关于机关网络改进方案（转载）.doc

关于对我局市局机关网络改进的方案 根据目前电子政务安全形势要求，按照局领导对办公网与互联网安全的多次指示要求，我们调研了部分委办局并结合我局的实际情况初步拟定了改进方案，现汇报如下： 目前现状 我市局机关网络从物理分割的角度来看目前有两套；一套为公务网，定义为涉密网络与市公务网互联，目前共有四个电信间14个节点；一套为办公网，定义为非涉密网，是我局广大机关干部基础的工作平台，也是民政三级专网的核心网络，本网络与涉密的公务网物理隔离，目前共有13个电信间400多个信息点，上联民政部广域网、市级政务外网，下联19个区县、200多个街镇、30多个市局直属单位、近百个区县局直属单位，与社保卡中心、人保局、税务局、公积金中心等多个市级委办局联接，与外网网站通过DDN专线联接，通过16M的网通专线联接互联网出口。各网段之间均采用防火墙等设备进行逻辑隔离控制，对互联网出口除使用防火墙进行逻辑隔离外，同时使用IPS入侵防护系统进行应用级防护，采取二级地址转换方式（NAT技术）进行网络单向访问控制，对互联网访问除开放80、110等常用端口外，对非常用端口进行申请开放管理，各重要端口进行入侵检测，定期分析。 在本网络上运行与业务工作密切相关的非涉密类应用主要有：电子政务平台及其OA等相关应用、网站管理系统及其内容管理、网上办事后台等相关应用、社会救助、救灾捐赠、婚姻、收养、优抚、双退、养老、收入核对、民间组织、流浪乞讨、一门式上传分析系统等民政业务系统。在市局机关局域网内的用户目前根据权限使用各业务应用系统，所有人员均能通过互联网进行网页查看、邮件收取等基本功能使用。 目前存在的问题与需求 根据对这次必威体育官网网址检查要求的分析，结合与必威体育官网网址局同志的多次沟通指导交流来看，我局目前信息安全主要有以下几个问题： 1.定密不准确，主要的问题是除民政部规定的密级信息外，自行扩大了国家秘密的范围。 2.涉密文件处理方式不当，主要是涉密文件在非涉密设备上处理，特别是大量定密不准确的文件在非涉密网处理。 3.涉密处理设备与网络不能满足业务需求。 4.对于处理大量敏感工作信息的设备与网络如何处理的需求。 5.对于涉密信息在非涉密网处理没有技术手段进行阻止。 解决方案 由于必威体育官网网址检查的时间要求比较紧，同时对于整体网络的改进是一件影响我局信息化未来走向的大事，相对投资也较大。因此慎重起见，我们采取分步走的方式。首先对目前存在的问题进行了预防性整改，目前看来效果较好，其次针对需求和问题提出解决方案供参考。 方案特点 按照需求扩大涉密局域网、适当改造现有非涉密业务局域网。本方案特点是：采用技术改造方案，使互联网的安全威胁降到最低，最大程度保护现有的投资，涉密与非涉密系统建设满足当前应用需要。（应用单位：市政府办公厅、经信委、人保局等大部分委办局、目前民政部） 按照需求扩大公务网局域网。涉密信息在公务网处理，基本原则是在终端层每个处室根据需要设置一台以上公务网电脑用于涉密信息处理，可利用现有的涉密单机，增加一套50-250个节点的屏蔽布线系统；在交换层由于每个处室都要设置联网信息点因此需要在4个电信间的基础上增加至少3-5个电信间，5台左右交换机；在服务层，需要新建一套OA办公系统和内部邮件系统；在管理层，需要增加相应的服务器、安全设备及分保测评等。 适当改造现有非涉密业务局域网。对现有局域网与互联网的互联方式进行安全改造，使之形成类似与物理隔离的安全效果。在终端层，增加终端管理系统，确保非法机器不接入网内，不健康机器不接入网内，上互联网与上业务网在链路层隔离；在交换层，需要对现有的接入交换机作部分更新，更新数量在10-20台左右；在服务层，由于无业务改动因此不需要增加设备；在管理层，需要新增安全策略服务器等设备；服务器与互联网的链接方式改成网闸的物理隔离形式。 方案实现的效果： 涉密信息在涉密网内处理，非涉密信息和敏感工作信息可在业务网内处理； 互联网作为办公辅助手段，通过网络技术手段在链路层就与业务系统进行隔离，减少对业务网的安全冲击（业务网与互联网在链路层就处于隔离状态）； 涉密网与非涉密网的数据交换需求几乎为零，方便管理； 部分涉密工作人员会有两台办公电脑（通过切换器共享键盘鼠标显示器），最大保护现有投资，减少工作的复杂性； 业务网与互联网的使用既保证安全性，又解决便利性； 工作机可错时处理业务网和互联网，因此工作机上如保存敏感信息仍有一定的危险性，但对于系统处理此类信息安全性较高； 此方案可循序渐进，投资压力相对较小； 方案预算 根据2010年预算要求，我们已将除pc电脑外的相关预算提交信息委审核。 1.公务网扩容：按照机关编制初步按照250个节点进行预算。 项目 名称 型号 备注 单价 数量 小计