国家电子政务外网安全系统建设概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
22
安全域划分示意图
23
安全保护等级要求
最低安全保护等级要求; 对于网络的安全保护按照如下等级要求进行:
¾ 中央网络管理中心局域网、中央城域网接入单位 的网络管理中心局域网和各省市节点的二级网络 管理中心局域网, 至少达到第三级(监督保护 级);
¾ 中央城域网接入节点单位和各省市的网络,至少 达到第二级(指导保护级)。
¾ 中央节点网络安全防护体系 ¾ 安全管理平台 ¾ 网络信任体系
18
安全保障体系架构
安全保障体系
网络信任体系
基 于 桥
CA 的 互 联 互 通
PKI/
CA 证 书 管 理 系 统
密 码 服 务 管 理 体 系
密 钥 管 理 服 务 体 系
网络安全防护体系
物 传系应 管 理 输统用 理 层 层层层 层 安 安安安 安 全 全全全 全
24
安全域等级防护设计
25
政务外网防护措施
■ 防火墙系统 ■ 网络入侵检测系统 ■ 抗拒绝服务系统 ■ 防病毒网关 ■ VPN网关 ■ 安全认证网关 ■ 网管中心主机加固
26
政务外网安全管理平台
27
安全管理平台建设目标
通过国家级政务外网安全管理中心、省级政务外网
安全管理中心、地市(县)级政务外网安全管理中心三
级结构的方式,对国家电子政务外网实施安全集中管理
,主要提供对如下信息的集中管理和控制:
¾ 网络安全防护系统
¾ 应用系统
¾ 网络管理系统
¾ 下级安全管理平台
¾ 综合审计系统
¾ 策略管理系统
¾ 管理子系统
¾ 安全控制
28
安全管理平台架构
29
安全管理平台功能
1)安全预警管理 预警系统让国家电子政务外网在安全风险影响 运作前实施有效的安全策略从而达到提前保护 自己的作用。
¾建成政务外网网络安全防护体系、网络 信任体系、安全管理体系和统一的技术 标准规范体系,保障电子政务外网的安 全可靠运行与有效的应用。
17
一期工程建设内容
安全策略与管理制度建设 ¾ 制定统一的外网安全管理组织与策略 ¾ 建立全网安全事件的预防、监控、备份、处理 与恢复联动机制
标准规范建设 技术平台建设
资源库的运行,支持跨部门、跨地区的信息资源共 享和交换。
5
党委 政府 人大 政协 高检 高法
中央各部委
部委内部网络
国家政务外网管理中心
服务器
特殊个人用户
省级政务外网管理中心
省政府及委办厅局 服务器
市级政务外网管理中心
市政府及委办厅局
服务器
县级政务外网管理中心
县政府及委办厅局
服务器
一级网 二级网 三级网
[2004]2412号、[2005]1306号、[2005]1534号)。
项目建议书确定国家信息中心为中央投资部分工程 的承建单位。
4
定位
是服务于党委、人大、政府、政协、法院和检察院 的政务公用网络,
覆盖中央、省、地、县四级政务部门, 主要满足各级政务部门社会管理、公共服务等面向
社会服务的需要, 支持电子政务业务系统和国家战略性、基础性信息
国家根CA
国家商务根CA
国家政务根CA
国家政务外网CA
国家政务内网CA
北地京方市CCAA
浙 部江委省CCAA
劳动地部方北京R市ARA
部委RA
36
信任体系一期工程中央节点建设内容
顶层认证中心(外网 CA)
密钥管理中心(KMC)
运行CA
部委证书审核注册中心(RA)
部委证书审核注册中心(RA)
37
使用外网CA的部委
8
建设内容
统一的网络平台
政务外网 广域骨干网
中央城域网
省市 政务外网
网管中心
统一的系统支撑平台
外网 数据中心
外网信息资源 目录体系
面向业务协同 的支撑环境
外网门户
统一的安全保障体系
安全策略和 管理制度
政务外网网络 安全防护体系
政务外网 信任体系
政务外网 安全管理平台
统一的服务体系
网络管理
数据管理 与信息交换
6
管理体制
中办发[2006]18号文件确定国务院信息化 工作办公室会同国家发展改革委员会负 责统筹协调政务外网的管理。
7
建设目标
依托统一的国家电子政务通信传输网 络,整合建设电子政务外网,支持电子 政务业务系统的运行,支持跨部门、跨 地区的信息资源共享,支持电子政务业 务的互联互通和信息交换,促进政府监 管能力和服务水平的提高。
信息安全基础设施
安全服务体系
安安安安 全全全全 咨评加培 询估固训
安全策略
安全管理体系
管理制度
法律法规
技术标准
19
政务外网一期工程网络安全防护建设目标
1)实现国家电子政务外网与互联网的逻辑隔离; 2)国家电子政务外网中央网络管理中心不因拒绝
服务攻击而瘫痪; 3)保护国家电子政务外网中央网络管理中心不因
国家监察部(中纪委) 国务院扶贫办 国家劳动与社会保障部 金宏工程 国家计划生育委员会 自然资源与空间地理信息数据库
38
谢谢
2)安全监控管理 实时监控国家电子政务外网的安全态势,实时 监控整个信息网络中发生了哪些攻击,出现了 什么异常,每台主机存在什么漏洞以及产生了 哪些危险日志等等,并为其他安全子系统提供 及时、准确的信息。
30
3)安全防护与响应管理 提供多种报警方式,如 警灯报警、窗口报警、
邮件报警报警,然后将日志保存本地数据库或者异 地数据库中。 此外,安全防护和响应还能根据报警 信息为管理员提供帮助。 4)安全追踪管理
病毒和恶意代码而导致瘫痪和信息泄露; 4)保证部委合法移动用户接入国家电子政务外网
和数据传输的安全的安全
20
网络安全防护体系
21
划分网络安全域
各节点的局域网构成相对独立的安全域: ¾ 中央网络管理中心局域网; ¾ 中央城域网接入节点单位; ¾ 各省市节点的二级网络管理中心局域网; ¾ 中央城域网接入节点单位; ¾ 各省市节点的各自的接入网络。
安全事件的取证管理和安全事件的追踪管理
31
安全管理平台组件设计
32
安全管理平台管理范围
中央城域网及部委接入部分的安全设备 广域网中央接入以及省级节点接入部分的安全设备 主要网络设备和网络承载的业务系统的安全事件。
33
安全管理平台管理范围
政务外网信任体系
34
外网信任体系建设目标
根据国家相关文件要求,政务外网信任体系包括 身份认证、授权管理和责任认定三个部分;
11
外网一期第一阶段组网图
12
政务外网业务承载区( “2+n”架构)
VPN VPN
共用网络平台区。政务外 网承载业务的主体Fra Baidu bibliotek域。 原则上各部门的业务应用 均部署在此区域内。该区 域与互联网无连接,安全 性较高。
互联网VPN区。采用VPN 技术,把需要与互联网互 访的所有业务独立封闭在 一个单独的VPN区域内, 该区域与互联网通过防火 墙等措施进行逻辑隔离。
政
务
网络管理
外
网 管
安全与认证
理
中
呼叫中心
心
政务资源目录体系
存储与备份
…... 中央部门2
中央部门N
中央门 户网站
公众用户
安
安
国家电子政务 外网网络
全 外网 全
隔 离
门户 隔
离
互联网
企业
公务员
…... 地方政务外网1
地方政务外网M
政府部门
地方部门1
地方部门2 地方部门N
地方部门1 地方部门2
地方部门N
专用VPN业务区。用于因 业务工作需要设置的多(n )个纵向或横向VPN,主 要提供通道级服务。
专 用
共 用 网
互 联
络
网
业
平
务
台
政务外网
13
互联网
建设现状
建成连接31个省(自治区、直辖市)和新疆生产建设兵团
的广域骨干网 ,建立了中央网管中心,初步具备了承载
网络应用的能力; 建成可连接党委、人大、政府、政协、法院和检察院在京
劳动和社会保障部、国务院扶贫办、农业部、人事部等部门 已经接入政务外网;
国家自然资源和地理空问基础信息库、国家应急保障系统采 用外网;
外网CA建成己为“纠风之窗”发政务电子证书;
15
二、国家电子政务外网安全保障体系建设
16
建设目标
电子政务外网安全保障体系一期建设的主要目标 是:
安全管理
客户服务
9
建设规模
一期工程分两个阶段进行。 第一阶段,将首先横向连接16个中央单位,纵向联接31个省、自治区、直
辖市和新疆生产建设兵团。 第二阶段,将横向再连接党委、人大、政府、政协、法院和检察院中央各
单位,纵向开展向地市延伸。
10
政务外网总体功能结构示意图
中央部门1
数据交换
一期工程建设外网信任体系的组织管理系统和身 份认证技术平台,提供电子政务认证服务;
二期工程考虑授权管理和责任认定问题; 外网信任体系的组织管理系统是在全国每个省建
本地外网网络信任中心,为本地外网政务应用提 供信任服务; 身份认证技术平台采用PKI/CA技术。
35
外网CA在国家CA体系中的位置
国家电子政务外网一期工程 安全系统建设概述
国家信息中心 国家电子政务外网工程建设办公室
吴亚非
2007 年 04 月
国家电子政务外网一期工程概况 国家电子政务外网安全保障体系建设
2
一、国家电子政务外网一期工程概况
3
政务外网建设依据
国家电子政务外网是《中共中央办公厅、国务院 办公厅关于转发〈国家信息化领导小组关于我国电 子政务建设的指导意见〉的通知》(中办发 [2002]17号)确定的我国电子政务建设重点任务。 国家发展改革委批复的项目建议书、可行性研究报 告、初步设计和投资概算(发改高技 [2004]2135号、
部委的中央城域网 ; 近三分之二省级政务外网已经建成或正在建设,部分省级
外网已经覆盖到县,并利用政务外网进行网上办事和在线 处理等服务。 。
14
建设现状
2006年12月30日,中纪委、国家监察部在京召开“纠风之窗” 网站开通仪式,宣布利用国家政务外网网络作为传输平台的 “纠风之窗”网站正式开通;
安全域划分示意图
23
安全保护等级要求
最低安全保护等级要求; 对于网络的安全保护按照如下等级要求进行:
¾ 中央网络管理中心局域网、中央城域网接入单位 的网络管理中心局域网和各省市节点的二级网络 管理中心局域网, 至少达到第三级(监督保护 级);
¾ 中央城域网接入节点单位和各省市的网络,至少 达到第二级(指导保护级)。
¾ 中央节点网络安全防护体系 ¾ 安全管理平台 ¾ 网络信任体系
18
安全保障体系架构
安全保障体系
网络信任体系
基 于 桥
CA 的 互 联 互 通
PKI/
CA 证 书 管 理 系 统
密 码 服 务 管 理 体 系
密 钥 管 理 服 务 体 系
网络安全防护体系
物 传系应 管 理 输统用 理 层 层层层 层 安 安安安 安 全 全全全 全
24
安全域等级防护设计
25
政务外网防护措施
■ 防火墙系统 ■ 网络入侵检测系统 ■ 抗拒绝服务系统 ■ 防病毒网关 ■ VPN网关 ■ 安全认证网关 ■ 网管中心主机加固
26
政务外网安全管理平台
27
安全管理平台建设目标
通过国家级政务外网安全管理中心、省级政务外网
安全管理中心、地市(县)级政务外网安全管理中心三
级结构的方式,对国家电子政务外网实施安全集中管理
,主要提供对如下信息的集中管理和控制:
¾ 网络安全防护系统
¾ 应用系统
¾ 网络管理系统
¾ 下级安全管理平台
¾ 综合审计系统
¾ 策略管理系统
¾ 管理子系统
¾ 安全控制
28
安全管理平台架构
29
安全管理平台功能
1)安全预警管理 预警系统让国家电子政务外网在安全风险影响 运作前实施有效的安全策略从而达到提前保护 自己的作用。
¾建成政务外网网络安全防护体系、网络 信任体系、安全管理体系和统一的技术 标准规范体系,保障电子政务外网的安 全可靠运行与有效的应用。
17
一期工程建设内容
安全策略与管理制度建设 ¾ 制定统一的外网安全管理组织与策略 ¾ 建立全网安全事件的预防、监控、备份、处理 与恢复联动机制
标准规范建设 技术平台建设
资源库的运行,支持跨部门、跨地区的信息资源共 享和交换。
5
党委 政府 人大 政协 高检 高法
中央各部委
部委内部网络
国家政务外网管理中心
服务器
特殊个人用户
省级政务外网管理中心
省政府及委办厅局 服务器
市级政务外网管理中心
市政府及委办厅局
服务器
县级政务外网管理中心
县政府及委办厅局
服务器
一级网 二级网 三级网
[2004]2412号、[2005]1306号、[2005]1534号)。
项目建议书确定国家信息中心为中央投资部分工程 的承建单位。
4
定位
是服务于党委、人大、政府、政协、法院和检察院 的政务公用网络,
覆盖中央、省、地、县四级政务部门, 主要满足各级政务部门社会管理、公共服务等面向
社会服务的需要, 支持电子政务业务系统和国家战略性、基础性信息
国家根CA
国家商务根CA
国家政务根CA
国家政务外网CA
国家政务内网CA
北地京方市CCAA
浙 部江委省CCAA
劳动地部方北京R市ARA
部委RA
36
信任体系一期工程中央节点建设内容
顶层认证中心(外网 CA)
密钥管理中心(KMC)
运行CA
部委证书审核注册中心(RA)
部委证书审核注册中心(RA)
37
使用外网CA的部委
8
建设内容
统一的网络平台
政务外网 广域骨干网
中央城域网
省市 政务外网
网管中心
统一的系统支撑平台
外网 数据中心
外网信息资源 目录体系
面向业务协同 的支撑环境
外网门户
统一的安全保障体系
安全策略和 管理制度
政务外网网络 安全防护体系
政务外网 信任体系
政务外网 安全管理平台
统一的服务体系
网络管理
数据管理 与信息交换
6
管理体制
中办发[2006]18号文件确定国务院信息化 工作办公室会同国家发展改革委员会负 责统筹协调政务外网的管理。
7
建设目标
依托统一的国家电子政务通信传输网 络,整合建设电子政务外网,支持电子 政务业务系统的运行,支持跨部门、跨 地区的信息资源共享,支持电子政务业 务的互联互通和信息交换,促进政府监 管能力和服务水平的提高。
信息安全基础设施
安全服务体系
安安安安 全全全全 咨评加培 询估固训
安全策略
安全管理体系
管理制度
法律法规
技术标准
19
政务外网一期工程网络安全防护建设目标
1)实现国家电子政务外网与互联网的逻辑隔离; 2)国家电子政务外网中央网络管理中心不因拒绝
服务攻击而瘫痪; 3)保护国家电子政务外网中央网络管理中心不因
国家监察部(中纪委) 国务院扶贫办 国家劳动与社会保障部 金宏工程 国家计划生育委员会 自然资源与空间地理信息数据库
38
谢谢
2)安全监控管理 实时监控国家电子政务外网的安全态势,实时 监控整个信息网络中发生了哪些攻击,出现了 什么异常,每台主机存在什么漏洞以及产生了 哪些危险日志等等,并为其他安全子系统提供 及时、准确的信息。
30
3)安全防护与响应管理 提供多种报警方式,如 警灯报警、窗口报警、
邮件报警报警,然后将日志保存本地数据库或者异 地数据库中。 此外,安全防护和响应还能根据报警 信息为管理员提供帮助。 4)安全追踪管理
病毒和恶意代码而导致瘫痪和信息泄露; 4)保证部委合法移动用户接入国家电子政务外网
和数据传输的安全的安全
20
网络安全防护体系
21
划分网络安全域
各节点的局域网构成相对独立的安全域: ¾ 中央网络管理中心局域网; ¾ 中央城域网接入节点单位; ¾ 各省市节点的二级网络管理中心局域网; ¾ 中央城域网接入节点单位; ¾ 各省市节点的各自的接入网络。
安全事件的取证管理和安全事件的追踪管理
31
安全管理平台组件设计
32
安全管理平台管理范围
中央城域网及部委接入部分的安全设备 广域网中央接入以及省级节点接入部分的安全设备 主要网络设备和网络承载的业务系统的安全事件。
33
安全管理平台管理范围
政务外网信任体系
34
外网信任体系建设目标
根据国家相关文件要求,政务外网信任体系包括 身份认证、授权管理和责任认定三个部分;
11
外网一期第一阶段组网图
12
政务外网业务承载区( “2+n”架构)
VPN VPN
共用网络平台区。政务外 网承载业务的主体Fra Baidu bibliotek域。 原则上各部门的业务应用 均部署在此区域内。该区 域与互联网无连接,安全 性较高。
互联网VPN区。采用VPN 技术,把需要与互联网互 访的所有业务独立封闭在 一个单独的VPN区域内, 该区域与互联网通过防火 墙等措施进行逻辑隔离。
政
务
网络管理
外
网 管
安全与认证
理
中
呼叫中心
心
政务资源目录体系
存储与备份
…... 中央部门2
中央部门N
中央门 户网站
公众用户
安
安
国家电子政务 外网网络
全 外网 全
隔 离
门户 隔
离
互联网
企业
公务员
…... 地方政务外网1
地方政务外网M
政府部门
地方部门1
地方部门2 地方部门N
地方部门1 地方部门2
地方部门N
专用VPN业务区。用于因 业务工作需要设置的多(n )个纵向或横向VPN,主 要提供通道级服务。
专 用
共 用 网
互 联
络
网
业
平
务
台
政务外网
13
互联网
建设现状
建成连接31个省(自治区、直辖市)和新疆生产建设兵团
的广域骨干网 ,建立了中央网管中心,初步具备了承载
网络应用的能力; 建成可连接党委、人大、政府、政协、法院和检察院在京
劳动和社会保障部、国务院扶贫办、农业部、人事部等部门 已经接入政务外网;
国家自然资源和地理空问基础信息库、国家应急保障系统采 用外网;
外网CA建成己为“纠风之窗”发政务电子证书;
15
二、国家电子政务外网安全保障体系建设
16
建设目标
电子政务外网安全保障体系一期建设的主要目标 是:
安全管理
客户服务
9
建设规模
一期工程分两个阶段进行。 第一阶段,将首先横向连接16个中央单位,纵向联接31个省、自治区、直
辖市和新疆生产建设兵团。 第二阶段,将横向再连接党委、人大、政府、政协、法院和检察院中央各
单位,纵向开展向地市延伸。
10
政务外网总体功能结构示意图
中央部门1
数据交换
一期工程建设外网信任体系的组织管理系统和身 份认证技术平台,提供电子政务认证服务;
二期工程考虑授权管理和责任认定问题; 外网信任体系的组织管理系统是在全国每个省建
本地外网网络信任中心,为本地外网政务应用提 供信任服务; 身份认证技术平台采用PKI/CA技术。
35
外网CA在国家CA体系中的位置
国家电子政务外网一期工程 安全系统建设概述
国家信息中心 国家电子政务外网工程建设办公室
吴亚非
2007 年 04 月
国家电子政务外网一期工程概况 国家电子政务外网安全保障体系建设
2
一、国家电子政务外网一期工程概况
3
政务外网建设依据
国家电子政务外网是《中共中央办公厅、国务院 办公厅关于转发〈国家信息化领导小组关于我国电 子政务建设的指导意见〉的通知》(中办发 [2002]17号)确定的我国电子政务建设重点任务。 国家发展改革委批复的项目建议书、可行性研究报 告、初步设计和投资概算(发改高技 [2004]2135号、
部委的中央城域网 ; 近三分之二省级政务外网已经建成或正在建设,部分省级
外网已经覆盖到县,并利用政务外网进行网上办事和在线 处理等服务。 。
14
建设现状
2006年12月30日,中纪委、国家监察部在京召开“纠风之窗” 网站开通仪式,宣布利用国家政务外网网络作为传输平台的 “纠风之窗”网站正式开通;