不少政府部门存在互联网接入口数量多、管理制度不健全、防护措施不到位和涉密信息违规处理等问题，网络安全隐患十分突出。应积极推进互联网安全接入工作，缩减互联网接入口，加强互联网安全接入技术防护，强化互联网安全接入口管理，提高政府部门网络安全保障能力和水平。

一、整体框架

以政府部门为对象，互联网安全接入整体框架主要包括政府部门网络、互联网安全接入口、互联网接入服务商网络以及互联网等四部分。

1、政府部门网络包括各政府部门内部机构的上网终端、联网信息系统及构成网络的相关网络设施。

2、互联网安全接入口是与互联网连接的政府部门网络与互联网实现网络接入、提供安全防护、进行安全管理、流量汇聚的系统，由网络接入、安全防护、安全管理及流量汇聚等功能模块构成。

——流量汇聚是指对政府部门网络进行结构调整、线路整合与流量归并。

——安全防护是指部署安全监测、攻击防范等安全产品/系统，为政府部门网络提供恶意代码防护、入侵检测与防御等功能。

——网络接入是指互联网安全接入口通过交换、路由和负载均衡等设备，经互联网接入链路实现与互联网服务提供商网络的物理连接。

——安全管理是指通过收集网络安全事件和数据，实现日志留存、事件处置、威胁预警及信息交互等功能，对互联网安全接入口进行有效管理。

3、互联网接入服务商网络是指互联网接入服务商为政府部门提供互联网接入服务的网络。

4、互联网是指公共互联网络。

二、主要做法

（一）缩减互联网接入口

应综合考虑互联网接入应用需求、安全要求以及接入服务提供商的服务能力和质量等因素，详细统计部门内部上网终端、信息系统等相关情况，合理进行规划，按照互联网安全接入模型整合归并互联网接入口，对互联网流量进行集中汇聚。

各部门可根据现有互联网的连接情况，选择以下接入基本方案：

1、办公区域集中的情况

对于内设机构位于同一楼宇或同一园区内的部门，可直接设立1-2个互联网安全接入口。

2、办公区域分散的情况

对于内设机构位于不同地理位置的部门，可使用以下三种模式实现网络汇聚，再统一设置1-2个互联网安全接入口。

（1）专线接入模式：通过自设专线或租用互联网服务提供商的专线，对内设机构网络流量进行汇聚。

（2）虚拟专网（VPN）接入模式：在部门网络边界设置虚拟专网（VPN）接入服务器，异地上网终端、信息系统通过VPN协议接入互联网安全接入口，实现流量汇聚。

（3）路由调整接入模式：部门可协调互联网服务提供商，通过路由调整的方式，将各内设机构的网络流量汇聚到互联网安全接入口。

（二）加强互联网安全接入口技术防护

应根据互联网接入安全防护特点，按照国家信息安全相关标准规范，对整合归并后的互联网安全接入口防护措施进行完善优化。实施统一安全防护策略，强化身份认证、访问控制、入侵防范、安全审计、流量监测、恶意代码防护等技术手段，采取链路冗余、路由备份、负载均衡等方式完善灾难备份与恢复措施，提高防病毒、防攻击、防篡改、防瘫痪和防窃密能力，确保网络与信息系统安全可靠运行。

1、提供身份认证

构建支持多种认证模式、可扩展的统一认证平台，提供动态令牌、短信口令等高强度身份鉴别功能，并且具备进一步拓展能力。统一认证平台能够提供统一用户管理能力，可为多个信息系统提供统一身份认证服务。

2、建立访问控制

部署访问控制系统，通过授权管理，实现对网络与信息资源使用者权限的控制，达到对资源安全、合法访问的目的。对网络设备（包括路由器、交换机、防火墙等）进行访问控制加固，实现互联网和部门外网之间的访问控制，能在会话非活跃时间或会话结束后终止网络连接，能根据用户名为数据流提供明确的允许/拒绝访问，能实时查看用户的详细信息（在线流量、最新速率、会话数、上线时间等信息），限制互联网各类应用最大流量数及网络连接数，能对主流应用协议进行识别（包括但不限于HTTP、FTP、TELNET等），并可根据应用类型、应用内容进行细粒度控制，按最小安全访问原则设置网络设备的访问制度权限。

3、加强出入口流量监测

部署流量监测系统，监控部门网络总流量、子网流量、每个IP流量，能够通过IP地址、网络服务、应用类型、时间和协议类型等单个或多个参数，实时监测和分析政府部门网络流量，发现流量异常事件，如：流量激增、聚降、波动、拒绝服务攻击，以及被与恶意服务器有可疑连接等。

部署互联网控制网关，通过对互联网访问数据的识别、管理和分析，提供网关级的数据过滤和检查，保证网络访问的合理分配，降低泄密风险，解决互联网访问缺乏合规准入、网页过滤、应用控制、信息保密检查与留存审计等安全控制问题。

4、部署入侵防范设备

部署入侵防御系统，提供扫描攻击检测、缓冲区逸出攻击检测、后门木马攻击检测、拒绝服务攻击检测、针对IDS躲避攻击事件检测等功能，实现对互联网攻击行为的检测和阻断。

部署入侵检测系统，对门户网站、邮件系统等核心应用系统提供入侵防范能力。

部署防DDOS攻击网关系统，通过对异常流量进行分析和处置，对不同网络节点的流量进行实时关联分析。在定位异常流量发源地后，对异常流量完成牵引和过滤，从而快速消除异常流量造成的危害。

5、恶意代码防护

通过建设防病毒网关、终端防病毒系统、服务器防病毒系统，搭建统一的防病毒策略管理系统，从而建立全面恶意代码防护体系。其中：部署防病毒策略管理系统，从而为全网恶意代码防护设备提供统一的策略管理和病毒包升级服务；在互联网边界部署防病毒网关，对进出局域网的主要网络协议数据进行病毒扫描，把病毒拦截在局域网外部；在用户终端部署终端防病毒系统，对终端面临的木马、病毒、蠕虫等恶意代码进行查杀；部署服务器防病毒系统，对服务器端面临的木马、病毒、蠕虫等恶意代码进行查杀。

6、定期进行漏洞扫描

部署漏洞扫描系统，定期对政府部门网络内部的上网终端、信息系统等进行扫描，及时发现安全漏洞并通知修复。

7、开展安全审计

部署安全审计系统，对网络连接、系统日志、系统流量、资源访问等进行记录和监控，建立有效的信息安全事件实时追踪机制。

（三）强化互联网安全接入口管理

应结合工作实际，从建设、使用、维护、安全和应急管理等方面建立互联网接入制度体系，促进互联网安全接入工作顺利开展。

同时，应建立包括资产管理、日志收集与分析、风险评估、信息系统安全检查、安全运维等内容在内的统一安全管理平台，对系统中发生的安全事件进行合理分析和处置，有效地开展风险评估和信息系统安全监察工作。包括以下四个方面：

1、统一事件管理系统

为系统中所有的网络设备、安全设备、电子政务系统提供了统一的日志收集与管理分析平台，实现了从网络到设备直至应用系统的监控。在对日志信息集中收集、关联分析的基础上，有效地实现了全网的安全预警、入侵行为的实时发现和入侵事件动态响应。

2、安全运维系统

实现对系统中软硬件设备和电子政务系统的资产管理；实时监控主机系统、安全设备、网络设备、中间件和数据库等重要指标，并根据策略进行报警；与统一事件管理平台对接，根据策略生成安全维护工作流。

3、风险评估与预警系统

风险评估过程符合《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）的标准要求，粒度应在IP级以下；能够从统一事件管理平台中归类出威胁类型和威胁值；能够从安全运维平台中获取资产类型和资产值；支持手动导入威胁、资产和脆弱性；能够形成态势分析和多维度报表及展示。支持政府信息系统安全检查等相关要求。

4、页面异常监控平台

支持实时监测网站是否存在服务中断、挂马、恶意篡改特定敏感词等情况，并生成详细分析报告；支持通过浏览器、源代码、文本和更改报告等多种技术，对网站检测内容进行分析，并将更改内容进行高亮标注；支持随时对网站历史报警进行分析；支持根据网站地址、网站类型、报警类型、时间等进行历史报警查询与分析；支持挂马检测深度配置；支持黑白名单配置。

三、应用案例

包括在互联网安全接入工程实施前的网络现状分析、互联网安全接入管理的目标描述、互联网安全接入的总体架构以及在管理和技术方面采取的安全措施。

— —

内容来源：

《政府部门网络安全解决方案指引》

用中国的科技解决世界的网络安全问题