电子政务外网信息安全建设培训

1、主 题一、信息安全整体设计思路及方案 定位定位 依据依据 总体思路及方案总体思路及方案1、定位 非涉密的政务外网；非涉密的政务外网； 与与Internet逻辑隔离，与涉密网物理隔离；逻辑隔离，与涉密网物理隔离； 联接范围：省内县级以上党政机关；联接范围：省内县级以上党政机关； 满足政务部门行政管理、公共服务、电子满足政务部门行政管理、公共服务、电子办公需要的统一网络基础平台办公需要的统一网络基础平台 ； 是国家电子政务外网的组成部分。是国家电子政务外网的组成部分。2、依据、依据1.关于加强信息安全保障工作的意见关于加强信息安全保障工作的意见，中办发，中办发200327号文件；号文件；2.电子政

2、务信息安全等级保护实施指南（试用）电子政务信息安全等级保护实施指南（试用），国信，国信办；办；3.计算机信息系统保密管理暂行规定计算机信息系统保密管理暂行规定，国家保密局；，国家保密局；4. 湖北省电子政务建设规划纲要湖北省电子政务建设规划纲要 ；5.湖北省电子政务建设总体设计与实施方案湖北省电子政务建设总体设计与实施方案 。 3、总体安全建设思路 物理与线路传输安全物理与线路传输安全 网络安全网络安全 主机与系统安全主机与系统安全 数据与应用安全数据与应用安全 管理安全管理安全物理与线路传输安全物理位置的选择；物理位置的选择；物理访问控制（门禁、监控）；物理访问控制（门禁、监控）；防盗窃和防

3、破坏（铁门、铁窗、铁柜）；防盗窃和防破坏（铁门、铁窗、铁柜）；防雷击（防雷系统）；防雷击（防雷系统）；防火、防水和防潮、防静电、温湿度控制；防火、防水和防潮、防静电、温湿度控制；电力供应（电力供应（UPS）；）；电磁防护；电磁防护；通信线路备份；通信线路备份；通信的完整性、保密性。通信的完整性、保密性。网络安全结构安全与网段划分（网络规划、域的划分）；结构安全与网段划分（网络规划、域的划分）；网络隔离与访问控制（防火墙、网闸、接入路由器）；网络隔离与访问控制（防火墙、网闸、接入路由器）；网络安全审计（网络行为监控）；网络安全审计（网络行为监控）；边界完整性检查（防非法外联监控）；边界完整性检查

4、（防非法外联监控）；网络入侵防范（网络入侵防范（IDS）；）；恶意攻击防范（防恶意攻击防范（防DOS）；）；网络设备管护；网络设备管护；网络资源控制。网络资源控制。主机与系统安全身份鉴别（身份鉴别（CA）；）；访问控制（口令、访问控制（口令、IC卡）；卡）；安全审计（日志）；安全审计（日志）；系统保护（内核加固）；系统保护（内核加固）；入侵防范（入侵防范（HIDS）；）；恶意代码防范及防病毒。恶意代码防范及防病毒。身份鉴别；身份鉴别；访问授权及控制；访问授权及控制；安全审计；安全审计；抗抵赖；抗抵赖；软件容错；软件容错；资源控制资源控制（应用流量管理）；（应用流量管理）；代码安全。代码安全。数

5、据与应用安全应用安全数据与应用安全应用安全数据与应用安全数据安全数据完整性（防篡改）数据完整性（防篡改）数据保密性（数据库加密）数据保密性（数据库加密）数据备份和恢复（存储备份）数据备份和恢复（存储备份）异地容灾异地容灾管理安全管理机构；管理机构；安全人员及责任；安全人员及责任；管理制度；管理制度；管理技术手段综合安全管理平台；管理技术手段综合安全管理平台；审计管理；审计管理；安全服务。安全服务。一期已部署的主要技术措施 防火墙、隔离网闸、入侵检测、防病毒、垃圾防火墙、隔离网闸、入侵检测、防病毒、垃圾邮件过滤、抗攻击、漏洞扫描、数据库加密、邮件过滤、抗攻击、漏洞扫描、数据库加密、安全认证网关、

6、主机管理与审计系统、网络设安全认证网关、主机管理与审计系统、网络设备管理；备管理； 数字证书系统（数字证书系统（CA)。 实现直接目标：实现直接目标：安全域的划分与隔离、检测入侵行安全域的划分与隔离、检测入侵行为、查杀各种病毒、过滤垃圾邮件、抵抗各类攻击、为、查杀各种病毒、过滤垃圾邮件、抵抗各类攻击、扫描弱点漏洞、进行日志审计、身份能够认证、能够扫描弱点漏洞、进行日志审计、身份能够认证、能够防抵赖、数据加密传输、网络设备能够有效管理，从防抵赖、数据加密传输、网络设备能够有效管理，从而达到网络、设备、软件及应用系统能够安全稳定快而达到网络、设备、软件及应用系统能够安全稳定快速可靠地不间断地运行和

7、提供服务。速可靠地不间断地运行和提供服务。分区防护接入部分安全域接入部分安全域部署边界防火墙、网闸、防病毒汇聚部分安全域汇聚部分安全域外网防火墙、认证网关、抗DOS、垃圾邮件过滤MPLS VPN、IPSec核心部分安全域核心部分安全域核心防火墙、入侵检测、漏洞扫描、防病毒、数据库加密、主机管理与审计相关安全策略 路由器安全配置策略 交换机安全配置策略 边界防火墙安全策略 核心防火墙安全策略 物理隔离网闸数据交换摆渡策略 病毒检查与病毒库更新策略 漏洞扫描策略 抗DOS攻击策略省电子政务网防火墙禁止访问前置服务器FE1FE2FE3厅局委办边界接入示意图厅局委办边界接入示意图允许访问允许访问接入单

8、位内部局域网交换机百兆防火墙物理连接示意图百兆防火墙物理连接示意图千兆防火墙物理连接示意图千兆防火墙物理连接示意图省电子政务网接入单位内部局域网交换机禁止访问和摆渡前置服务器中网网闸网闸接入方式网闸接入方式1 直接隔离方式直接隔离方式将本次新建内部网络与省政将本次新建内部网络与省政务网进行隔离；务网进行隔离；隔离两个不同安全级别的网隔离两个不同安全级别的网络，在两个网络之间设置数络，在两个网络之间设置数据摆渡交换通道据摆渡交换通道允许访问允许摆渡网闸接入方式一物理连接示意图网闸接入方式一物理连接示意图省电子政务网网闸服务器网闸接入方式网闸接入方式2 隔离内部服务器方式隔离内部服务器方式网闸用于

9、保护接入单位的内部服网闸用于保护接入单位的内部服务器。务器。前置服务器禁止访问允许单向数据摆渡接入单位内部局域网交换机网闸接入方式二物理连接示意图网闸接入方式二物理连接示意图网络防病毒系统 分布式体系结构、分布式体系结构、 多级管理中心规划多级管理中心规划 病毒监控管理中心（系统中心）病毒监控管理中心病毒监控管理中心远程远程杀毒杀毒自动自动升级升级远程远程报警报警网络网络管理管理 客户端客户端客户端服务器端服务器端查杀病毒查杀病毒自动自动升级升级远程安装远程安装实时实时监控监控 服务器端控制台控制台控制控制设置设置管理管理Cisco 7609网神G7网神G7Cisco 7609漏洞扫描系统漏洞

10、扫描系统手持式漏扫目前存在的主要问题 管理机构及制度不完善 没有明确安全管理责任人 机房环境较差 部分单位网络基础条件较为落后 安全防护技术手段欠缺三、对接入单位的要求1、明确信息安全管理机构 明确管理机构及人员人员组成；明确管理机构及人员人员组成； 明确信息安全责任人；明确信息安全责任人； 职能及责任定位。职能及责任定位。2、人员安全管理信息安全人员基本要求；信息安全人员基本要求；信息安全人员管理；信息安全人员管理；信息安全人员职责范围；信息安全人员职责范围；要害岗位人员管理；要害岗位人员管理；要害岗位安全责任；要害岗位安全责任；第三方人员管理；第三方人员管理；培训与教育等方面内容培训与教育

11、等方面内容 。 组织机构和人员职责管理办法组织机构和人员职责管理办法主要内主要内容：容： 信息安全管理机构设置和职责，关于网络安全，应信息安全管理机构设置和职责，关于网络安全，应急处理，安全保卫等工作组的要求，网络安全人员基急处理，安全保卫等工作组的要求，网络安全人员基本要求，网络安全人员管理，网络安全人员职责范围，本要求，网络安全人员管理，网络安全人员职责范围，要害岗位安全责任，培训与教育等。要害岗位安全责任，培训与教育等。3、主要安全管理规章制度要点、主要安全管理规章制度要点机房管理制度一、出入管理一、出入管理 1、机房工作人员进出机房应佩戴工作牌； 2、严禁非机房工作人员进入机房，特殊情

12、况需经机房值班负责人批准，并认真填写登记表后方可进入。 3、 进入机房人员应遵守机房管理制度，更换专用工作鞋；机房工作人员必须穿着工作服。 4、 进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。二、值班操作管理二、值班操作管理 1、 中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。 2、 值班人员必须认真、如实、详细填写机房日志等各种登记簿，以备后查。3、 严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。4、 每日对机房环境

13、进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。 5、 值班人员必须密切监视中心设备运行状况以及各网点运行情况，确保安全、高效运行。6、 严格按规章制度要求做好各种数据、文件的备份工作。中心服务器数据库要定期进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。设备及系统管理制度 软硬件设备管理制度软硬件设备管理制度主要内容包括：设备购置、设备管主要内容包括：设备购置、设备管理、设备及介质领用、设备维修、设备及介质报废办法等。理、设备及介质领用、设备维修、设备及介质报废办法等。 网络及系统运行安全管理制度网络及系统运行安全管理制度主要内容包括

14、：网管人员主要内容包括：网管人员职责，网络运行管理，网络设备管理等、还应建立网络访问控职责，网络运行管理，网络设备管理等、还应建立网络访问控制授权审批表，网络运行维护记录、应用系统帐户授权，外单制授权审批表，网络运行维护记录、应用系统帐户授权，外单位人员应用系统帐户授权审批表，应用系统维护处理记录等。位人员应用系统帐户授权审批表，应用系统维护处理记录等。4、上网信息内容界定 涉密不上网，上网不涉密；涉密不上网，上网不涉密； 谁上网，谁负责；谁上网，谁负责； 按照保密局要求把好上网信息审查关。按照保密局要求把好上网信息审查关。5、信息安全应急管理为保证在发生各种信息安全事件情况下，能够从容为保证

15、在发生各种信息安全事件情况下，能够从容处理事件、缩小影响、减少停运时间、降低损失，处理事件、缩小影响、减少停运时间、降低损失，针对信息系统的设备、环境等运行情况，充分做好针对信息系统的设备、环境等运行情况，充分做好应急事件预想、要求制定各个系统的应急预案；应急事件预想、要求制定各个系统的应急预案；主要内容包括：应急预案的原则和要求、应急预案主要内容包括：应急预案的原则和要求、应急预案的内容和结构、全事件定义、报告程序、还应建立的内容和结构、全事件定义、报告程序、还应建立安全事件报告内容要求、应急措施等。安全事件报告内容要求、应急措施等。存在将桌面终端设备自行接入存在将桌面终端设备自行接入Int

16、ernet的可能，如的可能，如ADSL拨号、无线上网、可移动的笔记本电脑连接拨号、无线上网、可移动的笔记本电脑连接到其它网络上；到其它网络上；存在着在网络系统内，隔离设备、防火墙、入侵检存在着在网络系统内，隔离设备、防火墙、入侵检测等安全手段往往被一些违反安全策略的行为所绕测等安全手段往往被一些违反安全策略的行为所绕过，带来一定的安全隐患过，带来一定的安全隐患 6、非法外联检查、非法外联检查 7、控制纵向可访问的范围、控制纵向可访问的范围8、不随意更改相关设备策略配置 路由器安全配置策略路由器安全配置策略 交换机安全配置策略交换机安全配置策略 防火墙安全策略防火墙安全策略 隔离网闸数据交换策略

17、隔离网闸数据交换策略 病毒库定时更新与及时查杀策略病毒库定时更新与及时查杀策略 以上策略均由省电子政务中心统一设置和管理以上策略均由省电子政务中心统一设置和管理 前置服务器病毒库定时更新与及时查杀策略；前置服务器病毒库定时更新与及时查杀策略； 每天每天1点升级，各单位前置服务器一旦开机，进点升级，各单位前置服务器一旦开机，进行自动升级；行自动升级； 各单位内部局域网上的防病毒系统由各单位自行各单位内部局域网上的防病毒系统由各单位自行建设，建议尽快完善。内部局域网的防病毒系统，建设，建议尽快完善。内部局域网的防病毒系统，应每天进行病毒库的升级，每天查杀病毒。应每天进行病毒库的升级，每天查杀病毒。

18、 关注微软等软件提供商或安全厂商的网站，及时关注微软等软件提供商或安全厂商的网站，及时对服务器、桌面机安装补丁软件，修补漏洞，确保对服务器、桌面机安装补丁软件，修补漏洞，确保所有服务器及所有服务器及PC机运行的操作系统安装了最新补机运行的操作系统安装了最新补丁或者修正程序。丁或者修正程序。9、完善病毒防护及补丁管理措施、完善病毒防护及补丁管理措施防火墙内网 / 专网 / 办公网省电子政务网前置服务器接入单位路由器Internet防火墙10、完善边界安全防护措施、完善边界安全防护措施11、定期检查维护、定期检查维护12、机房环境及运行管理注意事项、机房环境及运行管理注意事项配备相应功率的不间断电源，是保证业务正常运营的必要条件。配备相应功率的不间断电源，是保证业务正常运营的必要条件。机房有独立的空调设备，是保证硬件设备正常运转的必要条件。机房有独立的空调设备，是保证硬件设备正常运转的必要条件。防火、防水、抗震、防磁、防静电、防尘、防雷击、防鼠害等措施，防火、防水、抗震、防磁、