电子政务外网信息安全建设培训

分区防护
–接入部分安全域 部署边界防火墙、 网闸、防病毒
–汇聚部分安全域 外网防火墙、认 证网关、抗DOS、 垃圾邮件过滤 MPLS VPN、 IPSec
–核心部分安全域 核心防火墙、入 侵检测、漏洞扫 描、防病毒、数 据库加密、主机 管理与审计
相关安全策略
– 路由器安全配置策略 – 交换机安全配置策略 – 边界防火墙安全策略 – 核心防火墙安全策略 – 物理隔离网闸数据交换摆渡策略 – 病毒检查与病毒库更新策略 – 漏洞扫描策略 – 抗DOS攻击策略
2、人员安全管理
– 信息安全人员基本要求； – 信息安全人员管理； – 信息安全人员职责范围； – 要害岗位人员管理； – 要害岗位安全责任； – 第三方人员管理； – 培训与教育等方面内容 。
3、主要安全管理规章制度要点
– 《组织机构和人员职责管理办法》主要内 容：
– 信息安全管理机构设置和职责，关于网络安全，应 急处理，安全保卫等工作组的要求，网络安全人员基 本要求，网络安全人员管理，网络安全人员职责范围， 要害岗位安全责任，培训与教育等。
办公需要的统一网络基础平台 ； – 是国家电子政务外网的组成部分。
2、依据
1.《关于加强信息安全保障工作的意见》，中办发[2003]27 号文件； 2.《电子政务信息安全等级保护实施指南（试用）》，国信 办； 3.《计算机信息系统保密管理暂行规定》，国家保密局； 4. 《湖北省电子政务建设规划纲要》 ； 5.《湖北省电子政务建设总体设计与实施方案》 。
数据与应用安全－－应用安全
–身份鉴别； –访问授权及控制； –安全审计； –抗抵赖； –软件容错； –资源控制（应用流量管理）； –代码安全。
数据与应用安全－－数据安全
–数据完整性（防篡改） –数据保密性（数据库加密） –数据备份和恢复（存储备份） –异地容灾
管理安全
–管理机构； –安全人员及责任； –管理制度； –管理技术手段－综合安全管理平台； –审计管理； –安全服务。
百兆防火墙物理连接示意图
千兆防火墙物理连接示意图
省电子政务网
网闸接入－方式1
– 直接隔离方式
允许访问
前置服务器
中网网闸
允许摆渡
禁止访问 和摆渡
– 将本次新建内部网络与省政 务网进行隔离；
– 隔离两个不同安全级别的网 络，在两个网络之间设置数 据摆渡交换通道。
接入单位内部局域网交换机
网闸接入方式一物理连接示意图
省电子 政务网
网闸接入－方式2
– 隔离内部服务器方式
前置服器。
允许单向数据摆渡
接入单位内部 局域网交换机
禁止访问
网闸
服务器
网闸接入方式二物理连接示意图
网络防病毒系统
– 分布式体系结构、 – 多级管理中心规划
– 病毒监控管理中心（系统中心）
控制台 控制
– 服务器端 – 客户端
厅局委办边界接入示意图
省电子政务网
允许访问
FE1
前置服务器
FE2
防火墙 FE3
禁止访问
允许访问
接入单位内部 局域网交换机
– 对于已建设内部局域网的厅 局委办采用NAT方式接入；
– 对于未建设内部局域网的厅 局委办采用路由方式接入。
通过在防火墙上设置相应的 访问控制策略来实现防护功能， 如：数据包过滤、禁止常见的病 毒端口、根据时间、源IP、服务 内容、协议进行访问控制等。
电子政务外网 信息安全建设培训
主题
一、信息安全整体设计思路及方案 二、一期工程建设及工作进展情况 三、对各接入单位的要求及注意事项
一、信息安全整体设计思路及方案
– 定位 – 依据 – 总体思路及方案
1、定位
– 非涉密的政务外网； – 与Internet逻辑隔离，与涉密网物理隔离； – 联接范围：省内县级以上党政机关； – 满足政务部门行政管理、公共服务、电子
3、总体安全建设思路
– 物理与线路传输安全 – 网络安全 – 主机与系统安全 – 数据与应用安全 – 管理安全
物理与线路传输安全
–物理位置的选择； –物理访问控制（门禁、监控）； –防盗窃和防破坏（铁门、铁窗、铁柜）； –防雷击（防雷系统）； –防火、防水和防潮、防静电、温湿度控制； –电力供应（UPS）； –电磁防护； –通信线路备份； –通信的完整性、保密性。
二、一期工程建设及工作进展情况
一期已部署的主要技术措施
– 防火墙、隔离网闸、入侵检测、防病毒、垃圾 邮件过滤、抗攻击、漏洞扫描、数据库加密、 安全认证网关、主机管理与审计系统、网络设 备管理；
– 数字证书系统（CA)。 – 实现直接目标：安全域的划分与隔离、检测入侵行
为、查杀各种病毒、过滤垃圾邮件、抵抗各类攻击、 扫描弱点漏洞、进行日志审计、身份能够认证、能够 防抵赖、数据加密传输、网络设备能够有效管理，从 而达到网络、设备、软件及应用系统能够安全稳定快 速可靠地不间断地运行和提供服务。
网络安全
–结构安全与网段划分（网络规划、域的划分）； –网络隔离与访问控制（防火墙、网闸、接入路由器）； –网络安全审计（网络行为监控）； –边界完整性检查（防非法外联监控）； –网络入侵防范（IDS）； –恶意攻击防范（防DOS）； –网络设备管护； –网络资源控制。
主机与系统安全
–身份鉴别（CA）； –访问控制（口令、IC卡）； –安全审计（日志）； –系统保护（内核加固）； –入侵防范（HIDS）； –恶意代码防范及防病毒。
查杀病毒 实时 自动 监控 升级
远程安装
服务器端
远程 网络 杀毒 管理 自动 远程 升级 报警
病毒监控管理中心
查杀病毒
客户端
网神G7 Cisco 7609
漏洞扫描系统
网神G7
– 配备了机架式和手持式漏洞扫描设备。
– 对网络设备（路由器、交换机等）， 安全设备（防火墙、网闸等）、主机 系统（Windows、Unix等），应用系 统（SQL Server、Oracle等）的漏洞 进行扫描评估。
– 已设定每周自动扫描 。
Cisco 7609
手持式漏扫
目前存在的主要问题
– 管理机构及制度不完善 – 没有明确安全管理责任人 – 机房环境较差 – 部分单位网络基础条件较为落后 – 安全防护技术手段欠缺
三、对接入单位的要求
1、明确信息安全管理机构
– 明确管理机构及人员人员组成； – 明确信息安全责任人； – 职能及责任定位。