第一篇:电子政务内网安全
电子政务内网网络安全设计方案
方案部署说明:
一、在网络出口处部署1台路由器,通过专线与国办网络连接。
二、在路由器的后端,部署1台密码机,对出入政务内网的所有数据进行加解密处理。
三、部署1台入侵检测系统,对各安全域进行监控,及时发现网络入侵行为,并向控制台传送报警信息和事件过程记录,做到事后有据可查。
四、通过1台高性能防火墙将网络划分成“应用服务区”、“安全支撑区”和“用户终端区”。首先在防火墙上配置终端用户区域全部禁止访问服务器区域,然后,根据用户区域需要访问的服务器区域应用系统,打开的端口和协议进行特定访问权限配置,包括:登录域需要使用的TCP/UDP端口,访问的目的地址集和源地址集等,病毒服务器的策略分发、升级、远程安装需要使用的TCP端口等。配置防火墙访问控制日志保存策略,配置防火墙安全管理员、用户管理员、审计管理员的用户权限和相应的密码。
五、“安全支撑区”主要部署防病毒系统(金山毒霸网络版)、域控制器、终端审计系统(中软)、违规外联监控系统(山谷)、内网安全管理系统(锐捷)、终端及服务器安全登录系统(北信源)和USB移动存储介质使用管理系统(国迈),该区域主要为整个涉密信息系统提供安全及管理的功能支撑。
六、“应用服务区”主要部署网站、电子邮件、文档和DNS等应用系统,为整个涉密信息系统提供应用支撑。
七、在每台涉密计算机上安装中软主机监控与审计系统客户端,对终端行为进行监控。它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段,对涉密信息的存储、传播和处理过程,实施安全保护;最大限度地防止敏感信息泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志,以便日后审计或追究相关的泄密责任。
八、部署1套国迈USB移动存储介质使用管理系统,对USB移动介质进行统一认证,实现信息保密、访问控制、审计等功能。用技术的手段,实现移动存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不脱。
九、在系统中部署1套山谷违规外联监控系统,防止涉密网计算机接入互联网,造成涉密信息泄露。
十、在系统中部署1套北信源终端服务器安全登录系统,能够实现对用户的身份鉴别,确保只有经过合法验证的终端用户才能使用服务器,具体采用USBKeyClient和USBKey相结合的方式。
十一、另外,配备启明星辰天镜脆弱性扫描与管理系统和金路标计算机终端保密检查工具各1套,定期对涉密信息系统内服务器和计算机终端进行安全隐患检查。
十二、新增50台天津光电聚能RBI-1型电磁泄漏防护插座和10台万里红WLH-2型视频干扰器,对不符合电磁泄漏发射防护要求的计算机及服务器进行安全防护。
第二篇:水务局电子政务内网自查报告
一、加强领导,落实管理
(一)加强领导,落实责任。一是建立健全领导小组,由“一把手”负总责,分管领导具体抓,政工股为责任股室,电子政务内网工作落实了专人负责,确立了应用操作专职人员对网络进行维护。二是把电子政务目标任务纳入机关工作目标考核,在年初分解落实到责任股室,确保了电子政务目标任务的完成。
(二)加强培训,提高水平。我局积极组织信息人员参加县委机要局和保密局举办的网络失泄密防范工作培训会和政务内网应用和信息培训会,着力提高了信息员和技术员的工作能力。
(三)保障经费,确保工作。我局针对党政网进行升级改造,对党政网电脑配置,网络管理,日常维护和保密工作费用进行实报实销,使经费得到保障。
二、狠抓应用,突显功能
(一)切实加强网上公共应用。积极配合县委机要局开展新公文交换系统的推广应用,按县委要求对公文的收发、pdf的制作、电子印章加盖、网上传输公文范围、公文管理的内容进行规范管理,完成县网管中心下达的目标任务。
(二)着力打造部门网站。一是积极开展创新特色栏目的建设,做好具有水务特色的“两脉畅流”网页信息的公布。二是规范网站基本栏目设置,着力搞好基本信息、动态信息、业务信息数据库存等内容的日常维护,及时更新单位动态工作信息,定期完善基本信息。
三、加强网络安全管理
(一)规范计算机物理网络接入。一是配合电信部门做好本单位的网络改造,实现了网络光纤接入。二是严格计算机网络端口接入,做到了电子政务内网与外网、互联网的物理隔离,有效阻止电子政务内外网违规外连的情况发生,实现了规范化、制度化管理。
(二)加强网络维护。一是坚持每日读网制度,加强网站日常巡查、读网、监测工作,发现错误及时更改。二是信息上载严格按照信息发布审核和保密审查制度,先审后发,有效杜绝不良和有害信息上网运行的情况。三是完善单位的设备的更新,全年设备、线路维护。
第三篇:电子政务内网管理员职责
电子政务内网管理员职责
为进一步推进办公信息化进程,规范电子政务的运行及管理,加强信息保密安全工作,保证上下信息渠道畅通,及时收发相关文件,了解国家、省市相关文件、会议精神,湘乡市电子政务管理中心与省市电子政务内网相配套,建立电子政务内网并实行专人管理。电子政务内网管理员职责如下:
1、负责全市电子政务内网设备的正常运行及维护,经常与上级电子政务内网相关部门和人员保持联系,维护好内网系统,确保电子政务内网畅通;
2、树立保密意识。严格按照国家、省市文件要求,安全妥善处理上级下发文件,确保信息安全。
3、根据全市各个单位的需要,妥善管理各个本单位内部用户的网络使用权限和范围。
4、负责对全市各个单位的组织用户进行维护。
5、负责对全市电子政务内网的所有业务处理权限角色进行维护。
6、负责对全市电子政务内网的所有系统基础权限角色进行维护。
7、按时参加上级部门有关电子政务网的培训,提高业务水平。
8、负责对全市基层单位的电子政务内网管理员的业务指导及业务培训。
9、承担领导交办的其它临时性工作。
第四篇:电子政务内网建设解决方案
电子政务内网建设解决方案
对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。
电子政务内网系统构成
1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。
2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。
电子政务内网系统拓扑图
三级政务内网建议拓扑图
电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。安全支撑平台的系统结构
电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:
电子政务安全支撑平台系统结构
安全支撑平台的系统配置
1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。
1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性
3、全局安全管理系统-DCSM。DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。
1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)实时监控终端用户的行为,实现用户上网行为可审计。
4、边界防火墙-DCFW
能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
5、统一威胁管理-UTM
UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。
6、入侵检测系统-DCNIDS
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
7、漏洞扫描系统
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
8、流量整形设备-DCFS
1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。
2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。
9、其它网络设备
其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。
第五篇:XXX电子政务内网工作自查报告
XXX电子政务内网工作自查报告
XXX按照《关于组织开展全区电子政务内网使用管理检查工作的通知》(XXXX发[2012]X号)文件的要求,结合本单位工作实际,进一步加强电子政务内网的管理,严防泄密事故发生。现将自查工作报告如下:
一、加强领导,落实责任,提高应用能力
(一)组织机构健全。建立健全了“一把手”负总责,分管领导具体抓,委办公室为责任科室,负责承担政务内网日常工作的运行机制,确立了网络维护、应用操作专(兼)职人员。
(二)领导重视工作落实。主要领导就电子政务内网工作多次提出工作要求,并将电子政务内网相关目标任务纳入机关目标考核,分解量化到责任科室。
(三)着力提升机关干部计算机应用技能。结合创先争优党员培训和技能比赛活动,我委积极组织机关干部参加《计算机操作》专题培训和计算机技能比赛活动,提高了机关干部计算机操作水平。同时组织机关网络管理人员积极参加区保密委、区电子政务办举办的电子政务内网新应用系统使用技术培训,及时掌握了新要求、新方法、新技术,提升了网管人员应用技能。
二、合力打造新一代政务内网体系
(一)完善电子政务内网的连接。积极配合相关部门,按要求及时更改IP地址,完成了本单位IP地址和域名重构,确保了单位物理网络安全畅通和设备的完好率100%。
(二)认真做好新型应用系统工作。落实网管人员及时在新用户管理系统内实名注册了本单位个人用户信息。
(三)继续抓好电子公文交换系统使用和管理。落实专门人员负责key的管理和公文签收,按制度要求及时签收文件和规范发送电子公文,每天主动上网查收文件不少于4次。
三、加强网络安全管理
(一)规范计算机物理网络接入。明确专人管理电子政务内网,计算机严格按照“单机单网”方式连接,实现内外网络线路完全物理隔离。对两台“一机双网”的计算机安装隔离卡,严格实施物理隔离措施,确保网络运行安全,阻止电子政务内网违规外连的情况发生。
(二)加强网络信息安全管理。按照上网信息“谁上网、谁审查、谁负责”的原则,加强了信息发布审核和保密审查机制,落实监管人员加强网站日常维护、巡查、监测工作,有效杜绝不良和有害信息上网运行。
(三)建立健全制度。在加强网络管理的同时,也加强制度的建设,确保电子政务内网有序运行。
总之,XXX将严格按照区保密委和区电子政务办的要求,认真做好电子政务内网平台的使用及管理工作,使XXX的电子政务内网工作更上一个新台阶。
2012年3月20日