方案模板-XX省政法网安全方案

方案说明方案类型：省级政法网目标分析：省级政法网是各省政府信息化建设的一个新动向。其背景是各省的政法委〔是党领导和管理政法工作的职能部门〕、公安、法院、检察院、平安、司法六大部门都属于政法系统。但目前除了公安、法院、检察部门已经自己建成了独立的从国家到县级网络，其他单位根本上都没有自成一体的纵向网络。而政法部门之间也逐渐开展了一些信息互联业务。因此，中央政法委提出建立一个统一为政法部门搭建的覆盖全省的骨干网络。好处有二：节约本钱，防止各部门重复建设从省到县的骨干网络；便于互联业务开展。可以预见今后政法信息化互联业务将成为新的增长点，卷宗调阅，视频会议、公文传递等如果有一个统一的骨干网络，将更容易部署。目前已有局部省建立了政法网骨干网。其特点根本如下：传输网络行业隔离：由于各行业都有较严格的管理制度与平安标准，因此政法网建设时，纵向的传输系统一般都通过划分MPLSVPN等方式，保证相互之间的隔离。数据共享区域交互：由于政法系统间信息共享的业务需求，一般会在省、市级单位建立数据共享平台，解决各单位之间的数据交换问题。系统管理纵强横弱：由于政法网行业分隔的特点，导致政法网的网络与平安管理呈现出各行业垂直管理较强，区域平台横向管理较弱的特点。各行业的网络管理、应用管理、平安管理主要以设备管理、直接控制为主，横向管理主要以监督检测、制度管理为主。方案特点：该方案为规划方案，并不涉及具体采用哪些产品。适用于比拟前期的工程。可帮助用户进行体系规划和预算设计。方案侧重于网络结构和体系的规划，对从物理平安到平安管理都进行了全面考虑。虽然本政法网方案为非涉密网方案，但其中也有一个章节专门讨论了涉密信息系统的建设要点。〔因为政法网也有可能在这个骨干网上单独建立一个涉密网。但涉密网和非涉密网一定是完全独立规划和建设的。〕方案核心内容是构建了一种组网与数据交换模式，六大单位横向依靠MPLSVPN进行隔离，同时在省、市两级建立数据共享区域，各单位各自规划出业务前置区，所有需要进行交换的数据均首先到达各自的业务前置区，再经由网闸设备摆渡到政法网省、市级的数据共享区。其中根据公安部、最高法、最高检等单位的内部政策，与其他专网进行数据交换时，网闸是必须采用的设备。包含产品：该方案为体系规划方案，无具体产品。如果需要具体部署方案，可以参考公司标准方案在后面作为补充。

XXX政法综合信息支撑网平安建设方案联想网御科技〔北京〕2011年3月目录1 工程概述 5 网络规划概述 62 风险分析 7 信息共享区风险分析 7 各单位专网风险分析 113 需求汇总 14 信息共享区平安需求 14 各单位专网平安需求 154 平安架构 16 平安建设标准 16 平安设计原那么 16 平安架构设计 175 xx政法网管理体系设计 19 政法网平安组织建设 19 平安标准和制度建设 20 平安运维建设 226 xx政法网技术体系设计 24 物理/链路平安防护 24 网络平安防护 25 计算区域平安防护 26 应用平安防护 29 平安管理中心建设 337 涉密信息系统设计概述 36 涉密信息系统设计标准 36 涉密系统平安保密方案的主要内容 36 方案设计中的几个要点 378 各单位技术体系设计要求 39 物理/链路平安防护要求 39 网络平安防护要求 40 计算区域平安防护要求 41 应用平安防护要求 42 平安管理中心建设建议 44工程概述政法网的建设是国家电子政务的重要组成局部，是现代司法、立法和警务执法工作的需要。政法网不仅可以为国家机关和社会提供各种政法信息效劳，而且可以为是打击犯罪活动和保障经济建设提供及时、准确和全面的信息效劳，是信息时代开展的要求，是一场新的司法、立法和警务执法的革命。xx省经过多年建设，公安、法院、检察院等政法单位都不同程度的建立了自己的纵向业务信息网络。这些信息化建设为xx省的政法工作开展起到了相当大的促进作用。而随着现代政法工作的业务开展，各部门之间协同工作、信息共享的需求越来越强烈。因此，建设一个统一平台的政法网络，已经成为xx省政法信息化进程的必需。近年来，国内已经有多个省份建立了自己的省级政法网，根本的形式是建设成省级公安、检察、法院、司法等单位共享的“数据、语音、视频”的三网合一的网络平台。综合这些省份的建设，总体上具有以下特点：一、传输网络行业隔离：由于各行业都有较严格的管理制度与平安标准，因此政法网建设时，纵向的传输系统一般都通过划分MPLSVPN等方式，保证相互之间的隔离。二、数据共享区域交互：由于政法系统间信息共享的业务需求，一般会在省、市级单位建立数据共享平台，解决各单位之间的数据交换问题。三、系统管理纵强横弱：由于政法网行业分隔的特点，导致政法网的网络与平安管理呈现出各行业垂直管理较强，区域平台横向管理较弱的特点。各行业的网络管理、应用管理、平安管理主要以设备管理、直接控制为主，横向管理主要以监督检测、制度管理为主。政法网建设中的纵向隔离与横向共享的特点，是与其它电子政务系统建设的明显区别，也是在系统设计与平安设计时必须要考虑的重要特点。而如何建立一个行之有效的平安管理体系，解决政法网跨行业平安管理和监控的矛盾，也是保证网络平台的稳定运行和业务的平安高效运转所需要解决的重要问题。本方案将分析xx政法网所面临的风险，并针对风险进行平安体系设计。同时，对与xx政法网相连的六大系统网络进行风险分析并提出与xx政法网平安体系相适应的平安建设要求。网络规划概述xx省政法网已经进行了整体网络架构的设计。整个政法网将采用统一的骨干网络，同时采用MPLSVPN技术，将六大系统隔离开来。骨干网络将由省及各市政法委的路由器构成，省级政法单位通过各单位路由器连接到骨干网，各市级政法单位通过自己的路由器分别连接到所属市的政法委路由器上。其骨干网络拓扑示意图如下：请自己补充网络拓扑图整个政法网通过MPLSVPN划分为政法委、公安、法院、检察院、平安、司法六大系统各单位专网络和一个信息共享信息共享区络，其MPLSVPN网络示意图如下：图：政法网MPLSVPN网络下面我们就从纵向和横向两个纬度对xx省政法网将要面临的平安风险进行详细的分析。风险分析xx政法网的整个系统现状主要可以按照两个层面来看：首先所有运行于网络系统平台之上的各种应用系统的载体是网络中各个终端和效劳器群，这些终端和效劳器群作为根底计算设施构成了“计算设施”层面。同时贯穿于整个系统的还有一个重要的系统：管理系统，他对网络层面、计算设施层面和应用层面都起到直接的监控和管理作用。所以，总体来看，我们在对xx政法网进行整体平安风险及需求分析时，根本上可以按照以下模型来进行综合分析：信息共享区风险分析xx省政法网信息共享区是指省、市两级政法网的信息共享业务VPN网络。其功能是为六大系统之间的数据共享和协同办公应用搭建一个平安高效的信息平台。信息共享业务VPN网络示意图如下：图：信息共享VPN网络信息共享区物理/链路层平安风险网络信息系统的顺利有效运行必须依赖其所处的物理环境〔如机房〕和硬件根底设施〔各种效劳器、路由器、交换机、工作站等硬件设备和通信线路〕的可靠运行，任何一处的失效都可能导致整个系统的不可用。物理/链路层可能存在的平安弱点包括：物理环境平安风险如地震、水灾、火灾、雷电等环境事故造成网络中断、系统瘫痪、数据丧失等；机房电力设备和其它配套设备的运行故障造成设备断电以至操作系统引导失败或数据库信息丧失；因接地不良、机房屏蔽性能差引起的静电干扰或外界的电磁干扰使系统不能正常工作；电磁辐射可能造成数据信息被窃取或偷阅。物理设备的平安风险包括信息系统所依赖的网络设备如交换机、路由器等，效劳器如PC效劳器、小型机等，一旦发生故障，将直接影响信息系统和各种网络应用的正常运转；个人电脑如台式机和便携机等被非法盗取或毁坏而造成信息泄漏或数据丧失。通信线路的平安风险可能的风险有：通信中断，由于通信线路自身故障或被恶意切断或过高电压等导致信息系统的通信线路出现意外中断，造成信息系统资源的不可用。传输错误，信息系统的重要数据在传输过程中可能出现错误，导致信息完整性和可用性的破坏。链路层的平安风险网络不平安的因素不仅是入侵者在网络上发动攻击、进行信息窃取或其他破坏，还包括：入侵者可能在传输线路上安装窃听装置，窃取网上传输的重要数据；局域网用户随意更改物理地址或盗用他人的物理地址来进行网络活动，将会给访问控制、网络计费等带来麻烦。通信链路承载能力缺乏或出现故障将导致丢包率升高甚至通信中断。这些都将对网络构成严重平安威胁。信息共享区边界平安风险如前图，我们可以看出目前政法网信息共享业务VPN网络的边界位于信息共享VPN网与其他六大系统VPN网络之间。在此边界上的风险主要有：应考虑防止不同级别和单位的用户越权、非法访问，保证网络平安策略的一致性；防范病毒和蠕虫从各单位VPN网络传播进入信息共享VPN网络，并防止病毒和蠕虫通过本网络向其他网络蔓延；解决横向数据交换时的平安需求与政策需求，在保证平安与不违反各系统制度的前提下，提供横向数据交换手段；防范可能发生的由某单位网络内发起的对信息共享VPN区域的攻击行为。信息共享区计算区域平安风险总体来说，计算区域内的计算设施面临的主要平安风险有以下几种：主机的各种平安漏洞效劳器的平安配置终端的强制管理操作人员的技术水平信息共享区应用系统平安风险xx政法网信息共享VPN网络内部网络上将要运行着多种应用系统，这些应用系统所面临的主要平安风险主要包括以下几个方面：病毒对应用系统的威胁：计算机病毒可以直接破坏操作系统和数据文件，使得应用系统无法正常运行。近年来，频繁爆发的蠕虫病毒更是令人防不胜防，它通过大量消耗网络资源导致网络瘫痪或者效劳器宕机，从而导致应用系统也无法正常运行；应用系统自身的漏洞：应用系统自身由于设计或程序上的缺陷，可能存在各种漏洞，例如WEB应用效劳的平安漏洞，可能导致WEB效劳器容易被黑客攻击，篡改网页，使得WEB效劳器无法提供正常WEB应用访问效劳；应用系统操作审计：数据库是系统中最重要的信息资产，然后由于系统自身漏洞或程序设计上的缺陷，可能存在各种被攻击的可能，没有审计机制，就无法及时发现、追查各类违规操作行为；身份与权限管理：没有身份认证机制，就不能建立信任关系，也就不可追踪各类操作的合规性，没有权限管理机制，就不能保证应用系统与数据的正确用法。操作人员可能对应用系统进行不当操作而威胁到应用系统，例如越权访问应用系统、违规占用网络资源影响应用系统等。信息共享区管理系统平安风险xx政法网所面临的一个很大问题就是管理问题。其中原因包括：网络覆盖广泛，整个网络将覆盖全省，建立从省到科、所、队的四级网络；用户众多且分属各个单位，人员管理无法统一；技术人员水平不一，对平安设备与平安措施的使用与管理也存在着一定的风险。例如，由于没有正确地配置平安设备，导致某一平安域内的防护手段失效。同时，对于某一平安域内发生突发的平安事件，现有的平安管理手段很难迅速准确对这种风险进行快速响应，也无法快速定位威胁来源在哪里，因此也无法及时调整平安策略来应对这样的平安事件。涉密信息传递平安风险xx政法网建设的目标之一，是为今后在各单位之间传递涉密信息建立一个可靠的根底平台。而涉密信息的存储、处理和传输，国家保密局都有着严格的要求和规定。因此，涉密信息系统的建设必须严格按照国家保密局相关流程和法规进行设计和建设。各单位专网风险分析xx省政法网各单位专网是指通过本次建设的xx政法网MPLSVPN网络为xx政法系统：政法委、公安、检察院、法院等六大单位分别构建的虚拟专用网络。省、市级各单位的专用网络分别接入所在地区的政法网VPN网络，县级以下的纵向连接由各单位自行负责。各单位专网VPN网络示意图如下：图：A单位各单位专网VPN网络示意图各单位专网物理/链路层平安风险各单位专网的物理/链路层平安情况和信息共享区类似。可参见前面对信息共享区的物理/链路平安风险分析。各单位专网边界平安风险如上图，我们可以看出目前政法网六大各单位专网的边界有两处：一是外部边界，位于各单位各单位专网与信息共享VPN网络之间；二是各单位内部边界，位于各单位省、市、县各级单位的纵向连接点。对于各单位专网，主要承当着路由信息传递、数据传输等任务，因此，高速、稳定的边界防护是专网边界的根本要求。此外，在专网边界上应考虑防止不同级别用户之间的越权、非法访问，保证网络平安策略的一致性。因此在边界上的风险主要有：应考虑防止不同级别的用户越权、非法访问，保证网络平安策略的一致性；防范病毒和蠕虫从信息共享VPN网络传播进入，并防止病毒和蠕虫在本单位网络纵向蔓延；防范可能发生的由本单位内部发起的对上下级网的攻击行为。各单位专网计算区域平安风险总体来说，计算区域内的计算设施面临的主要平安风险有以下几种：主机的各种平安漏洞效劳器的平安配置终端的强制管理操作人员的技术水平各单位专网应用系统平安风险各单位专网的应用系统平安情况和信息共享区类似。可参见前面对信息共享区的应用系统平安风险分析。各单位专网管理系统平安风险各单位专网也面临着很大的管理问题。其中原因包括：网络覆盖广泛，借助于xx政法网，各单位专网将覆盖全省，建立从省、市到科、所、队的四级网络；骨干网的设备由政法网统一管理，因此各单位不但要有自身的管理队伍，还要和政法网的统一管理机构相互协作，以保证专网业务的畅通，并在发现问题时能够及时查找到原因；各单位内部用户众多，且水平参差不齐，各单位的管理体系应与政法网的统一管理体系相互协调。以保证管理的连贯性和接口的一致。不至因为管理机制的差异导致平安事件无法得到高效处理。需求汇总通过前一章节中横向和纵向的风险分析，我们总结出xx政法网的主要平安需求如下：信息共享区平安需求应考虑防止不同级别和单位的用户越权、非法访问，保证网络平安策略的一致性；防范病毒和蠕虫从各单位VPN网络传播进入信息共享VPN网络，并防止病毒和蠕虫通过本网络向其他网络蔓延；解决横向数据交换时的平安需求与政策需求，在保证平安与不违反各系统制度的前提下，提供横向数据交换手段；防范可能发生的由某单位网络内发起的对信息共享VPN区域的攻击行为；及时发现和加固主机的各种平安漏洞；发现效劳器的配置错误并改良效劳器的平安配置；对终端进行强制平安管理；提高所有操作人员的技术水平；防范病毒对应用系统的威胁；防范应用系统自身的漏洞；对应用系统操作进行审计，及时发现、追查各类违规操作行为；统一身份与权限管理，防范各种越权、滥用或入侵系统的行为；；建立统一的平安管理平台；统一人员管理；建立健全相应的平安标准和规章制度；各单位间涉密信息交换应符合国家保密局相关政策和规定的要求。在保证涉密信息的平安前提下进行横向涉密信息交换。各单位专网平安需求应考虑防止不同级别的用户越权、非法访问，保证网络平安策略的一致性；防范病毒和蠕虫从信息共享VPN网络传播进入，并防止病毒和蠕虫在本单位网络纵向蔓延；防范可能发生的由本单位内部发起的对上下级网的攻击行为。及时发现和加固主机的各种平安漏洞；发现效劳器的配置错误并改良效劳器的平安配置；对终端进行强制平安管理；提高所有操作人员的技术水平；防范病毒对应用系统的威胁；防范应用系统自身的漏洞；对应用系统操作进行审计，及时发现、追查各类违规操作行为；统一身份与权限管理，防范各种越权、滥用或入侵系统的行为；；建立统一的平安管理平台；统一人员管理；建立健全相应的平安标准和规章制度。平安架构通过前面的平安分析和需求汇总，我们已经充分了解了xx政法网所面临的平安问题。下一步，就是针对这些风险，选择适宜的平安模型进行平安方案的设计。这个平安模型不但应该成熟全面，还应该适合xx政法网的现状，并便于将来的实施和进一步的扩展。针对xx政法网的行业特点，我们建议平安模型参考以下的建设标准和原那么：平安建设标准xx政法网的设计建设和维护必须符合国家法律法规和部门规章制度的要求，遵循国家政策的相关规定，并且按照一定的标准进行设计建设和维护。《电子政务信息平安等级保护实施指南〔试行〕》《电子政务标准化指南》《金盾工程建设总体规划》；《全国检察机关信息化建设规划纲要》；《全国人民法院计算机信息网络建设规划》《全国司法行政系统信息化建设规划》等……平安设计原那么xx政法网的平安建设应该本着以下一些原那么：平安体系科学完善系统设计应充分考虑到各个层面的平安风险，构建完整的平安防护体系，充分保证系统的平安性。同时，应确保方案中使用的信息平安产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其平安性。平安措施协同关联建立协同防御体系，设计时所采用的各种平安措施，应充分考虑相互间的关联性，通过综合防护手段，保证平安措施的一致性、有效性，防止一点突破，全网失控。平安管理简单高效充分考虑各级各单位平安管理的长期性、复杂性以及技术力量的不均衡，通过集中高效的平安管理措施，建立适应各级单位的平安管理体系。平安架构设计通过综合考虑，我们建议xx政法网按照以下平安建设框架进行平安体系的规划和建设。图：平安体系框架针对xx政法网所面临的从网络边界、计算区域、应用系统到平安管理的风险分析，将采用以下的平安技术和管理手段等来分别进行风险防范。首先在边界平安层面，要通过平安隔离技术实现六大系统网络和信息共享网络的相互隔离，还要通过访问控制和VPN等技术手段在隔离的根底上实现平安连通。并通过入侵检测和网络审计等手段，进一步加强访问控制措施；在计算区域平安层面，通过漏洞扫描等方式发现系统的固有漏洞，并通过补丁管理、系统加固等方式及时消除平安隐患。同时通过对终端的强制管理和系统登录控制等手段，防范非法的对外连接和对系统的非授权访问。最后通过系统日志审计和终端审计等方式，实现对平安事件的预警和事后审计；对于应用系统平安层面，首先要通过统一的身份认证系统实现对所有业务的平安策略和访问权限的统一。同时通过防篡改技术、存储平安和灾难恢复等手段，实现对业务系统中最关键的局部：“数据”进行全方位防护。最后还要通过防病毒系统对病毒、蠕虫和木马等应用系统常见威胁进行过滤和去除。平安管理是整个平安体系能否正常和高效运转的关键。通过建设统一的平安管理平台和平安审计平台，实现对网络真实平安现状的随时掌控。同时通过建立高效的管理机构并对下级单位进行适当的授权管理，到达日常管理的高效化。并真正实现及时的应急响应。除了以上的技术手段和管理手段，还要依托已有的平安政策进行完善的平安标准制定和平安制度建设。通过标准和制度建设，能够统一平安管理认识并实现平安策略的统一。对于今后更加深入的进行平安建设也将起到指导作用。下面我们就按照上面的平安体系框架从管理和技术两个角度，为xx政法网的信息共享区进行平安措施的规划，并对各单位专网的平安规划和建设提出相应的标准和要求。xx政法网管理体系设计前面已经明确，平安管理是整个平安体系能否正常和高效运转的关键。对于xx政法网来说，完整的管理体系更是保证整个政法网个系统之间能够步调一致的工作，进行对威胁的预警、及时处理、事后审计的关键。进行一个完整的信息平安管理体系，至少包括平安组织建设、平安标准和平安制度建设和平安运维建设三个局部。xx政法网必须建立一个以统一、高效的平安管理体系。xx政法各单位应建设与政法网管理体系相适应的自身管理体系。在已有平安体系的根底上，按照国家相关政策和政法网的要求，完善自己已有的管理体系。政法网平安组织建设要保证xx政法网具有一个统一，高效的平安管理机构，首先将建立政法委牵头的政法网信息平安管理体系。具体组织为：在省政法委建立“省政法网信息平安领导小组”，负责全省政法网的信息平安领导工作。包括：制定信息平安管理制度，监督和指导各单位信息平安工作的贯彻和实施，考核和检查各部门的信息平安工作情况等工作。各市政法委设立相应的“市政法网平安管理小组”，接受省平安领导小组的管理。具体业务包括：负责本系统各级平安管理员的选用与监督，监督落实各市级单位信息平安工作的贯彻与实施，维护本系统各类平安设备的正常运行，及时处理本系统各类平安事故，并向省平安领导小组汇报等工作。县级政法委应配置1-2名平安管理人员，平安管理员负责政法网信息平安方面的相关工作。各单位要建立能独立承当本单位信息平安管理的完整队伍。并能够与政法委的信息平安领导小组以及各信息平安管理小组相配合，共同做好政法网的管理和维护工作。公安、法院等各大系统应在各系统建立专职的省级平安管理小组，接受省政法委平安领导小组的统一管理与部署，监督落实本系统的平安管理工作。各市级单位应建立市级平安管理小组，并配置1-2名专职平安管理人员，县级应配置1-2名兼职平安管理人员，平安管理员负责政法网信息平安方面的相关工作。平安标准和制度建设政法网平安标准和制度平安管理建设总体架构图上面是xx政法网平安管理体系建设总体架构图，整个架构有总体方针、组织体系、平安策略、管理制度四级组成，成个架构呈金字塔型。总体方针位于信息平安管理体系的第一层，是整个组织信息平安体系的最高指导方针。总体方针可以表达为xx政法网对于信息平安运维保障体系中管理体系的总体要求和建设目标。平安策略体系和平安管理制度、标准及流程是平安管理体系对信息技术人员提供指导或要求的标准，因此它们的建设将建立在与xx政法网各级信息系统环境密切结合的根底上。设计中将结合ISO17799的"资产管理"、"物理和环境平安"、"通信和操作管理"、"访问控制"、"系统采购、开发与维护"、"信息平安事件管理"、"业务连续性管理"、"符合性"等要求进行的定义。分别对物理平安、网络平安、访问控制环境、系统平安、应用平安、数据平安、病毒防护、平安教育、应急恢复、帐号口令、平安审计、系统开发、平安工程、风险管理等方面提出了标准的、不同等级的平安策略要求。平安策略体系是完全从平安角度对上述平安管理机制进行的阐述，目的是建立用户信息平安的"统一"策略管理机制，真正实现xx政法网的统一管理。平安策略体系是所有平安管理制度、平安操作标准及相关流程的上层策略，从平安角度提出了平安技术操作标准和平安管理执行标准。平安策略的内容一经公布将在一定时间内长期有效，涉及到的所有部门或个人均须对其负责。xx政法网平台在"总体平安方针"、"信息平安组织体系"、"信息平安策略体系"的指导下，结合各业务信息系统、各种信息技术角色的具体情况，从应用和操作的角度对相关平安管理制度、操作标准和流程等进行明确的要求。平安管理制度、标准及流程是最终面对所有被管理对象的文档和要求，易于落实和执行。这些平安管理制度可以以某种共同的特殊平安需求进行制定，如机房平安管理制度、文档平安管理制度等，也可以按照某种角色的平安职责进行制定，如网络管理员平安管理制度，开发人员平安管理制度等。平安管理制度中的流程、表单记录，是xx电子政务网建立平安内部控制体系进行内部审计的重要依据。信息平安管理体系总体框架各单位平安标准和制度建设各单位应建立与xx政法网相适应的平安管理体系。在xx政法网的总体平安管理体系和制度框架下，结合目前本单位已经建立的标准和制度，进行完善和补充。也要从物理平安、网络平安、访问控制环境、系统平安、应用平安、数据平安、病毒防护、平安教育、应急恢复、帐号口令、平安审计、系统开发、平安工程、风险管理等方面提出标准的、不同等级的平安策略要求。平安策略的内容一经公布将在一定时间内长期有效，涉及到的所有部门或个人均须对其负责。此工程工作需要在管理体系建设效劳阶段进行设计，需要在长期效劳过程中才能逐步完善起来。平安运维建设政法网平安运维建设运维体系由监控管理系统、运行维护系统、人才培训系统三局部构成。监控管理系统的内容是，重点建设政法网和政法六大单位的应用系统、信息资源、网络系统、平安系统、机房环境系统的监控管理，确保系统正常运行；运行维护系统的内容是，建设政法网和政法六大单位的运行管理和检查监督制度，各类应用、网络、平安系统的运行维护、系统完善和提升，和应急响应系统等。人才培训系统的建设内容是，组织政法网和政法六大单位的建设和推广应用培训，组织计算机审计初级、中级培训，组织应用系统认证培训，建设政法网和政法六大单位的培训场地、设备设施；协助建设政法信息化人才培训体制、机制和相关组织措施，确保政法人才的信息化。监控管理系统和应急响应系统从技术上有效保障应用系统、数据中心和网络系统持续稳定运行。各单位平安运维建设各单位运维体系由监控管理系统、运行维护系统、人才培训系统三局部构成。监控管理系统的内容是，重点建设各单位的应用系统、信息资源、网络系统、平安系统、机房环境系统的监控管理，确保系统正常运行；运行维护系统的内容是，建设各单位的运行管理和检查监督制度，各类应用、网络、平安系统的运行维护、系统完善和提升，和应急响应系统等。人才培训系统的建设内容是，组织各单位的建设和推广应用培训，组织计算机审计初级、中级培训，组织应用系统认证培训，建设本单位的培训场地、设备设施；协助建设政法信息化人才培训体制、机制和相关组织措施，确保政法人才的信息化。监控管理系统和应急响应系统从技术上有效保障应用系统、数据中心和网络系统持续稳定运行。xx政法网技术体系设计平安防护技术体系是一个集物理平安、网络平安、系统平安、应用平安、平安管理于一体的较为完善的整体解决方案。xx政法网的平安防护体系分为五个系统10余个子系统。整个平安体系的建设将以平安管理系统为核心，将各种异构的平安产品、网络设备、用户终端和管理员有机的连接起来，构成一个智能的、联动的闭环响应体系。为详细说明各系统的工作原理、主要功能以及关联关系，下面分别描述各子系统的方案设计。物理/链路平安防护物理与线路传输平安是整个系统平安的前提。在物理与线路传输平安体系设计中包括物理环境的平安，物理线路的平安，通信链路的平安等。本次工程所需各种设备均应安装在标准电信机房内。机房建设应遵循GB50173-93《电子计算机机房设计标准》等标准建设，能够满足包括防雷、防水、防火、防电磁辐射等内容的区域保护和灾难保护。通信信道为运营商提供，应采用长途环路保护、本地环路保护等手段进行保护，同时，对于关键设备，应采取冗余保护措施，并根据具体情况，提供带宽、端口的冗余，便于今后扩容升级。政法网传输链路为专用信道，所需设备及链路均与公众网别离，保证了与公众网的隔离。同时，应做好备件保护、电路保护、分路保护、容错保护、灾难保护等措施，保护链路平安。1、建设MPLSVPN专网在xx政法网全网按照六大系统和信息共享系统，采用MPLSVPN技术进行隔离保护。2、建设涉密信息加密隧道除了六大系统自身已经建立的涉密信息传输通道以外，信息共享区也必须建立专用的涉密信息加密隧道，以便于涉密信息的传输。其技术要求要严格按照国家保密局相关政策和标准制定并建设。3、划分VLAN在xx省政法网信息共享区的网络平台上，利用基于802.1Q协议的VLAN技术，根据信息共享的需要，规划VLAN，确保同一业务系统的主机属于同一个VLAN，可跨交换机甚至局域网进行互访，而不同业务系统VLAN之间除非明确允许，否那么是不能互相访问的。4、链路冗余采用链路备份机制，对主干传输链路提供故障切换，确保数据传输不中断。网络平安防护访问控制防护设计政法网的骨干网是整个政法网的核心，因此需要全面保护。应在省骨干网与省级政法六大单位网络之间，以及市骨干网与市级政法六大单位网络之间部署防火墙进行访问控制。以保证对政法网骨干网络的平安防护。其次，应在政法网内不同平安域之间部署防火墙系统，对网络进行平安访问控制。对于xx政法网，首先需要在省、及市级信息共享区域的效劳器群前部署防火墙设备。还应视情在不同业务间部署防火墙设备，保证共享业务间不会有越权访问等平安问题。平安隔离与信息交换防护设计根据公安部、最高法、最高检等单位的内部政策，各系统行业专网不允许与其它网络直接连接，如果需要进行数据交换，必须采用平安隔离网闸，以数据摆渡的方式进行数据交换。为解决政法网各大系统信息共享的问题，在省委两级政法委设立专门的共享平台，通过共享平台，以平安隔离的方式，与各系统专网进行数据交换。在政法委机房中部署共享平台效劳器群，由政法委负责维护，供各部门信息共享使用。在公安、检察院、法院、司法厅、平安厅5大系统专网边界，设立前置效劳器或前置效劳器群。前置效劳器通过平安隔离网闸，接入到政法网中。各系统内部专业系统中需要共享出来的数据，先传递到前置效劳器，然后由平安隔离网闸摆渡到政法网中，并传送到政法委的共享平台效劳器群。各系统如果需要从共享平台获得数据，也是通过平安隔离网闸，从共享平台中将数据摆渡过来，进行相应处理。采用这种方法，既能保证各行业专网的政策要求和平安标准，又能保证政法网及时得到相关数据。计算区域平安防护网络病毒防范系统要求在政法网内所有系统中所有终端安装网络防病毒系统。通过全面的网络病毒防护，在各级内网构建起一道最根本病毒防线。其中政法网信息共享区防病毒系统由政法委建设并管理，通过建立多层病毒防护体系，将病毒的威胁减小到最低：1、网络层病毒阻断和查杀：在网络边界通过网关防毒系统进行基于网络的病毒防范和蠕虫阻断，可以在很大程度上防止蠕虫病毒爆发时的大流量冲击，并将病毒和蠕虫消灭在传播阶段。2、内网单机全面防毒：通过在整个系统内部全面部署病毒防护产品，查杀终端上驻留的病毒。利用网络杀毒工具强大的管理功能在政务网实现统一的防毒策略。防病毒系统除必须具有高效的杀毒能例外，还必须具有的功能包括：杀毒策略统一集中配置跨平台管理自动并且是强制升级方式客户端策略强制锁定集中病毒报警通过这种集中管理方式可以做到减少对客户端人员的技术和技能要求，全网策略集中统一，保证防杀病毒的有效性和实时性。主机评估与加固政法网中存在大量的重要的信息资产，比方重要的文件效劳器、重要的数据库效劳器等，这些重要效劳器所承载和存储的关键信息的完整性、保密性和可用性就变得更加重要，是政法网整个信息系统的核心资产，一旦这些核心资产由于平安风险而被破坏、窃取，将会立即威胁到政法网的各种业务，甚至引起失泄密事故，影响社会和谐。必须建立重要主机系统的平安评估和加固机制，来对这些核心信息资产进行重点防护。一方面，在不同时期的新的平安形势和新的业务要求下，风险评估和系统加固效劳可以进行主动的平安预警和平安防护，并对原来的平安体系和信息系统进行系统检查和评估，通告合理性建议给信息管理人员，对平安体系进行必要的调整和维护，合理配置信息系统；另一方面，在面临新的平安威胁和风险时，可以对原有平安设备的平安策略进行评估，确认平安策略是否符合新的威胁和风险的抵御要求，并向信息管理人员进行预警提示和策略修改建议。通过系统加固可以及时的调整平安体系和平安策略，并对重要的效劳器和主机进行必要的系统维护和加固处理，使防护系统持续的具备最新的抵抗平安风险的能力，使信息资产具备最新的免疫系统和根本的自防御功能。内网平安系统内网平安系统主要解决内部计算环境中的平安问题，即解决专网中主机效劳器和计算机终端这些计算设施的平安问题。1、在专网的各个终端部署可信终端管理系统，随时监视并控制各PC终端的操作行为和系统进程，对于违反既定的平安策略的终端操作行为进行自动的强制平安策略控制，并通知防火墙拒绝违规终端的访问请求，杜绝违规操作。通过进程管理，采用黑白名单方式，约束终端只能运行经过允许的应用程序，禁止用户使用BT等违规软件，防止病毒进程在系统中潜伏。通过主机防火墙功能，对进出主机的TCP端口进行严格审计，使得外界病毒无法传染，主机上已经染了病毒也无法进行传播。通过网络准入控制，使接入专网的计算机必须符合相应的平安要求，通过相应的平安认证，否那么无法使用专网内资源。与防火墙进行联动，一旦发现终端上有不平安行为，立即通知防火墙，阻断相应终端的网络访问。具体部署时，在每一台内网终端上安装可信终端管理软件，此软件与操作系统绑定，用户无法卸载。所有入网终端，如果没有安装管理软件或进行了违规操作，都将断掉网络连接，并通知管理效劳器，记入日志。同时，为适应安监局专网地域广阔、用户分散的特点，在实际部署时，每一级局域网部署一套可信终端管理效劳器，用于本级终端的平安策略下发与审计报警。并在国家局部署一套中心效劳器，用于向各下级效劳器下发总体平安策略，并收集各下级效劳器的日志，形成审计报告。通过本系统的实施，一方面，可以加强管理员对终端系统的控制；另一方面，通过对终端上病毒、蠕虫的多种手段的围堵，使病毒无法在网络中驻留，解决网络病毒传播问题。2、通过部署补丁管理系统，可以及时对终端上的软件进行升级，弥补软件漏洞，防止被病毒和攻击行为利用。其功能应包括：补丁分发：补丁分发功能是补丁分发管理系统的核心功能。补丁管理效劳器负责对用户网络中的安装了客户端的桌面或效劳器进行补丁分发与安装。不仅包括针对于各种操作系统漏洞的修补程序，也包括对用户系统中不平安配置的修复程序，对用户系统中间谍程序探测与自动删除，对用户系统中受阻止应用程序的屏蔽与删除，对用户定制漏洞定义进行修复的程序等。补丁管理：补丁管理功能实现对补丁库中的补丁程序进行日常的管理与维护，包括补丁的添加，补丁删除，漏洞信息查询，补丁信息查询，补丁信息修改，自定义补丁等。具体部署时，在每一台内网终端上安装终端管理软件，此软件与操作系统绑定，用户无法随意卸载。所有入网终端，如果没有安装管理软件或进行了违规操作，都将断掉网络连接，并通知管理效劳器，记入日志。同时，为适应政法网终端系统覆盖区域较广、较分散的特点，在具体部署时，省市两级政法委机房部署补丁管理效劳器，用于本级终端的平安策略下发与审计报警，并收集各下级效劳器的日志，形成审计报告。3、记录必要的漏洞信息和终端日志信息，提供应平安管理平台，形成管理平安体系的数据采集单位，为平安管理系统提供必要的分析数据。内网平安管理平台部署示意图应用平安防护平安认证系统政法网CA系统建设的目的是：为政法网将要开展的各种信息共享业务提供统一的认证体系。建立应用平安体系的总体思路是：在政法网的横向业务系统中根据系统的统一规划，建立CA认证中心，作为整个政法网络体系的根底信任设施，以实现数字证书的受理、发放、更新与废止；同时，建立直接效劳于各个应用系统的统一认证及授权管理系统，实现基于数字证书的各项平安应用功能，为各个应用系统直接提供可信认证、完整性保护、访问控制、单点登录、权限管理等根本平安效劳，进行实现各类应用系统的平安互联互通、平安信息共享、平安应用整合，其总体逻辑结构框架图如下：CA认证系统CA认证系统统一认证授权管理中间件应用1应用2应用3…应用平安管理标准平安认证系统逻辑结构框架图建议xx政法网建立构筑于统一的CA认证中心。不仅负责信息共享区域的CA认证，还将同一为政法六大系统建立统一的身份认证体系。整个PKI系统可分为三层，包括CA、RA、LRA〔LocalRA〕。CA这一级由xx省CA中心统一建设，对于政法网而言，只需要根据自身情况建立RA和LRA。结合政法系统的信息系统建设情况，在省政法网中心部署RA中心，各市级政法网中心部署RA分中心，在省级政法各单位以及地市政法各单位部署LRA受理点。其关系示意图如下：RA中心由注册效劳器、管理终端计算机和业务终端计算机组成。将它们部署在各单位网络中心的平安管理区，注册效劳器经过加密机进行数据加密后与政法网中心的CA系统进行平安通讯。RA作为CA认证体系中的一局部，能够直接从xx省中心那里继承CA认证的合法性。根据CA中心制定的政策和管理标准的规定对证书申请者提交的身份信息进行审查，以决定是否为用户发放证书，并向CA中心提交证书申请为用户签发证书，根据CA中心签发的证书配置证书载体，分发給证书申请者。各省级政法单位以及地市政法单位LRA证书受理点，使用PC机作为操作终端，连接访问到RA中心效劳器，是为用户提供证书申请效劳的受理窗口。由此，负责接收用户的证书申请请求，对用户提交的资料进行初级审核，并将资料提交到相应的注册审核RA中心。入侵检测系统入侵检测系统是防火墙技术的补充，作为网络平安体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。IDS也可以与防火墙等平安产品进行联动，实现动态的平安维护。此外，IDS是平安管理与风险管理中重要的数据与信息来源，可以为平安管理平台提供重要的网络平安状态信息。本次部署的网络入侵检测系统位于省市两级6大系统的中心机房中，中心机房核心网络区域，并接在其核心交换机的镜像端口上。通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统平安策略做出反响，包括实时报警、事件登录，或执行用户自定义的平安策略〔例如与防火墙建立联动〕等。同时，入侵检测系统还可以形象地重现操作的过程，可帮助平安管理员发现网络平安的隐患。为平安管理平台提供必要的可供分析的数据。入侵检测系统所需具备的功能包括：1、防范网络攻击事件：正如入侵检测系统的平安策略中描述的，针对数据中心区域和网络边界区域，入侵检测系统采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各种攻击和欺骗。并且还能够通过策略编辑器中的用户自定义功能定制针对网络中各种TCP/IP协议的网络事件监控；2、防范拒绝效劳攻击：入侵检测系统在防火墙进行边界防范的根底上，能够应付各种SNA类型和应用层的强力攻击行为,包括消耗目的端各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有TCPFlood，UDPFlood，PingAbuse等；3、防范预探测攻击：部署在数据中心区域和网络边界区域的入侵检测系统，能够很好的防范各种SNA类型和应用层的预探测攻击行为。主要防范的攻击类型有TCPSYNScan，TCPACKScan，PingSweep，TCPFINScan等；4、防范内部攻击：对于局域网而言，内部人员自身对网络拥有相当的访问权限，因此比照外部攻击者，对资产发起攻击的成功概率更高。虽然在网络边界部署防火墙，防范外部攻击者渗透到网络中，但是对内部员工的控制规那么是相对宽松的，入侵检测系统通过对访问数据包的细化检测，在防火墙边界防护的根底上，更好地觉察内部员工的攻击行为；5、加密通信中的数据也可能含有攻击信息，利用入侵检测系统对加密数据进行解包、检测，是技术开展的趋势，也是目前解决此类问题的最正确方案。信息审计子系统在主机效劳器上部署主机传感器程序〔审计客户端程序〕，负责实现审计系统中主机审计的功能；在系统的核心交换机上部署网络传感器，通过旁路侦听方式实现网络审计和数据库审计功能。审计系统要实现如下功能：输入输出设备审计与监控文件访问的审计打印行为的审计与监控非法外联行为的审计与监控非法内联的审计与监控IP地址使用的监控进程管理的审计记录网络连接的审计与控制网络入侵行为的审计与检测数据库非法访问的审计与监控应用系统审计漏洞扫描系统在政法网省、市级骨干网络中必须部署先进的漏洞扫描系统，以实现对骨干网络的漏洞及时发现和加固。在实际的平安事件中，网络攻击一般都是利用系统中的漏洞来实施入侵行为的。为充分保障这些信息系统平安中的脆弱点，通过部署漏洞扫描系统，在政法网中建立系统平安弱点评估系统，定期对整个网络进行系统扫描、弱点评估，评估对象包括主机、网络设备、数据库系统及应用系统〔如WEB〕。对重要的网段和网络中的重要资源及关键效劳器还应该增加扫描的频率。要从网络各个典型位置〔如边界外部、专网等〕对系统进行评估和扫描。利用漏洞扫描系统可集中找出当前网络中的平安漏洞，包括各个系统、设备及效劳的漏洞，了解漏洞内容，使管理员不需要花费巨大的精力去逐项核查每个可能存在的平安隐患。可以提供全面的风险评估报告和修正报告，包括对扫描所检测出来的平安漏洞描述，并提供相应的修正方法及补丁下载网址，进而减少政法网系统漏洞，降低风险指数。漏洞扫描系统可以采用固定式和移动式相结合的方式部署，实现对整个网络的无缝覆盖。平安管理中心建设xx政法网系统工程进行平安建设后，将出现有多个厂商、数量众多的平安设备和平安系统。管理员需要学习每种平安设备的使用方式，并时时巡视每台设备的运行情况和报警情况。管理员管理负担越来越重，无从掌控全局的平安状况，很难保证整个网络环境的平安性。同时，大量平安设备和平安系统的运行产生海量的平安事件，管理员如何有效的查找并发现平安问题，关联分析出产生问题的根源是个十分严峻、棘手的事情。由此，xx政法网需要部署集中平安管理系统，从平安设备监控管理和平安事件风险管理两方面来解决上述难题。平安设备管理系统采用三层分布式体系结构，主要由被管设备层、管理中心层、控制台层组成。在xx政法网数据中心的平安管理区部署集中平安管理系统效劳器，对xx政法网骨干网的平安设备和平安系统进行统一管理和审计，并对各市级政法网分平安管理中心进行平安审计，必要时跨越分平安管理中心直接对整个政法网的平安设备和平安系统进行管理和审计。在各市政法网数据中心的平安管理区部署分平安管理系统效劳器，对市级政法网的平安设备和平安系统进行统一管理。同时将管理和审计信息传送到省xx政法网平安管理中心进行统一的审计。平安管理中心应包含以下功能：平安运行统一监控平安管理平台通过SNMP协议、ICMP等管理协议与平安设备通信，以标准平台效劳：发现效劳、轮询效劳、内核效劳、访问接口效劳、数据管理效劳、权限认证效劳、级联效劳、调度效劳、事件效劳、告警效劳、通知效劳为根底，通过管理客户端、WEB客户端为用户提供了平安报警和设备监控〔拓扑地图、设备监视、历史状态分析〕等效劳。平安风险集中管理平安管理平台可以进行日志监视。系统可以实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。平安管理平台还可以进行日志管理。通过SNMP、SYSLOG等方式采集管理对象的日志信息，再统一管理、分析、报警；自动完成日志数据的格式解析和分类；为用户提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。综合各种平安设备的平安事件，以统一的审计结果向用户提供可定制的报表，全面反映网络平安总体状况，重点突出，简单易懂。通过部署集中平安管理平台，实现平安策略的集中部署、平安事件的深度感知、平安事件的关联分析、平安威胁的协同响应。涉密信息系统设计概述涉密信息系统的建设将严格按照国家相关标准和规定详细设计。这里仅列出设计的原那么和框架，详细的设计见专门的涉密信息系统设计方案。涉密信息系统设计标准对于涉密系统的建设，国家保密局提出了涉密系统保密管理的原那么：“同步建设、严格审批、注重防范、标准管理”。具体来说，同步建设，就是涉密系统的建设必须与采用的保密设施同步规划和建设；严格审批，就是涉密系统建成后必须经过保密部门批准才能使用；注重防范，就是涉密系统的建设必须突出保密防范，并加大技术和资金投入；标准管理，就是要针对涉密系统制定一套严格的防范和管理措施。近年来，国家保密局已经发布了如下规定和技术标准：BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》BMZ2-2001《涉及国家秘密的计算机信息系统平安保密方案设计指南》BMZ3-2001《涉及国家秘密的计算机信息系统平安保密测评指南》涉密系统平安保密方案的主要内容涉密系统平安保密建设是一个复杂的系统工程，无论是对已建计算机信息系统进行平安保密改造，还是新建一个涉密系统，都必须进行平安保密设计，提供平安保密方案。进行涉密系统平安保密方案设计，首先要进行系统分析，以了解、掌握涉密系统的详细情况；然后，根据涉密系统的实际情况分析网络的脆弱性和面临的威胁，并进行风险分析，确定平安保密的防护重点；依据国家有关信息平安保密标准、法规和文件进行平安保密系统设计，明确所采用的平安保密技术、措施和产品，提供恰当的配置方案，并标准整个涉密系统的平安保密管理；最后，提出平安保密建设的实施方案和经费概算。因此，涉密系统平安保密方案的主要内容应包括：系统分析脆弱性分析和威胁分析风险分析平安保密系统设计平安保密技术和措施平安保密产品的选型原那么平安保密产品、设施选型和依据平安保密系统配置方案平安保密管理措施平安保密建设实施方案方案设计中的几个要点涉密系统与非涉密系统的划分涉密系统平安保密方案设计首先应根据单位的业务工作要求，划分涉密系统与非涉密系统.。由于涉密系统不得直接或间接国际联网，必须实行物理隔离，并严格按照涉密系统的平安保密技术要求进行防护，因此，应该使涉密最小化，才能使平安保密经费更加合理，才能更有利于网络的开展应用。确定恰当的涉密系统规模和范围的前提是定密准确。对涉密系统所处理和传输的信息，有的定密过严，把不该定密的定了密，该定低密级的定高了，增加了平安保密经费的负担，也制约了应用；有的该定密的没有定密，该定高密级的定低了，增加了泄密隐患。涉密系统内平安域的划分涉密系统的平安域由实施共同平安策略的域及其中的主体、客体组成。涉密系统应该利用其网络结构〔如广域网、局域网、物理子网和逻辑子网等〕，并按信息密级和信息重要性进行系统平安域划分。不同的平安域需要互连互通时，应采用平安保密设备〔如防火墙、保密网关等〕进行边界防护，并实施访问控制。同一平安域应采用VLAN、域、组等方式根据信息的密级、重要性和授权进行进一步划分。重视管理目前，涉密系统平安保密方案设计中存在无视管理，以技术代替管理的现象。管理与技术的作用应该是七分管理，三分技术的关系。加强管理可以弥补技术的缺乏；而无视管理那么再好的技术也不平安。因此，涉密系统平安保密方案设计中必须特别强调不能无视平安保密管理，应该强调管理和技术相结合的平安保密解决方案。各单位技术体系设计要求平安防护技术体系是一个集物理平安、网络平安、系统平安、应用平安、平安管理于一体的较为完善的整体解决方案。各单位平安体系必须符合国家对电子政务网建设的相关标准和要求，同时参考xx政法网的平安防护体系进行建设。要求各单位平安体系的建设要以平安管理系统为核心，将各种异构的平安产品、网络设备、用户终端和管理员有机的连接起来，构成一个智能的、联动的闭环响应体系。物理/链路平安防护要求物理与线路传输平安是整个系统平安的前提。在物理与线路传输平安体系设计中包括物理环境的平安，物理线路的平安，通信链路的平安等。目前各单位都已经建设了专用机房。各单位机房的建设应遵循GB50173-93《电子计算机机房设计标准》等标准建设，能够满足包括防雷、防水、防火、防电磁辐射等内容的区域保护和灾难保护。通信信道为运营商提供，应采用长途环路保护、本地环路保护等手段进行保护，同时，对于关键设备，应采取冗余保护措施，并根据具体情况，提供带宽、端口的冗余，便于今后扩容升级。各单位所采用的政法网传输链路为专用信道，所需设备及链路均与公众网别离，保证了与公众网的隔离。同时，应做好备件保护、电路保护、分路保护、容错保护、灾难保护等措施，保护链路平安。1、维护MPLSVPN专网xx政法网已经按照六大系统和信息共享系统，采用MPLSVPN技术进行隔离保护，各单位必须使用和维护好自身的VPN专网。2、建设涉密信息加密隧道各单位之间要进行涉密信息的传输时，必须建设专用的涉密信息加密隧道。其技术要求要严格按照国家保密局相关政策和标准制定并建设。3、划分VLAN各单位内部的网络平台上，建议利用基于802.1Q协议的VLAN技术，根据不同业务需要，在各自网络内规划VLAN，确保同一业务系统的主机属于同一个VLAN，可跨交换机甚至局域网进行互访，而不同业务系统VLAN之间除非明确允许，否那么是不能互相访问的。4、链路冗余综合利用各单位已有的专用网络，作为链路备份机制，对主干传输链路提供故障切换，确保数据传输不中断。网络平安防护要求各单位纵向网平安防护各单位根据自身网络提点，建立纵向网络间的平安防护体系。保证上、下级之间网络的访问完全可控。根据各单位网络的建设规划和业务特点，各单位系统的省级节点是各单位网络的业务核心，主要的业务系统与数据交换都发生在这省级核心节点，因此，省级节点的防护除必要的网络隔离外，还应对应用层数据进行过滤，杜绝应用层攻击对各业务系统的破坏。市级6大系统的节点是各单位节点中重要的数据传输节点，纵向各级和横向各系统的数据会在这里进行频繁的交互，在这些节点除进行网络层防护外，还应加强对网络病毒、蠕虫的控制，防止病毒对骨干网络的影响。各区县及各部门的接入节点业务比拟单纯，这里的防护应本着低本钱、高效率的原那么进行设计。各单位共享区域边界防护各单位都有信息需要和政法网的信息共享区进行交互。根据公安部、最高法、最高检等单位的内部政策，各系统行业专网不允许与其它网络直接连接，如果需要进行数据交换，必须采用平安隔离网闸，以数据摆渡的方式进行数据交换。在公安、检察院、法院、司法厅、平安厅5大系统专网边界，设立前置效劳器或前置效劳器群。前置效劳器通过平安隔离网闸，接入到政法网中。各系统内部专业系统中需要共享出来的数据，先传递到前置效劳器，然后由平安隔离网闸摆渡到政法网中，并传送到政法委的共享平台效劳器群。各系统如果需要从共享平台获得数据，也是通过平安隔离网闸，从共享平台中将数据摆渡过来，进行相应处理。采用这种方法，既能保证各行业专网的政策要求和平安标准，又能保证政法网及时得到相关数据。计算区域平安防护要求网络病毒防范系统要求在各单位系统中所有终端安装网络防病毒系统。通过全面的网络病毒防护，在各级内网构建起一道最根本病毒防线。各单位系统的防病毒系统均应按照以下要求进行建设或升级：通过建立多层病毒防护体系，将病毒的威胁减小到最低：1、网络层病毒阻断和查杀：在网络边界通过网关防毒系统进行基于网络的病毒防范和蠕虫阻断，可以在