電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)2023/12/27電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)主題一、信息安全整體設(shè)計(jì)思路及方案二、一期工程建設(shè)及工作進(jìn)展情況三、對(duì)各接入單位的要求及注意事項(xiàng)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)一、信息安全整體設(shè)計(jì)思路及方案定位依據(jù)總體思路及方案電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)1、定位非涉密的政務(wù)外網(wǎng)；與Internet邏輯隔離，與涉密網(wǎng)物理隔離；聯(lián)接范圍：省內(nèi)縣級(jí)以上黨政機(jī)關(guān)；滿(mǎn)足政務(wù)部門(mén)行政管理、公共服務(wù)、電子辦公需要的統(tǒng)一網(wǎng)絡(luò)基礎(chǔ)平臺(tái)；是國(guó)家電子政務(wù)外網(wǎng)的組成部分。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)2、依據(jù)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》，中辦發(fā)[2003]27號(hào)文件；《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南（試用）》，國(guó)信辦；《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》，國(guó)家保密局；《湖北省電子政務(wù)建設(shè)規(guī)劃綱要》；《湖北省電子政務(wù)建設(shè)總體設(shè)計(jì)與實(shí)施方案》。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)3、總體安全建設(shè)思路物理與線路傳輸安全網(wǎng)絡(luò)安全主機(jī)與系統(tǒng)安全數(shù)據(jù)與應(yīng)用安全管理安全電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)物理與線路傳輸安全

物理位置的選擇；物理訪問(wèn)控制（門(mén)禁、監(jiān)控）；防盜竊和防破壞（鐵門(mén)、鐵窗、鐵柜）；防雷擊（防雷系統(tǒng)）；防火、防水和防潮、防靜電、溫濕度控制；電力供應(yīng)（UPS）；電磁防護(hù)；通信線路備份；通信的完整性、保密性。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)絡(luò)安全

結(jié)構(gòu)安全與網(wǎng)段劃分（網(wǎng)絡(luò)規(guī)劃、域的劃分）；網(wǎng)絡(luò)隔離與訪問(wèn)控制（防火墻、網(wǎng)閘、接入路由器）；網(wǎng)絡(luò)安全審計(jì)（網(wǎng)絡(luò)行為監(jiān)控）；邊界完整性檢查（防非法外聯(lián)監(jiān)控）；網(wǎng)絡(luò)入侵防范（IDS）；惡意攻擊防范（防DOS）；網(wǎng)絡(luò)設(shè)備管護(hù)；網(wǎng)絡(luò)資源控制。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)主機(jī)與系統(tǒng)安全

身份鑒別（CA）；訪問(wèn)控制（口令、IC卡）；安全審計(jì)（日志）；系統(tǒng)保護(hù)（內(nèi)核加固）；入侵防范（HIDS）；惡意代碼防范及防病毒。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

身份鑒別；訪問(wèn)授權(quán)及控制；安全審計(jì)；抗抵賴(lài)；軟件容錯(cuò)；資源控制（應(yīng)用流量管理）；代碼安全。數(shù)據(jù)與應(yīng)用安全－－應(yīng)用安全電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)數(shù)據(jù)與應(yīng)用安全－－數(shù)據(jù)安全

數(shù)據(jù)完整性（防篡改）數(shù)據(jù)保密性（數(shù)據(jù)庫(kù)加密）數(shù)據(jù)備份和恢復(fù)（存儲(chǔ)備份）異地容災(zāi)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)管理安全

管理機(jī)構(gòu)；安全人員及責(zé)任；管理制度；管理技術(shù)手段－綜合安全管理平臺(tái)；審計(jì)管理；安全服務(wù)。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)二、一期工程建設(shè)及工作進(jìn)展情況電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)一期已部署的主要技術(shù)措施防火墻、隔離網(wǎng)閘、入侵檢測(cè)、防病毒、垃圾郵件過(guò)濾、抗攻擊、漏洞掃描、數(shù)據(jù)庫(kù)加密、安全認(rèn)證網(wǎng)關(guān)、主機(jī)管理與審計(jì)系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理；數(shù)字證書(shū)系統(tǒng)（CA)。實(shí)現(xiàn)直接目標(biāo)：安全域的劃分與隔離、檢測(cè)入侵行為、查殺各種病毒、過(guò)濾垃圾郵件、抵抗各類(lèi)攻擊、掃描弱點(diǎn)漏洞、進(jìn)行日志審計(jì)、身份能夠認(rèn)證、能夠防抵賴(lài)、數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)設(shè)備能夠有效管理，從而達(dá)到網(wǎng)絡(luò)、設(shè)備、軟件及應(yīng)用系統(tǒng)能夠安全穩(wěn)定快速可靠地不間斷地運(yùn)行和提供服務(wù)。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)分區(qū)防護(hù)接入部分安全域部署邊界防火墻、網(wǎng)閘、防病毒匯聚部分安全域外網(wǎng)防火墻、認(rèn)證網(wǎng)關(guān)、抗DOS、垃圾郵件過(guò)濾MPLSVPN、IPSec核心部分安全域核心防火墻、入侵檢測(cè)、漏洞掃描、防病毒、數(shù)據(jù)庫(kù)加密、主機(jī)管理與審計(jì)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)相關(guān)安全策略路由器安全配置策略交換機(jī)安全配置策略邊界防火墻安全策略核心防火墻安全策略物理隔離網(wǎng)閘數(shù)據(jù)交換擺渡策略病毒檢查與病毒庫(kù)更新策略漏洞掃描策略抗DOS攻擊策略電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)省電子政務(wù)網(wǎng)防火墻禁止訪問(wèn)前置服務(wù)器FE1FE2FE3通過(guò)在防火墻上設(shè)置相應(yīng)的訪問(wèn)控制策略來(lái)實(shí)現(xiàn)防護(hù)功能，如：數(shù)據(jù)包過(guò)濾、禁止常見(jiàn)的病毒端口、根據(jù)時(shí)間、源IP、服務(wù)內(nèi)容、協(xié)議進(jìn)行訪問(wèn)控制等。對(duì)于已建設(shè)內(nèi)部局域網(wǎng)的廳局委辦采用NAT方式接入；對(duì)于未建設(shè)內(nèi)部局域網(wǎng)的廳局委辦采用路由方式接入。廳局委辦邊界接入示意圖允許訪問(wèn)允許訪問(wèn)接入單位內(nèi)部局域網(wǎng)交換機(jī)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)百兆防火墻物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)千兆防火墻物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)省電子政務(wù)網(wǎng)接入單位內(nèi)部局域網(wǎng)交換機(jī)禁止訪問(wèn)和擺渡前置服務(wù)器中網(wǎng)網(wǎng)閘網(wǎng)閘接入－方式1直接隔離方式將本次新建內(nèi)部網(wǎng)絡(luò)與省政務(wù)網(wǎng)進(jìn)行隔離；隔離兩個(gè)不同安全級(jí)別的網(wǎng)絡(luò)，在兩個(gè)網(wǎng)絡(luò)之間設(shè)置數(shù)據(jù)擺渡交換通道。允許訪問(wèn)允許擺渡電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)閘接入方式一物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)省電子政務(wù)網(wǎng)網(wǎng)閘服務(wù)器網(wǎng)閘接入－方式2隔離內(nèi)部服務(wù)器方式網(wǎng)閘用于保護(hù)接入單位的內(nèi)部服務(wù)器。前置服務(wù)器禁止訪問(wèn)允許單向數(shù)據(jù)擺渡接入單位內(nèi)部局域網(wǎng)交換機(jī)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)閘接入方式二物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)絡(luò)防病毒系統(tǒng)分布式體系結(jié)構(gòu)、多級(jí)管理中心規(guī)劃

病毒監(jiān)控管理中心（系統(tǒng)中心）病毒監(jiān)控管理中心遠(yuǎn)程殺毒自動(dòng)升級(jí)遠(yuǎn)程報(bào)警網(wǎng)絡(luò)管理

客戶(hù)端

客戶(hù)端查殺病毒自動(dòng)升級(jí)實(shí)時(shí)監(jiān)控服務(wù)器端查殺病毒自動(dòng)升級(jí)遠(yuǎn)程安裝實(shí)時(shí)監(jiān)控

服務(wù)器端

控制臺(tái)控制設(shè)置管理電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)Cisco7609網(wǎng)神G7網(wǎng)神G7Cisco7609漏洞掃描系統(tǒng)配備了機(jī)架式和手持式漏洞掃描設(shè)備。對(duì)網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等），安全設(shè)備（防火墻、網(wǎng)閘等）、主機(jī)系統(tǒng)（Windows、Unix等），應(yīng)用系統(tǒng)（SQLServer、Oracle等）的漏洞進(jìn)行掃描評(píng)估。已設(shè)定每周自動(dòng)掃描。手持式漏掃電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)目前存在的主要問(wèn)題管理機(jī)構(gòu)及制度不完善沒(méi)有明確安全管理責(zé)任人機(jī)房環(huán)境較差部分單位網(wǎng)絡(luò)基礎(chǔ)條件較為落后安全防護(hù)技術(shù)手段欠缺電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)三、對(duì)接入單位的要求電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)1、明確信息安全管理機(jī)構(gòu)明確管理機(jī)構(gòu)及人員人員組成；明確信息安全責(zé)任人；職能及責(zé)任定位。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)2、人員安全管理信息安全人員基本要求；信息安全人員管理；信息安全人員職責(zé)范圍；要害崗位人員管理；要害崗位安全責(zé)任；第三方人員管理；培訓(xùn)與教育等方面內(nèi)容。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)《組織機(jī)構(gòu)和人員職責(zé)管理辦法》主要內(nèi)容：信息安全管理機(jī)構(gòu)設(shè)置和職責(zé)，關(guān)于網(wǎng)絡(luò)安全，應(yīng)急處理，安全保衛(wèi)等工作組的要求，網(wǎng)絡(luò)安全人員基本要求，網(wǎng)絡(luò)安全人員管理，網(wǎng)絡(luò)安全人員職責(zé)范圍，要害崗位安全責(zé)任，培訓(xùn)與教育等。3、主要安全管理規(guī)章制度要點(diǎn)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)機(jī)房管理制度一、出入管理1、機(jī)房工作人員進(jìn)出機(jī)房應(yīng)佩戴工作牌；2、嚴(yán)禁非機(jī)房工作人員進(jìn)入機(jī)房，特殊情況需經(jīng)機(jī)房值班負(fù)責(zé)人批準(zhǔn)，并認(rèn)真填寫(xiě)登記表后方可進(jìn)入。3、進(jìn)入機(jī)房人員應(yīng)遵守機(jī)房管理制度，更換專(zhuān)用工作鞋；機(jī)房工作人員必須穿著工作服。4、進(jìn)入機(jī)房人員不得攜帶任何易燃、易爆、腐蝕性、強(qiáng)電磁、輻射性、流體物質(zhì)等對(duì)設(shè)備正常運(yùn)行構(gòu)成威脅的物品。二、值班操作管理1、中心機(jī)房的數(shù)據(jù)實(shí)行雙人作業(yè)制度；操作人員遵守值班制度，不得擅自脫崗。2、值班人員必須認(rèn)真、如實(shí)、詳細(xì)填寫(xiě)《機(jī)房日志》等各種登記簿，以備后查。3、嚴(yán)格按照每日預(yù)制操作流程進(jìn)行操作，對(duì)新上業(yè)務(wù)及特殊情況需要變更流程的應(yīng)事先進(jìn)行詳細(xì)安排并書(shū)面報(bào)負(fù)責(zé)人批準(zhǔn)簽字后方可執(zhí)行；所有操作變更必須有存檔記錄。4、每日對(duì)機(jī)房環(huán)境進(jìn)行清潔，以保持機(jī)房整潔；每周進(jìn)行一次大清掃，對(duì)機(jī)器設(shè)備吸塵清潔。5、值班人員必須密切監(jiān)視中心設(shè)備運(yùn)行狀況以及各網(wǎng)點(diǎn)運(yùn)行情況，確保安全、高效運(yùn)行。6、嚴(yán)格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。中心服務(wù)器數(shù)據(jù)庫(kù)要定期進(jìn)行雙備份，并嚴(yán)格實(shí)行異地存放、專(zhuān)人保管。所有重要文檔定期整理裝訂，專(zhuān)人保管，以備后查。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)設(shè)備及系統(tǒng)管理制度《軟硬件設(shè)備管理制度》主要內(nèi)容包括：設(shè)備購(gòu)置、設(shè)備管理、設(shè)備及介質(zhì)領(lǐng)用、設(shè)備維修、設(shè)備及介質(zhì)報(bào)廢辦法等?！毒W(wǎng)絡(luò)及系統(tǒng)運(yùn)行安全管理制度》主要內(nèi)容包括：網(wǎng)管人員職責(zé)，網(wǎng)絡(luò)運(yùn)行管理，網(wǎng)絡(luò)設(shè)備管理等、還應(yīng)建立網(wǎng)絡(luò)訪問(wèn)控制授權(quán)審批表，網(wǎng)絡(luò)運(yùn)行維護(hù)記錄、應(yīng)用系統(tǒng)帳戶(hù)授權(quán)，外單位人員應(yīng)用系統(tǒng)帳戶(hù)授權(quán)審批表，應(yīng)用系統(tǒng)維護(hù)處理記錄等。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)4、上網(wǎng)信息內(nèi)容界定涉密不上網(wǎng)，上網(wǎng)不涉密；誰(shuí)上網(wǎng)，誰(shuí)負(fù)責(zé)；按照保密局要求把好上網(wǎng)信息審查關(guān)。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)5、信息安全應(yīng)急管理為保證在發(fā)生各種信息安全事件情況下，能夠從容處理事件、縮小影響、減少停運(yùn)時(shí)間、降低損失，針對(duì)信息系統(tǒng)的設(shè)備、環(huán)境等運(yùn)行情況，充分做好應(yīng)急事件預(yù)想、要求制定各個(gè)系統(tǒng)的應(yīng)急預(yù)案；主要內(nèi)容包括：應(yīng)急預(yù)案的原則和要求、應(yīng)急預(yù)案的內(nèi)容和結(jié)構(gòu)、全事件定義、報(bào)告程序、還應(yīng)建立安全事件報(bào)告內(nèi)容要求、應(yīng)急措施等。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)存在將桌面終端設(shè)備自行接入Internet的可能，如ADSL撥號(hào)、無(wú)線上網(wǎng)、可移動(dòng)的筆記本電腦連接到其它網(wǎng)絡(luò)上；存在著在網(wǎng)絡(luò)系統(tǒng)內(nèi)，隔離設(shè)備、防火墻、入侵檢測(cè)等安全手段往往被一些違反安全策略的行為所繞過(guò)，帶來(lái)一定的安全隱患。6、非法外聯(lián)檢查電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)政府或民政網(wǎng)絡(luò)有可能聯(lián)接到社區(qū)街道、社保網(wǎng)絡(luò)聯(lián)接到醫(yī)院、稅務(wù)網(wǎng)絡(luò)聯(lián)接到納稅人單位、工商網(wǎng)絡(luò)聯(lián)接到工商所、農(nóng)業(yè)網(wǎng)聯(lián)接到鄉(xiāng)村等，在目前的條件下，如不加以控制，存在較明顯的安全隱患；對(duì)于可訪問(wèn)省電子政務(wù)外網(wǎng)的單位，針對(duì)各接入單位有縱向聯(lián)網(wǎng)及橫向協(xié)作單位聯(lián)網(wǎng)的情況，在一期工程建設(shè)期間，對(duì)于省直廳局委辦，只聯(lián)通到省直廳局委辦的辦公局域網(wǎng)，暫時(shí)不向下聯(lián)、不與其橫向聯(lián)網(wǎng)單位相聯(lián)；對(duì)于各地市，只聯(lián)通到相應(yīng)地市政務(wù)網(wǎng)的主管單位；為達(dá)到上述范圍界定目標(biāo)，希望各接入單位在內(nèi)部路由器、交換機(jī)、防火墻等設(shè)備上設(shè)置訪問(wèn)策略。

7、控制縱向可訪問(wèn)的范圍電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)8、不隨意更改相關(guān)設(shè)備策略配置路由器安全配置策略交換機(jī)安全配置策略防火墻安全策略隔離網(wǎng)閘數(shù)據(jù)交換策略病毒庫(kù)定時(shí)更新與及時(shí)查殺策略以上策略均由省電子政務(wù)中心統(tǒng)一設(shè)置和管理電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)前置服務(wù)器病毒庫(kù)定時(shí)更新與及時(shí)查殺策略；每天1點(diǎn)升級(jí)，各單位前置服務(wù)器一旦開(kāi)機(jī)，進(jìn)行自動(dòng)升級(jí)；各單位內(nèi)部局域網(wǎng)上的防病毒系統(tǒng)由各單位自行建設(shè)，建議盡快完善。內(nèi)部局域網(wǎng)的防病毒系統(tǒng)，應(yīng)每天進(jìn)行病毒庫(kù)的升級(jí)，每天查殺病毒。關(guān)注微軟等軟件提供商或安全廠商的網(wǎng)站，及時(shí)對(duì)服務(wù)器、桌面機(jī)安裝補(bǔ)丁軟件，修補(bǔ)漏洞，確保所有服務(wù)器及PC機(jī)運(yùn)行的操作系統(tǒng)安裝了最新補(bǔ)丁或者修正程序。。9、完善病毒防護(hù)及補(bǔ)丁管理措施電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)各接入單位的內(nèi)部局域網(wǎng)如果與Internet相連，要有邊界防護(hù)措施，如防火墻等防火墻內(nèi)網(wǎng)/專(zhuān)網(wǎng)/辦公網(wǎng)省電子政務(wù)網(wǎng)前置服務(wù)器接入單位路由器Internet防火墻10、完善邊界安全防護(hù)措施電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)定期查看安全設(shè)備外觀狀況（指示燈、電源、連接線）；對(duì)應(yīng)接口指示燈不亮，表示異常；檢查應(yīng)用能否訪問(wèn)，否則檢查隔離設(shè)備及路由設(shè)備；檢查供電情況，電壓是否正常。11、定期檢查維護(hù)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)12、機(jī)房環(huán)境及運(yùn)行管理注意事項(xiàng)配備相應(yīng)功率的不間斷電源，是保證業(yè)務(wù)正常運(yùn)營(yíng)的必要條件。機(jī)房有獨(dú)立的空調(diào)設(shè)備，是保證硬件設(shè)備正常運(yùn)轉(zhuǎn)的必要條件。防火、防水、抗震、防磁、防靜電、防塵、防雷擊、防鼠害等措施，這些是為機(jī)房的正常運(yùn)營(yíng)創(chuàng)造的最基本的環(huán)境條件。安全設(shè)備均不能強(qiáng)行斷電，否則容易丟失配置信息。不能隨意關(guān)機(jī)，保持7X24小時(shí)運(yùn)行。移動(dòng)存儲(chǔ)設(shè)備及介質(zhì)不得隨意接入網(wǎng)絡(luò)。不得隨意安裝外來(lái)不明軟件。使用最新版的正版軟件，這是保證系統(tǒng)軟件和應(yīng)用軟件出錯(cuò)最少的最低要求。桌面機(jī)的安全保護(hù)，如密碼屏幕保護(hù)，超時(shí)鍵盤(pán)鎖定等，是防止偷竊數(shù)據(jù)和內(nèi)部人員進(jìn)行破壞的一般要求。應(yīng)建立安全事件記錄制度，以便在出現(xiàn)安全問(wèn)題后追根溯源，及時(shí)進(jìn)行事件處理和恢復(fù)，留下犯罪的佐證。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

機(jī)房物理環(huán)境檢查；檢查人員落實(shí)情況；檢查制度落實(shí)情況；檢查口令（口令是否過(guò)于簡(jiǎn)單）；檢查設(shè)備運(yùn)行日志信息；檢查機(jī)房進(jìn)出管理及登記情況；檢查補(bǔ)丁情況；安全工具檢查；掃描設(shè)備