电子政务内网建设解决方案.docx

1、电子政务内网建设解决方案电子政务内网建设解决方案电子政务内网建设解决方案对于电子政务内网，政务专网、专线、 VPN 是构建电子政务网络的基础设施。安全政务网络 平台是依托专网、专线、VPN设备将各接入单 位安全互联起来的电子政务内网；安全支撑平台 为电子政务内网信息系统提供安全互联、 接入控 制、统一身份认证、授权管理、恶意代码防范、 入侵检测、安全审计、桌面安全防护等安全支撑； 电子政务专网应用既是安全保障平台的保护对 象，又是电子政务内网实施电子政务的主体， 它主要内部共享信息、内部受控信息等，这两类信 息运行于电子政务办公平台、和电子政务信息共 享平台之上；电子政务管理制度体系是电子政务

2、 长期有效运行的保证。安全 支撐血于收务内円丿问囲管理 制度内部英亨疥息、内部怦廉倍总总葩办公平自 庇帑惜息堆勻平台政务培网、&线、VPN电子政务内网系统构成1） 政务内网网络平台：电子政务内网建设，是 依托电子政务专网、专线、 VPN构造的电子政 务内网网络。2） 电子政务内网应用：在安全支撑平台的作用 下，基于安全电子政务内网网络平台， 可以打造 安全电子政务办公平台、安全政务信息共享平台。3） 安全支撑平台：安全支撑平台由安全系统组 成，是电子政务内网信息系统运行的安全保障。电子政务内网系统拓扑图三政無内网建徴拓扑IS三级政务内网建议拓扑图电子政务内网按照等保标准要求，进行安全域 的划分

3、。根据不同的划分原则，大致可以分别网 络基础架构区、安全管理区、数据处理区、边界 防御区、办公区、会议区等安全子区域，在实际 的网络设计中，可以根据相关标准，按照实际需 要进一步细分，如上图所示。划分安全域的目标是针对不同的安全域采用 不同的安全防护策略，既保证信息的安全访问， 又兼顾信息的开放性。按照应用系统等级、数据 流相似程度、硬件和软件环境的可共用程度、安 全需求相似程度，并且从方便实施的角度，将整 个电子政务业务系统分为不同的安全子域区， 讨 于由小到大、由简到繁进行网络设计。安全域的 划分有利于对电子政务系统实施分区安全防护， 即分域防控。安全支撑平台的系统结构电子政务安全支撑平台

4、是电子政务系统运行 的安全保障，由网络设备、安全设备、安全技术 构成。电子政务安全支撑平台依托电子政务配套 的安全设备，通过分级安全服务和分域安全管 理，实现等级保护中要求的物理安全、网络安全、 主机安全、应用安全、数据安全及备份恢复，从 而保证整个电子政务信息系统安全， 最终形成安 全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:电子政务安全支撑平台系统结构安全支撑平台的系统配置 1、核心交换机双归属：两台核心交换机通过VRRP协议连接，互为冗余，保证主要网络设备 的业务处理能力具备冗余空间，满足业务高峰期 需要。2、认证及地址管理系统一DCBI : DCBI可以完

5、成基于主机的统一身份认证和全局地址管理功 能。1）基于主机的统一身份认证。终端系统通过 安装802.1X认证客户端，在连接到内网之前， 首先需要通过DCBI的身份认证，方能打开交换 机端口，使用网络资源2）全局地址管理。根据政务网地址规模灵活划分地址池固定用户地址下发与永久绑定漫游用户地址下发与临时绑定、自动回收接入交换机端口安全策略自动绑定。客户端地址获取方式无关性3、全局安全管理系统一DCSM。DCSM是政务 内网所有端系统的管理与控制中心，兼具用户管 理、安全认证、安全状态评估、安全联动控制以 及安全事件审计等功能。1） 安全认证。安全认证系统定义了对用户终 端进行准入控制的一系列策略，

6、包括用户终端安 全状态认证、补丁检查项配置、安全策略配置、 终端修复配置以及对终端用户的隔离方式配置 等。2） 用户管理。不同的用户、不同类型的接入 终端可能要求不同级别的安全检查和控制。安全 策略服务器可以为不同用户提供基于身份的个 性化安全配置和网络服务等级，方便管理员对网 络用户制定差异化的安全策略。3） 安全联动控制。安全策略服务器负责评 估安全客户端上报的安全状态，控制安全联动设 备对用户的隔离与开放，下发用户终端的修复方 式与安全策略。通过安全策略服务器的控制，安 全客户端、安全联动设备与防病毒服务器才可以 协同工作，配合完成端到端的安全准入控制。4）日志审计。安全策略服务器收集由

7、安全客 户端上报的安全事件，并形成安全日志，可以为 管理员追踪和监控网络的整个网络的安全状态 提供依据。其中：安全管理系统代理，可以对用户终端 进行身份认证、安全状态评估以及安全策略实施 的主体，其主要功能包括：1）提供802.1x、portal等多种认证方 式，可以与交换机、路由器配合实现接入层、汇 聚层以及VPN的端点准入控制。2）主机桌面安全防护，检查用户终端的安 全状态，包括操作系统版本、系统补丁等信息； 同时提供与防病毒客户端联动的接口， 实现与第 三方防病毒客户端的联动，检查用户终端的防病 毒软件版本、病毒库版本、以及病毒查杀信息。 这些信息将被传递到认证服务器，执行端点准入 的判

8、断与控制。3） 安全策略实施，接收认证服务器下发的 安全策略并强制用户终端执行，包括设置安全策 略（是否监控邮件、注册表）、系统修复通知与 实施（自动或手工升级补丁和病毒库）等功能。 不按要求实施安全策略的用户终端将被限制在隔离区。4） 实时监控系统安全状态，包括是否更改 安全设置、是否发现新病毒等，并将安全事件定 时上报到安全策略服务器，用于事后进行安全审 计。5） 实时监控终端用户的行为，实现用户上 网行为可审计。4、边界防火墙DCFW能够对网络区域进行分割，对不同区域之间 的流量进行控制，通过对数据包的源地址、目的 地址、源端口、目的端口、网络协议等参数进行 检查，把可能的安全风险控制在

9、相对独立的区域 内，避免安全风险的大规模扩散。对于广域网接入用户，能够对他们的网络应 用行为进行管理，包括进行身份认证、对访问资 源的限制、对网络访问行为进行控制等。5、统一威胁管理一UTMUTM集合了防火墙、防病毒网关、IPS/IDS 入侵防御、防垃圾邮件网关、 VPN （IPSEC、PPTP、L2TP ）网关、流量整形网关、 Anti-Dos 网关、用户身份认证网关、审计网关、 BT控制网关+IM控制网关+应用提升网关（网游VOIP 流媒体支持），十二大功能为一体。采用专门设 计的硬件平台和专用的安全操作系统， 采用硬件 独立总线架构并米用病毒检测专用模块，在提升 产品功能的同时保证了产品

10、在各种环境下的高 性能。完成等保标准中要求的防病毒、恶意代码 过滤等边界防护功能。6、 入侵检测系统一DCNIDS入侵检测系统能够及时识别并阻止外部入 侵者或内部用户对网络系统的非授权使用、 误用和滥用，对网络入侵事件实施主动防御。通过在电子政务网络平台上部署入侵检测 系统，可提供对常见入侵事件、黑客程序、网络 病毒的在线实时检测和告警功能，能够防止恶意 入侵事件的发生。7、 漏洞扫描系统漏洞扫描系统提供网络系统进行风险预测、 风险量化、风险趋势分析等风险管理的有效工 具，使用户了解网络的安全配置和运行的应用服 务，及时发现安全漏洞，并客观评估网络风险等 级。漏洞扫描系统能够发现所维护的服务器

11、的 各种端口的分配、提供的服务、服务软件版本和 系统存在的安全漏洞，并为用户提供网络系统弱 点/漏洞/隐患情况报告和解决方案，帮助用户实 现网络系统统一的安全策略，确保网络系统安全 有效地运行。8 流量整形设备DCFS1） 控制各种应用的带宽，保证关键应用，抑制不希望有的应用：可针不同的源 IP （组）和时间段，在所分配的带宽管道内，对其应用实现 不同的流量带宽限制、或者是禁止使用。2） 统计、监控和分析，了解网络上各种应用 所占的带宽比例，为网络的用途和规划提供科学 依据：可通过设备对网络上的流量数据进行监控 和分析，量化地了解当前网络中各种应用流量所 占的比例、以及各应用的流量各是多少，从而得 知用户的网络最主要的用途是什么，等等。9、其它网络设备 其它网络设备，可以参照国标对应的设备 安全技术要求进行选型。