『壹』 為保證政府政務網安全,採取了哪些防範措施
電子政務網建設原則
為達到電子政務網路的目標要求,華為公司建議在電子政務建設過程中堅持以下建網原則:從政府的需求出發,建設高安全、高可靠、可管理的電子政務體系!
統一的網路規劃
建議電於政務的建設按照國家信息化領導小組的統一部署,制定總體的網路規劃,分層推進,分步實施,避免重復建設。
完善的安全體系
網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准-ISO17799,安全管理是信息安全的關鍵,人員管理是安全管理的核心,安全策略是安全管理的依據,安全工具是安全管理的保證。
嚴格的設備選型
在電子政務網建設的過程中,網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外,同時為了杜絕網路後門的出現,在滿足功能、性能要求的前提下,建議優先選用具備自主知識產權的國內民族廠商產品,從設備選型上保證電子政務網路的安全性。
集成的信息管理
信息管理的核心理念是統一管理,分散控制。制定IT的年度規劃,提供IT的運作支持和問題管理,管理用戶服務水平,管理用戶滿意度,配置管理,可用性管理,支持IT設施的管理,安全性管理,管理IT的庫存和資產,性能和容量管理,備份和恢復管理。提高系統的利用價值,降低管理成本。
電子政務網體系架構
《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構:電子政務網路由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息,所以為保證黨政核心機密的安全性,內網必須與外網物理隔離。政務外網是政府的業務專網,主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務,外網與互聯網之間邏輯隔離。而從網路規模來說,政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設;從網路層次來說,內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。
圖1:電子政務網路的體系架構
根據電子政務設計思想及應用需求,鑒於政府各部門的特殊安全性要求,嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》,在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則,在邏輯層次及業務上,網路的構建實施如下分配:
圖2:電子政務內、外網邏輯層次
互聯支撐層是電子政務網路的基礎,由網路中心統一規劃、構建及管理,支撐層利用寬頻IP技術,保證網路的互聯互通性,提供具有一定QOS的帶寬保證,並提供各部門、系統網路間的邏輯隔離(VPN),保證互訪的安全控制;
安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統,它與互聯支撐層相對獨立,由網路中心與各部門單位共同規劃,分布構建。
業務應用層就是在安全互聯的基礎上實施政務網的各種應用,由網路中心與各系統單位統一規劃,分別實施。
華為公司電子政務解決方案的核心理念
全面的網路安全
建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面,華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證;在設備層面,華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。
針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構,在該架構中,除了可以從熟悉的網路層次視角來看待安全問題,同時還可以從時間及空間的角度來審視安全問題,從而大大拓展了安全的思路與視角,具備全面考慮與實施安全防護的模型與能力。
圖3:華為公司i3 安全 三維度端到端集成安全體系架構
(1)華為公司i3安全三維度端到端集成安全體系架構
i-intelligence(智能),integrated(集成),indiviality(個性化);
3-時間、空間及網路層次三個維度的端到端( End to End);
安全-所有IP信息網路的安全架構。
(2)網路層次(網路層、用戶層、業務層)端到端安全理念
網路的各層次均存在安全威脅的可能,華為的集成安全架構充分體現了網路安全防範的分層思想,根據不同網路層次的特點進行有針對性的防範。
網路層:保障網路路由、網路設備等基礎網路的安全;
用戶接入層:確保合法的用戶接入,訪問合法的網路范圍,並保障用戶信息的隔離等用戶接入網路的安全;
業務層:保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷,採取了大量的增強措施,如用戶接入認證、地址防盜用、訪問控制等能力。
(3)時間(事前、事後)端到端安全理念
以前政府行業更關注網路的事前防範能力,往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多,對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後,要求網路所能提供的支持也是不同的,其花費的代價與技術實現難度有非常大的差別:
事前防範:主要通過數據隔離、加密、過濾、管理等技術,加強整個網路的健壯性;
事後跟蹤:華為公司的「i3安全」架構提供在網路級做日誌記錄的能力,通過對用戶上網埠、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而為後期的分析提供第一手的資料。
(4)空間(外網、內網)端到端安全理念
外網:通過VPN、加密等保證信息安全,通過網路防火牆、病毒防火牆等防範網路攻擊,側重的是防範;
內網:通過對用戶的識別,保證合法的用戶訪問合法的網路范圍,並做好訪問記錄,側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網,兩張網按照17號文件要求嚴格的物理隔離分別進行建設,保證政府網路的安全。
華為公司三緯度集成安全架構提供端到端集成安全服務:
圖4:華為公司i3安全三維度端到端集成安全體系架構
隨著政府網路網上應用的進一步增多,隨著網路進一步深入人們的生活,入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程,只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢,疏而不漏」。
完善的端到端的可靠性
網路可靠性主要是指當設備或網路出現故障時,網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容:
(1)設備可靠性
華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構,不存在單點故障;採用無源背板,支持真正熱插拔、熱備份,同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計,能充分滿足電子政務網路對設備高可靠性的要求。
(2)組網設計的可靠性
在控制投資的前提下,在電子政務網路的部分省地骨幹節點,可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護,接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護,從組網角度避免單點故障。
另外,可採用備份中心技術,為路由器上的任意介面提供備份介面;路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面;可對介面上的某條邏輯鏈路提供備份。
通過靈活的備份機制及完善的技術,可以充分利用備份資源,確保網路互聯互通的可靠性。
簡單高效的維護和管理
政府網路信息點數量眾多,而且較為稠密,所以網路設備數量眾多,特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時,利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能,降低網路管理人員的工作量,提高效率。
豐富的業務承載能力
政府信息化的一個重要特點是以業務牽引網路需求,應用不斷更新,對網路設備的需求不斷提高,在這樣的一個動態網路中,網路設備本身的業務承載能力就顯得非常重要。因此,華為公司提出了第5代基於網路處理器技術,可以保證在後續新增業務對網路平台有特殊要求時,實現快速定製、快速支持,保證對網路設備投資的連續性。
利用MPLS VPN表現出強大的擴展性和前所未見的高性能,電子政務網可任由業務的增長和變化,網路可以平滑地擴充和升級,可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家,華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。
『貳』 國家安全監管總局網路運行和信息安全保密管理辦法的網路安全管理
10.各單位網路和信息系統建設必須按照國家非涉密信息系統等級保護和涉密信息系統分級保護的要求,進行定級、建設和管理,並根據防護等級採取相應的安全防護措施。
11.涉密內網的計算機必須按照國家保密部門的規定加裝安全技術防護設備,統一配備專用移動存儲介質。
12.接入內網的計算機必須實行嚴格的物理隔離,不得直接或間接地與總局政務外網(或互聯網)聯接;凡訪問總局政務外網的,必須安裝客戶端管理軟體;未經審批,禁止在涉密網路上使用筆記本電腦。
13.各省局信息安全保密管理部門負責本單位行政管理范圍內接入總局政務外網的管理。需要接入總局政務外網的,應經省局信息安全保密管理部門審核同意並報總局辦公廳備案後,方可由網路運行維護管理部門組織實施;未經同意,任何單位和個人不得擅自將任何設備接入總局政務外網。
14.總局政務外網的網路安全防範措施和安全管理應當遵循統一的建設方案和安全策略,未經總局辦公廳批准,各單位不得改變總局政務外網的網路安全系統結構和部署方式。各級網路運行維護管理部門對各類安全設備進行安全規則的添加、修改、刪除等操作,必須符合統一的安全策略要求,並報總局通信信息中心審核後方可實施。總局通信信息中心負責對總局政務外網各級節點安全系統的部署、安全規則的配置情況進行檢查,檢查結果報總局辦公廳,同時通報相關單位網路運行維護管理部門進行整改。
15.凡在總局政務外網或互聯網使用過的計算機轉到內網使用前,必須將硬碟徹底格式化,重新安裝操作系統和應用軟體;凡在內網使用過的計算機轉到總局政務外網或互聯網使用前,必須更換硬碟,並將原硬碟按規定上繳信息安全保密管理部門保管或銷毀。
16.嚴禁將內網與總局政務外網(或互聯網)直接相連。嚴禁在內網與總局政務外網(或互聯網)間交叉使用移動存儲設備。
17.涉密計算機不得使用藍牙、紅外和無線網卡、無線滑鼠、無線鍵盤等具有無線互聯功能的設備。
18.重要涉密崗位的辦公場所中所使用的總局政務外網(或互聯網)計算機不得安裝麥克風、攝像頭等音頻、視頻採集設備。
『叄』 什麼是政務內網、政務專網和政務外網
從文件的解讀可以看出,政務內網的聯網范圍不可能延伸到鄉鎮這一級政府,且不可能與外網交換信息,因此副省級以下城市中,黨政機關業務流轉和信 息處理的主要平台一般部署在外網。就外網而言,雖然聯網范圍可以很大,但由於與國際互聯網之間通過一定的網路安全設備邏輯隔離,隨著電子政務應用的不斷發 展,需要打開越來越多的網路設備埠,從而降低了安全性,讓越來越多的政務部門不敢用其承載業務流程和信息處理。基於上述考慮,在國家規定的兩個網路基礎上,增加了政務專網,從而構築了以「三網」為基本架構的電子政務網路平台:即政務內網、政務專網和政務外網。
政務內網是涉密的黨政機關辦公業務網路,與國際互聯網物理隔離,在滿足工作需求的前提下,覆蓋范圍盡可能少,對上與國家電子政務內網互聯。
政務專網是黨政機關的非涉密內部辦公網,主要用於機關非涉密公文、信息的傳遞和業務流轉,它與外網之間不是通過傳統的防火牆來隔離,而是通過網 閘,僅以數據「擺渡」方式交換信息(網閘的HTTP、FTP、SMTP等通用協議全部關閉或不提供這些協議支持),以便實現公共服務與內部業務流轉的銜 接。由於「擺渡」方式並不能使專網與國際互聯網連接,因此,專網基本不受國際互聯網不安全因素的威脅,具有較高的安全性。另外,政務專網不是涉密網,又可 實現廣泛的內部互聯,還可與外網實現安全信息交換。因此,政務專網完全能夠作為不涉及國家秘密的內部業務流轉和信息處理的主要平台,並形成公共服務的外網 受理、內(專)網辦理、外網反饋的閉環機制。
政務外網是政府對外服務的業務專網,與國際互聯網通過防火牆邏輯隔離,主要用於機關訪問國際互聯網,發布政府公開信息,受理、反饋公眾請求和運 行安全級別不需要在政務專網運營的業務。目前青島市建設的政府公眾信息網和政府門戶網都屬於這一范疇。但從嚴格意義上說,政府門戶網又與政務外網有所區 別。政府門戶網是建立在互聯網平台上的各級政務機關面向社會開展服務的電子政務窗口,它以政務外網信息資源為支撐並整合了各級政務部門的公眾信息資源,推 進政務公開,擴大服務范圍和對外宣傳,開展政府與公眾的溝通和交流,是政務信息服務的樞紐和接受社會監督的窗口,其主要作用是對外發布政務信息。
『肆』 鐢典俊鏀垮姟澶栫綉鏄浠涔堟剰鎬濓紵
鐢典俊鏀垮姟澶栫綉鏄鎸囦負鏀垮簻鏈烘瀯鍜屼紒浜嬩笟鍗曚綅涓撻棬寤鴻劇殑涓縐嶄俊鎮緗戠粶銆傝繖縐嶇綉緇滀笌浜掕仈緗戜笉鍚岋紝涓昏佹槸涓烘斂搴滄満鏋勫拰浼佷簨涓氬崟浣嶆挳鍚堝嚭鍙f彁渚涙洿浼樿川銆佹洿瀹夊叏銆佹洿紼沖畾鐨勭綉緇滄湇鍔°傚緢澶氭斂搴滄満鏋勫拰浼佷簨涓氬崟浣嶅湪緗戠粶搴旂敤鏂歸潰鏈変竴浜涚壒孌婇渶奼傦紝渚嬪傛斂鍔″姙鍏銆佺數瀛愭。妗堛佸叕鏂囦紶杈撱佽嗛戜細璁銆佺綉緇滄煡璇㈢瓑錛岀數淇℃斂鍔″栫綉灝辨槸涓轟簡婊¤凍榪欎簺闇奼傝岀敓鐨勶紝鍏惰繍钀ュ己璋冪殑鏄鏁版嵁鐨勪繚瀵嗘с佸畬鏁存у拰鍙闈犳э紝鍙璋撴槸涓縐嶉珮淇濈湡鐨勭綉緇滃艦寮忋
鐢典俊鏀垮姟澶栫綉瀵逛簬鏀垮簻鏈烘瀯鍜屼紒浜嬩笟鍗曚綅淇℃伅鍖栧緩璁捐嚦鍏抽噸瑕侊紝鍥犱負瀹冭兘澶熸弧瓚寵繖浜涙満鏋勫拰鍗曚綅鐨勭壒孌婇渶奼傘傚湪褰撲粖淇℃伅鏃朵唬錛屾斂搴滄満鏋勫拰浼佷簨涓氬崟浣嶅緢澶т竴閮ㄥ垎宸ヤ綔閮芥秹鍙婂埌淇℃伅鐨勫勭悊鍜屼紶杈擄紝濡傛灉淇℃伅鏃犳硶寰楀埌鏈夋晥鐨勪繚鎶わ紝灝嗕細閫犳垚闈炲父澶х殑瀹夊叏闅愭偅銆傝岀數淇℃斂鍔″栫綉姝f槸涓轟簡瑙e喅榪欎竴闂棰樿屽緩璁劇殑錛屽彲浠ヨ╂満鏋勫拰鍗曚綅鏇村姞瀹夊叏鍦頒嬌鐢ㄧ綉緇滐紝鏈夋晥鎻愰珮宸ヤ綔鏁堢巼銆
闅忕潃縐戞妧鐨勪笉鏂榪涙ワ紝鐢典俊鏀垮姟澶栫綉鐨勫彂灞曚篃鏃ヨ秼鎴愮啛銆傛湭鏉ョ數淇℃斂鍔″栫綉灝嗕細鏇村姞鏅鴻兘鍖栥佸畨鍏ㄥ寲銆佷究鎹峰寲錛屼粠鑰屼負鏀垮簻鏈烘瀯鍜屼紒浜嬩笟鍗曚綅鐨勪俊鎮鍖栧緩璁炬彁渚涙洿鍔犲畬鍠勭殑鏈嶅姟銆傛ゅ栵紝鐢典俊鏀垮姟澶栫綉榪樺皢杈愬皠鍒版洿澶氱殑棰嗗煙錛屼緥濡傞噾鋙嶃佸尰鐤椼佺墿嫻佺瓑錛屼負鏁翠釜紺句細鐨勪俊鎮鍖栧彂灞曟敞鍏ュ己澶х殑鍔ㄥ姏銆傚彲浠ラ勮侊紝鍦ㄤ笉涔呯殑灝嗘潵錛岀數淇℃斂鍔″栫綉鑲瀹氫細鎴愪負鏀垮簻鏈烘瀯鍜屼紒浜嬩笟鍗曚綅淇℃伅鍖栧緩璁劇殑蹇呰侀夋嫨銆