網(wǎng)、互聯(lián)網(wǎng)的物理隔離,有效阻止電子政務(wù)內(nèi)外網(wǎng)違規(guī)外連的情況發(fā)生，實現(xiàn)了規(guī)范化、制度化管理。

(二)加強網(wǎng)絡(luò)維護。一是堅持每日讀網(wǎng)制度，加強網(wǎng)站日常巡查、讀網(wǎng)、監(jiān)測工作，發(fā)現(xiàn)錯誤及時更改。二是信息上載嚴(yán)格按照信息發(fā)布審核和保密審查制度，先審后發(fā)，有效杜絕不良和有害信息上網(wǎng)運行的情況。三是完善單位的設(shè)備的更新，全年設(shè)備、線路維護。

第四篇：電子政務(wù)內(nèi)網(wǎng)管理員職責(zé)

電子政務(wù)內(nèi)網(wǎng)管理員職責(zé)

為進一步推進辦公信息化進程，規(guī)范電子政務(wù)的運行及管理，加強信息保密安全工作，保證上下信息渠道暢通，及時收發(fā)相關(guān)文件，了解國家、省市相關(guān)文件、會議精神，湘鄉(xiāng)市電子政務(wù)管理中心與省市電子政務(wù)內(nèi)網(wǎng)相配套，建立電子政務(wù)內(nèi)網(wǎng)并實行專人管理。電子政務(wù)內(nèi)網(wǎng)管理員職責(zé)如下：

1、負責(zé)全市電子政務(wù)內(nèi)網(wǎng)設(shè)備的正常運行及維護，經(jīng)常與上級電子政務(wù)內(nèi)網(wǎng)相關(guān)部門和人員保持聯(lián)系，維護好內(nèi)網(wǎng)系統(tǒng)，確保電子政務(wù)內(nèi)網(wǎng)暢通；

2、樹立保密意識。嚴(yán)格按照國家、省市文件要求，安全妥善處理上級下發(fā)文件，確保信息安全。

3、根據(jù)全市各個單位的需要，妥善管理各個本單位內(nèi)部用戶的網(wǎng)絡(luò)使用權(quán)限和范圍。

4、負責(zé)對全市各個單位的組織用戶進行維護。

5、負責(zé)對全市電子政務(wù)內(nèi)網(wǎng)的所有業(yè)務(wù)處理權(quán)限角色進行維護。

6、負責(zé)對全市電子政務(wù)內(nèi)網(wǎng)的所有系統(tǒng)基礎(chǔ)權(quán)限角色進行維護。

7、按時參加上級部門有關(guān)電子政務(wù)網(wǎng)的培訓(xùn)，提高業(yè)務(wù)水平。

8、負責(zé)對全市基層單位的電子政務(wù)內(nèi)網(wǎng)管理員的業(yè)務(wù)指導(dǎo)及業(yè)務(wù)培訓(xùn)。

9、承擔(dān)領(lǐng)導(dǎo)交辦的其它臨時性工作。

第五篇：電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案

電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案

對于電子政務(wù)內(nèi)網(wǎng)，政務(wù)專網(wǎng)、專線、VPN是構(gòu)建電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。安全政務(wù)網(wǎng)絡(luò)平臺是依托專網(wǎng)、專線、VPN設(shè)備將各接入單位安全互聯(lián)起來的電子政務(wù)內(nèi)網(wǎng)；安全支撐平臺為電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)提供安全互聯(lián)、接入控制、統(tǒng)一身份認(rèn)證、授權(quán)管理、惡意代碼防范、入侵檢測、安全審計、桌面安全防護等安全支撐；電子政務(wù)專網(wǎng)應(yīng)用既是安全保障平臺的保護對象，又是電子政務(wù)內(nèi)網(wǎng)實施電子政務(wù)的主體，它主要內(nèi)部共享信息、內(nèi)部受控信息等，這兩類信息運行于電子政務(wù)辦公平臺、和電子政務(wù)信息共享平臺之上；電子政務(wù)管理制度體系是電子政務(wù)長期有效運行的保證。

電子政務(wù)內(nèi)網(wǎng)系統(tǒng)構(gòu)成

1）政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺:電子政務(wù)內(nèi)網(wǎng)建設(shè)，是依托電子政務(wù)專網(wǎng)、專線、VPN構(gòu)造的電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)。

2）電子政務(wù)內(nèi)網(wǎng)應(yīng)用:在安全支撐平臺的作用下，基于安全電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺，可以打造安全電子政務(wù)辦公平臺、安全政務(wù)信息共享平臺。

3）安全支撐平臺:安全支撐平臺由安全系統(tǒng)組成，是電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)運行的安全保障。

電子政務(wù)內(nèi)網(wǎng)系統(tǒng)拓撲圖

三級政務(wù)內(nèi)網(wǎng)建議拓撲圖

電子政務(wù)內(nèi)網(wǎng)按照等保標(biāo)準(zhǔn)要求，進行安全域的劃分。根據(jù)不同的劃分原則，大致可以分別網(wǎng)絡(luò)基礎(chǔ)架構(gòu)區(qū)、安全管理區(qū)、數(shù)據(jù)處理區(qū)、邊界防御區(qū)、辦公區(qū)、會議區(qū)等安全子區(qū)域，在實際的網(wǎng)絡(luò)設(shè)計中，可以根據(jù)相關(guān)標(biāo)準(zhǔn)，按照實際需要進一步細分，如上圖所示。

劃分安全域的目標(biāo)是針對不同的安全域采用不同的安全防護策略，既保證信息的安全訪問，又兼顧信息的開放性。按照應(yīng)用系統(tǒng)等級、數(shù)據(jù)流相似程度、硬件和軟件環(huán)境的可共用程度、安全需求相似程度，并且從方便實施的角度，將整個電子政務(wù)業(yè)務(wù)系統(tǒng)分為不同的安全子域區(qū)，便于由小到大、由簡到繁進行網(wǎng)絡(luò)設(shè)計。安全域的劃分有利于對電子政務(wù)系統(tǒng)實施分區(qū)安全防護，即分域防控。安全支撐平臺的系統(tǒng)結(jié)構(gòu)

電子政務(wù)安全支撐平臺是電子政務(wù)系統(tǒng)運行的安全保障，由網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全技術(shù)構(gòu)成。電子政務(wù)安全支撐平臺依托電子政務(wù)配套的安全設(shè)備，通過分級安全服務(wù)和分域安全管理，實現(xiàn)等級保護中要求的物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)，從而保證整個電子政務(wù)信息系統(tǒng)安全，最終形成安全開放統(tǒng)一、分級分域防護的安全體系。電子政務(wù)安全支撐平臺的系統(tǒng)結(jié)構(gòu)下圖：

電子政務(wù)安全支撐平臺系統(tǒng)結(jié)構(gòu)

安全支撐平臺的系統(tǒng)配置

1、核心交換機雙歸屬：兩臺核心交換機通過VRRP協(xié)議連接，互為冗余，保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。

2、認(rèn)證及地址管理系統(tǒng)－DCBI：DCBI可以完成基于主機的統(tǒng)一身份認(rèn)證和全局地址管理功能。

1）基于主機的統(tǒng)一身份認(rèn)證。終端系統(tǒng)通過安裝802.1X認(rèn)證客戶端，在連接到內(nèi)網(wǎng)之前，首先需要通過DCBI的身份認(rèn)證，方能打開交換機端口，使用網(wǎng)絡(luò)資源。

2）全局地址管理。·根據(jù)政務(wù)網(wǎng)地址規(guī)模靈活劃分地址池 ·固定用戶地址下發(fā)與永久綁定 ·漫游用戶地址下發(fā)與臨時綁定、自動回收 ·接入交換機端口安全策略自動綁定?！た蛻舳说刂帆@取方式無關(guān)性

3、全局安全管理系統(tǒng)－DCSM。DCSM是政務(wù)內(nèi)網(wǎng)所有端系統(tǒng)的管理與控制中心，兼具用戶管理、安全認(rèn)證、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。

1)安全認(rèn)證。安全認(rèn)證系統(tǒng)定義了對用戶終端進行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)認(rèn)證、補丁檢查項配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。

2)用戶管理。不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。

3)安全聯(lián)動控制。安全策略服務(wù)器負責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。

4)日志審計。安全策略服務(wù)器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。

其中：安全管理系統(tǒng)代理，可以對用戶終端進行身份認(rèn)證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：

1）提供802.1x、portal等多種認(rèn)證方式，可以與交換機、路由器配合實現(xiàn)接入層、匯聚層以及VPN的端點準(zhǔn)入控制。

2）主機桌面安全防護，檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁等信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到認(rèn)證服務(wù)器，執(zhí)行端點準(zhǔn)入的判斷與控制。

3）安全策略實施，接收認(rèn)證服務(wù)器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。

4）實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進行安全審計。

5）實時監(jiān)控終端用戶的行為，實現(xiàn)用戶上網(wǎng)行為可審計。

4、邊界防火墻－DCFW

能夠?qū)W(wǎng)絡(luò)區(qū)域進行分割，對不同區(qū)域之間的流量進行控制，通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)進行檢查，把可能的安全風(fēng)險控制在相對獨立的區(qū)域內(nèi)，避免安全風(fēng)險的大規(guī)模擴散。

對于廣域網(wǎng)接入用戶，能夠?qū)λ麄兊木W(wǎng)絡(luò)應(yīng)用行為進行管理，包括進行身份認(rèn)證、對訪問資源的限制、對網(wǎng)絡(luò)訪問行為進行控制等。

5、統(tǒng)一威脅管理－UTM

UTM集合了防火墻、防病毒網(wǎng)關(guān)、IPS/IDS入侵防御、防垃圾郵件網(wǎng)關(guān)、VPN（IPSEC、PPTP、L2TP）網(wǎng)關(guān)、流量整形網(wǎng)關(guān)、Anti-Dos網(wǎng)關(guān)、用戶身份認(rèn)證網(wǎng)關(guān)、審計網(wǎng)關(guān)、BT控制網(wǎng)關(guān)+IM控制網(wǎng)關(guān)+應(yīng)用提升網(wǎng)關(guān)(網(wǎng)游 VOIP 流媒體支持)，十二大功能為一體。采用專門設(shè)計的硬件平臺和專用的安全操作系統(tǒng)，采用硬件獨立總線架構(gòu)并采用病毒檢測專用模塊，在提升產(chǎn)品功能的同時保證了產(chǎn)品在各種環(huán)境下的高性能。完成等保標(biāo)準(zhǔn)中要求的防病毒、惡意代碼過濾等邊界防護功能。

6、入侵檢測系統(tǒng)－DCNIDS

入侵檢測系統(tǒng)能夠及時識別并阻止外部入侵者或內(nèi)部用戶對網(wǎng)絡(luò)系統(tǒng)的非授權(quán)使用、誤用和濫用，對網(wǎng)絡(luò)入侵事件實施主動防御。

通過在電子政務(wù)網(wǎng)絡(luò)平臺上部署入侵檢測系統(tǒng)，可提供對常見入侵事件、黑客程序、網(wǎng)絡(luò)病毒的在線實時檢測和告警功能，能夠防止惡意入侵事件的發(fā)生。

7、漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)提供網(wǎng)絡(luò)系統(tǒng)進行風(fēng)險預(yù)測、風(fēng)險量化、風(fēng)險趨勢分析等風(fēng)險管理的有效工具，使用戶了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，并客觀評估網(wǎng)絡(luò)風(fēng)險等級。

漏洞掃描系統(tǒng)能夠發(fā)現(xiàn)所維護的服務(wù)器的各種端口的分配、提供的服務(wù)、服務(wù)軟件版本和系統(tǒng)存在的安全漏洞，并為用戶提供網(wǎng)絡(luò)系統(tǒng)弱點/漏洞/隱患情況報告和解決方案，幫助用戶實現(xiàn)網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的安全策略，確保網(wǎng)絡(luò)系統(tǒng)安全有效地運行。

8、流量整形設(shè)備－DCFS

1)控制各種應(yīng)用的帶寬，保證關(guān)鍵應(yīng)用，抑制不希望有的應(yīng)用：可針不同的源IP（組）和時間段，在所分配的帶寬管道內(nèi)，對其應(yīng)用實現(xiàn)不同的流量帶寬限制、或者是禁止使用。

2)統(tǒng)計、監(jiān)控和分析，了解網(wǎng)絡(luò)上各種應(yīng)用所占的帶寬比例，為網(wǎng)絡(luò)的用途和規(guī)劃提供科學(xué)依據(jù)：可通過設(shè)備對網(wǎng)絡(luò)上的流量數(shù)據(jù)進行監(jiān)控和分析，量化地了解當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用流量所占的比例、以及各應(yīng)用的流量各是多少，從而得知用戶的網(wǎng)絡(luò)最主要的用途是什么，等等。

9、其它網(wǎng)絡(luò)設(shè)備

其它網(wǎng)絡(luò)設(shè)備，可以參照國標(biāo)對應(yīng)的《設(shè)備安全技術(shù)要求》進行選型。