網絡工程規(guī)劃與設計案例教程項目五任務6國家信息中心-國家電子政務安全建設

國家電子政務外網

平安建設國家信息中心電子政務外網建設辦公室國家電子政務外網〔以下簡稱政務外網〕是中辦發(fā)[2002]17號文件明確規(guī)定要建設的電子政務網絡平臺。電子政務外網與電子政務內網“之間物理隔離，政務外網與互聯網之間邏輯隔離〞“政務外網是政府的業(yè)務專網，主要運行政務部門面向社會的專業(yè)性效勞業(yè)務和不需要在內網上運行的業(yè)務〞電子外網為政務部門的業(yè)務系統(tǒng)提供網絡、信息、平安等支撐效勞，為社會公眾提供政務信息效勞。建設背景2工程項目批復2004年10月，國家發(fā)改委批復工程建議書，即?關于國家電子政務外網〔一期工程〕工程建議書的批復?〔發(fā)改高技[2004]2135號〕。明確了外網〔一期工程〕工程由國家信息中心承擔建設；2004年11月，國家發(fā)改委正式批復工程可研報告(發(fā)改高技[2004]2412號)，明確了國家電子政務外網一期工程第一階段的建設工作正式啟動；2004年12月，根據國家開展和改革委員會高技司的批復文件編寫工程初步設計,現巳完成預評審。首批工程經費已到位.3工程項目建設目標依托統(tǒng)一的國家電子政務通信傳輸網絡，整合建設電子政務外網，支持電子政務業(yè)務系統(tǒng)的運行，支持跨部門、跨地區(qū)的信息資源共享，支持電子政務業(yè)務的互聯互通和信息交換，促進政府監(jiān)管能力和效勞水平的提高。4工程項目建設進度工程將分多期推進。第一期第一階段今年底年完成,目標是：實現國務院16個部委局署和32個省市區(qū)的外網連接建設政務外網頂層認證中心〔根CA)和證書審核注冊中心〔RA)建設中央、部門與省市區(qū)的兩級外網效勞體系和數據交換中心等實現金宏、金審、社會保障等業(yè)務系統(tǒng)在政務外網的試運行5工程項目建設內容網絡規(guī)劃與標準標準〔網絡整體規(guī)劃、IP地址規(guī)劃、域名規(guī)劃、路由規(guī)劃、標準標準體系建設〕政務外網平臺〔中央城域網、廣域骨干網、省市級政務外網、接入網〕數據交換中心平臺〔數據交換中心、數據備份、外網信息資源目錄，數據交換平臺、外網網站〕平安保障體系〔網絡平安防護、統(tǒng)一網絡信任平臺與風險評估〕管理效勞體系〔網絡管理、根底網絡效勞、平安監(jiān)控與管理、認證與授權、資源登記、信息發(fā)布、客戶效勞〕6網絡建設技術要點架構在根底傳輸網絡上的IP網絡專網+Internet統(tǒng)一的出口中央MAN(26個部委)+WAN(31個省市區(qū))WAN:雙星結構(155MPOS+2Mbackup)中央MAN(2.5GPOSorRPR)網絡管理+運營支撐7第一階段工程組網圖8工程工程第一階段總體構架9安全方案概述

信息平安風險分析平安策略和建設原那么平安系統(tǒng)重點建設內容10平安需求分析明確責任領導和責任是政務機關根本運行制度，區(qū)分責任和追究責任是政務外網必須提供的平安功能之一。保證身份正確識別領導制度和責任制度的根底都是基于對公務員身份確實認。區(qū)分用戶權限政務機關的正常運行很大程度上依賴于建立一套行之有效的“權限〞劃分和管理體制，政務外網必須保證政務機關“權限〞分配和管理得到了良好的實現。保障政務業(yè)務連續(xù)運轉政務外網的平安正常運行是政務業(yè)務連續(xù)運行的保障，確保政務外網不會影響政務機關的連續(xù)運行。維護政務機關形象政務外網的效率、效勞品質等都代表政務機關的“形象〞，是提高社會公眾政務機關的信心、支持政務機關決策的重要手段。11安全分析1.外部攻擊和破壞風險網絡受到破壞攻擊，網絡局部或全部癱瘓，喪失業(yè)務支撐和效勞能力；網絡信息傳輸過程中缺乏必要的平安措施，造成信息失真或信息內容遭到破壞；不同平安域未能實現平安交換，未經授權的泄露，導致嚴重的政治或經濟后果；權限管理和信任體系存在漏洞，假冒合法用戶獲取不正當利益；國外情報機構利用政務外網作為獲取我國政治、經濟信息的手段；商業(yè)機構試圖從政務外網上的相關資源獲取競爭對手、用戶等的商業(yè)機密信息；12安全分析2.內部風險內部人員串通外部人員進行欺詐或訪問受保護信息；平安管理存在漏洞；意外破壞，不熟練的用戶或者其他用戶可能無意中破壞政務外網效勞功能等。3.設備故障與損壞風險網絡設備故障造成網絡局部或全部癱瘓；設備故障造成數據損害或喪失。13平安策略嚴格遵循國家法規(guī)，接受國家主管部門的指導；選購和使用經國家批準的平安設備與技術；統(tǒng)一標準、管理外網與因特網間的信息交互和外網邊界防護；明確劃定平安域，實施平安等級保護原那么；建立可信網絡環(huán)境和訪問權限控制；加強平安管理，建立有效的平安管理機制；實現有效監(jiān)控，及時發(fā)現，緊急響應，確保外網的可用性。14平安建設原那么立足國情，保障外網自身及其所支撐的業(yè)務系統(tǒng)的平安統(tǒng)籌規(guī)劃，在風險評估的根底上，平衡建設本錢和平安風險保障重點管理技術并重，管理科學性與技術前瞻性相結合以開展促平安、平安保開展，堅持可持續(xù)開展性、可擴展性、開放性相結合的原那么15平安保障體系平安保障體系網絡信任體系網絡平安防護體系平安效勞體系基于橋CA的互聯互通PKI/CA證書管理系統(tǒng)密碼服務管理體系密鑰管理服務體系物理層安全傳輸層安全系統(tǒng)層安全管理層安全安全咨詢安全評估安全加固安全培訓信息平安根底設施平安管理體系應用層安全平安策略管理制度法律法規(guī)技術標準平安保障體系網絡信任網絡平安防護平安效勞基于橋CA的互聯互通PKI/CA證書管理系統(tǒng)密碼服務管理密鑰管理服務物理層安全傳輸層安全系統(tǒng)層安全管理層安全安全咨詢安全評估安全加固安全培訓信息平安根底設施平安管理機制應用層安全平安策略管理制度法律法規(guī)技術標準標準標準與風險評估16平安系統(tǒng)重點建設內容網絡平安防護系統(tǒng)劃定平安域，實施平安等級保護,建設網絡防護子系統(tǒng)、因特網出口隔離管理子系統(tǒng)等；網絡信任系統(tǒng)按照國家網絡信任體系建設的統(tǒng)一規(guī)劃，在國家信息平安主管部門的指導下，建設頂層認證中心(根CA)和證書審核注冊中心(RA)；構建外網網絡信任系統(tǒng)平安管理系統(tǒng)，建設中央和省兩級平安管理中心,制訂平安標準標準,建立平安管理和效勞機制17網絡平安域的劃分各節(jié)點的局域網構成相對獨立的平安域:中央網絡管理中心局域網；中央城域網接入節(jié)點單位；各省市節(jié)點的二級網絡管理中心局域網；中央城域網接入節(jié)點單位；各省市節(jié)點的各自的接入網絡。18平安域劃分示意圖19最低平安保護等級對于網絡的平安保護按照如下等級要求進行：中央網絡管理中心局域網、中央城域網接入單位的網絡管理中心局域網和各省市節(jié)點的二級網絡管理中心局域網，至少到達第三級〔監(jiān)督保護級〕；中央城域網接入節(jié)點單位和各省市的網絡，至少到達第二級〔指導保護級〕。20平安域等級防護設計21政務外網防護措施防火墻系統(tǒng)網絡入侵檢測系統(tǒng)抗拒絕效勞系統(tǒng)防病毒網關VPN網關平安認證網關網管中心主機加固22因特網出口管理策略對政務外網與因特網平安聯接的出口嚴格控制，邏輯隔離設備由國家外網平安管理中心和各省級節(jié)點平安管理中心統(tǒng)一管理。外網建設第一階段，以國家政務外網網管中心的因特網出口為主，提供因特網接入效勞。中央城域網接入單位今后原那么上統(tǒng)一使用國家政務外網網管中心的因特網出入口。省市節(jié)點如確實需要設立單獨的因特網出入口，應當上報國家外網平安管理中心，經其檢查合格后再行開通。為了保障政務外網邏輯隔離的平安，不滿足政務外網與因特網邏輯隔離標準的省市接入單位一律不得擅自開設因特網出入口。按照國家規(guī)定，國家外網平安管理中心負責不定期地進行檢查。23政務外網信任體系政務外網信任體系是效勞于各種公眾網上業(yè)務〔包括政府面向公眾效勞的電子政務業(yè)務、電子商務業(yè)務和其它信息化應用〕的PKI體系負責向參與網上業(yè)務的實體〔包括人員、機構和設備〕提供信任和平安效勞24電子政務外網根CA電子政務外網根CA運營CA運營CAKMCKMC省級CAn省級CAn中辦RA中辦RA省級CA1省級CA1---農業(yè)部RA農業(yè)部RA商務部RA商務部RA---電子政務外網根CA電子政務外網根CA電子政務外網根CA電子政務外網根CA運營CA運營CA運營CA運行CAKMCKMC省級CAn省級CAn省級CAn省級CAn中辦RA發(fā)改委RA省級CA1省級CA1省級CA1省級CA1---農業(yè)部RA農業(yè)部RA農業(yè)部審計署RA商務部RA商務部RA商務部RA勞動部RA外網信任體系一期建設內容25政務外網信任體系在整個體系中，采用嚴格的層次模型，與國家的行政管理體系相吻合，RCA是整個國家電子政務外網PKI體系的信任源,統(tǒng)一的信任源保證了政務外網各部門、各地方