电子政务外网信息安全建设培训课件

电子政务外网

信息安全建设培训电子政务外网

信息安全建设培训1主题一、信息安全整体设计思路及方案二、一期工程建设及工作进展情况三、对各接入单位的要求及注意事项主题一、信息安全整体设计思路及方案2一、信息安全整体设计思路及方案定位依据总体思路及方案一、信息安全整体设计思路及方案定位31、定位非涉密的政务外网；与Internet逻辑隔离，与涉密网物理隔离；联接范围：省内县级以上党政机关；满足政务部门行政管理、公共服务、电子办公需要的统一网络基础平台；是国家电子政务外网的组成部分。1、定位非涉密的政务外网；42、依据《关于加强信息安全保障工作的意见》，中办发[2003]27号文件；《电子政务信息安全等级保护实施指南（试用）》，国信办；《计算机信息系统保密管理暂行规定》，国家保密局；

《湖北省电子政务建设规划纲要》；《湖北省电子政务建设总体设计与实施方案》。2、依据53、总体安全建设思路物理与线路传输安全网络安全主机与系统安全数据与应用安全管理安全3、总体安全建设思路物理与线路传输安全6物理与线路传输安全

物理位置的选择；物理访问控制（门禁、监控）；防盗窃和防破坏（铁门、铁窗、铁柜）；防雷击（防雷系统）；防火、防水和防潮、防静电、温湿度控制；电力供应（UPS）；电磁防护；通信线路备份；通信的完整性、保密性。物理与线路传输安全 物理位置的选择；7网络安全

结构安全与网段划分（网络规划、域的划分）；网络隔离与访问控制（防火墙、网闸、接入路由器）；网络安全审计（网络行为监控）；边界完整性检查（防非法外联监控）；网络入侵防范（IDS）；恶意攻击防范（防DOS）；网络设备管护；网络资源控制。网络安全 结构安全与网段划分（网络规划、域的划分）；8主机与系统安全

身份鉴别（CA）；访问控制（口令、IC卡）；安全审计（日志）；系统保护（内核加固）；入侵防范（HIDS）；恶意代码防范及防病毒。主机与系统安全 身份鉴别（CA）；9

身份鉴别；访问授权及控制；安全审计；抗抵赖；软件容错；资源控制（应用流量管理）；代码安全。数据与应用安全－－应用安全 身份鉴别；数据与应用安全－－应用安全10数据与应用安全－－数据安全

数据完整性（防篡改）数据保密性（数据库加密）数据备份和恢复（存储备份）异地容灾数据与应用安全－－数据安全 数据完整性（防篡改）11管理安全

管理机构；安全人员及责任；管理制度；管理技术手段－综合安全管理平台；审计管理；安全服务。管理安全 管理机构；12二、一期工程建设及工作进展情况二、一期工程建设及工作进展情况13一期已部署的主要技术措施防火墙、隔离网闸、入侵检测、防病毒、垃圾邮件过滤、抗攻击、漏洞扫描、数据库加密、安全认证网关、主机管理与审计系统、网络设备管理；数字证书系统（CA)。实现直接目标：安全域的划分与隔离、检测入侵行为、查杀各种病毒、过滤垃圾邮件、抵抗各类攻击、扫描弱点漏洞、进行日志审计、身份能够认证、能够防抵赖、数据加密传输、网络设备能够有效管理，从而达到网络、设备、软件及应用系统能够安全稳定快速可靠地不间断地运行和提供服务。一期已部署的主要技术措施防火墙、隔离网闸、入侵检测、防病毒、14分区防护接入部分安全域部署边界防火墙、网闸、防病毒汇聚部分安全域外网防火墙、认证网关、抗DOS、垃圾邮件过滤MPLSVPN、IPSec核心部分安全域核心防火墙、入侵检测、漏洞扫描、防病毒、数据库加密、主机管理与审计分区防护接入部分安全域15相关安全策略路由器安全配置策略交换机安全配置策略边界防火墙安全策略核心防火墙安全策略物理隔离网闸数据交换摆渡策略病毒检查与病毒库更新策略漏洞扫描策略抗DOS攻击策略相关安全策略路由器安全配置策略16省电子政务网防火墙禁止访问前置服务器FE1FE2FE3通过在防火墙上设置相应的访问控制策略来实现防护功能，如：数据包过滤、禁止常见的病毒端口、根据时间、源IP、服务内容、协议进行访问控制等。对于已建设内部局域网的厅局委办采用NAT方式接入；对于未建设内部局域网的厅局委办采用路由方式接入。厅局委办边界接入示意图允许访问允许访问接入单位内部局域网交换机省电子政务网防火墙禁止访问前置服务器FE1FE2FE317百兆防火墙物理连接示意图百兆防火墙物理连接示意图18千兆防火墙物理连接示意图千兆防火墙物理连接示意图19省电子政务网接入单位内部局域网交换机禁止访问和摆渡前置服务器中网网闸网闸接入－方式1直接隔离方式将本次新建内部网络与省政务网进行隔离；隔离两个不同安全级别的网络，在两个网络之间设置数据摆渡交换通道。允许访问允许摆渡省电子政务网接入单位内部局域网交换机禁止访问前置服务器中网网20网闸接入方式一物理连接示意图网闸接入方式一物理连接示意图21省电子政务网网闸服务器网闸接入－方式2隔离内部服务器方式网闸用于保护接入单位的内部服务器。前置服务器禁止访问允许单向数据摆渡接入单位内部局域网交换机省电子网闸服务器网闸接入－方式2隔离内部服务器方式网闸用于保22网闸接入方式二物理连接示意图网闸接入方式二物理连接示意图23网络防病毒系统分布式体系结构、多级管理中心规划

病毒监控管理中心（系统中心）病毒监控管理中心远程杀毒自动升级远程报警网络管理

客户端

客户端查杀病毒自动升级实时监控服务器端查杀病毒自动升级远程安装实时监控

服务器端

控制台控制设置管理网络防病毒系统分布式体系结构、病毒监控管理中心（系统中心）24Cisco7609网神G7网神G7Cisco7609漏洞扫描系统配备了机架式和手持式漏洞扫描设备。对网络设备（路由器、交换机等），安全设备（防火墙、网闸等）、主机系统（Windows、Unix等），应用系统（SQLServer、Oracle等）的漏洞进行扫描评估。已设定每周自动扫描。手持式漏扫Cisco7609网神G7网神G7Cisco7609漏洞25目前存在的主要问题管理机构及制度不完善没有明确安全管理责任人机房环境较差部分单位网络基础条件较为落后安全防护技术手段欠缺目前存在的主要问题管理机构及制度不完善26三、对接入单位的要求三、对接入单位的要求271、明确信息安全管理机构明确管理机构及人员人员组成；明确信息安全责任人；职能及责任定位。1、明确信息安全管理机构明确管理机构及人员人员组成；282、人员安全管理信息安全人员基本要求；信息安全人员管理；信息安全人员职责范围；要害岗位人员管理；要害岗位安全责任；第三方人员管理；培训与教育等方面内容。2、人员安全管理信息安全人员基本要求；29《组织机构和人员职责管理办法》主要内容：信息安全管理机构设置和职责，关于网络安全，应急处理，安全保卫等工作组的要求，网络安全人员基本要求，网络安全人员管理，网络安全人员职责范围，要害岗位安全责任，培训与教育等。3、主要安全管理规章制度要点《组织机构和人员职责管理办法》主要内容：3、主要安全管理规章30机房管理制度一、出入管理1、机房工作人员进出机房应佩戴工作牌；2、严禁非机房工作人员进入机房，特殊情况需经机房值班负责人批准，并认真填写登记表后方可进入。3、进入机房人员应遵守机房管理制度，更换专用工作鞋；机房工作人员必须穿着工作服。4、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。二、值班操作管理1、中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。2、值班人员必须认真、如实、详细填写《机房日志》等各种登记簿，以备后查。3、严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。4、每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。5、值班人员必须密切监视中心设备运行状况以及各网点运行情况，确保安全、高效运行。6、严格按规章制度要求做好各种数据、文件的备份工作。中心服务器数据库要定期进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。机房管理制度一、出入管理31设备及系统管理制度《软硬件设备管理制度》主要内容包括：设备购置、设备管理、设备及介质领用、设备维修、设备及介质报废办法等。《网络及系统运行安全管理制度》主要内容包括：网管人员职责，网络运行管理，网络设备管理等、还应建立网络访问控制授权审批表，网络运行维护记录、应用系统帐户授权，外单位人员应用系统帐户授权审批表，应用系统维护处理记录等。设备及系统管理制度《软硬件设备管理制度》主要内容包括：设备购324、上网信息内容界定涉密不上网，上网不涉密；谁上网，谁负责；按照保密局要求把好上网信息审查关。4、上网信息内容界定335、信息安全应急管理为保证在发生各种信息安全事件情况下，能够从容处理事件、缩小影响、减少停运时间、降低损失，针对信息系统的设备、环境等运行情况，充分做好应急事件预想、要求制定各个系统的应急预案；主要内容包括：应急预案的原则和要求、应急预案的内容和结构、全事件定义、报告程序、还应建立安全事件报告内容要求、应急措施等。5、信息安全应急管理为保证在发生各种信息安全事件情况下，能够34存在将桌面终端设备自行接入Internet的可能，如ADSL拨号、无线上网、可移动的笔记本电脑连接到其它网络上；存在着在网络系统内，隔离设备、防火墙、入侵检测等安全手段往往被一些违反安全策略的行为所绕过，带来一定的安全隐患。6、非法外联检查存在将桌面终端设备自行接入Internet的可能，如ADSL35政府或民政网络有可能联接到社区街道、社保网络联接到医院、税务网络联接到纳税人单位、工商网络联接到工商所、农业网联接到乡村等，在目前的条件下，如不加以控制，存在较明显的安全隐患；对于可访问省电子政务外网的单位，针对各接入单位有纵向联网及横向协作单位联网的情况，在一期工程建设期间，对于省直厅局委办，只联通到省直厅局委办的办公局域网，暂时不向下联、不与其横向联网单位相联；对于各地市，只联通到相应地市政务网的主管单位；为达到上述范围界定目标，希望各接入单位在内部路由器、交换机、防火墙等设备上设置访问策略。

7、控制纵向可访问的范围政府或民政网络有可能联接到社区街道、社保网络联接到医院、税务368、不随意更改相关设备策略配置路由器安全配置策略交换机安全配置策略防火墙安全策略隔离网闸数据交换策略病毒库定时更新与及时查杀策略以上策略均由省电子政务中心统一设置和管理8、不随意更改相关设备策略配置路由器安全配置策略以上策略均由37前置服务器病毒库定时更新与及时查杀策略；每天1点升级，各单位前置服务器一旦开机，进行自动升级；各单位内部局域网上的防病毒系统由各单位自行建设，建议尽快完善。内部局域网的防病毒系统，应每天进行病毒库的升级，每天查杀病毒。关注微软等软件提供商或安全厂商的网站，及时对服务器、桌面机安装补丁软件，修补漏洞，确保所有服务器及PC机运行的操作系统安装了最新补丁或者修正程序。。9、完善病毒防护及补丁管理措施前置服务器病毒库定时更新与及时查杀策略；9、完善病毒防护38各接入单位的内部局域网如果与Internet相连，要有边界防护措施，如防火墙等防火墙内网/专网/办公网省电子政务网前置服务器接入单位路由器Internet防火墙10、完善边界安全防护措施各接入单位的内部局域网如果与Internet39定期查看安全设备外观状况（指示灯、电源、连接线）；对应接口指示灯不亮，表示异常；检查应用能否访问，否则检查隔离设备及路由设备；检查供电情况，电压是否正常。11、定期检查维护定期查看安全设备外观状况（指示灯、电源、连接线）；11、定期4012、机房环境及运行管理注意事项配备相应功率的不间断电源，是保证业务正常运营的必要条件。机房有独立的空调设备，是保证硬件设备正常运转的必要条件。防火、防水、抗震、防磁、防静电、防尘、防雷击、防鼠害等措施，这些是为机房的正常运营创造的最基本的环境条件。安全设备均不能强行断电，否则容易丢失配置信息。不能随意关机，保持7X24小时运行。移动存储设备及介质不得随意接入网络。不得随意安装外来不明软件。使用最新版的正版软件，这是保证系统软件和应用软件出错最少的最低要求。桌面机的安全保护，如密码屏幕保护，超时键盘锁定等，是防止偷窃数据和内部人员进行破坏的一般要求。应建立安全事件记录制度，以便在出现安全问题后追根溯源，及时进行事件处理和恢复，留下犯罪的佐证。12、机房环境及运行管理注意事项配备相应功率的不间断电源，是41

机房物理环境检查；检查人员落实情况；检查制度落实情况；检查口令（口令是否过于简单）；检查设备运行日志信息；检查机房进出管理及登记情况；检查补丁情况；安全工具检查；扫描设备及系统的漏洞；安全设备的规则检查；发生安全事件是否及时报告；设备的使用、销毁是否登记和按规定处理；是否有绕过防火墙的非法外联。13、定期进行综合安全评估机房物理环境检查；13、定期进行综合安全评估42电子政务外网信息安全建设培训课件43ThankYou!ThankYou!44电子政务外网

信息安全建设培训电子政务外网

信息安全建设培训45主题一、信息安全整体设计思路及方案二、一期工程建设及工作进展情况三、对各接入单位的要求及注意事项主题一、信息安全整体设计思路及方案46一、信息安全整体设计思路及方案定位依据总体思路及方案一、信息安全整体设计思路及方案定位471、定位非涉密的政务外网；与Internet逻辑隔离，与涉密网物理隔离；联接范围：省内县级以上党政机关；满足政务部门行政管理、公共服务、电子办公需要的统一网络基础平台；是国家电子政务外网的组成部分。1、定位非涉密的政务外网；482、依据《关于加强信息安全保障工作的意见》，中办发[2003]27号文件；《电子政务信息安全等级保护实施指南（试用）》，国信办；《计算机信息系统保密管理暂行规定》，国家保密局；

《湖北省电子政务建设规划纲要》；《湖北省电子政务建设总体设计与实施方案》。2、依据493、总体安全建设思路物理与线路传输安全网络安全主机与系统安全数据与应用安全管理安全3、总体安全建设思路物理与线路传输安全50物理与线路传输安全

物理位置的选择；物理访问控制（门禁、监控）；防盗窃和防破坏（铁门、铁窗、铁柜）；防雷击（防雷系统）；防火、防水和防潮、防静电、温湿度控制；电力供应（UPS）；电磁防护；通信线路备份；通信的完整性、保密性。物理与线路传输安全 物理位置的选择；51网络安全

结构安全与网段划分（网络规划、域的划分）；网络隔离与访问控制（防火墙、网闸、接入路由器）；网络安全审计（网络行为监控）；边界完整性检查（防非法外联监控）；网络入侵防范（IDS）；恶意攻击防范（防DOS）；网络设备管护；网络资源控制。网络安全 结构安全与网段划分（网络规划、域的划分）；52主机与系统安全

身份鉴别（CA）；访问控制（口令、IC卡）；安全审计（日志）；系统保护（内核加固）；入侵防范（HIDS）；恶意代码防范及防病毒。主机与系统安全 身份鉴别（CA）；53

身份鉴别；访问授权及控制；安全审计；抗抵赖；软件容错；资源控制（应用流量管理）；代码安全。数据与应用安全－－应用安全 身份鉴别；数据与应用安全－－应用安全54数据与应用安全－－数据安全

数据完整性（防篡改）数据保密性（数据库加密）数据备份和恢复（存储备份）异地容灾数据与应用安全－－数据安全 数据完整性（防篡改）55管理安全

管理机构；安全人员及责任；管理制度；管理技术手段－综合安全管理平台；审计管理；安全服务。管理安全 管理机构；56二、一期工程建设及工作进展情况二、一期工程建设及工作进展情况57一期已部署的主要技术措施防火墙、隔离网闸、入侵检测、防病毒、垃圾邮件过滤、抗攻击、漏洞扫描、数据库加密、安全认证网关、主机管理与审计系统、网络设备管理；数字证书系统（CA)。实现直接目标：安全域的划分与隔离、检测入侵行为、查杀各种病毒、过滤垃圾邮件、抵抗各类攻击、扫描弱点漏洞、进行日志审计、身份能够认证、能够防抵赖、数据加密传输、网络设备能够有效管理，从而达到网络、设备、软件及应用系统能够安全稳定快速可靠地不间断地运行和提供服务。一期已部署的主要技术措施防火墙、隔离网闸、入侵检测、防病毒、58分区防护接入部分安全域部署边界防火墙、网闸、防病毒汇聚部分安全域外网防火墙、认证网关、抗DOS、垃圾邮件过滤MPLSVPN、IPSec核心部分安全域核心防火墙、入侵检测、漏洞扫描、防病毒、数据库加密、主机管理与审计分区防护接入部分安全域59相关安全策略路由器安全配置策略交换机安全配置策略边界防火墙安全策略核心防火墙安全策略物理隔离网闸数据交换摆渡策略病毒检查与病毒库更新策略漏洞扫描策略抗DOS攻击策略相关安全策略路由器安全配置策略60省电子政务网防火墙禁止访问前置服务器FE1FE2FE3通过在防火墙上设置相应的访问控制策略来实现防护功能，如：数据包过滤、禁止常见的病毒端口、根据时间、源IP、服务内容、协议进行访问控制等。对于已建设内部局域网的厅局委办采用NAT方式接入；对于未建设内部局域网的厅局委办采用路由方式接入。厅局委办边界接入示意图允许访问允许访问接入单位内部局域网交换机省电子政务网防火墙禁止访问前置服务器FE1FE2FE361百兆防火墙物理连接示意图百兆防火墙物理连接示意图62千兆防火墙物理连接示意图千兆防火墙物理连接示意图63省电子政务网接入单位内部局域网交换机禁止访问和摆渡前置服务器中网网闸网闸接入－方式1直接隔离方式将本次新建内部网络与省政务网进行隔离；隔离两个不同安全级别的网络，在两个网络之间设置数据摆渡交换通道。允许访问允许摆渡省电子政务网接入单位内部局域网交换机禁止访问前置服务器中网网64网闸接入方式一物理连接示意图网闸接入方式一物理连接示意图65省电子政务网网闸服务器网闸接入－方式2隔离内部服务器方式网闸用于保护接入单位的内部服务器。前置服务器禁止访问允许单向数据摆渡接入单位内部局域网交换机省电子网闸服务器网闸接入－方式2隔离内部服务器方式网闸用于保66网闸接入方式二物理连接示意图网闸接入方式二物理连接示意图67网络防病毒系统分布式体系结构、多级管理中心规划

病毒监控管理中心（系统中心）病毒监控管理中心远程杀毒自动升级远程报警网络管理

客户端

客户端查杀病毒自动升级实时监控服务器端查杀病毒自动升级远程安装实时监控

服务器端

控制台控制设置管理网络防病毒系统分布式体系结构、病毒监控管理中心（系统中心）68Cisco7609网神G7网神G7Cisco7609漏洞扫描系统配备了机架式和手持式漏洞扫描设备。对网络设备（路由器、交换机等），安全设备（防火墙、网闸等）、主机系统（Windows、Unix等），应用系统（SQLServer、Oracle等）的漏洞进行扫描评估。已设定每周自动扫描。手持式漏扫Cisco7609网神G7网神G7Cisco7609漏洞69目前存在的主要问题管理机构及制度不完善没有明确安全管理责任人机房环境较差部分单位网络基础条件较为落后安全防护技术手段欠缺目前存在的主要问题管理机构及制度不完善70三、对接入单位的要求三、对接入单位的要求711、明确信息安全管理机构明确管理机构及人员人员组成；明确信息安全责任人；职能及责任定位。1、明确信息安全管理机构明确管理机构及人员人员组成；722、人员安全管理信息安全人员基本要求；信息安全人员管理；信息安全人员职责范围；要害岗位人员管理；要害岗位安全责任；第三方人员管理；培训与教育等方面内容。2、人员安全管理信息安全人员基本要求；73《组织机构和人员职责管理办法》主要内容：信息安全管理机构设置和职责，关于网络安全，应急处理，安全保卫等工作组的要求，网络安全人员基本要求，网络安全人员管理，网络安全人员职责范围，要害岗位安全责任，培训与教育等。3、主要安全管理规章制度要点《组织机构和人员职责管理办法》主要内容：3、主要安全管理规章74机房管理制度一、出入管理1、机房工作人员进出机房应佩戴工作牌；2、严禁非机房工作人员进入机房，特殊情况需经机房值班负责人批准，并认真填写登记表后方可进入。3、进入机房人员应遵守机房管理制度，更换专用工作鞋；机房工作人员必须穿着工作服。4、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。二、值班操作管理1、中心机房的数据实行双人作业制度；操作人员遵守值班制度，不得擅自脱岗。2、值班人员必须认真、如实、详细填写《机房日志》等各种登记簿，以备后查。3、严格按照每日预制操作流程进行操作，对新上业务及特殊情况需要变更流程的应事先进行详细安排并书面报负责人批准签字后方可执行；所有操作变更必须有存档记录。4、每日对机房环境进行清洁，以保持机房整洁；每周进行一次大清扫，对机器设备吸尘清洁。5、值班人员必须密切监视中心设备运行状况以及各网点运行情况，确保安全、高效运行。6、严格按规章制度要求做好各种数据、文件的备份工作。中心服务器数据库要定期进行双备份，并严格实行异地存放、专人保管。所有重要文档定期整理装订，专人保管，以备后查。机房管理制度一、出入管理75设备及系统管理制度《软硬件设备管理制度》主要内容包括：设备购置、设备管理、设备及介质领用、设备维修、设备及介质报废办法等。《网络及系统运行安全管理制度》主要内容包括：网管人员职责，网络运行管理，网络设备管理等、还应建立网络访问控制授权审批表，网络运行维护记录、应用系统帐户授权，外单位人员应用系统帐户授权审批表，应用系统维护处理记录等。设备及系统管理制度《软硬件设备管理制度》主要内容包括：设备购764、上网信息内容界定涉密不上网，上网不涉密；谁上网，谁负责；按照保密局要求把好上网信息审查关。4、上网信息内容界定775、信息安全应急管理为保证在发生各种信息安全事件情况下，能够从容处理事件、缩小影响、减少停运时间、降低损失，针对信息系统的设备、环境等运行情况，充分做好应急事件预想、要求制定各个系统的应急预案；主要内容包括：应急预案的原则和要求、应急预案的内容和结构、全事件定义、报告程序、还应建立安全事件报告内容要求、应急措施等。5、信息安全应急管理为保证在发生各种信息安全事件情况下，能够78存在将桌面终端设备自行接入Internet的可能，如ADSL拨号、无线上网、可移动的笔记本电脑连接到其它网络上；存在着在网络系统内，隔离设备、防火墙、入侵检测等安全手段往往被一些违反安全策略的行为所绕过，带来一定的安全隐患。6、非法外联检查存在将桌面终端设备自行接入Internet的可能，如ADSL79政府或民政网络有可能联接到社区街道、社保网络联接到医院、税务网络联接到纳税人单位、工商网络联接到工商所、农业网联接到乡村等，在目前的条件下，如不加以控制，存在较明显的安全隐患；对于可访问省电子政务外网的单位，针对各接入单位有纵向联网及横向协作单位联网的情况，在一期工程建设期间，对于省直厅局委办，只联通到省直厅局委办的办公局域网，暂时不向下联、不与其横向联网单位相联；对于各地市，只联通到相应地市政务网的主管单位；为达到上述范围界定目标，希望各接入单位在内部路由器、交换机、防火墙等设备上设置访问策略。

7、控制纵向可访问的范围政府或民政网络有可能联接到社区街道、社保网络联接到医院、税务808、不随意更改相关设备策略配置路由器安全配置策略交换机安全配置策略防火墙安全策略隔离网闸数据交换策略病毒库定时更新与及时查杀策略以上策略均由省电子政务中心统一设置和