电子政务内网建设解决方案

电子政务内网建设解决

方案

Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT

电子政务内网建设解决方案对于电子政务内网，政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网；安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑；电子政务专网应用既是安全保障平台的保护对象，又是电子政务内网实施电子政务的主体，它主要内部共享信息、内部受控信息等，这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上；电子政务管理制度体系是电子政务长期有效运行的保证。

电子政务内网系统构成

1）政务内网网络平台:电子政务内网建设，是依托电子政务专网、专线、VPN构造的电子政务内网网络。

2）电子政务内网应用:在安全支撑平台的作用下，基于安全电子政务内网网络平台，可以打造安全电子政务办公平台、安全政务信息共享平台。

3）安全支撑平台:安全支撑平台由安全系统组成，是电子政务内网信息系统运行的安全保障。

电子政务内网系统拓扑图

三级政务内网建议拓扑图

电子政务内网按照等保标准要求，进行安全域的划分。根据不同的划分原则，大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域，在实际的网络设计中，可以根据相关标准，按照实际需要进一步细分，如上图所示。

划分安全域的目标是针对不同的安全域采用不同的安全防护策略，既保证信息的安全访问，又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度，并且从方便实施的角度，将整个电子政务业务系统分为不同的安全子域区，便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护，即分域防控。

安全支撑平台的系统结构

电子政务安全支撑平台是电子政务系统运行的安全保障，由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备，通过分级安全服务和分域安全管理，实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，从而保证整个电子政务信息系统安全，最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图：电子政务安全支撑平台系统结构

安全支撑平台的系统配置

1、双归属：两台通过VRRP协议连接，互为冗余，保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

2、认证及地址管理系统－DCBI：DCBI可以完成基于主机的统一身份认证和全局地址管理功能。

1）基于主机的统一身份认证。终端系统通过安装认证客户端，在连接到内网之前，首先需要通过DCBI的身份认证，方能打开交换机端口，使用网络资源。

2）全局地址管理。

·根据政务网地址规模灵活划分地址池

·固定用户地址下发与永久绑定

·漫游用户地址下发与临时绑定、自动回收

·端口安全策略自动绑定。

·客户端地址获取方式无关性

3、全局安全管理系统－DCSM。DCSM是政务内网所有端系统的管理与控制中心，兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。

1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。

2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。

3) 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。

4)日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态提供依据。

其中：安全管理系统代理，可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：

1）提供、portal等多种认证方式，可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。

2）主机桌面安全防护，检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器，执行端点准入的判断与控制。

3）安全策略实施，接收认证服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。

4）实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。

5）实时监控终端用户的行为，实现用户上网行为可审计。

4、边界防火墙－DCFW

能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

对于广域网接入用户，能够对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。

5、统一威胁管理－UTM

UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN （IPSEC、PPTP、L2TP）网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审