電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)2023/12/27電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)主題一、信息安全整體設(shè)計思路及方案二、一期工程建設(shè)及工作進展情況三、對各接入單位的要求及注意事項電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)一、信息安全整體設(shè)計思路及方案定位依據(jù)總體思路及方案電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)1、定位非涉密的政務(wù)外網(wǎng)；與Internet邏輯隔離，與涉密網(wǎng)物理隔離；聯(lián)接范圍：省內(nèi)縣級以上黨政機關(guān)；滿足政務(wù)部門行政管理、公共服務(wù)、電子辦公需要的統(tǒng)一網(wǎng)絡(luò)基礎(chǔ)平臺；是國家電子政務(wù)外網(wǎng)的組成部分。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)2、依據(jù)《關(guān)于加強信息安全保障工作的意見》，中辦發(fā)[2003]27號文件；《電子政務(wù)信息安全等級保護實施指南（試用）》，國信辦；《計算機信息系統(tǒng)保密管理暫行規(guī)定》，國家保密局；《湖北省電子政務(wù)建設(shè)規(guī)劃綱要》；《湖北省電子政務(wù)建設(shè)總體設(shè)計與實施方案》。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)3、總體安全建設(shè)思路物理與線路傳輸安全網(wǎng)絡(luò)安全主機與系統(tǒng)安全數(shù)據(jù)與應(yīng)用安全管理安全電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)物理與線路傳輸安全

物理位置的選擇；物理訪問控制（門禁、監(jiān)控）；防盜竊和防破壞（鐵門、鐵窗、鐵柜）；防雷擊（防雷系統(tǒng)）；防火、防水和防潮、防靜電、溫濕度控制；電力供應(yīng)（UPS）；電磁防護；通信線路備份；通信的完整性、保密性。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)絡(luò)安全

結(jié)構(gòu)安全與網(wǎng)段劃分（網(wǎng)絡(luò)規(guī)劃、域的劃分）；網(wǎng)絡(luò)隔離與訪問控制（防火墻、網(wǎng)閘、接入路由器）；網(wǎng)絡(luò)安全審計（網(wǎng)絡(luò)行為監(jiān)控）；邊界完整性檢查（防非法外聯(lián)監(jiān)控）；網(wǎng)絡(luò)入侵防范（IDS）；惡意攻擊防范（防DOS）；網(wǎng)絡(luò)設(shè)備管護；網(wǎng)絡(luò)資源控制。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)主機與系統(tǒng)安全

身份鑒別（CA）；訪問控制（口令、IC卡）；安全審計（日志）；系統(tǒng)保護（內(nèi)核加固）；入侵防范（HIDS）；惡意代碼防范及防病毒。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

身份鑒別；訪問授權(quán)及控制；安全審計；抗抵賴；軟件容錯；資源控制（應(yīng)用流量管理）；代碼安全。數(shù)據(jù)與應(yīng)用安全－－應(yīng)用安全電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)數(shù)據(jù)與應(yīng)用安全－－數(shù)據(jù)安全

數(shù)據(jù)完整性（防篡改）數(shù)據(jù)保密性（數(shù)據(jù)庫加密）數(shù)據(jù)備份和恢復(fù)（存儲備份）異地容災(zāi)電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)管理安全

管理機構(gòu)；安全人員及責(zé)任；管理制度；管理技術(shù)手段－綜合安全管理平臺；審計管理；安全服務(wù)。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)二、一期工程建設(shè)及工作進展情況電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)一期已部署的主要技術(shù)措施防火墻、隔離網(wǎng)閘、入侵檢測、防病毒、垃圾郵件過濾、抗攻擊、漏洞掃描、數(shù)據(jù)庫加密、安全認證網(wǎng)關(guān)、主機管理與審計系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理；數(shù)字證書系統(tǒng)（CA)。實現(xiàn)直接目標(biāo)：安全域的劃分與隔離、檢測入侵行為、查殺各種病毒、過濾垃圾郵件、抵抗各類攻擊、掃描弱點漏洞、進行日志審計、身份能夠認證、能夠防抵賴、數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)設(shè)備能夠有效管理，從而達到網(wǎng)絡(luò)、設(shè)備、軟件及應(yīng)用系統(tǒng)能夠安全穩(wěn)定快速可靠地不間斷地運行和提供服務(wù)。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)分區(qū)防護接入部分安全域部署邊界防火墻、網(wǎng)閘、防病毒匯聚部分安全域外網(wǎng)防火墻、認證網(wǎng)關(guān)、抗DOS、垃圾郵件過濾MPLSVPN、IPSec核心部分安全域核心防火墻、入侵檢測、漏洞掃描、防病毒、數(shù)據(jù)庫加密、主機管理與審計電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)相關(guān)安全策略路由器安全配置策略交換機安全配置策略邊界防火墻安全策略核心防火墻安全策略物理隔離網(wǎng)閘數(shù)據(jù)交換擺渡策略病毒檢查與病毒庫更新策略漏洞掃描策略抗DOS攻擊策略電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)省電子政務(wù)網(wǎng)防火墻禁止訪問前置服務(wù)器FE1FE2FE3通過在防火墻上設(shè)置相應(yīng)的訪問控制策略來實現(xiàn)防護功能，如：數(shù)據(jù)包過濾、禁止常見的病毒端口、根據(jù)時間、源IP、服務(wù)內(nèi)容、協(xié)議進行訪問控制等。對于已建設(shè)內(nèi)部局域網(wǎng)的廳局委辦采用NAT方式接入；對于未建設(shè)內(nèi)部局域網(wǎng)的廳局委辦采用路由方式接入。廳局委辦邊界接入示意圖允許訪問允許訪問接入單位內(nèi)部局域網(wǎng)交換機電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)百兆防火墻物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)千兆防火墻物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)省電子政務(wù)網(wǎng)接入單位內(nèi)部局域網(wǎng)交換機禁止訪問和擺渡前置服務(wù)器中網(wǎng)網(wǎng)閘網(wǎng)閘接入－方式1直接隔離方式將本次新建內(nèi)部網(wǎng)絡(luò)與省政務(wù)網(wǎng)進行隔離；隔離兩個不同安全級別的網(wǎng)絡(luò)，在兩個網(wǎng)絡(luò)之間設(shè)置數(shù)據(jù)擺渡交換通道。允許訪問允許擺渡電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)閘接入方式一物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)省電子政務(wù)網(wǎng)網(wǎng)閘服務(wù)器網(wǎng)閘接入－方式2隔離內(nèi)部服務(wù)器方式網(wǎng)閘用于保護接入單位的內(nèi)部服務(wù)器。前置服務(wù)器禁止訪問允許單向數(shù)據(jù)擺渡接入單位內(nèi)部局域網(wǎng)交換機電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)閘接入方式二物理連接示意圖電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)網(wǎng)絡(luò)防病毒系統(tǒng)分布式體系結(jié)構(gòu)、多級管理中心規(guī)劃

病毒監(jiān)控管理中心（系統(tǒng)中心）病毒監(jiān)控管理中心遠程殺毒自動升級遠程報警網(wǎng)絡(luò)管理

客戶端

客戶端查殺病毒自動升級實時監(jiān)控服務(wù)器端查殺病毒自動升級遠程安裝實時監(jiān)控

服務(wù)器端

控制臺控制設(shè)置管理電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)Cisco7609網(wǎng)神G7網(wǎng)神G7Cisco7609漏洞掃描系統(tǒng)配備了機架式和手持式漏洞掃描設(shè)備。對網(wǎng)絡(luò)設(shè)備（路由器、交換機等），安全設(shè)備（防火墻、網(wǎng)閘等）、主機系統(tǒng)（Windows、Unix等），應(yīng)用系統(tǒng)（SQLServer、Oracle等）的漏洞進行掃描評估。已設(shè)定每周自動掃描。手持式漏掃電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)目前存在的主要問題管理機構(gòu)及制度不完善沒有明確安全管理責(zé)任人機房環(huán)境較差部分單位網(wǎng)絡(luò)基礎(chǔ)條件較為落后安全防護技術(shù)手段欠缺電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)三、對接入單位的要求電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)1、明確信息安全管理機構(gòu)明確管理機構(gòu)及人員人員組成；明確信息安全責(zé)任人；職能及責(zé)任定位。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)2、人員安全管理信息安全人員基本要求；信息安全人員管理；信息安全人員職責(zé)范圍；要害崗位人員管理；要害崗位安全責(zé)任；第三方人員管理；培訓(xùn)與教育等方面內(nèi)容。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)《組織機構(gòu)和人員職責(zé)管理辦法》主要內(nèi)容：信息安全管理機構(gòu)設(shè)置和職責(zé)，關(guān)于網(wǎng)絡(luò)安全，應(yīng)急處理，安全保衛(wèi)等工作組的要求，網(wǎng)絡(luò)安全人員基本要求，網(wǎng)絡(luò)安全人員管理，網(wǎng)絡(luò)安全人員職責(zé)范圍，要害崗位安全責(zé)任，培訓(xùn)與教育等。3、主要安全管理規(guī)章制度要點電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)機房管理制度一、出入管理1、機房工作人員進出機房應(yīng)佩戴工作牌；2、嚴禁非機房工作人員進入機房，特殊情況需經(jīng)機房值班負責(zé)人批準(zhǔn)，并認真填寫登記表后方可進入。3、進入機房人員應(yīng)遵守機房管理制度，更換專用工作鞋；機房工作人員必須穿著工作服。4、進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)等對設(shè)備正常運行構(gòu)成威脅的物品。二、值班操作管理1、中心機房的數(shù)據(jù)實行雙人作業(yè)制度；操作人員遵守值班制度，不得擅自脫崗。2、值班人員必須認真、如實、詳細填寫《機房日志》等各種登記簿，以備后查。3、嚴格按照每日預(yù)制操作流程進行操作，對新上業(yè)務(wù)及特殊情況需要變更流程的應(yīng)事先進行詳細安排并書面報負責(zé)人批準(zhǔn)簽字后方可執(zhí)行；所有操作變更必須有存檔記錄。4、每日對機房環(huán)境進行清潔，以保持機房整潔；每周進行一次大清掃，對機器設(shè)備吸塵清潔。5、值班人員必須密切監(jiān)視中心設(shè)備運行狀況以及各網(wǎng)點運行情況，確保安全、高效運行。6、嚴格按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。中心服務(wù)器數(shù)據(jù)庫要定期進行雙備份，并嚴格實行異地存放、專人保管。所有重要文檔定期整理裝訂，專人保管，以備后查。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)設(shè)備及系統(tǒng)管理制度《軟硬件設(shè)備管理制度》主要內(nèi)容包括：設(shè)備購置、設(shè)備管理、設(shè)備及介質(zhì)領(lǐng)用、設(shè)備維修、設(shè)備及介質(zhì)報廢辦法等?！毒W(wǎng)絡(luò)及系統(tǒng)運行安全管理制度》主要內(nèi)容包括：網(wǎng)管人員職責(zé)，網(wǎng)絡(luò)運行管理，網(wǎng)絡(luò)設(shè)備管理等、還應(yīng)建立網(wǎng)絡(luò)訪問控制授權(quán)審批表，網(wǎng)絡(luò)運行維護記錄、應(yīng)用系統(tǒng)帳戶授權(quán)，外單位人員應(yīng)用系統(tǒng)帳戶授權(quán)審批表，應(yīng)用系統(tǒng)維護處理記錄等。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)4、上網(wǎng)信息內(nèi)容界定涉密不上網(wǎng)，上網(wǎng)不涉密；誰上網(wǎng)，誰負責(zé)；按照保密局要求把好上網(wǎng)信息審查關(guān)。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)5、信息安全應(yīng)急管理為保證在發(fā)生各種信息安全事件情況下，能夠從容處理事件、縮小影響、減少停運時間、降低損失，針對信息系統(tǒng)的設(shè)備、環(huán)境等運行情況，充分做好應(yīng)急事件預(yù)想、要求制定各個系統(tǒng)的應(yīng)急預(yù)案；主要內(nèi)容包括：應(yīng)急預(yù)案的原則和要求、應(yīng)急預(yù)案的內(nèi)容和結(jié)構(gòu)、全事件定義、報告程序、還應(yīng)建立安全事件報告內(nèi)容要求、應(yīng)急措施等。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)存在將桌面終端設(shè)備自行接入Internet的可能，如ADSL撥號、無線上網(wǎng)、可移動的筆記本電腦連接到其它網(wǎng)絡(luò)上；存在著在網(wǎng)絡(luò)系統(tǒng)內(nèi)，隔離設(shè)備、防火墻、入侵檢測等安全手段往往被一些違反安全策略的行為所繞過，帶來一定的安全隱患。6、非法外聯(lián)檢查電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)政府或民政網(wǎng)絡(luò)有可能聯(lián)接到社區(qū)街道、社保網(wǎng)絡(luò)聯(lián)接到醫(yī)院、稅務(wù)網(wǎng)絡(luò)聯(lián)接到納稅人單位、工商網(wǎng)絡(luò)聯(lián)接到工商所、農(nóng)業(yè)網(wǎng)聯(lián)接到鄉(xiāng)村等，在目前的條件下，如不加以控制，存在較明顯的安全隱患；對于可訪問省電子政務(wù)外網(wǎng)的單位，針對各接入單位有縱向聯(lián)網(wǎng)及橫向協(xié)作單位聯(lián)網(wǎng)的情況，在一期工程建設(shè)期間，對于省直廳局委辦，只聯(lián)通到省直廳局委辦的辦公局域網(wǎng)，暫時不向下聯(lián)、不與其橫向聯(lián)網(wǎng)單位相聯(lián)；對于各地市，只聯(lián)通到相應(yīng)地市政務(wù)網(wǎng)的主管單位；為達到上述范圍界定目標(biāo)，希望各接入單位在內(nèi)部路由器、交換機、防火墻等設(shè)備上設(shè)置訪問策略。

7、控制縱向可訪問的范圍電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)8、不隨意更改相關(guān)設(shè)備策略配置路由器安全配置策略交換機安全配置策略防火墻安全策略隔離網(wǎng)閘數(shù)據(jù)交換策略病毒庫定時更新與及時查殺策略以上策略均由省電子政務(wù)中心統(tǒng)一設(shè)置和管理電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)前置服務(wù)器病毒庫定時更新與及時查殺策略；每天1點升級，各單位前置服務(wù)器一旦開機，進行自動升級；各單位內(nèi)部局域網(wǎng)上的防病毒系統(tǒng)由各單位自行建設(shè)，建議盡快完善。內(nèi)部局域網(wǎng)的防病毒系統(tǒng)，應(yīng)每天進行病毒庫的升級，每天查殺病毒。關(guān)注微軟等軟件提供商或安全廠商的網(wǎng)站，及時對服務(wù)器、桌面機安裝補丁軟件，修補漏洞，確保所有服務(wù)器及PC機運行的操作系統(tǒng)安裝了最新補丁或者修正程序。。9、完善病毒防護及補丁管理措施電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)各接入單位的內(nèi)部局域網(wǎng)如果與Internet相連，要有邊界防護措施，如防火墻等防火墻內(nèi)網(wǎng)/專網(wǎng)/辦公網(wǎng)省電子政務(wù)網(wǎng)前置服務(wù)器接入單位路由器Internet防火墻10、完善邊界安全防護措施電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)定期查看安全設(shè)備外觀狀況（指示燈、電源、連接線）；對應(yīng)接口指示燈不亮，表示異常；檢查應(yīng)用能否訪問，否則檢查隔離設(shè)備及路由設(shè)備；檢查供電情況，電壓是否正常。11、定期檢查維護電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)12、機房環(huán)境及運行管理注意事項配備相應(yīng)功率的不間斷電源，是保證業(yè)務(wù)正常運營的必要條件。機房有獨立的空調(diào)設(shè)備，是保證硬件設(shè)備正常運轉(zhuǎn)的必要條件。防火、防水、抗震、防磁、防靜電、防塵、防雷擊、防鼠害等措施，這些是為機房的正常運營創(chuàng)造的最基本的環(huán)境條件。安全設(shè)備均不能強行斷電，否則容易丟失配置信息。不能隨意關(guān)機，保持7X24小時運行。移動存儲設(shè)備及介質(zhì)不得隨意接入網(wǎng)絡(luò)。不得隨意安裝外來不明軟件。使用最新版的正版軟件，這是保證系統(tǒng)軟件和應(yīng)用軟件出錯最少的最低要求。桌面機的安全保護，如密碼屏幕保護，超時鍵盤鎖定等，是防止偷竊數(shù)據(jù)和內(nèi)部人員進行破壞的一般要求。應(yīng)建立安全事件記錄制度，以便在出現(xiàn)安全問題后追根溯源，及時進行事件處理和恢復(fù)，留下犯罪的佐證。電子政務(wù)外網(wǎng)信息安全建設(shè)培訓(xùn)

機房物理環(huán)境檢查；檢查人員落實情況；檢查制度落實情況；檢查口令（口令是否過于簡單）；檢查設(shè)備運行日志信息；檢查機房進出管理及登記情況；檢查補丁情況；安全工具檢查；掃描設(shè)備