資源描述:
《電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案對于電子政務(wù)內(nèi)網(wǎng)���,政務(wù)專網(wǎng)��、專線�、VPN是構(gòu)建電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施����。安全政務(wù)網(wǎng)絡(luò)平臺是依托專網(wǎng)、專線�、VPN設(shè)備將各接入單位安全互聯(lián)起來的電子政務(wù)內(nèi)網(wǎng);安全支撐平臺為電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)提供安全互聯(lián)��、接入控制���、統(tǒng)一身份認證�、授權(quán)管理�、惡意代碼防范、入侵檢測����、安全審計、桌面安全防護等安全支撐��;電子政務(wù)專網(wǎng)應(yīng)用既是安全保障平臺的保護對象�,又是電子政務(wù)內(nèi)網(wǎng)實施電子政務(wù)的主體,它主要內(nèi)部共享信息���、內(nèi)部受控信息等���,這兩類信息運行于電子政務(wù)辦公平臺����、和電子政務(wù)信息共享平臺之上�����;電子政務(wù)管理制度體系是電子政務(wù)長期有效運行的保證�。電子政務(wù)內(nèi)網(wǎng)系統(tǒng)構(gòu)成 1)政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)
2、平臺:電子政務(wù)內(nèi)網(wǎng)建設(shè)���,是依托電子政務(wù)專網(wǎng)����、專線���、VPN構(gòu)造的電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)����?����!?)電子政務(wù)內(nèi)網(wǎng)應(yīng)用:在安全支撐平臺的作用下,基于安全電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺�,可以打造安全電子政務(wù)辦公平臺�、安全政務(wù)信息共享平臺?!?)安全支撐平臺:安全支撐平臺由安全系統(tǒng)組成,是電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)運行的安全保障�����。電子政務(wù)內(nèi)網(wǎng)系統(tǒng)拓撲圖三級政務(wù)內(nèi)網(wǎng)建議拓撲圖 電子政務(wù)內(nèi)網(wǎng)按照等保標準要求���,進行安全域的劃分����。根據(jù)不同的劃分原則����,大致可以分別網(wǎng)絡(luò)基礎(chǔ)架構(gòu)區(qū)、安全管理區(qū)�����、數(shù)據(jù)處理區(qū)�����、邊界防御區(qū)、辦公區(qū)�、會議區(qū)等安全子區(qū)域,在實際的網(wǎng)絡(luò)設(shè)計中�,可以根據(jù)相關(guān)標準,按照實際需要進一步細分�����,如上圖所示���?�!澐职?/p>
3��、全域的目標是針對不同的安全域采用不同的安全防護策略�����,既保證信息的安全訪問����,又兼顧信息的開放性。按照應(yīng)用系統(tǒng)等級�、數(shù)據(jù)流相似程度、硬件和軟件環(huán)境的可共用程度��、安全需求相似程度����,并且從方便實施的角度,將整個電子政務(wù)業(yè)務(wù)系統(tǒng)分為不同的安全子域區(qū)����,便于由小到大�����、由簡到繁進行網(wǎng)絡(luò)設(shè)計��。安全域的劃分有利于對電子政務(wù)系統(tǒng)實施分區(qū)安全防護���,即分域防控�����。安全支撐平臺的系統(tǒng)結(jié)構(gòu) 電子政務(wù)安全支撐平臺是電子政務(wù)系統(tǒng)運行的安全保障����,由網(wǎng)絡(luò)設(shè)備、安全設(shè)備�、安全技術(shù)構(gòu)成。電子政務(wù)安全支撐平臺依托電子政務(wù)配套的安全設(shè)備����,通過分級安全服務(wù)和分域安全管理,實現(xiàn)等級保護中要求的物理安全�、網(wǎng)絡(luò)安全、主機安全��、應(yīng)用安
4�、全、數(shù)據(jù)安全及備份恢復(fù)���,從而保證整個電子政務(wù)信息系統(tǒng)安全����,最終形成安全開放統(tǒng)一���、分級分域防護的安全體系����。電子政務(wù)安全支撐平臺的系統(tǒng)結(jié)構(gòu)下圖:電子政務(wù)安全支撐平臺系統(tǒng)結(jié)構(gòu)安全支撐平臺的系統(tǒng)配置1、核心交換機雙歸屬:兩臺核心交換機通過VRRP協(xié)議連接����,互為冗余,保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間�����,滿足業(yè)務(wù)高峰期需要�����。2�、認證及地址管理系統(tǒng)-DCBI:DCBI可以完成基于主機的統(tǒng)一身份認證和全局地址管理功能��。1)基于主機的統(tǒng)一身份認證����。終端系統(tǒng)通過安裝802.1X認證客戶端,在連接到內(nèi)網(wǎng)之前�����,首先需要通過DCBI的身份認證����,方能打開交換機端口����,使用網(wǎng)絡(luò)資源���。2)全局地址管理����。
5�����、·根據(jù)政務(wù)網(wǎng)地址規(guī)模靈活劃分地址池·固定用戶地址下發(fā)與永久綁定·漫游用戶地址下發(fā)與臨時綁定���、自動回收·接入交換機端口安全策略自動綁定����?�!た蛻舳说刂帆@取方式無關(guān)性3���、全局安全管理系統(tǒng)-DCSM�。DCSM是政務(wù)內(nèi)網(wǎng)所有端系統(tǒng)的管理與控制中心,兼具用戶管理��、安全認證���、安全狀態(tài)評估�����、安全聯(lián)動控制以及安全事件審計等功能����。 1)安全認證。安全認證系統(tǒng)定義了對用戶終端進行準入控制的一系列策略�����,包括用戶終端安全狀態(tài)認證���、補丁檢查項配置��、安全策略配置��、終端修復(fù)配置以及對終端用戶的隔離方式配置等��?��! ?)用戶管理����。不同的用戶����、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以
6����、為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級,方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略��?�! ?)安全聯(lián)動控制����。安全策略服務(wù)器負責評估安全客戶端上報的安全狀態(tài),控制安全聯(lián)動設(shè)備對用戶的隔離與開放����,下發(fā)用戶終端的修復(fù)方式與安全策略�。通過安全策略服務(wù)器的控制�,安全客戶端、安全聯(lián)動設(shè)備與防病毒服務(wù)器才可以協(xié)同工作�����,配合完成端到端的安全準入控制����。 4)日志審計���。安全策略服務(wù)器收集由安全客戶端上報的安全事件����,并形成安全日志���,可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)���。其中:安全管理系統(tǒng)代理��,可以對用戶終端進行身份認證�、安全狀態(tài)評估以及安全策略實施的主體��,其主要功能包括
7���、: 1)提供802.1x、portal等多種認證方式��,可以與交換機����、路由器配合實現(xiàn)接入層、匯聚層以及VPN的端點準入控制�����?��! ?)主機桌面安全防護���,檢查用戶終端的安全狀態(tài),包括操作系統(tǒng)版本���、系統(tǒng)補丁等信息�;同時提供與防病毒客戶端聯(lián)動的接口,實現(xiàn)與第三方防病毒客戶端的聯(lián)動���,檢查用戶終端的防病毒軟件版本�����、病毒庫版本����、以及病毒查殺信息����。這些信息將被傳遞到認證服務(wù)器,執(zhí)行端點準入的判斷與控制�����?���! ?)安全策略實施,接收認證服務(wù)器下發(fā)的安全策略并強制用戶終端執(zhí)行�����,包括設(shè)置安全策略(是否監(jiān)控郵件、注冊
