政务外网网络安全吗

‘壹’ 为保证政府政务网安全,采取了哪些防范措施

电子政务网建设原则

为达到电子政务网络的目标要求，华为公司建议在电子政务建设过程中坚持以下建网原则：从政府的需求出发，建设高安全、高可靠、可管理的电子政务体系!

统一的网络规划

建议电于政务的建设按照国家信息化领导小组的统一部署，制定总体的网络规划，分层推进，分步实施，避免重复建设。

完善的安全体系

网络安全核心理念在于技术与管理并重。建议遵循信息安全管理标准－ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。

严格的设备选型

在电子政务网建设的过程中，网络设备选择除了要考虑满足业务的需求和发展、技术的可实施性等因素之外，同时为了杜绝网络后门的出现，在满足功能、性能要求的前提下，建议优先选用具备自主知识产权的国内民族厂商产品，从设备选型上保证电子政务网络的安全性。

集成的信息管理

信息管理的核心理念是统一管理，分散控制。制定IT的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。

电子政务网体系架构

《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是传送涉密政务信息，所以为保证党政核心机密的安全性，内网必须与外网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务，外网与互联网之间逻辑隔离。而从网络规模来说，政务内网和政务外网都可以按照局域网、城域网、广域网的模式进行建设；从网络层次来说，内网和外网也可以按照骨干层、汇聚层和接入层的模式有规划地进行建设。

图1：电子政务网络的体系架构

根据电子政务设计思想及应用需求，鉴于政府各部门的特殊安全性要求，严格遵循《国家信息化领导小组关于我国电子政务建设的指导意见》，在电子政务内、外网在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，网络的构建实施如下分配：

图2：电子政务内、外网逻辑层次

互联支撑层是电子政务网络的基础，由网络中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；

安全保障系统是指通过认证、加密、权限控制等技术对电子政务网上的用户访问及数据实施安全保障的监控系统，它与互联支撑层相对独立，由网络中心与各部门单位共同规划，分布构建。

业务应用层就是在安全互联的基础上实施政务网的各种应用，由网络中心与各系统单位统一规划，分别实施。

华为公司电子政务解决方案的核心理念

全面的网络安全

建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面，华为公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证；在设备层面，华为公司自主开发的系列化路由器、交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。

针对于政府系统的网络华为公司提供了i3安全三维度端到端集成安全体系架构，在该架构中，除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视角，具备全面考虑与实施安全防护的模型与能力。

图3：华为公司i3 安全 三维度端到端集成安全体系架构

（1）华为公司i3安全三维度端到端集成安全体系架构

i－intelligence(智能)，integrated(集成)，indiviality(个性化)；
3－时间、空间及网络层次三个维度的端到端( End to End)；
安全－所有IP信息网络的安全架构。

（2）网络层次(网络层、用户层、业务层)端到端安全理念

网络的各层次均存在安全威胁的可能，华为的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。

网络层：保障网络路由、网络设备等基础网络的安全；
用户接入层：确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全；
业务层：保证用户访问内容的合法性与安全性。
华为公司的i3安全集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。

（3）时间(事前、事后)端到端安全理念

以前政府行业更关注网络的事前防范能力，往往在网络的用户认证、入侵检测、防DOS攻击、防火墙等方面投入力量较多，对事后跟踪能力实施的有效措施不多。而在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别：

事前防范：主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性；
事后跟踪：华为公司的“i3安全”架构提供在网络级做日志记录的能力，通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。
（4）空间(外网、内网)端到端安全理念

外网：通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范；
内网：通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。
目前政府内网即涉秘网、政府外网即办公专网，两张网按照17号文件要求严格的物理隔离分别进行建设，保证政府网络的安全。

华为公司三纬度集成安全架构提供端到端集成安全服务：

图4：华为公司i3安全三维度端到端集成安全体系架构

随着政府网络网上应用的进一步增多，随着网络进一步深入人们的生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而政府网络的安全防护作为一个系统工程，只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。

完善的端到端的可靠性

网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。可靠性一般通过设备本身的可靠性和组网设计的可靠性来实现。包括以下内容：

（1）设备可靠性

华为公司的全系列数据产品均采用电信级的可靠性设计。华为公司高端路由器和交换机产品采用分布式体系结构，不存在单点故障；采用无源背板，支持真正热插拔、热备份，同时设备的交换网络、路由处理系统等所有关键部件采用冗余热备份设计，能充分满足电子政务网络对设备高可靠性的要求。

（2）组网设计的可靠性

在控制投资的前提下，在电子政务网络的部分省地骨干节点，可采取VRRP双机备份方式或采取RPR方式进行环网自愈保护，接入骨干传输网的链路可采取双归链路设计或采取RPR方式进行环网自愈保护，从组网角度避免单点故障。

另外，可采用备份中心技术，为路由器上的任意接口提供备份接口；路由器上的任一接口可以作为其它接口(或逻辑链路)的备份接口；可对接口上的某条逻辑链路提供备份。

通过灵活的备份机制及完善的技术，可以充分利用备份资源，确保网络互联互通的可靠性。

简单高效的维护和管理

政府网络信息点数量众多，而且较为稠密，所以网络设备数量众多，特别是接入最终用户的楼层交换机。华为公司的网络管理系统在支持全网设备统一管理、实现拓扑管理、图形化操作界面、实时声光报警、中文操作系统的同时，利用华为组管理协议HGMP可以实现对数量庞大的楼层交换机的动态发现、动态拓扑生成、自动配置的功能，降低网络管理人员的工作量，提高效率。

丰富的业务承载能力

政府信息化的一个重要特点是以业务牵引网络需求，应用不断更新，对网络设备的需求不断提高，在这样的一个动态网络中，网络设备本身的业务承载能力就显得非常重要。因此，华为公司提出了第5代基于网络处理器技术，可以保证在后续新增业务对网络平台有特殊要求时，实现快速定制、快速支持，保证对网络设备投资的连续性。

利用MPLS VPN表现出强大的扩展性和前所未见的高性能，电子政务网可任由业务的增长和变化，网络可以平滑地扩充和升级，可最大程度的减少对网络架构和设备的调整。作为少数能提供整网MPLS技术的厂家，华为公司致力于为政府提供基于先进的MPLS VPN技术的数据、语音和视讯的三网合一技术。

‘贰’ 国家安全监管总局网络运行和信息安全保密管理办法的网络安全管理

10.各单位网络和信息系统建设必须按照国家非涉密信息系统等级保护和涉密信息系统分级保护的要求，进行定级、建设和管理，并根据防护等级采取相应的安全防护措施。
11.涉密内网的计算机必须按照国家保密部门的规定加装安全技术防护设备，统一配备专用移动存储介质。
12.接入内网的计算机必须实行严格的物理隔离，不得直接或间接地与总局政务外网(或互联网)联接；凡访问总局政务外网的，必须安装客户端管理软件；未经审批，禁止在涉密网络上使用笔记本电脑。
13.各省局信息安全保密管理部门负责本单位行政管理范围内接入总局政务外网的管理。需要接入总局政务外网的，应经省局信息安全保密管理部门审核同意并报总局办公厅备案后，方可由网络运行维护管理部门组织实施；未经同意，任何单位和个人不得擅自将任何设备接入总局政务外网。
14.总局政务外网的网络安全防范措施和安全管理应当遵循统一的建设方案和安全策略，未经总局办公厅批准，各单位不得改变总局政务外网的网络安全系统结构和部署方式。各级网络运行维护管理部门对各类安全设备进行安全规则的添加、修改、删除等操作，必须符合统一的安全策略要求，并报总局通信信息中心审核后方可实施。总局通信信息中心负责对总局政务外网各级节点安全系统的部署、安全规则的配置情况进行检查，检查结果报总局办公厅，同时通报相关单位网络运行维护管理部门进行整改。
15.凡在总局政务外网或互联网使用过的计算机转到内网使用前，必须将硬盘彻底格式化，重新安装操作系统和应用软件；凡在内网使用过的计算机转到总局政务外网或互联网使用前，必须更换硬盘，并将原硬盘按规定上缴信息安全保密管理部门保管或销毁。
16.严禁将内网与总局政务外网(或互联网)直接相连。严禁在内网与总局政务外网（或互联网）间交叉使用移动存储设备。
17.涉密计算机不得使用蓝牙、红外和无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备。
18.重要涉密岗位的办公场所中所使用的总局政务外网（或互联网）计算机不得安装麦克风、摄像头等音频、视频采集设备。

‘叁’ 什么是政务内网、政务专网和政务外网

从文件的解读可以看出，政务内网的联网范围不可能延伸到乡镇这一级政府，且不可能与外网交换信息，因此副省级以下城市中，党政机关业务流转和信 息处理的主要平台一般部署在外网。就外网而言，虽然联网范围可以很大，但由于与国际互联网之间通过一定的网络安全设备逻辑隔离，随着电子政务应用的不断发 展，需要打开越来越多的网络设备端口，从而降低了安全性，让越来越多的政务部门不敢用其承载业务流程和信息处理。基于上述考虑，在国家规定的两个网络基础上，增加了政务专网，从而构筑了以“三网”为基本架构的电子政务网络平台：即政务内网、政务专网和政务外网。
政务内网是涉密的党政机关办公业务网络，与国际互联网物理隔离，在满足工作需求的前提下，覆盖范围尽可能少，对上与国家电子政务内网互联。
政务专网是党政机关的非涉密内部办公网，主要用于机关非涉密公文、信息的传递和业务流转，它与外网之间不是通过传统的防火墙来隔离，而是通过网 闸，仅以数据“摆渡”方式交换信息(网闸的HTTP、FTP、SMTP等通用协议全部关闭或不提供这些协议支持)，以便实现公共服务与内部业务流转的衔 接。由于“摆渡”方式并不能使专网与国际互联网连接，因此，专网基本不受国际互联网不安全因素的威胁，具有较高的安全性。另外，政务专网不是涉密网，又可 实现广泛的内部互联，还可与外网实现安全信息交换。因此，政务专网完全能够作为不涉及国家秘密的内部业务流转和信息处理的主要平台，并形成公共服务的外网 受理、内(专)网办理、外网反馈的闭环机制。
政务外网是政府对外服务的业务专网，与国际互联网通过防火墙逻辑隔离，主要用于机关访问国际互联网，发布政府公开信息，受理、反馈公众请求和运 行安全级别不需要在政务专网运营的业务。目前青岛市建设的政府公众信息网和政府门户网都属于这一范畴。但从严格意义上说，政府门户网又与政务外网有所区 别。政府门户网是建立在互联网平台上的各级政务机关面向社会开展服务的电子政务窗口，它以政务外网信息资源为支撑并整合了各级政务部门的公众信息资源，推 进政务公开，扩大服务范围和对外宣传，开展政府与公众的沟通和交流，是政务信息服务的枢纽和接受社会监督的窗口，其主要作用是对外发布政务信息。

‘肆’ 鐢典俊鏀垮姟澶栫绣鏄浠涔堟剰镐濓纻

鐢典俊鏀垮姟澶栫绣鏄鎸囦负鏀垮簻链烘瀯鍜屼紒浜嬩笟鍗曚綅涓挞棬寤鸿剧殑涓绉崭俊鎭缃戠粶銆傝繖绉岖绣缁滀笌浜掕仈缃戜笉钖岋纴涓昏佹槸涓烘敛搴沧満鏋勫拰浼佷簨涓氩崟浣嶆挳钖埚嚭鍙ｆ彁渚涙洿浼樿川銆佹洿瀹夊叏銆佹洿绋冲畾镄勭绣缁沧湇锷°傚緢澶氭敛搴沧満鏋勫拰浼佷簨涓氩崟浣嶅湪缃戠粶搴旂敤鏂归溃链変竴浜涚壒娈婇渶姹傦纴渚嫔傛敛锷″姙鍏銆佺数瀛愭。妗堛佸叕鏂囦紶杈撱佽嗛戜细璁銆佺绣缁沧煡璇㈢瓑锛岀数淇℃敛锷″栫绣灏辨槸涓轰简婊¤冻杩欎簺闇姹傝岀敓镄勶纴鍏惰繍钀ュ己璋幂殑鏄鏁版嵁镄勪缭瀵嗘с佸畬鏁存у拰鍙闱犳э纴鍙璋撴槸涓绉嶉珮淇濈湡镄勭绣缁滃舰寮忋
鐢典俊鏀垮姟澶栫绣瀵逛簬鏀垮簻链烘瀯鍜屼紒浜嬩笟鍗曚綅淇℃伅鍖栧缓璁捐呖鍏抽吨瑕侊纴锲犱负瀹冭兘澶熸弧瓒宠繖浜涙満鏋勫拰鍗曚綅镄勭壒娈婇渶姹伞傚湪褰扑粖淇℃伅镞朵唬锛屾敛搴沧満鏋勫拰浼佷簨涓氩崟浣嶅緢澶т竴閮ㄥ垎宸ヤ綔閮芥秹鍙婂埌淇℃伅镄勫勭悊鍜屼紶杈掳纴濡傛灉淇℃伅镞犳硶寰楀埌链夋晥镄勪缭鎶わ纴灏嗕细阃犳垚闱炲父澶х殑瀹夊叏闅愭偅銆傝岀数淇℃敛锷″栫绣姝ｆ槸涓轰简瑙ｅ喅杩欎竴闂棰樿屽缓璁剧殑锛屽彲浠ヨ╂満鏋勫拰鍗曚綅镟村姞瀹夊叏鍦颁娇鐢ㄧ绣缁滐纴链夋晥鎻愰珮宸ヤ綔鏁堢巼銆
闅忕潃绉戞妧镄勪笉鏂杩涙ワ纴鐢典俊鏀垮姟澶栫绣镄勫彂灞曚篃镞ヨ秼鎴愮啛銆傛湭𨱒ョ数淇℃敛锷″栫绣灏嗕细镟村姞鏅鸿兘鍖栥佸畨鍏ㄥ寲銆佷究鎹峰寲锛屼粠钥屼负鏀垮簻链烘瀯鍜屼紒浜嬩笟鍗曚綅镄勪俊鎭鍖栧缓璁炬彁渚涙洿锷犲畬锽勭殑链嶅姟銆傛ゅ栵纴鐢典俊鏀垮姟澶栫绣杩桦皢杈愬皠鍒版洿澶氱殑棰嗗烟锛屼緥濡傞噾铻嶃佸尰鐤椼佺墿娴佺瓑锛屼负鏁翠釜绀句细镄勪俊鎭鍖栧彂灞曟敞鍏ュ己澶х殑锷ㄥ姏銆傚彲浠ラ勮侊纴鍦ㄤ笉涔呯殑灏嗘潵锛岀数淇℃敛锷″栫绣镶瀹氢细鎴愪负鏀垮簻链烘瀯鍜屼紒浜嬩笟鍗曚綅淇℃伅鍖栧缓璁剧殑蹇呰侀夋嫨銆