電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

1、主 題一、信息安全整體設(shè)計思路及方案 定位定位 依據(jù)依據(jù) 總體思路及方案總體思路及方案1、定位 非涉密的政務(wù)外網(wǎng)；非涉密的政務(wù)外網(wǎng)； 與與Internet邏輯隔離，與涉密網(wǎng)物理隔離；邏輯隔離，與涉密網(wǎng)物理隔離； 聯(lián)接范圍：省內(nèi)縣級以上黨政機關(guān)；聯(lián)接范圍：省內(nèi)縣級以上黨政機關(guān)； 滿足政務(wù)部門行政管理、公共服務(wù)、電子滿足政務(wù)部門行政管理、公共服務(wù)、電子辦公需要的統(tǒng)一網(wǎng)絡(luò)基礎(chǔ)平臺辦公需要的統(tǒng)一網(wǎng)絡(luò)基礎(chǔ)平臺 ； 是國家電子政務(wù)外網(wǎng)的組成部分。是國家電子政務(wù)外網(wǎng)的組成部分。2、依據(jù)、依據(jù)1.關(guān)于加強信息安全保障工作的意見關(guān)于加強信息安全保障工作的意見，中辦發(fā)，中辦發(fā)200327號文件；號文件；2.電子政

2、務(wù)信息安全等級保護(hù)實施指南（試用）電子政務(wù)信息安全等級保護(hù)實施指南（試用），國信，國信辦；辦；3.計算機信息系統(tǒng)保密管理暫行規(guī)定計算機信息系統(tǒng)保密管理暫行規(guī)定，國家保密局；，國家保密局；4. 湖北省電子政務(wù)建設(shè)規(guī)劃綱要湖北省電子政務(wù)建設(shè)規(guī)劃綱要 ；5.湖北省電子政務(wù)建設(shè)總體設(shè)計與實施方案湖北省電子政務(wù)建設(shè)總體設(shè)計與實施方案 。 3、總體安全建設(shè)思路 物理與線路傳輸安全物理與線路傳輸安全 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 主機與系統(tǒng)安全主機與系統(tǒng)安全 數(shù)據(jù)與應(yīng)用安全數(shù)據(jù)與應(yīng)用安全 管理安全管理安全物理與線路傳輸安全物理位置的選擇；物理位置的選擇；物理訪問控制（門禁、監(jiān)控）；物理訪問控制（門禁、監(jiān)控）；防盜竊和防

3、破壞（鐵門、鐵窗、鐵柜）；防盜竊和防破壞（鐵門、鐵窗、鐵柜）；防雷擊（防雷系統(tǒng)）；防雷擊（防雷系統(tǒng)）；防火、防水和防潮、防靜電、溫濕度控制；防火、防水和防潮、防靜電、溫濕度控制；電力供應(yīng)（電力供應(yīng)（UPS）；）；電磁防護(hù)；電磁防護(hù)；通信線路備份；通信線路備份；通信的完整性、保密性。通信的完整性、保密性。網(wǎng)絡(luò)安全結(jié)構(gòu)安全與網(wǎng)段劃分（網(wǎng)絡(luò)規(guī)劃、域的劃分）；結(jié)構(gòu)安全與網(wǎng)段劃分（網(wǎng)絡(luò)規(guī)劃、域的劃分）；網(wǎng)絡(luò)隔離與訪問控制（防火墻、網(wǎng)閘、接入路由器）；網(wǎng)絡(luò)隔離與訪問控制（防火墻、網(wǎng)閘、接入路由器）；網(wǎng)絡(luò)安全審計（網(wǎng)絡(luò)行為監(jiān)控）；網(wǎng)絡(luò)安全審計（網(wǎng)絡(luò)行為監(jiān)控）；邊界完整性檢查（防非法外聯(lián)監(jiān)控）；邊界完整性檢查

4、（防非法外聯(lián)監(jiān)控）；網(wǎng)絡(luò)入侵防范（網(wǎng)絡(luò)入侵防范（IDS）；）；惡意攻擊防范（防惡意攻擊防范（防DOS）；）；網(wǎng)絡(luò)設(shè)備管護(hù)；網(wǎng)絡(luò)設(shè)備管護(hù)；網(wǎng)絡(luò)資源控制。網(wǎng)絡(luò)資源控制。主機與系統(tǒng)安全身份鑒別（身份鑒別（CA）；）；訪問控制（口令、訪問控制（口令、IC卡）；卡）；安全審計（日志）；安全審計（日志）；系統(tǒng)保護(hù)（內(nèi)核加固）；系統(tǒng)保護(hù)（內(nèi)核加固）；入侵防范（入侵防范（HIDS）；）；惡意代碼防范及防病毒。惡意代碼防范及防病毒。身份鑒別；身份鑒別；訪問授權(quán)及控制；訪問授權(quán)及控制；安全審計；安全審計；抗抵賴；抗抵賴；軟件容錯；軟件容錯；資源控制資源控制（應(yīng)用流量管理）；（應(yīng)用流量管理）；代碼安全。代碼安全。數(shù)

5、據(jù)與應(yīng)用安全應(yīng)用安全數(shù)據(jù)與應(yīng)用安全應(yīng)用安全數(shù)據(jù)與應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)完整性（防篡改）數(shù)據(jù)完整性（防篡改）數(shù)據(jù)保密性（數(shù)據(jù)庫加密）數(shù)據(jù)保密性（數(shù)據(jù)庫加密）數(shù)據(jù)備份和恢復(fù)（存儲備份）數(shù)據(jù)備份和恢復(fù)（存儲備份）異地容災(zāi)異地容災(zāi)管理安全管理機構(gòu)；管理機構(gòu)；安全人員及責(zé)任；安全人員及責(zé)任；管理制度；管理制度；管理技術(shù)手段綜合安全管理平臺；管理技術(shù)手段綜合安全管理平臺；審計管理；審計管理；安全服務(wù)。安全服務(wù)。一期已部署的主要技術(shù)措施 防火墻、隔離網(wǎng)閘、入侵檢測、防病毒、垃圾防火墻、隔離網(wǎng)閘、入侵檢測、防病毒、垃圾郵件過濾、抗攻擊、漏洞掃描、數(shù)據(jù)庫加密、郵件過濾、抗攻擊、漏洞掃描、數(shù)據(jù)庫加密、安全認(rèn)證網(wǎng)關(guān)、

6、主機管理與審計系統(tǒng)、網(wǎng)絡(luò)設(shè)安全認(rèn)證網(wǎng)關(guān)、主機管理與審計系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理；備管理； 數(shù)字證書系統(tǒng)（數(shù)字證書系統(tǒng)（CA)。 實現(xiàn)直接目標(biāo)：實現(xiàn)直接目標(biāo)：安全域的劃分與隔離、檢測入侵行安全域的劃分與隔離、檢測入侵行為、查殺各種病毒、過濾垃圾郵件、抵抗各類攻擊、為、查殺各種病毒、過濾垃圾郵件、抵抗各類攻擊、掃描弱點漏洞、進(jìn)行日志審計、身份能夠認(rèn)證、能夠掃描弱點漏洞、進(jìn)行日志審計、身份能夠認(rèn)證、能夠防抵賴、數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)設(shè)備能夠有效管理，從防抵賴、數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)設(shè)備能夠有效管理，從而達(dá)到網(wǎng)絡(luò)、設(shè)備、軟件及應(yīng)用系統(tǒng)能夠安全穩(wěn)定快而達(dá)到網(wǎng)絡(luò)、設(shè)備、軟件及應(yīng)用系統(tǒng)能夠安全穩(wěn)定快速可靠地不間斷地運行和

7、提供服務(wù)。速可靠地不間斷地運行和提供服務(wù)。分區(qū)防護(hù)接入部分安全域接入部分安全域部署邊界防火墻、網(wǎng)閘、防病毒匯聚部分安全域匯聚部分安全域外網(wǎng)防火墻、認(rèn)證網(wǎng)關(guān)、抗DOS、垃圾郵件過濾MPLS VPN、IPSec核心部分安全域核心部分安全域核心防火墻、入侵檢測、漏洞掃描、防病毒、數(shù)據(jù)庫加密、主機管理與審計相關(guān)安全策略 路由器安全配置策略 交換機安全配置策略 邊界防火墻安全策略 核心防火墻安全策略 物理隔離網(wǎng)閘數(shù)據(jù)交換擺渡策略 病毒檢查與病毒庫更新策略 漏洞掃描策略 抗DOS攻擊策略省電子政務(wù)網(wǎng)防火墻禁止訪問前置服務(wù)器FE1FE2FE3廳局委辦邊界接入示意圖廳局委辦邊界接入示意圖允許訪問允許訪問接入單

8、位內(nèi)部局域網(wǎng)交換機百兆防火墻物理連接示意圖百兆防火墻物理連接示意圖千兆防火墻物理連接示意圖千兆防火墻物理連接示意圖省電子政務(wù)網(wǎng)接入單位內(nèi)部局域網(wǎng)交換機禁止訪問和擺渡前置服務(wù)器中網(wǎng)網(wǎng)閘網(wǎng)閘接入方式網(wǎng)閘接入方式1 直接隔離方式直接隔離方式將本次新建內(nèi)部網(wǎng)絡(luò)與省政將本次新建內(nèi)部網(wǎng)絡(luò)與省政務(wù)網(wǎng)進(jìn)行隔離；務(wù)網(wǎng)進(jìn)行隔離；隔離兩個不同安全級別的網(wǎng)隔離兩個不同安全級別的網(wǎng)絡(luò)，在兩個網(wǎng)絡(luò)之間設(shè)置數(shù)絡(luò)，在兩個網(wǎng)絡(luò)之間設(shè)置數(shù)據(jù)擺渡交換通道據(jù)擺渡交換通道允許訪問允許擺渡網(wǎng)閘接入方式一物理連接示意圖網(wǎng)閘接入方式一物理連接示意圖省電子政務(wù)網(wǎng)網(wǎng)閘服務(wù)器網(wǎng)閘接入方式網(wǎng)閘接入方式2 隔離內(nèi)部服務(wù)器方式隔離內(nèi)部服務(wù)器方式網(wǎng)閘用于

9、保護(hù)接入單位的內(nèi)部服網(wǎng)閘用于保護(hù)接入單位的內(nèi)部服務(wù)器。務(wù)器。前置服務(wù)器禁止訪問允許單向數(shù)據(jù)擺渡接入單位內(nèi)部局域網(wǎng)交換機網(wǎng)閘接入方式二物理連接示意圖網(wǎng)閘接入方式二物理連接示意圖網(wǎng)絡(luò)防病毒系統(tǒng) 分布式體系結(jié)構(gòu)、分布式體系結(jié)構(gòu)、 多級管理中心規(guī)劃多級管理中心規(guī)劃 病毒監(jiān)控管理中心（系統(tǒng)中心）病毒監(jiān)控管理中心病毒監(jiān)控管理中心遠(yuǎn)程遠(yuǎn)程殺毒殺毒自動自動升級升級遠(yuǎn)程遠(yuǎn)程報警報警網(wǎng)絡(luò)網(wǎng)絡(luò)管理管理 客戶端客戶端客戶端服務(wù)器端服務(wù)器端查殺病毒查殺病毒自動自動升級升級遠(yuǎn)程安裝遠(yuǎn)程安裝實時實時監(jiān)控監(jiān)控 服務(wù)器端控制臺控制臺控制控制設(shè)置設(shè)置管理管理Cisco 7609網(wǎng)神G7網(wǎng)神G7Cisco 7609漏洞掃描系統(tǒng)漏洞

10、掃描系統(tǒng)手持式漏掃目前存在的主要問題 管理機構(gòu)及制度不完善 沒有明確安全管理責(zé)任人 機房環(huán)境較差 部分單位網(wǎng)絡(luò)基礎(chǔ)條件較為落后 安全防護(hù)技術(shù)手段欠缺三、對接入單位的要求1、明確信息安全管理機構(gòu) 明確管理機構(gòu)及人員人員組成；明確管理機構(gòu)及人員人員組成； 明確信息安全責(zé)任人；明確信息安全責(zé)任人； 職能及責(zé)任定位。職能及責(zé)任定位。2、人員安全管理信息安全人員基本要求；信息安全人員基本要求；信息安全人員管理；信息安全人員管理；信息安全人員職責(zé)范圍；信息安全人員職責(zé)范圍；要害崗位人員管理；要害崗位人員管理；要害崗位安全責(zé)任；要害崗位安全責(zé)任；第三方人員管理；第三方人員管理；培訓(xùn)與教育等方面內(nèi)容培訓(xùn)與教育

11、等方面內(nèi)容 。 組織機構(gòu)和人員職責(zé)管理辦法組織機構(gòu)和人員職責(zé)管理辦法主要內(nèi)主要內(nèi)容：容： 信息安全管理機構(gòu)設(shè)置和職責(zé)，關(guān)于網(wǎng)絡(luò)安全，應(yīng)信息安全管理機構(gòu)設(shè)置和職責(zé)，關(guān)于網(wǎng)絡(luò)安全，應(yīng)急處理，安全保衛(wèi)等工作組的要求，網(wǎng)絡(luò)安全人員基急處理，安全保衛(wèi)等工作組的要求，網(wǎng)絡(luò)安全人員基本要求，網(wǎng)絡(luò)安全人員管理，網(wǎng)絡(luò)安全人員職責(zé)范圍，本要求，網(wǎng)絡(luò)安全人員管理，網(wǎng)絡(luò)安全人員職責(zé)范圍，要害崗位安全責(zé)任，培訓(xùn)與教育等。要害崗位安全責(zé)任，培訓(xùn)與教育等。3、主要安全管理規(guī)章制度要點、主要安全管理規(guī)章制度要點機房管理制度一、出入管理一、出入管理 1、機房工作人員進(jìn)出機房應(yīng)佩戴工作牌； 2、嚴(yán)禁非機房工作人員進(jìn)入機房，特殊情

12、況需經(jīng)機房值班負(fù)責(zé)人批準(zhǔn)，并認(rèn)真填寫登記表后方可進(jìn)入。 3、 進(jìn)入機房人員應(yīng)遵守機房管理制度，更換專用工作鞋；機房工作人員必須穿著工作服。 4、 進(jìn)入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設(shè)備正常運行構(gòu)成威脅的物品。二、值班操作管理二、值班操作管理 1、 中心機房的數(shù)據(jù)實行雙人作業(yè)制度；操作人員遵守值班制度，不得擅自脫崗。 2、 值班人員必須認(rèn)真、如實、詳細(xì)填寫機房日志等各種登記簿，以備后查。3、 嚴(yán)格按照每日預(yù)制操作流程進(jìn)行操作，對新上業(yè)務(wù)及特殊情況需要變更流程的應(yīng)事先進(jìn)行詳細(xì)安排并書面報負(fù)責(zé)人批準(zhǔn)簽字后方可執(zhí)行；所有操作變更必須有存檔記錄。4、 每日對機房環(huán)境

13、進(jìn)行清潔，以保持機房整潔；每周進(jìn)行一次大清掃，對機器設(shè)備吸塵清潔。 5、 值班人員必須密切監(jiān)視中心設(shè)備運行狀況以及各網(wǎng)點運行情況，確保安全、高效運行。6、 嚴(yán)格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。中心服務(wù)器數(shù)據(jù)庫要定期進(jìn)行雙備份，并嚴(yán)格實行異地存放、專人保管。所有重要文檔定期整理裝訂，專人保管，以備后查。設(shè)備及系統(tǒng)管理制度 軟硬件設(shè)備管理制度軟硬件設(shè)備管理制度主要內(nèi)容包括：設(shè)備購置、設(shè)備管主要內(nèi)容包括：設(shè)備購置、設(shè)備管理、設(shè)備及介質(zhì)領(lǐng)用、設(shè)備維修、設(shè)備及介質(zhì)報廢辦法等。理、設(shè)備及介質(zhì)領(lǐng)用、設(shè)備維修、設(shè)備及介質(zhì)報廢辦法等。 網(wǎng)絡(luò)及系統(tǒng)運行安全管理制度網(wǎng)絡(luò)及系統(tǒng)運行安全管理制度主要內(nèi)容包括

14、：網(wǎng)管人員主要內(nèi)容包括：網(wǎng)管人員職責(zé)，網(wǎng)絡(luò)運行管理，網(wǎng)絡(luò)設(shè)備管理等、還應(yīng)建立網(wǎng)絡(luò)訪問控職責(zé)，網(wǎng)絡(luò)運行管理，網(wǎng)絡(luò)設(shè)備管理等、還應(yīng)建立網(wǎng)絡(luò)訪問控制授權(quán)審批表，網(wǎng)絡(luò)運行維護(hù)記錄、應(yīng)用系統(tǒng)帳戶授權(quán)，外單制授權(quán)審批表，網(wǎng)絡(luò)運行維護(hù)記錄、應(yīng)用系統(tǒng)帳戶授權(quán)，外單位人員應(yīng)用系統(tǒng)帳戶授權(quán)審批表，應(yīng)用系統(tǒng)維護(hù)處理記錄等。位人員應(yīng)用系統(tǒng)帳戶授權(quán)審批表，應(yīng)用系統(tǒng)維護(hù)處理記錄等。4、上網(wǎng)信息內(nèi)容界定 涉密不上網(wǎng)，上網(wǎng)不涉密；涉密不上網(wǎng)，上網(wǎng)不涉密； 誰上網(wǎng)，誰負(fù)責(zé)；誰上網(wǎng)，誰負(fù)責(zé)； 按照保密局要求把好上網(wǎng)信息審查關(guān)。按照保密局要求把好上網(wǎng)信息審查關(guān)。5、信息安全應(yīng)急管理為保證在發(fā)生各種信息安全事件情況下，能夠從容為保證

15、在發(fā)生各種信息安全事件情況下，能夠從容處理事件、縮小影響、減少停運時間、降低損失，處理事件、縮小影響、減少停運時間、降低損失，針對信息系統(tǒng)的設(shè)備、環(huán)境等運行情況，充分做好針對信息系統(tǒng)的設(shè)備、環(huán)境等運行情況，充分做好應(yīng)急事件預(yù)想、要求制定各個系統(tǒng)的應(yīng)急預(yù)案；應(yīng)急事件預(yù)想、要求制定各個系統(tǒng)的應(yīng)急預(yù)案；主要內(nèi)容包括：應(yīng)急預(yù)案的原則和要求、應(yīng)急預(yù)案主要內(nèi)容包括：應(yīng)急預(yù)案的原則和要求、應(yīng)急預(yù)案的內(nèi)容和結(jié)構(gòu)、全事件定義、報告程序、還應(yīng)建立的內(nèi)容和結(jié)構(gòu)、全事件定義、報告程序、還應(yīng)建立安全事件報告內(nèi)容要求、應(yīng)急措施等。安全事件報告內(nèi)容要求、應(yīng)急措施等。存在將桌面終端設(shè)備自行接入存在將桌面終端設(shè)備自行接入Int

16、ernet的可能，如的可能，如ADSL撥號、無線上網(wǎng)、可移動的筆記本電腦連接撥號、無線上網(wǎng)、可移動的筆記本電腦連接到其它網(wǎng)絡(luò)上；到其它網(wǎng)絡(luò)上；存在著在網(wǎng)絡(luò)系統(tǒng)內(nèi)，隔離設(shè)備、防火墻、入侵檢存在著在網(wǎng)絡(luò)系統(tǒng)內(nèi)，隔離設(shè)備、防火墻、入侵檢測等安全手段往往被一些違反安全策略的行為所繞測等安全手段往往被一些違反安全策略的行為所繞過，帶來一定的安全隱患過，帶來一定的安全隱患 6、非法外聯(lián)檢查、非法外聯(lián)檢查 7、控制縱向可訪問的范圍、控制縱向可訪問的范圍8、不隨意更改相關(guān)設(shè)備策略配置 路由器安全配置策略路由器安全配置策略 交換機安全配置策略交換機安全配置策略 防火墻安全策略防火墻安全策略 隔離網(wǎng)閘數(shù)據(jù)交換策略

17、隔離網(wǎng)閘數(shù)據(jù)交換策略 病毒庫定時更新與及時查殺策略病毒庫定時更新與及時查殺策略 以上策略均由省電子政務(wù)中心統(tǒng)一設(shè)置和管理以上策略均由省電子政務(wù)中心統(tǒng)一設(shè)置和管理 前置服務(wù)器病毒庫定時更新與及時查殺策略；前置服務(wù)器病毒庫定時更新與及時查殺策略； 每天每天1點升級，各單位前置服務(wù)器一旦開機，進(jìn)點升級，各單位前置服務(wù)器一旦開機，進(jìn)行自動升級；行自動升級； 各單位內(nèi)部局域網(wǎng)上的防病毒系統(tǒng)由各單位自行各單位內(nèi)部局域網(wǎng)上的防病毒系統(tǒng)由各單位自行建設(shè)，建議盡快完善。內(nèi)部局域網(wǎng)的防病毒系統(tǒng)，建設(shè)，建議盡快完善。內(nèi)部局域網(wǎng)的防病毒系統(tǒng)，應(yīng)每天進(jìn)行病毒庫的升級，每天查殺病毒。應(yīng)每天進(jìn)行病毒庫的升級，每天查殺病毒。

18、 關(guān)注微軟等軟件提供商或安全廠商的網(wǎng)站，及時關(guān)注微軟等軟件提供商或安全廠商的網(wǎng)站，及時對服務(wù)器、桌面機安裝補丁軟件，修補漏洞，確保對服務(wù)器、桌面機安裝補丁軟件，修補漏洞，確保所有服務(wù)器及所有服務(wù)器及PC機運行的操作系統(tǒng)安裝了最新補機運行的操作系統(tǒng)安裝了最新補丁或者修正程序。丁或者修正程序。9、完善病毒防護(hù)及補丁管理措施、完善病毒防護(hù)及補丁管理措施防火墻內(nèi)網(wǎng) / 專網(wǎng) / 辦公網(wǎng)省電子政務(wù)網(wǎng)前置服務(wù)器接入單位路由器Internet防火墻10、完善邊界安全防護(hù)措施、完善邊界安全防護(hù)措施11、定期檢查維護(hù)、定期檢查維護(hù)12、機房環(huán)境及運行管理注意事項、機房環(huán)境及運行管理注意事項配備相應(yīng)功率的不間斷電源，是保證業(yè)務(wù)正常運營的必要條件。配備相應(yīng)功率的不間斷電源，是保證業(yè)務(wù)正常運營的必要條件。機房有獨立的空調(diào)設(shè)備，是保證硬件設(shè)備正常運轉(zhuǎn)的必要條件。機房有獨立的空調(diào)設(shè)備，是保證硬件設(shè)備正常運轉(zhuǎn)的必要條件。防火、防水、抗震、防磁、防靜電、防塵、防雷擊、防鼠害等措施，防火、防水、抗震、防磁、