(9) 【安全体系】:提供整个网络的安全手段,包括入侵检测、安全审计、数字签名、防范病毒、过程控制、文件保护、防火墙技术、物理隔离、定期漏洞检测、受攻击报警等功能,确保系统和信息的安全可靠。
2.2 政务内网改造和门户网站建设方案
根据XX政务网改造的目标和业务需求,在充分分析XX政府现有通信网络基础上,构建新的XX政务内网。作为整个XX政务网运行的基础网,XX政务网应能满足XX政府多业务、高带宽应用的需求,因此XX政务网将建成一个承载多种业务的网络平台。
网络结构是网络吞吐能力、可管理性、稳定性等的基础,一个优秀的网络结构有助于增强网络的性能、使网络更易于实现和管理。XX政务内网原有的结构设计中采用了分层的思想,在每一网络层选用适合的设备,集中实现特定的功能,并采用模块化方式进行设计。这样的层次设计模型基本上是符合主流并具备许多优点的,本次改造基本上对网络结构不作大的改动。
【XX内网改造拓朴】
本次XX政务内网将由原来的内外网完全物理隔离的方式转变为逻辑隔离方式,即通过一定的安全措施保障,实现政务内网和因特网的互联互通。同时提升整个网络的安全级别,增强信息中心对网络的控制,实现全网统一规划统一标准。实现本次网络建设,具体措施如下:
1.构建覆盖全市、区、县所辖各部门的政务内网,该网络与因特网逻辑隔离;原则上由XX政府网络中心统一出口实现与因特网的互联。
2.XX政务网站是XX政府网上办公业务及宣传窗口,通过其实现与公众沟通;政务网站的维护通过专线连接信息中心,并统一由信息中心制定安全规则。
3.网络基础接入方式基本不变,各个办公大楼仍使用原有线路和设备接入;下联乡镇的交换机更换为具备1000M上联接口的2层交换机。
4. 各个部门之间通过VLAN隔离,同一个部门分散在不同的区域内也可以划分在同一个VLAN;VLAN之间禁止互相访问,保证部门间的数据隐私。
5. 计算机和网络设备的地址统一由信息中心规划,并通过DHCP的方式分配;随意手工篡改IP地址从而影响网络服务的行为将受到通报批评。
6.与因特网互联考虑采用2条线路,其中一条为电信提供的100M链路,另一条为网通提供的100M链路,分别提供给“四办”和其他单位使用;具体情况依据使用效果调整,可以随时添加新的链路进行分流。
7.政务内网和因特网的隔离采用防火墙,对内实现网络地址转换(NAT),对外拒绝提供服务。
8.政务内网中采用东方龙马的入侵检测系统,并可以与防火墙进行联动;下属单位如果自行增加上网链路,则强制要求采购防火墙,并且需要能和东方龙马进行联动。由入侵检测系统统一控制与因特网的连通性。
9.由于能够和因特网实现逻辑隔离,网络中的病毒防范应该比原有物理隔离的情况提高一个等级,因此需要购买一套分布式的网络杀毒软件,保证个人电脑和服务器的安全。
10.随着网络复杂度提高,整个网络管理方法和方式也将趋进科学化,由原来的手工定位、消除故障为主转向自动发现、预防故障的管理方式。通过在网络中心安装CiscoWorks 2000对整个网络进行拓扑、配臵的管理。
11.对于今后和杭州市政府网络的连接,根据目前市政府的相关安全要求,需要增加网闸设备,并且网闸连接的网络需要和因特网物理隔离。因此仅将有需要连接到市政府的人员或者设备通过网闸独立连接。为了工作需要,也可以利用隔离卡实现。
根据实施计划将在内网调整中增加部分设备和软件,新增的设备需要根据XX政府的确认。因此相应的到货时间暂时不列出。
内网改造涉及到的IP地址分配表:《XX内网改造IP分配》,表中给出了市府大院内、外各个单位的IP地址段。由于采用了一个70.0.0.0的B类地址,使得每个单位的IP资
源较为充裕,因此每单位的前8位地址将被保留作为对外提供服务之用。
IP地址的分配采用在6509上的DHCP功能实现,每单位一个vlan,每vlan一个C类地址。并且70.0.0.0~70.0.9.255共10个C类地址保留为信息中心专用。
对于下属业务单位需要自己建设外网连接的情况,处于安全考虑必须购买可以和信息中心采购的入侵检测系统能够联动的防火墙。并且至少应该配臵三个防火墙端口,一个连接互联网、一个连接XX政务外网、一个连接职能部门纵向网络。对于各单位纵向网络的IP地址需要自行指定和定制。
设备名称 防火墙 网络杀毒软件
基本要求 使用范围 2个100M端口以上,线速转发 和原有的东软防火墙一起提供接入 至少300客户端
【XX门户网站拓朴】
XX政务门户网站的主要实施内容包括WEB服务器的安装、配臵;数据库服务器的安