政务内网网络安全小助手

A. 为保证政府政务网安全,采取了哪些防范措施

电子政务网建设原则

为达到电子政务网络的目标要求，华为公司建议在电子政务建设过程中坚持以下建网原则：从政府的需求出发，建设高安全、高可靠、可管理的电子政务体系!

统一的网络规划

建议电于政务的建设按照国家信息化领导小组的统一部署，制定总体的网络规划，分层推进，分步实施，避免重复建设。

完善的安全体系

网络安全核心理念在于技术与管理并重。建议遵循信息安全管理标准－ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。

严格的设备选型

在电子政务网建设的过程中，网络设备选择除了要考虑满足业务的需求和发展、技术的可实施性等因素之外，同时为了杜绝网络后门的出现，在满足功能、性能要求的前提下，建议优先选用具备自主知识产权的国内民族厂商产品，从设备选型上保证电子政务网络的安全性。

集成的信息管理

信息管理的核心理念是统一管理，分散控制。制定IT的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。

电子政务网体系架构

《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是传送涉密政务信息，所以为保证党政核心机密的安全性，内网必须与外网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务，外网与互联网之间逻辑隔离。而从网络规模来说，政务内网和政务外网都可以按照局域网、城域网、广域网的模式进行建设；从网络层次来说，内网和外网也可以按照骨干层、汇聚层和接入层的模式有规划地进行建设。

图1：电子政务网络的体系架构

根据电子政务设计思想及应用需求，鉴于政府各部门的特殊安全性要求，严格遵循《国家信息化领导小组关于我国电子政务建设的指导意见》，在电子政务内、外网在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，网络的构建实施如下分配：

图2：电子政务内、外网逻辑层次

互联支撑层是电子政务网络的基础，由网络中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；

安全保障系统是指通过认证、加密、权限控制等技术对电子政务网上的用户访问及数据实施安全保障的监控系统，它与互联支撑层相对独立，由网络中心与各部门单位共同规划，分布构建。

业务应用层就是在安全互联的基础上实施政务网的各种应用，由网络中心与各系统单位统一规划，分别实施。

华为公司电子政务解决方案的核心理念

全面的网络安全

建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面，华为公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证；在设备层面，华为公司自主开发的系列化路由器、交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。

针对于政府系统的网络华为公司提供了i3安全三维度端到端集成安全体系架构，在该架构中，除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视角，具备全面考虑与实施安全防护的模型与能力。

图3：华为公司i3 安全 三维度端到端集成安全体系架构

（1）华为公司i3安全三维度端到端集成安全体系架构

i－intelligence(智能)，integrated(集成)，indiviality(个性化)；
3－时间、空间及网络层次三个维度的端到端( End to End)；
安全－所有IP信息网络的安全架构。

（2）网络层次(网络层、用户层、业务层)端到端安全理念

网络的各层次均存在安全威胁的可能，华为的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。

网络层：保障网络路由、网络设备等基础网络的安全；
用户接入层：确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全；
业务层：保证用户访问内容的合法性与安全性。
华为公司的i3安全集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。

（3）时间(事前、事后)端到端安全理念

以前政府行业更关注网络的事前防范能力，往往在网络的用户认证、入侵检测、防DOS攻击、防火墙等方面投入力量较多，对事后跟踪能力实施的有效措施不多。而在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别：

事前防范：主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性；
事后跟踪：华为公司的“i3安全”架构提供在网络级做日志记录的能力，通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。
（4）空间(外网、内网)端到端安全理念

外网：通过VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范；
内网：通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。
目前政府内网即涉秘网、政府外网即办公专网，两张网按照17号文件要求严格的物理隔离分别进行建设，保证政府网络的安全。

华为公司三纬度集成安全架构提供端到端集成安全服务：

图4：华为公司i3安全三维度端到端集成安全体系架构

随着政府网络网上应用的进一步增多，随着网络进一步深入人们的生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而政府网络的安全防护作为一个系统工程，只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。

完善的端到端的可靠性

网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。可靠性一般通过设备本身的可靠性和组网设计的可靠性来实现。包括以下内容：

（1）设备可靠性

华为公司的全系列数据产品均采用电信级的可靠性设计。华为公司高端路由器和交换机产品采用分布式体系结构，不存在单点故障；采用无源背板，支持真正热插拔、热备份，同时设备的交换网络、路由处理系统等所有关键部件采用冗余热备份设计，能充分满足电子政务网络对设备高可靠性的要求。

（2）组网设计的可靠性

在控制投资的前提下，在电子政务网络的部分省地骨干节点，可采取VRRP双机备份方式或采取RPR方式进行环网自愈保护，接入骨干传输网的链路可采取双归链路设计或采取RPR方式进行环网自愈保护，从组网角度避免单点故障。

另外，可采用备份中心技术，为路由器上的任意接口提供备份接口；路由器上的任一接口可以作为其它接口(或逻辑链路)的备份接口；可对接口上的某条逻辑链路提供备份。

通过灵活的备份机制及完善的技术，可以充分利用备份资源，确保网络互联互通的可靠性。

简单高效的维护和管理

政府网络信息点数量众多，而且较为稠密，所以网络设备数量众多，特别是接入最终用户的楼层交换机。华为公司的网络管理系统在支持全网设备统一管理、实现拓扑管理、图形化操作界面、实时声光报警、中文操作系统的同时，利用华为组管理协议HGMP可以实现对数量庞大的楼层交换机的动态发现、动态拓扑生成、自动配置的功能，降低网络管理人员的工作量，提高效率。

丰富的业务承载能力

政府信息化的一个重要特点是以业务牵引网络需求，应用不断更新，对网络设备的需求不断提高，在这样的一个动态网络中，网络设备本身的业务承载能力就显得非常重要。因此，华为公司提出了第5代基于网络处理器技术，可以保证在后续新增业务对网络平台有特殊要求时，实现快速定制、快速支持，保证对网络设备投资的连续性。

利用MPLS VPN表现出强大的扩展性和前所未见的高性能，电子政务网可任由业务的增长和变化，网络可以平滑地扩充和升级，可最大程度的减少对网络架构和设备的调整。作为少数能提供整网MPLS技术的厂家，华为公司致力于为政府提供基于先进的MPLS VPN技术的数据、语音和视讯的三网合一技术。

B. 公司的电脑装了内网安全助手，不能上QQ.用不了U盘、打不开网页的邮箱、用不了3G网卡，怎么办，求破解

这个破解的几率是很小的。公司之所以这么做肯定是怕公司的一些信息通过网络泄露出去。不过现在已经有别的方式来解决，既能保证员工可以上QQ，浏览网页，不过U盘还会限制。

C. 什么是政务内网、政务专网和政务外网

1、在电子政务这个范围内,政务内网和外网指国家2002年,17号文精神下,2006年发布的18号文明确定义的电子政务网络,并于2012年21号文进一步明确的电子政务网络,专网是个相对概念,在电子政务内,一般指国家机关及国务院部委建设的纵向网络。
2、具体而言，内网显然是涉密网，与互联网物理隔离。在十二五国家政务信息规划中，明确主要用于承载各级政务部门的内部办公、管理、协调、监督和决策等业务信息系统，并实现安全互联互通、资源共享和业务协同。
外网，非涉密网，与互联网逻辑隔离，在十二五国家政务信息划规划中，明确定位为各级政务部门履行职能提供服务，为面向公众、服务民生的业务应用系统以及国家基础信息资源的开放共享提供信息支持。
3、专网是历史问题，是部门条块的体现，国家现在原则不再建设专网，要逐步迁移和融合到内外网上来。

D. 谈谈我国平台化模式建设中,如何加强电子政务网络安全系统的建设

答:网络安全建设是一个系统工程，该区电子政务网网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合
任何网络的安全都不单靠先进的安全技术或安全产品来实现的，必须结合管理。尤其是当前我国发生的网络安全问题中，管理问题占相当大的比例。因此，在建立网络安全技术设施体系的同时，必须建立相应的制度和管理体系，才能保证网络持续和整体的安全

答:如何进一步加强电子政务的安全建设
(1) 安全保障为先

安全是应用的保障。在电子政务建设之初，有关部门就应该考虑电子政务安全体系建设。不管是构架在政务内网还是在政务外网的电子政务平台，都必须把安全保障作为首要任务。事实上，没有绝对安全的网络，因此，做好安全保障工作，是需要所有电子政务建设者思考和探索的问题。现阶段，有些人片面地认为电子政务平台构架在政务内网就绝对安全，这样的极端认识造成目前一些内网建设出现不分级保护、简单口令或低级技术的软盘登陆、不设防的网络构架、无任何管理制度等问题，给电子政务的安全带来隐患。
而构架于互联网的电子政务建设，在信息安全方面存在更大的风险，这也给电子政务建设带来了挑战和考验，因此在安全上不能有丝毫松懈，在规划和建设过程中必须有更高的标准和要求
(2) 根据需求做好安全保障
电子政务安全体系建设必须从实际出发，做到适度安全，通过综合防范、构建有效的安全体系，使电子政务既安全又实用才是其目的所在
(3)全方位构建电子政务安全保障体系
电子政务建设如果没有完备的安全保障体系，将举步维艰
1), 网络构架的安全。政务内网和外网建设都必须严格按照国务院文件要求，按内外网物理隔离的方式进行建设。同时，网络安全设备合理划分、限级访问、软硬件安全防范、信息安全传输策略等都是安全保障工作的基础。玉林市通过对安全等级和安全域的划分，对不同等级信息系统和安全域的安全保护采取管理与技术相结合的手段，实现了适度的安全保障，提高了信息系统的整体防御能力
2), 信息分级管理与防护。在电子政务建设中，必须高度重视信息安全。但是一味地强调安全，从而忽视对政府信息资源的充分公开，必然对电子政务的应用造成许多人为的障碍，电子政务的价值也会大打折扣。同样，不能因为片面强调安全，而把所有应用系统建设在内网上，使一些可以公开的公众数据封闭在内网，造成资源的严重浪费。实际上，不同的电子政务系统，对于信息安全的要求也有所不同。玉林市电子政务建设在风险分析的前提下合理定级，对信息进行分域防控和分级防护。在分域防控方面，将信息分为公开信息处理区和敏感信息处理区，根据其不同特点分别进行防护；在分级防护方面，将信息分为完全公开、内部公开和部分授权三类，采取不同的安全措施，合理有效地保障了信息安全
3), 完善网络安全基础设施。网络安全基础设施，是为信息系统应用主体和网络安全执法主体提供网络安全公共服务和支撑的一种社会基础设施。目前我国网络安全基础设施的建设还处于起步阶段，如网络监控中心、安全产品评测中心、网络安全应急响应中心、计算机病毒防治中心、系统灾难恢复中心、电子交易安全证书授权中心、密钥监管中心等网络安全基础设施尚未建设完全。目前，部分电子政务应用系统只能依靠口令和软盘登陆，带来了重大安全隐患。玉林市电子政务则建立了有效的身份认证、数字签名、授权管理、责任认定机制，并通过用户分级授权保证等级保护的分类实施，保证了系统使用的灵活性。同时，玉林市加强了信息安全监察，如统一威胁管理系统、入侵检测系统、防篡改系统等，健全了电子政务应急响应和灾备建设，通过制度和技术手段，保证系统的正常运行
4), 从管理体制上落实安全责任制。利用先进的技术手段，是电子政务安全建设的保障。但技术不是万能的，技术与管理的并重才能事半功倍。因此，必须健全网络安全的法律法规，强化电子政务信息安全的法制管理。电子政务应用系统的操作者都必须提高自身素质，因为内部人员是否对网络进行恶意操作和是否具有一定程度的网络安全意识，在很大程度上决定着网络的安全等级系数和防护能力。要落实各项安全保障制度，如所有信息的定密制度（为信息的公开提供可行性依据）、网络区域的有限划分制度（划分不同的网络区域，针对不同的安全级别制定不同的安全策略，采用不同的网络安全设备）、完善的内部监控与审核制度、公钥（私钥）管理体系、灾难响应及应急处理制度等等。此外，还应加大执法力度，严格执法。玉林市在电子政务建设过程中，由市信息办会同公安、保密等部门对该市的电子政务系统进行了安全等级评估和风险评估，并制定了电子政务应急预案。
电子政务信息安全保障工作不是一成不变的，它是一个动态发展的过程。随着安全攻击和防范技术的发展，电子政务的安全保障措施也要因时因势分阶段调整，这样才能把风险降到最低

E. 单位如何接入政务内网

单位接入政务内网需接入省政务外网的单位，可到各级信息中心领取或者从各级信息中心网站下载政务外网接入申请登记表。如需提供互联网业务必须填写由公安机关公共信息网络安全监察部门提供的《国际互联网用户备案表》。准备工作完成后，信息中心会派人到现场指导接入工作。

电子政务内网的设计原则

电子政务网络的安全性要求物理隔离，这决定了政府的局域网、城域网和广域网都是两套，即政务内网有自己的政府局域网、城域网和广域网，政务外网也有自己的政府局域网、城域网和广域网;政务外网通过政府网站与Internet连接。

实现电子政府；可以按地／市为单位，统一Internet出口，通过多种手段保证信息安全。

政务内网与其它网络完全物理上断开，政务外网与政府网站采用逻辑隔离设备隔离。政务内网与政务外网在承载业务上都要求具有支持数据业务，语音业务和视频业务的能力，但一般语音业务和视频业务运行在政务外网上，数据业务在政务内网和政务外网上都运行。

F. 实施网络内网安全防护策略时，应注意哪些方面

实施网络内网安全防护策略时，应注意哪些方面？
子政务网建设原则

为达到电子政务网络的目标要求，华为公司建议在电子政务建设过程中坚持以下建网原则：从政府的需求出发，建设高安全、高可靠、可管理的电子政务体系!

统一的网络规划

建议电于政务的建设按照国家信息化领导小组的统一部署，制定总体的网络规划，分层推进，分步实施，避免重复建设。

完善的安全体系

网络安全核心理念在于技术与管理并重。建议遵循信息安全管理标准－ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。

严格的设备选型

在电子政务网建设的过程中，网络设备选择除了要考虑满足业务的需求和发展、技术的可实施性等因素之外，同时为了杜绝网络后门的出现，在满足功能、性能要求的前提下，建议优先选用具备自主知识产权的国内民族厂商产品，从设备选型上保证电子政务网络的安全性。

集成的信息管理

信息管理的核心理念是统一管理，分散控制。制定IT的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。

电子政务网体系架构

《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是传送涉密政务信息，所以为保证党政核心机密的安全性，内网必须与外网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务，外网与互联网之间逻辑隔离。而从网络规模来说，政务内网和政务外网都可以按照局域网、城域网、广域网的模式进行建设；从网络层次来说，内网和外网也可以按照骨干层、汇聚层和接入层的模式有规划地进行建设。

图1：电子政务网络的体系架构

根据电子政务设计思想及应用需求，鉴于政府各部门的特殊安全性要求，严格遵循《国家信息化领导小组关于我国电子政务建设的指导意见》，在电子政务内、外网在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，网络的构建实施如下分配：

图2：电子政务内、外网逻辑层次

互联支撑层是电子政务网络的基础，由网络中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制；

安全保障系统是指通过认证、加密、权限控制等技术对电子政务网上的用户访问及数据实施安全保障的监控系统，它与互联支撑层相对独立，由网络中心与各部门单位共同规划，分布构建。

业务应用层就是在安全互联的基础上实施政务网的各种应用，由网络中心与各系统单位统一规划，分别实施。

华为公司电子政务解决方案的核心理念

全面的网络安全

建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面，华为公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证；在设备层面，华为公司自主开发的系列化路由器、交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。

针对于政府系统的网络华为公司提供了i3安全三维度端到端集成安全体系架构，在该架构中，除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视角，具备......