政務內網網路安全小助手

A. 為保證政府政務網安全,採取了哪些防範措施

電子政務網建設原則

為達到電子政務網路的目標要求，華為公司建議在電子政務建設過程中堅持以下建網原則：從政府的需求出發，建設高安全、高可靠、可管理的電子政務體系!

統一的網路規劃

建議電於政務的建設按照國家信息化領導小組的統一部署，制定總體的網路規劃，分層推進，分步實施，避免重復建設。

完善的安全體系

網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准－ISO17799，安全管理是信息安全的關鍵，人員管理是安全管理的核心，安全策略是安全管理的依據，安全工具是安全管理的保證。

嚴格的設備選型

在電子政務網建設的過程中，網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外，同時為了杜絕網路後門的出現，在滿足功能、性能要求的前提下，建議優先選用具備自主知識產權的國內民族廠商產品，從設備選型上保證電子政務網路的安全性。

集成的信息管理

信息管理的核心理念是統一管理，分散控制。制定IT的年度規劃，提供IT的運作支持和問題管理，管理用戶服務水平，管理用戶滿意度，配置管理，可用性管理，支持IT設施的管理，安全性管理，管理IT的庫存和資產，性能和容量管理，備份和恢復管理。提高系統的利用價值，降低管理成本。

電子政務網體系架構

《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構：電子政務網路由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息，所以為保證黨政核心機密的安全性，內網必須與外網物理隔離。政務外網是政府的業務專網，主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務，外網與互聯網之間邏輯隔離。而從網路規模來說，政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設；從網路層次來說，內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。

圖1：電子政務網路的體系架構

根據電子政務設計思想及應用需求，鑒於政府各部門的特殊安全性要求，嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》，在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則，在邏輯層次及業務上，網路的構建實施如下分配：

圖2：電子政務內、外網邏輯層次

互聯支撐層是電子政務網路的基礎，由網路中心統一規劃、構建及管理，支撐層利用寬頻IP技術，保證網路的互聯互通性，提供具有一定QOS的帶寬保證，並提供各部門、系統網路間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統，它與互聯支撐層相對獨立，由網路中心與各部門單位共同規劃，分布構建。

業務應用層就是在安全互聯的基礎上實施政務網的各種應用，由網路中心與各系統單位統一規劃，分別實施。

華為公司電子政務解決方案的核心理念

全面的網路安全

建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面，華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證；在設備層面，華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。

針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構，在該架構中，除了可以從熟悉的網路層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備全面考慮與實施安全防護的模型與能力。

圖3：華為公司i3 安全 三維度端到端集成安全體系架構

（1）華為公司i3安全三維度端到端集成安全體系架構

i－intelligence(智能)，integrated(集成)，indiviality(個性化)；
3－時間、空間及網路層次三個維度的端到端( End to End)；
安全－所有IP信息網路的安全架構。

（2）網路層次(網路層、用戶層、業務層)端到端安全理念

網路的各層次均存在安全威脅的可能，華為的集成安全架構充分體現了網路安全防範的分層思想，根據不同網路層次的特點進行有針對性的防範。

網路層：保障網路路由、網路設備等基礎網路的安全；
用戶接入層：確保合法的用戶接入，訪問合法的網路范圍，並保障用戶信息的隔離等用戶接入網路的安全；
業務層：保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷，採取了大量的增強措施，如用戶接入認證、地址防盜用、訪問控制等能力。

（3）時間(事前、事後)端到端安全理念

以前政府行業更關注網路的事前防範能力，往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多，對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後，要求網路所能提供的支持也是不同的，其花費的代價與技術實現難度有非常大的差別：

事前防範：主要通過數據隔離、加密、過濾、管理等技術，加強整個網路的健壯性；
事後跟蹤：華為公司的「i3安全」架構提供在網路級做日誌記錄的能力，通過對用戶上網埠、時間、訪問地的記錄，全面提供用戶上網的追溯能力，從而為後期的分析提供第一手的資料。
（4）空間(外網、內網)端到端安全理念

外網：通過VPN、加密等保證信息安全，通過網路防火牆、病毒防火牆等防範網路攻擊，側重的是防範；
內網：通過對用戶的識別，保證合法的用戶訪問合法的網路范圍，並做好訪問記錄，側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網，兩張網按照17號文件要求嚴格的物理隔離分別進行建設，保證政府網路的安全。

華為公司三緯度集成安全架構提供端到端集成安全服務：

圖4：華為公司i3安全三維度端到端集成安全體系架構

隨著政府網路網上應用的進一步增多，隨著網路進一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程，只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢，疏而不漏」。

完善的端到端的可靠性

網路可靠性主要是指當設備或網路出現故障時，網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容：

（1）設備可靠性

華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構，不存在單點故障；採用無源背板，支持真正熱插拔、熱備份，同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計，能充分滿足電子政務網路對設備高可靠性的要求。

（2）組網設計的可靠性

在控制投資的前提下，在電子政務網路的部分省地骨幹節點，可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護，接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護，從組網角度避免單點故障。

另外，可採用備份中心技術，為路由器上的任意介面提供備份介面；路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面；可對介面上的某條邏輯鏈路提供備份。

通過靈活的備份機制及完善的技術，可以充分利用備份資源，確保網路互聯互通的可靠性。

簡單高效的維護和管理

政府網路信息點數量眾多，而且較為稠密，所以網路設備數量眾多，特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時，利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能，降低網路管理人員的工作量，提高效率。

豐富的業務承載能力

政府信息化的一個重要特點是以業務牽引網路需求，應用不斷更新，對網路設備的需求不斷提高，在這樣的一個動態網路中，網路設備本身的業務承載能力就顯得非常重要。因此，華為公司提出了第5代基於網路處理器技術，可以保證在後續新增業務對網路平台有特殊要求時，實現快速定製、快速支持，保證對網路設備投資的連續性。

利用MPLS VPN表現出強大的擴展性和前所未見的高性能，電子政務網可任由業務的增長和變化，網路可以平滑地擴充和升級，可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家，華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。

B. 公司的電腦裝了內網安全助手，不能上QQ.用不了U盤、打不開網頁的郵箱、用不了3G網卡，怎麼辦，求破解

這個破解的幾率是很小的。公司之所以這么做肯定是怕公司的一些信息通過網路泄露出去。不過現在已經有別的方式來解決，既能保證員工可以上QQ，瀏覽網頁，不過U盤還會限制。

C. 什麼是政務內網、政務專網和政務外網

1、在電子政務這個范圍內,政務內網和外網指國家2002年,17號文精神下,2006年發布的18號文明確定義的電子政務網路,並於2012年21號文進一步明確的電子政務網路,專網是個相對概念,在電子政務內,一般指國家機關及國務院部委建設的縱向網路。
2、具體而言，內網顯然是涉密網，與互聯網物理隔離。在十二五國家政務信息規劃中，明確主要用於承載各級政務部門的內部辦公、管理、協調、監督和決策等業務信息系統，並實現安全互聯互通、資源共享和業務協同。
外網，非涉密網，與互聯網邏輯隔離，在十二五國家政務信息劃規劃中，明確定位為各級政務部門履行職能提供服務，為面向公眾、服務民生的業務應用系統以及國家基礎信息資源的開放共享提供信息支持。
3、專網是歷史問題，是部門條塊的體現，國家現在原則不再建設專網，要逐步遷移和融合到內外網上來。

D. 談談我國平台化模式建設中,如何加強電子政務網路安全系統的建設

答:網路安全建設是一個系統工程，該區電子政務網網路安全體系建設應按照「統一規劃、統籌安排，統一標准、相互配套」的原則進行，採用先進的「平台化」建設思想，避免重復投入、重復建設，充分考慮整體和局部的利益，堅持近期目標與遠期目標相結合
任何網路的安全都不單靠先進的安全技術或安全產品來實現的，必須結合管理。尤其是當前我國發生的網路安全問題中，管理問題占相當大的比例。因此，在建立網路安全技術設施體系的同時，必須建立相應的制度和管理體系，才能保證網路持續和整體的安全

答:如何進一步加強電子政務的安全建設
(1) 安全保障為先

安全是應用的保障。在電子政務建設之初，有關部門就應該考慮電子政務安全體系建設。不管是構架在政務內網還是在政務外網的電子政務平台，都必須把安全保障作為首要任務。事實上，沒有絕對安全的網路，因此，做好安全保障工作，是需要所有電子政務建設者思考和探索的問題。現階段，有些人片面地認為電子政務平台構架在政務內網就絕對安全，這樣的極端認識造成目前一些內網建設出現不分級保護、簡單口令或低級技術的軟盤登陸、不設防的網路構架、無任何管理制度等問題，給電子政務的安全帶來隱患。
而構架於互聯網的電子政務建設，在信息安全方面存在更大的風險，這也給電子政務建設帶來了挑戰和考驗，因此在安全上不能有絲毫鬆懈，在規劃和建設過程中必須有更高的標准和要求
(2) 根據需求做好安全保障
電子政務安全體系建設必須從實際出發，做到適度安全，通過綜合防範、構建有效的安全體系，使電子政務既安全又實用才是其目的所在
(3)全方位構建電子政務安全保障體系
電子政務建設如果沒有完備的安全保障體系，將舉步維艱
1), 網路構架的安全。政務內網和外網建設都必須嚴格按照國務院文件要求，按內外網物理隔離的方式進行建設。同時，網路安全設備合理劃分、限級訪問、軟硬體安全防範、信息安全傳輸策略等都是安全保障工作的基礎。玉林市通過對安全等級和安全域的劃分，對不同等級信息系統和安全域的安全保護採取管理與技術相結合的手段，實現了適度的安全保障，提高了信息系統的整體防禦能力
2), 信息分級管理與防護。在電子政務建設中，必須高度重視信息安全。但是一味地強調安全，從而忽視對政府信息資源的充分公開，必然對電子政務的應用造成許多人為的障礙，電子政務的價值也會大打折扣。同樣，不能因為片面強調安全，而把所有應用系統建設在內網上，使一些可以公開的公眾數據封閉在內網，造成資源的嚴重浪費。實際上，不同的電子政務系統，對於信息安全的要求也有所不同。玉林市電子政務建設在風險分析的前提下合理定級，對信息進行分域防控和分級防護。在分域防控方面，將信息分為公開信息處理區和敏感信息處理區，根據其不同特點分別進行防護；在分級防護方面，將信息分為完全公開、內部公開和部分授權三類，採取不同的安全措施，合理有效地保障了信息安全
3), 完善網路安全基礎設施。網路安全基礎設施，是為信息系統應用主體和網路安全執法主體提供網路安全公共服務和支撐的一種社會基礎設施。目前我國網路安全基礎設施的建設還處於起步階段，如網路監控中心、安全產品評測中心、網路安全應急響應中心、計算機病毒防治中心、系統災難恢復中心、電子交易安全證書授權中心、密鑰監管中心等網路安全基礎設施尚未建設完全。目前，部分電子政務應用系統只能依靠口令和軟盤登陸，帶來了重大安全隱患。玉林市電子政務則建立了有效的身份認證、數字簽名、授權管理、責任認定機制，並通過用戶分級授權保證等級保護的分類實施，保證了系統使用的靈活性。同時，玉林市加強了信息安全監察，如統一威脅管理系統、入侵檢測系統、防篡改系統等，健全了電子政務應急響應和災備建設，通過制度和技術手段，保證系統的正常運行
4), 從管理體制上落實安全責任制。利用先進的技術手段，是電子政務安全建設的保障。但技術不是萬能的，技術與管理的並重才能事半功倍。因此，必須健全網路安全的法律法規，強化電子政務信息安全的法制管理。電子政務應用系統的操作者都必須提高自身素質，因為內部人員是否對網路進行惡意操作和是否具有一定程度的網路安全意識，在很大程度上決定著網路的安全等級系數和防護能力。要落實各項安全保障制度，如所有信息的定密制度（為信息的公開提供可行性依據）、網路區域的有限劃分制度（劃分不同的網路區域，針對不同的安全級別制定不同的安全策略，採用不同的網路安全設備）、完善的內部監控與審核制度、公鑰（私鑰）管理體系、災難響應及應急處理制度等等。此外，還應加大執法力度，嚴格執法。玉林市在電子政務建設過程中，由市信息辦會同公安、保密等部門對該市的電子政務系統進行了安全等級評估和風險評估，並制定了電子政務應急預案。
電子政務信息安全保障工作不是一成不變的，它是一個動態發展的過程。隨著安全攻擊和防範技術的發展，電子政務的安全保障措施也要因時因勢分階段調整，這樣才能把風險降到最低

E. 單位如何接入政務內網

單位接入政務內網需接入省政務外網的單位，可到各級信息中心領取或者從各級信息中心網站下載政務外網接入申請登記表。如需提供互聯網業務必須填寫由公安機關公共信息網路安全監察部門提供的《國際互聯網用戶備案表》。准備工作完成後，信息中心會派人到現場指導接入工作。

電子政務內網的設計原則

電子政務網路的安全性要求物理隔離，這決定了政府的區域網、城域網和廣域網都是兩套，即政務內網有自己的政府區域網、城域網和廣域網，政務外網也有自己的政府區域網、城域網和廣域網;政務外網通過政府網站與Internet連接。

實現電子政府；可以按地／市為單位，統一Internet出口，通過多種手段保證信息安全。

政務內網與其它網路完全物理上斷開，政務外網與政府網站採用邏輯隔離設備隔離。政務內網與政務外網在承載業務上都要求具有支持數據業務，語音業務和視頻業務的能力，但一般語音業務和視頻業務運行在政務外網上，數據業務在政務內網和政務外網上都運行。

F. 實施網路內網安全防護策略時，應注意哪些方面

實施網路內網安全防護策略時，應注意哪些方面？
子政務網建設原則

為達到電子政務網路的目標要求，華為公司建議在電子政務建設過程中堅持以下建網原則：從政府的需求出發，建設高安全、高可靠、可管理的電子政務體系!

統一的網路規劃

建議電於政務的建設按照國家信息化領導小組的統一部署，制定總體的網路規劃，分層推進，分步實施，避免重復建設。

完善的安全體系

網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准－ISO17799，安全管理是信息安全的關鍵，人員管理是安全管理的核心，安全策略是安全管理的依據，安全工具是安全管理的保證。

嚴格的設備選型

在電子政務網建設的過程中，網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外，同時為了杜絕網路後門的出現，在滿足功能、性能要求的前提下，建議優先選用具備自主知識產權的國內民族廠商產品，從設備選型上保證電子政務網路的安全性。

集成的信息管理

信息管理的核心理念是統一管理，分散控制。制定IT的年度規劃，提供IT的運作支持和問題管理，管理用戶服務水平，管理用戶滿意度，配置管理，可用性管理，支持IT設施的管理，安全性管理，管理IT的庫存和資產，性能和容量管理，備份和恢復管理。提高系統的利用價值，降低管理成本。

電子政務網體系架構

《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構：電子政務網路由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息，所以為保證黨政核心機密的安全性，內網必須與外網物理隔離。政務外網是政府的業務專網，主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務，外網與互聯網之間邏輯隔離。而從網路規模來說，政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設；從網路層次來說，內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。

圖1：電子政務網路的體系架構

根據電子政務設計思想及應用需求，鑒於政府各部門的特殊安全性要求，嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》，在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則，在邏輯層次及業務上，網路的構建實施如下分配：

圖2：電子政務內、外網邏輯層次

互聯支撐層是電子政務網路的基礎，由網路中心統一規劃、構建及管理，支撐層利用寬頻IP技術，保證網路的互聯互通性，提供具有一定QOS的帶寬保證，並提供各部門、系統網路間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統，它與互聯支撐層相對獨立，由網路中心與各部門單位共同規劃，分布構建。

業務應用層就是在安全互聯的基礎上實施政務網的各種應用，由網路中心與各系統單位統一規劃，分別實施。

華為公司電子政務解決方案的核心理念

全面的網路安全

建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面，華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證；在設備層面，華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。

針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構，在該架構中，除了可以從熟悉的網路層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備......