互联网安全接入技术方案信息中心.doc

万州区政府互联网安全接入系统万州区政府互联网安全接入系统 建建 设设 规规 划划 方方 案案 重庆万州区信息中心重庆万州区信息中心 二二 OO 九年六月九年六月 互联网安全接入系统建设规划方案 2 / 15 目目 录录 1.1.项目概述项目概述 3 3 1.1.项目背景 .3 1.2.项目建设总体目标 .3 1.3.指导思想 .3 1.4.编制依据 .3 1.4.1.政策 .3 1.4.2.技术标准 .4 2.2.需求分析需求分析 5 5 2.1.万州区政务网络现状 .5 2.1.1.万州区电子政务网络现状 .5 2.1.2.政府部门业务网现状 .5 2.1.3.电子政务传输网现状 .5 2.1.4.政府部门局域网现状 .5 2.1.5.万州区政府互联网接入现状 .5 2.2.互联网安全接入需求分析 .6 2.2.1.总体需求分析 .6 2.2.2.互联网安全接入应用需求分析 .6 3.3.方案总体设计方案总体设计 7 7 3.1.建设原则 .7 3.2.总体网络解决方案 .7 3.2.1.万州区电子政务网络总体规划 .7 3.2.2.万州区政务外网建设规划 .8 3.3.互联网安全接入建设方案 .9 3.3.1.万州区政务外网信息安全规划 .9 3.3.2.万州区政府部门互联网安全接入建设方案 11 4.4.系统预算（不含网络租用费）系统预算（不含网络租用费） 1414 互联网安全接入系统建设规划方案 3 / 15 1.1.项目概述项目概述 项目背景项目背景 随着信息化的发展，互联网在政府部门得到了广泛应用，为履行政府职能发挥了重要 的支撑作用。与此同时，由于缺乏规划和管理，大部分政府部门及所属机构分散接入国际 互联网，成本高，安全风险大，已经成为当前我国电子政务安全管理的薄弱环节，导致网 络安全事件和网络失泄密事件不断发生。 为切实加强政府部门互联网接入的安全管理，提高政府信息系统反病毒、防攻击、防 泄密和反窃密能力，探索政府部门集中接入互联网、实施统一安全管理的模式，根据国务 院领导同志重要批示，工业和信息化部 2009 年工作安排，决定在北京市、上海市、重庆市 和陕西省开展政府部门互联网安全接入试点工作。 目前，在万州区政府部门互联网接入方面，缺乏统一的安全管理，除江南行政府中心 （由区信息中心统一接入）外，其他部门和乡镇街道均系自行租用各运营商线路接入互联 网，造成了接入点分散，没有统一安全防护策略、措施及监控手段，网络内病毒传播情况 严重，木马、黑客程序等严重威胁网络安全和信息安全。另外，由于目前万州区覆盖全区 的电子政务网络只有党政内网，部分非涉密业务系统只能选择党政内网作为支撑平台。而 现有党政内网属于保密网，涉密信息与非涉密信息在同一张网络上传输，大大增加了保密 压力，造成保密工作形势严峻，泄密隐患较为突出。 1.2.1.2. 项目建设总体目标项目建设总体目标 在对万州政府部门接入互联网的情况进行调查摸底的基础上，以及目前行政审批电子 监察系统建设的要求，通过建设万州区政务外网逐步整合万州政府部门互联网接入，减少 政府部门互联网接入数量；加强万州区互联网接入网络安全管理，构建万州区统一的互联 网接入安全管理平台，实施集中统一的网络安全监控、网络安全防护策略和网络安全防护 措施。 1.3.1.3. 指导思想指导思想 万州区政府互联网安全接入试点工程的实施，将以管理为主导，以技术为支撑，结合 万州区电子政务网络建设，积极探索出区政府部门集中接入互联网，实施统一安全管理的 应用模式，统筹规划建设万州区区级互联网安全接入管理平台，建立万州区政府部门互联 网接入安全管理规划和制度，提高政府信息系统防病毒、防攻击、防泄密和反窃密能力， 切实加强万州区政府部门互联网接入的安全管理。 1.4.1.4.编制依据编制依据 政策政策 （1）中共中央办公厅、国务院办公厅转发的国家信息化领导小组关于我国电子政务 建设指导意见（中发办【2002】17 号文） （2）中共中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全 保障工作的意见（中发办【2003】27 号文） （3）中共中央办公厅、国务院办公厅转发的国家信息化领导小组关于推进国家电子 政务网络建设的意见（中办发【2006】18 号） （4）国家电子政务总体框架的通知（国信【2006】2 号） 互联网安全接入系统建设规划方案 4 / 15 （5）电子政务保密管理指南（国保发【2007】22 号） （6）电子政务信息安全等级保护实施指南（试行）（国信 200525 号） （7）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等四部门关于 印发信息安全等级保护管理办法的通知（公通字【2007】43 号） （8）工业和信息化部关于开展政府部门互联网安全接入试点工作的通知（工信厅 【2009】42 号） （9）重庆市人民政府办公厅转发的重庆市信息化领导小组关于推进全市电子政务网 络建设的意见的通知（渝委办发【2007】11 号） 1.4.2.1.4.2.技术标准技术标准 （1）计算机信息系统安全保护等级划分准则（GB17859-1999） （2）信息安全技术 网络基础安全技术要求（GB/T20270-2006） （3）信息安全技术 操作系统安全技术要求（GB/T20272-2006） （4）信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）、信息 安全技术 服务器技术要求 （5）信息安全技术 信息系统通用安全技术要求（GB/T20271-2006） （6）信息安全技术 终端计算机系统安全等级技术要求（GA/T671-2006） （7）信息安全技术 信息系统安全管理要求（GB/T20269-2006） （8）信息安全技术 信息系统安全工程管理要求（GB/T20282-2006） （9）信息系统安全等级保护定级指南（试用稿） （10）信息系统安全等级保护基本要求 （11）涉及国家秘密的信息系统分级保护技术要求（BMB17-2006） （12）涉及国家秘密的信息系统分级保护管理规范（BMB20-2007） （13）RFC2547bis BGP/MPLS 虚拟专用网（VPNs） （14）RFC2917核心 MPLS IP VPN 体系结构 互联网安全接入系统建设规划方案 5 / 15 需求分析需求分析 2.1.2.1. 万州区政务网络现状万州区政务网络现状 2.1.1.2.1.1.万州区电子政务网络现状万州区电子政务网络现状 目前万州区电子政务网络只有党政内网，他与互联网物理隔离，主要用于区委、区政 府与区内各党政部门和重点企事业单位之间，以及部门之间公文和信息传送，已覆盖全区 52 个镇乡街道、120 个区级部门和 60 个重点企事业单位，共有终端接入点 560 余个，还实 现了与重庆市级党政网的连通。同时部分单位的业务系统也基于党政内网实现了网络资源 的整合共享，如目标考核系统、财政集中支付系统、数字化城市管理系统、干部信息系统 等。 根据中办发200618 号和渝委办发200711 号文件精神，目前区内的政务业务网络均 属于政务内网的范畴，现在主要用于满足体系内各部门政务信息化办公的需要，并承载了 涉及国家秘密的信息。 2.1.2.2.1.2.政府部门业务网现状政府部门业务网现状 工商局、国税局、地税局、财政局、国土局、劳动局、交委等部门分别建设了各自的 政务业务网络，这些网络已完成了和市里相关直属部门的连接。 区政府部门这些业务网络部分与互联网物理隔离，部分通过网闸或防火墙设备实现了 与互联网的逻辑隔离。 根据中办发200618 号和渝委办发200711 号文件精神，这些网路均属于政务外网的 范畴，现在主要用于满足体系内各部门政务信息化办公和社会管理信息化应用的需要。 目前万州区政府部门已建设的政务业务网络主要用于体系内政务办公和政务应用的需 要，万州区尚未形成统一的政务外网，各政务网络之间缺乏有效的互联互通机制，难以满 足万州区电子政务资源共享和数据交换，以及协同办公的需要。 同时，由于历史的原因，各政府部门业务网络先于万州区政务外网的建设，鉴于缺乏 统一的规划和技术标准规范，对政务外网的业务定位、互联方式、安全保障要求等方面存 在许多差异，这也严重的制约了政务外网的建设。 2.1.3.2.1.3.电子政务传输网现状电子政务传输网现状 万州区已建设的政务网络分别租用不同电信运营商的光纤、传输电路、ATM/FR 网络或 IP VPN 玩组建而成，万州区尚未形成统一的电子政务传输网，存在网络技术不一致、网络 安全机制不一致、网络运维体制不一致、网络可靠性差、网络扩展性差等问题， 2.1.4.2.1.4.政府部门局域网现状政府部门局域网现状 万州区各政务部门一般至少有两套综合布线系统，并有两套互为物理隔离的局域网。 其中，一套主要用于政务部门业务网终端的接入，另外一套互联网终端的接入。 各政务部门考虑到万州区党政内网为涉密网络，一般采用固定终端连接到万州区党政 内网，而不是延伸所有的终端。 2.1.5.2.1.5.万州区政府互联网接入现状万州区政府互联网接入现状 万州区各政务部门及其下属部门部分采用集中方式通过互联网专线接入互联网，部分 部门及其下属部门采用分布方式通过互联网专线接入互联网。 万州区各政务部门及其下属部门接入互联网技术主要有以太网专线、帧中继专线和 互联网安全接入系统建设规划方案 6 / 15 ADSL 专线，接入带宽分别 2M-100M 不等。 万州区政府部门互联网服务提供商主要为重庆电信、重庆联通和重庆移动。 万州区政府部门局域网在实现互联网接入时，一般都配置有防火墙设备，部分部门还 配置了网络反病毒、IDS 系统，部分部门还关闭了部分端口，做了 IP 地址接入限制。 万州区各政府部门互联网接入一般没有配套建设互联网接入统一认证和访问管理系统， 也不具备互联网接入网络行为审计和内容审计的能力。 万州区各政府部门根据国家有关电子政务网络安全管理制度，各自制定了相关的管理 制度。 综上所述，万州区政府部门互联网接入存在分散接入，成本高、安全风险大，缺乏有 效统一管理等问题。 2.2.2.2. 互联网安全接入需求分析互联网安全接入需求分析 总体需求分析总体需求分析 政府部门互联网安全接入是万州区重要的电子政务基础设施和安全保障设施，是对万 州区政府部门集中接入互联网、实施统一安全管理的模式积极探索，即要满足万州区各级 政府部门安全接入互联网，又要具备确保政府信息系统防病毒、防攻击、防泄密和反窃密 的能力。 万州区政府部门互联网安全接入需要万州区政府信息中心牵头组织，公安局、国安局、 保密局、监察局、财政局等相关单位配合，万州区各级政府部门和电信运营商积极参与， 才能确保项目的有效推动。 2.2.2.2.2.2.互联网安全接入应用需求分析互联网安全接入应用需求分析 万州区政府部门互联网安全接入应用需求是： （1）全面提升万州区电子政务网络的总体安全。政府部门互联网接入不统一，各单位 很难统一严格按照电子政务安全要求和标准，确保互联网安全接入措施的实施，这势必导 致我市电子政务网络的安全不平衡，出现网络安全“木桶原理”的短板现象，从而严重影 响万州区电子政务网络的整体网络安全。 （2）加强电子政务网络安全管理。政府部门互联网接入安全管理不统一，各单位很难 统一严格按照电子政务安全要求和标准，确保互联网安全接入管理制度的实施，这势必导 致无法有效控制我区电子政务网络安全风险，从而严重影响我去电子政务网络安全，从而 出现网络安全事件和网络失泄密事件不断发生。通过统一政府各部门的互联网出口，并建 立互联网接入安全管理平台，以及统一的安全防护策略和安全防护措施，可以对政府部门 互联网接入进行集中统一的安全监控和管理。 （3）积极探索万州区电子政务网络集约化建设。政府部门互联网安全接入在充分利用 我区公共通信资源的基础上，积极探索市场化模式，通过竞争性招标方式，组织相关部门， 完成我区区级互联网接入的集中采购，发挥规模优势，最大限度降低总体成本，减少财政 多头支出。 互联网安全接入系统建设规划方案 7 / 15 3.3.方案总体设计方案总体设计 建设原则建设原则 万州区政府部门互联网安全接入工程将严格按照国家相关政策和技术标准的要求，遵 照万州区政务外网有关“统一规划、分布实施；重视应用、互联互通；权衡利弊、适度防 护”的网络互联安全基本原则，在统一接入互联网时，既实现政务外网的互联互通，又保 证政务外网的信息安全，积极探索政府部门集中接入互联网、实施统一安全管理模式，从 而提高政府部门反病毒、防攻击、防泄密和防窃密的能力。 万州区政府部门互联网安全接入工程将在充分考虑系统的先进性、网络可用性、系统 扩展性和网络安全性的同时，合理充分利用电子政务网络资源和公共通信资源，创新万州 区政务部门互联网安全接入的建设模式。 3.2.3.2. 总体网络解决方案总体网络解决方案 万州区电子政务网络总体规划万州区电子政务网络总体规划 3.2.1.1.3.2.1.1. 万州区电子政务网络的界定万州区电子政务网络的界定 按照中办发 18 号和渝委办发 11 号文件的精神，万州区电子政务网络由基于全区电子 政务网络区级传输骨干网的政务内网和政务外网组成。其中，万州区政务内网由区委、区 人大、区政府、区政协、法院、检察院的业务网络互联互通形成，主要满足全市各级政务 部门内部办公、管理、协调、监督以及决策的需要，并与互联网物理隔离；万州区政务外 网主要满足各级政务部门进行社会管理、公共服务等面向社会服务的需要，并与互联网逻 辑隔离。 3.2.1.2.3.2.1.2. 万州区电子政务网络框架结构万州区电子政务网络框架结构 万州区电子政务网络总体上可以划分基础传输层、业务网络层、业务应用层和支撑平 台。如下图所示： 政务传输层 政务业务网层 政务应用层 电 子 政 务 支 撑 平 台 万州区电子政务网络各层的主要业务功能是： 基础传输层为业务网络提供传送手段的基础设施。 业务网络层为传送和交换各种政务信息的业务网络，包括政务内网、政务外网， 是电子政务网络的主体。 业务应用层表示各种信息应用，包括电子政务信息共享交换平台，以及综合行政 管理信息系统（包括行政审批电子监察系统、财政集中支付系统、数字化城市管 理系统等）和社会公众信息服务系统（包括政府网站、政务网上行政大厅、信用 信息系统，社会保障信息系统等）。 电子政务支撑平台用于支持全部三个层面的工作，提供保证网络正常运行的各种 控制和管理能力、安全保障能力，包括各种网络管理系统、安全保障系统等。 互联网安全接入系统建设规划方案 8 / 15 3.2.1.3.3.2.1.3. 万州区电子政务网络系统体系结构万州区电子政务网络系统体系结构 万州区电子政务网络由电子政务传输网、政务内外网和电子政务数据中心构成，其系 统体系架构详见下图： 万州区电子政务内网 万州区电子政务外网 干部 信息 系统 组织部数据中心 硬件 支撑 系统 电子 政务 应用 系统 电子政务数据中心n 电子 政务 支撑 系统 . 行政 审批 电子 监察 系统 电子监察数据中心 硬件 支撑 系统 电子 政务 应用 系统 电子政务数据中心n 电子 政务 支撑 系统 . 万州区电子政务网络各组成部分的主要功能如下： 电子政务内外网是传送和交换各种政务信息的业务网络。 电子政务数据中心是电子政务应用系统和电子政务支撑系统的计算中心和运行环 境。 3.2.2.3.2.2.万州区政务外网建设规划万州区政务外网建设规划 3.2.2.1.3.2.2.1. 万州区政务外网建设目标万州区政务外网建设目标 万州区政务外网是按照中发办【2002】17 号文件和【2006】18 号文件的要求建设的政 务网络平台，主要满足各级政务部门进行社会管理、公共服务等面向社会服务的需要，为 各级政务部门的业务系统提供网络传输、信息交换、安全应用的支撑服务，为社会公众提 供政务信息服务。 万州区政务外网的建设目标是建成结构合理、边界清晰、技术先进、安全可靠的电子 政务外网平台；通过覆盖全区各级政务部门的网络平台和服务体系，提供网络、应用支撑 和安全保障等服务，支持业务系统的运行，支持跨部门、跨地区的信息资源共享，支持业 务系统的互联互通和信息交换，促进政府监管能力和服务水平的提高。 万州区政务外网的建设将结合万州区未来电子政务发展和城乡统筹信息化建设的实际 需要，并提供对万州区电子政务信息资源共享交换平台、行政审批电子监察、数字城管、 应急指挥、信用系统、社会保障系统等优先支持政务业务系统的支持。 3.2.2.2.3.2.2.2. 万州区政务外网总体规划万州区政务外网总体规划 万州区政务外网将依托万州区统一的电子政务网络区级传输骨干网，采用 IP 网络技术 组建，通过 MPLS VPN 技术的支持，一方面可以为各政务部门提供纵向 VPN，保证各政务业 务网络的逻辑上独立性，同时，通过横向 VPN，提供各政务业务网络之间的受控的互联互 通，提供了电子政务应用系统之间的信息交换和信息共享能力；另一方面隔离政务外网与 互联网，通过安全防范措施实现与互联网的可控连接，设置互联网服务区以满足与互联网 之间信息交换的业务需求。 万州区政务外网按照网络层次可分为承载网（backbone）和接入网（access）。其中， 互联网安全接入系统建设规划方案 9 / 15 承载网，也称骨干网，是指政务外网建设单位建设和运行维护的、能够承载其他部门网络 和业务应用的网络，接入网主要是指各级政务部门自行建设和管理的与本级承载网连接的 网络，包括部门内部局域网、部门专网等。 3.2.2.3.3.2.2.3.万州区万州区政务外网业务定位政务外网业务定位 万州区电子政务外网是与政务内网物理隔离、与互联网逻辑隔离的政府公用网，主要 用于运行政府部门不需要在内网上运行的业务系统，为政务部门的业务系统提供网络、信 息、安全等支撑服务。 万州区政务外网的主要业务类型包括： （1）信息共享业务：为政务部门跨部门业务或本部门业务系统的运行提供良好的支撑； 为各政务部门提供安全可靠的互联互通、信息交换及资源共享的业务平台；并具备安全认 证、信息交换、数据存储以及数据备份、网络管理等功能。 （2）互联网业务：政务外网内部用户访问互联网的出口；移动办公的公务人员通过身 份认证接入政务外网的途径；为公众访问政务外网承载业务系统的通道。 （3）横向 VPN 业务：主要满足各部门之间的横向业务需要，为共享的公共资源提供互 访通道，这种互访是受控并看灵活部署的，为各政务部门之间的信息共享提供安全的通道。 （4）纵向 VPN 业务：主要满足各政务部门“自上而下”及“自下而上”的业务需求， 为相关政务目标的互联互通提供安全通道。 3.2.2.4.3.2.2.4.万州区万州区政务外网调整建设规划政务外网调整建设规划 万州区政务外网将承载多种跨部门、跨地区的政务业务应用系统，提供网络与信息资 源服务，实现各部门专网的互联互通。 万州区政务外网的建设，将逐步实现部门专网与政务外网的不断融合，实现网络、应 用、服务等多层次的互联、互通、互操作，一方面将发挥跨接各部门专用网络的桥梁和枢 纽作用，另一方面建成为承载各部门业务系统的可信、安全的公用网。 万州区政务外网的建设，将在充分利用万州区现有的各政务业务网的网络资源的基础 上，充分利用公共通信资源，确保网络技术的先进性、网络业务组织和实现的合理性、网 络的可靠性和扩展性。 万州区电子政务外网建成后，万州区各政务部门原有的中继电路将不再租用运营商的 传输电路，而通过政务外网进行承载，原有的业务系统和终端的 IP 地址规划原则上不做改 动。 万州区政务外网建成后，各政府部门原则上将不再新建政务业务网，或租用电信运营 商的 IP 网络服务承载电子政务业务系统。对于各政务部门已组建的政务业务网，将按照相 关要求，分别接入区电子政务内外网；当不能满足部门政务业务应用的需求时，应考虑整 体迁入新的政务网络，不再进行扩容。 3.3.3.3. 互联网安全接入建设方案互联网安全接入建设方案 万州区政务外网信息安全规划万州区政务外网信息安全规划 3.3.1.1.3.3.1.1. 政务外网互联安全风险分析政务外网互联安全风险分析 万州区政务外网作为政务部门处理面向社会管理及公共服务的非涉密的政务公用网， 与处理政务部门内部办公、管理、协调、监督和决策业务的万州区政务内网物理隔离，与 互联网逻辑隔离。因此，万州区政务外网不可能给政务内网带来安全风险，同时由于政务 外网与互联网逻辑隔离，存在安全风险。 互联网安全接入系统建设规划方案 10 / 15 万州区政务外网面临的主要安全风险包括网络服务中断、网络入侵、网络滥用和信息 未经授权修改。 万州区政务外网安全风险的主要特点有涉及社会管理及公共服务，影响范围广；网络 连接情况复杂，安全防护水平参差不齐；业务信息种类繁多，存在较多工作秘密和敏感信 息。 3.3.1.2.3.3.1.2.万州区万州区政务外网安全互联和安全防护原则政务外网安全互联和安全防护原则 万州区政务外网为了有效抵御所面临的安全风险，必须加强政务外网的安全防护能力， 确保政务外网建设符合国家相关规定。 万州区政务外网信息安全问题必须统一规划由人、管理和技术三方面构建信息安全体 系，坚持管理与技术并重，建立基本的政务外网安全防护框架，确保不同安全等级系统之 间信息交互必须基于有效的安全控制机制，在保障网络传输效率、支持多种网络业务的前 提下，加强边界防护，保障跨边界信息交换的有效性、安全性和可控性，做到有控制的互 联。 万州区政务外网安全互联应坚持“统一规划、分布实施；重视应用、互联互通；权衡 利弊、适度防护”的基本原则，在政务外网互联时，既实现政务外网的互联互通，又保证 政务外网的信息安全。 万州区政务外网要充分考虑互联互通的实际需求和应用情况，根据“权衡利弊、适度 保护”的原则，协调好安全、成本、效率三者之间的关系，采用“集中指导、分级管理， 全面防护、突出重点，适度安全”的安全防护原则。 3.3.1.3.3.3.1.3. 政务外网信息安全等级保护政务外网信息安全等级保护 万州区政务外网将遵照公通字【2007】43 号文件精神，实施信息安全等级保护，其基 本思路是：按照相关要求，政务外网依据等级保护定级规则，确定政务外网系统的安全等 级；按照国家等级保护要求，确定与政务外网安全等级相对应的基本安全要求；遵循管理 办法规定流程，做好定级、备案以及测评、自查工作；依据政务外网基本安全要求，结合 风险评估结果，并综合平衡安全与成本之间的关系，进行网络互联的安全保护需求定制， 确定适用于特定政务外网系统的安全保护措施，并依照相关指南要求完成安全互联规划、 设计、实施和验收。 3.3.1.4.3.3.1.4. 政务外网信息安全总体策略政务外网信息安全总体策略 万州区政务外网总体信息安全总体策略如下： （1）政务外网为非涉密的政务公用网，与政务内网物理隔离，与互联网逻辑隔离。 （2）政务外网承载网主要强调互联互通和数据快速交换，原则上只采用路由控制等技 术，不采用防火墙等其他安全措施。 （3）政务外网将遵照信息安全等级保护的相关规定，实现对政务外网不同安全域之间 的边界及信息交换的防护，不同层次安全域之间需要采用防火墙进行边界隔离，并在边界 部署入侵检测系统、反病毒网关等设施确保及时有效地发现并消除常见安全入侵行为；部 署网络安全审计系统，尽量发现已经发生的安全问题，降低由此带来的安全风险；部署安 全接入认证网关，通过认证授权和安全策略的检查，对终端的网络访问权限进行有效控制。 （4）接入政务外网的接入单位要根据国家相关政策要求，在接入政务外网前对自己的 网络进行自评价，明确接入网络定位，接入网络应为非涉密的政务专网，并与政务内网物 理隔离，与互联网逻辑隔离。接入网络与互联网的连接必须采取合适的技术和管理措施保 证与互联网逻辑隔离。若需要与秘密级电子政务涉密网络（或涉密域）进行信息交换时， 要在全部满足相关规定的条件下，采用国家保密部门批准的安全隔离与信息单向导入系统 互联网安全接入系统建设规划方案 11 / 15 进行连接。 （5）政务部门可利用政务外网的网络资源开展纵向业务，从而避免建设部门纵向网络 所带来的重复建设及资源浪费，也可克服部门自建纵向网络产生的网络覆盖范围和网络性 能有限等问题。某些部门的纵向业务应用对网络的安全性要求较高，需要进行业务隔离或 部门的纵向业务应用对网络要求较高，需统一管理时，可在政务外网的公共基础网络平台 上构建部门的 VPN 网。 （6）不同政务部门之间可利用政务外网建设横向 VPN 网，实现安全的互联互通，使业 务系统在可信、安全的网络环境下运行。 （7）政务外网与互联网可采用 VPN 等技术实现安全隔离与信息交换，对于业务往来频 繁，且实时性要求较高的地方，可以在满足政务外网逻辑隔离原则与要求的前提下，通过 部署防火墙、入侵检测系统、防病毒网关以及网络安全审计系统或集中日志系统，在保障 业务正常开展的同时确保政务外网与互联网的交互的安全可控。 （8）对于移动用户通过互联网接入政务外网时，需要采用 VPN 结合用户认证授权的方 式进行边界防护。用户通过在远端和总部之间建立 VPN 隧道的方式，并采用数据加密的方 法，保证通信的安全，同时结合认证的方式，对接入用户采用高强度的认证、授权和审计， 控制远程接入的风险。 3.3.2.3.3.2.万州区万州区政府部门互联网安全接入建设方案政府部门互联网安全接入建设方案 3.3.2.1.3.3.2.1.万州区万州区政府部门互联网安全接入的界定政府部门互联网安全接入的界定 根据万州区政务外网的总体规划，互联网业务是政务外网的基础业务之一，因此，万 州区政务部门互联网安全接入项目属于万州区政务外网内部用户访问互联网相关安全建设 项目，应服从万州区政务外网信息安全总体策略。 3.3.2.2.3.3.2.2.万州区万州区政府部门互联网安全接入建设方案政府部门互联网安全接入建设方案 万州区政府部门互联网安全接入管理平台的主要建设内容是在政务外网的互联网接入 区构建逻辑隔离区，防范互联网对政务外网的攻击，防止政务外网的非授权数据流向互联 网。 万州区政府部门互联网接入安全管理平台分别由网络边界安全保护子系统、网络攻击 防范子系统、身份认证和访问管理子系统、网络安全内容审计子系统、网络安全综合管理 子系统组成。 万州区互联网安全接入管理平台功能体系架构如下图所示。 网络边界安全保护子系统 网络攻击 防范子系统 网络安全行 为和内容审 计系统 身份认证和 访问控制管 理子系统 综 合 安 全 管 理 系 统 互联网安全接入安全管理系统功能体系架构 万州区互联网安全接入管理平台各系统主要功能是： （1）网络边界安全保护子系统通过采用防火墙和 VPN 技术和管理等手段，建立在网络 边界上用于保障网络信息安全的措施，提供阻塞非法流量和访问控制的功能。 （2）网络攻击防范子系统主要提供防 DDOS 防范、网络病毒防范、网络入侵检测、入 侵保护和入侵诱骗等网络管理攻击防范功能。 互联网安全接入系统建设规划方案 12 / 15 （3）身份认证和访问控制管理子系统将提供用户访问互联网和电子政务资源的统一用 户账号（Account）管理、认证（Authentication）管理、授权（Authorization）管理和 安全审计（Audit）的功能。 （4）网络安全行为和内容审计子系统将提供对业务流量流向分析、应用业务监控、 VoIP 监听、安全内容审计和用户行为分析和处理等功能。 （5）综合安全管理子系统是基于相关电子政务网络安全管理标准和规范的基础上，通 过构建安全知识库，并提供资产风险管理、安全系统配置管理，以及安全事件集中监控、 安全事件集中告警、安全应急响应、安全事件统计分析等网络安全综合管理功能。 万州区互联网安全接入管理平台系统体系结构如下图所示。 万州区政府部门互联网安全接入管理平台建设方案设计如下： （1）互联网接入 考虑万州区政府部门互联网安全接入试点工程将接入的行政审批电子监察所涉及的 44 政府部门单位，因此，互联网接入带宽设计容量为 1 个 GE。 万州区政府部门互联网接入将利用其与政务外网的接入电路，不建租用电信商的电路 接入互联网。 （2）网络边界安全保护子系统 万州区政务外网将为政府部门互联网接入创建 1 个横向 VPN，并通过 1 台千兆防火墙 实现与互联网的强逻辑隔离，以确保网络边界的安全保护。 （3）网络攻击防范子系统 万州区政府部门互联网安全接入网络攻击防范子系统由网络 IDS 系统、网络反病毒系 统组成。其中，网络 IDS 系统将实现综合性网络攻击检测，网络防病毒系统将通过网关防 毒有效阻挡网络病毒的入侵。 互联网安全接入系统建设规划方案 13 / 15 （4）身份认证和访问控制管理子系统 万州区政务部门互联网安全接入统一认证和访问控制管理系统将采用标准 Radius 认证 协议，可以对用户接入的安全策略进行检查，并且根据检查的结果，实施相应的访问控制。 可以基于多种因素进行授权，如用户的相关属性，登陆地址，安全状况、登录时间等。支 持全面的细粒度的访问控制机制，实现应用层的访问控制，如控制用户可以访问的 URL,文 件，读写权限等。支持基于正则表达式的规则匹配。 （5）网络安全行为和内容审计子系统 万州区互联网安全接入网络安全行为和内容审计子系统将首先对政务外网的核心路由 器有关互联网或其他流量业务流量进行镜像，再有关互联网的业务流量进行深层分析，从 而实现对网络安全行为和内容的审计，并统一认证和访问控制管理子系统联动，以实现有 关安全事件与用户的关联。 （6）综合安全管理子系统 万州区互联网安全接入综合安全管理系统将提供资产风险管理、安全系统配置管理， 以及安全事件集中监控、安全事件集中告警、安全应急响应、安全事件统计分析等网络安 全综合管理功能。 （7）存储备份系统 万州区互联网安全接入存储备份系统主要实现对有关系统运行日志文件、网络安全系 统的处理结果等数据的集中备份。 互联网安全接入系统建设规划方案 14 / 15 4.4.系统预算系统预算（不含网络租用费）（不含网络租用费） 序号序号货物名称货物名称技技 术术 参参 数数单价单价数量数量总价总价 1 内网入侵 检测系统 IPS 2U，1 个 100M 管理口，8 个 1000M SFP 接口模 块插槽，提供 1 个监听口，最多可扩展为 8 路 监听 270,0001270,000 2 内网病毒 防护系统 1 系统中心，10 服务器端，300 客户端 94,000194,000 3 外网边界 防火墙 2U 机架式结构； 最大配置为 12 个接口，包括 6 个 SFP 接口、4 个 10/100/1000BASE-T 接口和 2 个 10/100BASE