第一篇:电子政务内网建设解决方案
电子政务内网建设解决方案
对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。
电子政务内网系统构成
1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。
2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。
电子政务内网系统拓扑图
三级政务内网建议拓扑图
电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。安全支撑平台的系统结构
电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:
电子政务安全支撑平台系统结构
安全支撑平台的系统配置
1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。
1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性
3、全局安全管理系统-DCSM。DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。
1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)实时监控终端用户的行为,实现用户上网行为可审计。
4、边界防火墙-DCFW
能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
5、统一威胁管理-UTM
UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。
6、入侵检测系统-DCNIDS
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
7、漏洞扫描系统
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
8、流量整形设备-DCFS
1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。
2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。
9、其它网络设备
其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。
第二篇:电子政务内网安全
电子政务内网网络安全设计方案
方案部署说明:
一、在网络出口处部署1台路由器,通过专线与国办网络连接。
二、在路由器的后端,部署1台密码机,对出入政务内网的所有数据进行加解密处理。
三、部署1台入侵检测系统,对各安全域进行监控,及时发现网络入侵行为,并向控制台传送报警信息和事件过程记录,做到事后有据可查。
四、通过1台高性能防火墙将网络划分成“应用服务区”、“安全支撑区”和“用户终端区”。首先在防火墙上配置终端用户区域全部禁止访问服务器区域,然后,根据用户区域需要访问的服务器区域应用系统,打开的端口和协议进行特定访问权限配置,包括:登录域需要使用的TCP/UDP端口,访问的目的地址集和源地址集等,病毒服务器的策略分发、升级、远程安装需要使用的TCP端口等。配置防火墙访问控制日志保存策略,配置防火墙安全管理员、用户管理员、审计管理员的用户权限和相应的密码。
五、“安全支撑区”主要部署防病毒系统(金山毒霸网络版)、域控制器、终端审计系统(中软)、违规外联监控系统(山谷)、内网安全管理系统(锐捷)、终端及服务器安全登录系统(北信源)和USB移动存储介质使用管理系统(国迈),该区域主要为整个涉密信息系统提供安全及管理的功能支撑。
六、“应用服务区”主要部署网站、电子邮件、文档和DNS等应用系统,为整个涉密信息系统提供应用支撑。
七、在每台涉密计算机上安装中软主机监控与审计系统客户端,对终端行为进行监控。它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段,对涉密信息的存储、传播和处理过程,实施安全保护;最大限度地防止敏感信息泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志,以便日后审计或追究相关的泄密责任。
八、部署1套国迈USB移动存储介质使用管理系统,对USB移动介质进行统一认证,实现信息保密、访问控制、审计等功能。用技术的手段,实现移动存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不脱。
九、在系统中部署1套山谷违规外联监控系统,防止涉密网计算机接入互联网,造成涉密信息泄露。
十、在系统中部署1套北信源终端服务器安全登录系统,能够实现对用户的身份鉴别,确保只有经过合法验证的终端用户才能使用服务器,具体采用USBKeyClient和USBKey相结合的方式。
十一、另外,配备启明星辰天镜脆弱性扫描与管理系统和金路标计算机终端保密检查工具各1套,定期对涉密信息系统内服务器和计算机终端进行安全隐患检查。
十二、新增50台天津光电聚能RBI-1型电磁泄漏防护插座和10台万里红WLH-2型视频干扰器,对不符合电磁泄漏发射防护要求的计算机及服务器进行安全防护。
第三篇:电子政务内网工程建设实施方案
为切实推进政务信息化进程,有效提升行政效能、服务水平和服务质量,促进全区经济社会快速协调发展,根据省、市关于加快建设电子政务内网的有关精神,结合我区实际,制定*区电子政务内网工程建设实施方案。
一、建设的目标和功能
(一)建设目标。建成全区机关办公内网,与区门户政府网站(外网)配合,架构党务、政务电子工作交流平台,逐步建成“外网受理、内网流转办理、外网反馈”的统一电子政务系统,切实提高全区党政机关行政办公效率和服务管理水平,为全区经济社会快速发展提供基础保障。
(二)主要功能。
1.电子邮件。通过电子政务内网发送电子邮件,实现区内各党政机关之间信息交流与传递。内外网对接成功后,可实现区内与区外的信息交流与传递。
2.公文交换。实现区委、区人大、区政府和区政协机关内部及其与各部门、各乡镇和部分企事业单位之间电子公文的交换。
3.综合查询。用户可根据权限通过内网访问数据库,查询全区党政机关文件、业务数据等。
4.信息上报。各单位可通过内网进行党务、政务信息的电子化报送。区领导及有关工作人员则可根据权限查看专报类信息;一般用户可查看公开类信息。
5.公告牌。可通过内网进行内部的电子公告,内容包括会议通知、会议室安排、区内重大活动部署等等。
6.工作任务。各单位可查看本单位的工作目标(区委、区政府的工作总体安排及任务分解表),区领导可随时查看各单位工作任务进展落实情况。
7.党政公文处理。通过设置权限利用内网传输,实现公文催报、核稿、会签、签发等,可支持手写输入。
二、联网单位及联网方式
(一)电子政务内网联网单位。
1.各乡镇党委、人民政府,开发区管委会; 2.区直各部门; 3.省、市驻区各单位。
(二)联网方式。
采用电信10M光纤或ADSL两种联接方式,各单位自行确定。目前安装调测费用由市电信公司予以免除,线路租金由各单位自行支付。为确保内网的稳定性与安全性,原则上使用光纤与区电子政务中心机房联接。光纤接入可24小时在线,传输速度快,各单位局域网可通过光纤与电子政务内网联网,在局域网内架设服务器对外提供网上服务。光纤接入月租费为500元/月。ADSL接入弊端较多,如经常掉线、速度慢、不便开展网上办事服务,因此,该方式不适应电子政务发展趋势,只能作为临时方案。ADSL接入月租费为280元/月。
三、实施步骤
(一)中心机房建设。3月底前完成机房选址、设备采购、电力等基础设施的安装,4月中旬完成机房设备的安装。
(二)OA安装与调试。4月底前完成内网协同办公系统软件的安装调试,对系统功能上存在的问题加以调整,特别是公文流转中流程方面存在的问题。
(三)内网线路架设。电信公司4月底完成内网各信息点的线路准备工作,确保线路畅通。电信公司在施工过程中,各联网单位要紧密配合,确保工程顺利完成。
(四)各联网单位准备工作。各联网单位务必于3月25日前上报使用联网方式(表附后),并于4月底前做好内网安装、调试、运行前的准备工作,准备内容包括:全力配合电信公司安装施工,安排专用电脑1台、专(兼)人员1-2名,要求专人专机,并制订工作制度,明确责任,确保内网建设顺利进行和正式运行后工作顺利开展。
(五)网络安装与调试。从5月1日开始,由区信息中心组织对各联网单位进行安装调试,同时督查各联网单位前期准备工作。
四、操作培训
2007年6月,由区信息中心牵头组织对各联网单位操作人员进行培训,计划分5期进行,每期参培人数45人左右。培训对象为各乡镇、开发区管委会、区直各部门、省市驻区各单位的办公室负责人和网络操作员,以及区领导跟班秘书。
五、运行阶段
(一)试运行阶段。2007年6月1日开始试运行。试运行期间实行并轨运作。即会议通知通过内网和电话同时进行,公文、党政信息、专报通过纸质和内网同时发布,原来的党政信息网停止运行。
(二)正式运行阶段。2007年9月1日开始正式运行,正式运行期对于一般性的公文和通知采用内网进行传输办理,形式以内网为主,电话为辅。
六、相关要求
(一)明确责任。各单位要成立电子政务建设领导小组,明确分管领导,确定1-2名责任心强、业务能力好的人员具体负责本单位电子政务内网的业务管理工作,做好内网上公文、通知等信息接收、信息传递和本单位网络维护等工作。办公内网启用后,各联系单位务必确保每天4次分别在上午、下午的上班时和下班前上内网查收信息,双休日、节假日安排人员值班,确保各种信息无漏传、错传、误传。各联网单位分管领导、办公室负责人和操作人员名单于2007年3月25日前用电子版报到区政府办公室131室,联系电话*,邮箱:*
(二)落实设备。各单位如因工作需要,计划将本单位局域网接入内网,必须向区信息中心报批后,方可接入。各联网单位领导要积极创造条件,抓紧配备能满足电子政务内网需要的电脑、打印机等设备,争取尽快实现网上信息传递与网上办公。
(三)加强督查。区委、区政府将全区电子政务内网建设工程作为督查事项,区督查办将会同有关部门对各联网单位电子政务内网建设质量、进度及运行情况进行督查,并及时通报有关情况,确保电子政务内网建设工作顺利开展和正常运行。
第四篇:水务局电子政务内网自查报告
一、加强领导,落实管理
(一)加强领导,落实责任。一是建立健全领导小组,由“一把手”负总责,分管领导具体抓,政工股为责任股室,电子政务内网工作落实了专人负责,确立了应用操作专职人员对网络进行维护。二是把电子政务目标任务纳入机关工作目标考核,在年初分解落实到责任股室,确保了电子政务目标任务的完成。
(二)加强培训,提高水平。我局积极组织信息人员参加县委机要局和保密局举办的网络失泄密防范工作培训会和政务内网应用和信息培训会,着力提高了信息员和技术员的工作能力。
(三)保障经费,确保工作。我局针对党政网进行升级改造,对党政网电脑配置,网络管理,日常维护和保密工作费用进行实报实销,使经费得到保障。
二、狠抓应用,突显功能
(一)切实加强网上公共应用。积极配合县委机要局开展新公文交换系统的推广应用,按县委要求对公文的收发、pdf的制作、电子印章加盖、网上传输公文范围、公文管理的内容进行规范管理,完成县网管中心下达的目标任务。
(二)着力打造部门网站。一是积极开展创新特色栏目的建设,做好具有水务特色的“两脉畅流”网页信息的公布。二是规范网站基本栏目设置,着力搞好基本信息、动态信息、业务信息数据库存等内容的日常维护,及时更新单位动态工作信息,定期完善基本信息。
三、加强网络安全管理
(一)规范计算机物理网络接入。一是配合电信部门做好本单位的网络改造,实现了网络光纤接入。二是严格计算机网络端口接入,做到了电子政务内网与外网、互联网的物理隔离,有效阻止电子政务内外网违规外连的情况发生,实现了规范化、制度化管理。
(二)加强网络维护。一是坚持每日读网制度,加强网站日常巡查、读网、监测工作,发现错误及时更改。二是信息上载严格按照信息发布审核和保密审查制度,先审后发,有效杜绝不良和有害信息上网运行的情况。三是完善单位的设备的更新,全年设备、线路维护。
第五篇:电子政务内网管理员职责
电子政务内网管理员职责
为进一步推进办公信息化进程,规范电子政务的运行及管理,加强信息保密安全工作,保证上下信息渠道畅通,及时收发相关文件,了解国家、省市相关文件、会议精神,湘乡市电子政务管理中心与省市电子政务内网相配套,建立电子政务内网并实行专人管理。电子政务内网管理员职责如下:
1、负责全市电子政务内网设备的正常运行及维护,经常与上级电子政务内网相关部门和人员保持联系,维护好内网系统,确保电子政务内网畅通;
2、树立保密意识。严格按照国家、省市文件要求,安全妥善处理上级下发文件,确保信息安全。
3、根据全市各个单位的需要,妥善管理各个本单位内部用户的网络使用权限和范围。
4、负责对全市各个单位的组织用户进行维护。
5、负责对全市电子政务内网的所有业务处理权限角色进行维护。
6、负责对全市电子政务内网的所有系统基础权限角色进行维护。
7、按时参加上级部门有关电子政务网的培训,提高业务水平。
8、负责对全市基层单位的电子政务内网管理员的业务指导及业务培训。
9、承担领导交办的其它临时性工作。
点击咨询 