1、万州区政府互联网平安接入系统建设规划方案*万州区信息中心二OO九年六月目 录1.工程概述31.1.工程背景31.2.工程建立总体目标31.3.指导思想31.4.编制依据31.4.1.政策31.4.2.技术标准42.需求分析52.1.万州区政务网络现状52.1.1.万州区电子政务网络现状52.1.2.政府部门业务网现状52.1.3.电子政务传输网现状52.1.4.政府部门局域网现状52.1.5.万州区政府互联网接入现状52.2.互联网平安接入需求分析62.2.1.总体需求分析62.2.2.互联网平安接入应用需求分析63.方案总体设计73.1.建立原则73.2.总体网络解决方案73.2.1.万州
2、区电子政务网络总体规划73.2.2.万州区政务外网建立规划83.3.互联网平安接入建立方案93.3.1.万州区政务外网信息平安规划93.3.2.万州区政府部门互联网平安接入建立方案114.系统预算不含网络租用费141. 工程概述1.1. 工程背景随着信息化的开展,互联网在政府部门得到了广泛应用,为履行政府职能发挥了重要的支撑作用。与此同时,由于缺乏规划和管理,大局部政府部门及所属机构分散接入国际互联网,本钱高,平安风险大,已经成为当前我国电子政务平安管理的薄弱环节,导致网络平安事件和网络失泄密事件不断发生。为切实加强政府部门互联网接入的平安管理,提高政府信息系统反病毒、防攻击、防泄密和反窃密能
3、力,探索政府部门集中接入互联网、实施统一平安管理的模式,根据国务院领导同志重要批示,工业和信息化部2021年工作安排,决定在市、*市、*市和*省开展政府部门互联网平安接入试点工作。目前,在万州区政府部门互联网接入方面,缺乏统一的平安管理,除江南行政府中心由区信息中心统一接入外,其他部门和乡镇街道均系自行租用各运营商线路接入互联网,造成了接入点分散,没有统一平安防护策略、措施及监控手段,网络内病毒传播情况严重,木马、黑客程序等严重威胁网络平安和信息平安。另外,由于目前万州区覆盖全区的电子政务网络只有党政内网,局部非涉密业务系统只能选择党政内网作为支撑平台。而现有党政内网属于*网,涉密信息与非涉密
4、信息在同一*网络上传输,大大增加了*压力,造成*工作形势严峻,泄密隐患较为突出。1.2. 工程建立总体目标在对万州政府部门接入互联网的情况进展调查摸底的根底上,以及目前行政审批电子监察系统建立的要求,通过建立万州区政务外网逐步整合万州政府部门互联网接入,减少政府部门互联网接入数量;加强万州区互联网接入网络平安管理,构建万州区统一的互联网接入平安管理平台,实施集中统一的网络平安监控、网络平安防护策略和网络平安防护措施。1.3. 指导思想万州区政府互联网平安接入试点工程的实施,将以管理为主导,以技术为支撑,结合万州区电子政务网络建立,积极探索出区政府部门集中接入互联网,实施统一平安管理的应用模式,
5、统筹规划建立万州区区级互联网平安接入管理平台,建立万州区政府部门互联网接入平安管理规划和制度,提高政府信息系统防病毒、防攻击、防泄密和反窃密能力,切实加强万州区政府部门互联网接入的平安管理。1.4. 编制依据1.1.1. 政策1中共中央办公厅、国务院办公厅转发的?国家信息化领导小组关于我国电子政务建立指导意见?中发办【2002】17号文2中共中央办公厅、国务院办公厅转发的?国家信息化领导小组关于加强信息平安保障工作的意见?中发办【2003】27号文3中共中央办公厅、国务院办公厅转发的?国家信息化领导小组关于推进国家电子政务网络建立的意见?中办发【2006】18号4?国家电子政务总体框架?的通知
6、国信【2006】2号5?电子政务*管理指南?国保发【2007】22号6?电子政务信息平安等级保护实施指南试行?国信 200525号7公安部、国家*局、国家密码管理局、国务院信息化工作办公室等四部门关于印发?信息平安等级保护管理方法?的通知公通字【2007】43号8?工业和信息化部关于开展政府部门互联网平安接入试点工作的通知?工信厅【2021】42号9*市人民政府办公厅转发的?*市信息化领导小组关于推进全市电子政务网络建立的意见?的通知渝委办发【2007】11号1.1.2. 技术标准1?计算机信息系统平安保护等级划分准则?GB17859-19992?信息平安技术 网络根底平安技术要求?GB/T2
7、0270-20063?信息平安技术 操作系统平安技术要求?GB/T20272-20064?信息平安技术 数据库管理系统平安技术要求?GB/T20273-2006、?信息平安技术 效劳器技术要求?5?信息平安技术 信息系统通用平安技术要求?GB/T20271-20066?信息平安技术 终端计算机系统平安等级技术要求?GA/T671-20067?信息平安技术 信息系统平安管理要求?GB/T20269-20068?信息平安技术 信息系统平安工程管理要求?GB/T20282-20069?信息系统平安等级保护定级指南试用稿?10?信息系统平安等级保护根本要求?11?涉及国家秘密的信息系统分级保护技术要求
8、BMB17-200612?涉及国家秘密的信息系统分级保护管理标准?BMB20-200713RFC2547bisBGP/MPLS虚拟专用网VPNs14RFC2917核心MPLS IP VPN体系构造2. 需求分析2.1. 万州区政务网络现状1.1.3. 万州区电子政务网络现状目前万州区电子政务网络只有党政内网,他与互联网物理隔离,主要用于区委、区政府与区内各党政部门和重点企事业单位之间,以及部门之间公文和信息传送,已覆盖全区52个镇乡街道、120个区级部门和60个重点企事业单位,共有终端接入点560余个,还实现了与*市级党政网的连通。同时局部单位的业务系统也基于党政内网实现了网络资源的整合共享
9、如目标考核系统、财政集中支付系统、数字化城市管理系统、干部信息系统等。根据中办发200618号和渝委办发200711号文件精神,目前区内的政务业务网络均属于政务内网的范畴,现在主要用于满足体系内各部门政务信息化办公的需要,并承载了涉及国家秘密的信息。1.1.4. 政府部门业务网现状工商局、国税局、地税局、财政局、国土局、劳动局、交委等部门分别建立了各自的政务业务网络,这些网络已完成了和市里相关直属部门的连接。区政府部门这些业务网络局部与互联网物理隔离,局部通过网闸或防火墙设备实现了与互联网的逻辑隔离。根据中办发200618号和渝委办发200711号文件精神,这些网路均属于政务外网的范畴,现在
10、主要用于满足体系内各部门政务信息化办公和社会管理信息化应用的需要。目前万州区政府部门已建立的政务业务网络主要用于体系内政务办公和政务应用的需要,万州区尚未形成统一的政务外网,各政务网络之间缺乏有效的互联互通机制,难以满足万州区电子政务资源共享和数据交换,以及协同办公的需要。同时,由于历史的原因,各政府部门业务网络先于万州区政务外网的建立,鉴于缺乏统一的规划和技术标准标准,对政务外网的业务定位、互联方式、平安保障要求等方面存在许多差异,这也严重的制约了政务外网的建立。1.1.5. 电子政务传输网现状万州区已建立的政务网络分别租用不同电信运营商的光纤、传输电路、ATM/FR网络或IP VPN玩组建
11、而成,万州区尚未形成统一的电子政务传输网,存在网络技术不一致、网络平安机制不一致、网络运维体制不一致、网络可靠性差、网络扩展性差等问题, 1.1.6. 政府部门局域网现状万州区各政务部门一般至少有两套综合布线系统,并有两套互为物理隔离的局域网。其中,一套主要用于政务部门业务网终端的接入,另外一套互联网终端的接入。各政务部门考虑到万州区党政内网为涉密网络,一般采用固定终端连接到万州区党政内网,而不是延伸所有的终端。1.1.7. 万州区政府互联网接入现状万州区各政务部门及其下属部门局部采用集中方式通过互联网专线接入互联网,局部部门及其下属部门采用分布方式通过互联网专线接入互联网。万州区各政务部门及
12、其下属部门接入互联网技术主要有以太网专线、帧中继专线和ADSL专线,接入带宽分别2M-100M不等。万州区政府部门互联网效劳提供商主要为*电信、*联通和*移动。万州区政府部门局域网在实现互联网接入时,一般都配置有防火墙设备,局部部门还配置了网络反病毒、IDS系统,局部部门还关闭了局部端口,做了IP地址接入限制。万州区各政府部门互联网接入一般没有配套建立互联网接入统一认证和访问管理系统,也不具备互联网接入网络行为审计和内容审计的能力。万州区各政府部门根据国家有关电子政务网络平安管理制度,各自制定了相关的管理制度。综上所述,万州区政府部门互联网接入存在分散接入,本钱高、平安风险大,缺乏有效统一管理
13、等问题。2.2. 互联网平安接入需求分析1.1.8. 总体需求分析政府部门互联网平安接入是万州区重要的电子政务根底设施和平安保障设施,是对万州区政府部门集中接入互联网、实施统一平安管理的模式积极探索,即要满足万州区各级政府部门平安接入互联网,又要具备确保政府信息系统防病毒、防攻击、防泄密和反窃密的能力。万州区政府部门互联网平安接入需要万州区政府信息中心牵头组织,公安局、国安局、*局、监察局、财政局等相关单位配合,万州区各级政府部门和电信运营商积极参与,才能确保工程的有效推动。1.1.9. 互联网平安接入应用需求分析万州区政府部门互联网平安接入应用需求是:1全面提升万州区电子政务网络的总体平安。
14、政府部门互联网接入不统一,各单位很难统一严格按照电子政务平安要求和标准,确保互联网平安接入措施的实施,这势必导致我市电子政务网络的平安不平衡,出现网络平安“木桶原理的短板现象,从而严重影响万州区电子政务网络的整体网络平安。2加强电子政务网络平安管理。政府部门互联网接入平安管理不统一,各单位很难统一严格按照电子政务平安要求和标准,确保互联网平安接入管理制度的实施,这势必导致无法有效控制我区电子政务网络平安风险,从而严重影响我去电子政务网络平安,从而出现网络平安事件和网络失泄密事件不断发生。通过统一政府各部门的互联网出口,并建立互联网接入平安管理平台,以及统一的平安防护策略和平安防护措施,可以对政
15、府部门互联网接入进展集中统一的平安监控和管理。3积极探索万州区电子政务网络集约化建立。政府部门互联网平安接入在充分利用我区公共通信资源的根底上,积极探索市场化模式,通过竞争性招标方式,组织相关部门,完成我区区级互联网接入的集中采购,发挥规模优势,最大限度降低总体本钱,减少财政多头支出。3. 方案总体设计2.3. 建立原则万州区政府部门互联网平安接入工程将严格按照国家相关政策和技术标准的要求,遵照万州区政务外网有关“统一规划、分布实施;重视应用、互联互通;权衡利弊、适度防护的网络互联平安根本原则,在统一接入互联网时,既实现政务外网的互联互通,又保证政务外网的信息平安,积极探索政府部门集中接入互联
16、网、实施统一平安管理模式,从而提高政府部门反病毒、防攻击、防泄密和防窃密的能力。万州区政府部门互联网平安接入工程将在充分考虑系统的先进性、网络可用性、系统扩展性和网络平安性的同时,合理充分利用电子政务网络资源和公共通信资源,创新万州区政务部门互联网平安接入的建立模式。2.4. 总体网络解决方案1.1.10. 万州区电子政务网络总体规划1.1.1.1. 万州区电子政务网络的界定按照中办发18号和渝委办发11号文件的精神,万州区电子政务网络由基于全区电子政务网络区级传输骨干网的政务内网和政务外网组成。其中,万州区政务内网由区委、区人大、区政府、区政协、法院、检察院的业务网络互联互通形成,主要满足全
17、市各级政务部门内部办公、管理、协调、监视以及决策的需要,并与互联网物理隔离;万州区政务外网主要满足各级政务部门进展社会管理、公共效劳等面向社会效劳的需要,并与互联网逻辑隔离。1.1.1.2. 万州区电子政务网络框架构造万州区电子政务网络总体上可以划分根底传输层、业务网络层、业务应用层和支撑平台。如下列图所示:万州区电子政务网络各层的主要业务功能是:u 根底传输层为业务网络提供传送手段的根底设施。u 业务网络层为传送和交换各种政务信息的业务网络,包括政务内网、政务外网,是电子政务网络的主体。u 业务应用层表示各种信息应用,包括电子政务信息共享交换平台,以及综合行政管理信息系统包括行政审批电子监察
18、系统、财政集中支付系统、数字化城市管理系统等和社会公众信息效劳系统包括政府、政务网上行政大厅、信用信息系统,社会保障信息系统等。u 电子政务支撑平台用于支持全部三个层面的工作,提供保证网络正常运行的各种控制和管理能力、平安保障能力,包括各种网络管理系统、平安保障系统等。1.1.1.3. 万州区电子政务网络系统体系构造万州区电子政务网络由电子政务传输网、政务内外网和电子政务数据中心构成,其系统体系架构详见下列图:万州区电子政务网络各组成局部的主要功能如下:u 电子政务内外网是传送和交换各种政务信息的业务网络。u 电子政务数据中心是电子政务应用系统和电子政务支撑系统的计算中心和运行环境。1.1.1
19、1. 万州区政务外网建立规划1.1.1.4. 万州区政务外网建立目标万州区政务外网是按照中发办【2002】17号文件和【2006】18号文件的要求建立的政务网络平台,主要满足各级政务部门进展社会管理、公共效劳等面向社会效劳的需要,为各级政务部门的业务系统提供网络传输、信息交换、平安应用的支撑效劳,为社会公众提供政务信息效劳。万州区政务外网的建立目标是建成构造合理、边界清晰、技术先进、平安可靠的电子政务外网平台;通过覆盖全区各级政务部门的网络平台和效劳体系,提供网络、应用支撑和平安保障等效劳,支持业务系统的运行,支持跨部门、跨地区的信息资源共享,支持业务系统的互联互通和信息交换,促进政府监管能力
20、和效劳水平的提高。万州区政务外网的建立将结合万州区未来电子政务开展和城乡统筹信息化建立的实际需要,并提供对万州区电子政务信息资源共享交换平台、行政审批电子监察、数字城管、应急指挥、信用系统、社会保障系统等优先支持政务业务系统的支持。1.1.1.5. 万州区政务外网总体规划万州区政务外网将依托万州区统一的电子政务网络区级传输骨干网,采用IP网络技术组建,通过MPLS VPN技术的支持,一方面可以为各政务部门提供纵向VPN,保证各政务业务网络的逻辑上独立性,同时,通过横向VPN,提供各政务业务网络之间的受控的互联互通,提供了电子政务应用系统之间的信息交换和信息共享能力;另一方面隔离政务外网与互联网
21、通过平安防范措施实现与互联网的可控连接,设置互联网效劳区以满足与互联网之间信息交换的业务需求。万州区政务外网按照网络层次可分为承载网backbone和接入网access。其中,承载网,也称骨干网,是指政务外网建立单位建立和运行维护的、能够承载其他部门网络和业务应用的网络,接入网主要是指各级政务部门自行建立和管理的与本级承载网连接的网络,包括部门内部局域网、部门专网等。1.1.1.6. 万州区政务外网业务定位万州区电子政务外网是与政务内网物理隔离、与互联网逻辑隔离的政府公用网,主要用于运行政府部门不需要在内网上运行的业务系统,为政务部门的业务系统提供网络、信息、平安等支撑效劳。万州区政务外网的
22、主要业务类型包括:1信息共享业务:为政务部门跨部门业务或本部门业务系统的运行提供良好的支撑;为各政务部门提供平安可靠的互联互通、信息交换及资源共享的业务平台;并具备平安认证、信息交换、数据存储以及数据备份、网络管理等功能。2互联网业务:政务外网内部用户访问互联网的出口;移动办公的公务人员通过身份认证接入政务外网的途径;为公众访问政务外网承载业务系统的通道。3横向VPN业务:主要满足各部门之间的横向业务需要,为共享的公共资源提供互访通道,这种互访是受控并看灵活部署的,为各政务部门之间的信息共享提供平安的通道。4纵向VPN业务:主要满足各政务部门“自上而下及“自下而上的业务需求,为相关政务目标的互
23、联互通提供平安通道。1.1.1.7. 万州区政务外网调整建立规划万州区政务外网将承载多种跨部门、跨地区的政务业务应用系统,提供网络与信息资源效劳,实现各部门专网的互联互通。万州区政务外网的建立,将逐步实现部门专网与政务外网的不断融合,实现网络、应用、效劳等多层次的互联、互通、互操作,一方面将发挥跨接各部门专用网络的桥梁和枢纽作用,另一方面建成为承载各部门业务系统的可信、平安的公用网。万州区政务外网的建立,将在充分利用万州区现有的各政务业务网的网络资源的根底上,充分利用公共通信资源,确保网络技术的先进性、网络业务组织和实现的合理性、网络的可靠性和扩展性。万州区电子政务外网建成后,万州区各政务部门
24、原有的中继电路将不再租用运营商的传输电路,而通过政务外网进展承载,原有的业务系统和终端的IP地址规划原则上不做改动。万州区政务外网建成后,各政府部门原则上将不再新建政务业务网,或租用电信运营商的IP网络效劳承载电子政务业务系统。对于各政务部门已组建的政务业务网,将按照相关要求,分别接入区电子政务内外网;当不能满足部门政务业务应用的需求时,应考虑整体迁入新的政务网络,不再进展扩容。2.5. 互联网平安接入建立方案1.1.12. 万州区政务外网信息平安规划1.1.1.8. 政务外网互联平安风险分析万州区政务外网作为政务部门处理面向社会管理及公共效劳的非涉密的政务公用网,与处理政务部门内部办公、管理
25、协调、监视和决策业务的万州区政务内网物理隔离,与互联网逻辑隔离。因此,万州区政务外网不可能给政务内网带来平安风险,同时由于政务外网与互联网逻辑隔离,存在平安风险。万州区政务外网面临的主要平安风险包括网络效劳中断、网络入侵、网络滥用和信息未经授权修改。万州区政务外网平安风险的主要特点有涉及社会管理及公共效劳,影响范围广;网络连接情况复杂,平安防护水平参差不齐;业务信息种类繁多,存在较多工作秘密和敏感信息。1.1.1.9. 万州区政务外网平安互联和平安防护原则万州区政务外网为了有效抵御所面临的平安风险,必须加强政务外网的平安防护能力,确保政务外网建立符合国家相关规定。万州区政务外网信息平安问题必
26、须统一规划由人、管理和技术三方面构建信息平安体系,坚持管理与技术并重,建立根本的政务外网平安防护框架,确保不同平安等级系统之间信息交互必须基于有效的平安控制机制,在保障网络传输效率、支持多种网络业务的前提下,加强边界防护,保障跨边界信息交换的有效性、平安性和可控性,做到有控制的互联。万州区政务外网平安互联应坚持“统一规划、分布实施;重视应用、互联互通;权衡利弊、适度防护的根本原则,在政务外网互联时,既实现政务外网的互联互通,又保证政务外网的信息平安。万州区政务外网要充分考虑互联互通的实际需求和应用情况,根据“权衡利弊、适度保护的原则,协调好平安、本钱、效率三者之间的关系,采用“集中指导、分级管
27、理,全面防护、突出重点,适度平安的平安防护原则。1.1.1.10. 政务外网信息平安等级保护万州区政务外网将遵照公通字【2007】43号文件精神,实施信息平安等级保护,其根本思路是:按照相关要求,政务外网依据等级保护定级规则,确定政务外网系统的平安等级;按照国家等级保护要求,确定与政务外网平安等级相对应的根本平安要求;遵循管理方法规定流程,做好定级、备案以及测评、自查工作;依据政务外网根本平安要求,结合风险评估结果,并综合平衡平安与本钱之间的关系,进展网络互联的平安保护需求定制,确定适用于特定政务外网系统的平安保护措施,并依照相关指南要求完成平安互联规划、设计、实施和验收。1.1.1.11.
28、政务外网信息平安总体策略万州区政务外网总体信息平安总体策略如下:1政务外网为非涉密的政务公用网,与政务内网物理隔离,与互联网逻辑隔离。2政务外网承载网主要强调互联互通和数据快速交换,原则上只采用路由控制等技术,不采用防火墙等其他平安措施。3政务外网将遵照信息平安等级保护的相关规定,实现对政务外网不同平安域之间的边界及信息交换的防护,不同层次平安域之间需要采用防火墙进展边界隔离,并在边界部署入侵检测系统、反病毒网关等设施确保及时有效地发现并消除常见平安入侵行为;部署网络平安审计系统,尽量发现已经发生的平安问题,降低由此带来的平安风险;部署平安接入认证网关,通过认证授权和平安策略的检查,对终端的网
29、络访问权限进展有效控制。4接入政务外网的接入单位要根据国家相关政策要求,在接入政务外网前对自己的网络进展自评价,明确接入网络定位,接入网络应为非涉密的政务专网,并与政务内网物理隔离,与互联网逻辑隔离。接入网络与互联网的连接必须采取适宜的技术和管理措施保证与互联网逻辑隔离。假设需要与秘电子政务涉密网络或涉密域进展信息交换时,要在全部满足相关规定的条件下,采用国家*部门批准的平安隔离与信息单向导入系统进展连接。5政务部门可利用政务外网的网络资源开展纵向业务,从而防止建立部门纵向网络所带来的重复建立及资源浪费,也可克制部门自建纵向网络产生的网络覆盖范围和网络性能有限等问题。*些部门的纵向业务应用对网
30、络的平安性要求较高,需要进展业务隔离或部门的纵向业务应用对网络要求较高,需统一管理时,可在政务外网的公共根底网络平台上构建部门的VPN网。6不同政务部门之间可利用政务外网建立横向VPN网,实现平安的互联互通,使业务系统在可信、平安的网络环境下运行。7政务外网与互联网可采用VPN等技术实现平安隔离与信息交换,对于业务往来频繁,且实时性要求较高的地方,可以在满足政务外网逻辑隔离原则与要求的前提下,通过部署防火墙、入侵检测系统、防病毒网关以及网络平安审计系统或集中日志系统,在保障业务正常开展的同时确保政务外网与互联网的交互的平安可控。8对于移动用户通过互联网接入政务外网时,需要采用VPN结合用户认证
31、授权的方式进展边界防护。用户通过在远端和总部之间建立VPN隧道的方式,并采用数据加密的方法,保证通信的平安,同时结合认证的方式,对接入用户采用高强度的认证、授权和审计,控制远程接入的风险。1.1.13. 万州区政府部门互联网平安接入建立方案1.1.1.12. 万州区政府部门互联网平安接入的界定根据万州区政务外网的总体规划,互联网业务是政务外网的根底业务之一,因此,万州区政务部门互联网平安接入工程属于万州区政务外网内部用户访问互联网相关平安建立工程,应服从万州区政务外网信息平安总体策略。1.1.1.13. 万州区政府部门互联网平安接入建立方案万州区政府部门互联网平安接入管理平台的主要建立内容是在
32、政务外网的互联网接入区构建逻辑隔离区,防范互联网对政务外网的攻击,防止政务外网的非授权数据流向互联网。万州区政府部门互联网接入平安管理平台分别由网络边界平安保护子系统、网络攻击防范子系统、身份认证和访问管理子系统、网络平安内容审计子系统、网络平安综合管理子系统组成。万州区互联网平安接入管理平台功能体系架构如下列图所示。万州区互联网平安接入管理平台各系统主要功能是:1网络边界平安保护子系统通过采用防火墙和VPN技术和管理等手段,建立在网络边界上用于保障网络信息平安的措施,提供阻塞非法流量和访问控制的功能。2网络攻击防范子系统主要提供防DDOS防范、网络病毒防范、网络入侵检测、入侵保护和入侵诱骗等
33、网络管理攻击防范功能。3身份认证和访问控制管理子系统将提供用户访问互联网和电子政务资源的统一用户账号Account管理、认证Authentication管理、授权Authorization管理和平安审计Audit的功能。4网络平安行为和内容审计子系统将提供对业务流量流向分析、应用业务监控、VoIP监听、平安内容审计和用户行为分析和处理等功能。5综合平安管理子系统是基于相关电子政务网络平安管理标准和标准的根底上,通过构建平安知识库,并提供资产风险管理、平安系统配置管理,以及平安事件集中监控、平安事件集中告警、平安应急响应、平安事件统计分析等网络平安综合管理功能。万州区互联网平安接入管理平台系统体
34、系构造如下列图所示。万州区政府部门互联网平安接入管理平台建立方案设计如下:1互联网接入考虑万州区政府部门互联网平安接入试点工程将接入的行政审批电子监察所涉及的44政府部门单位,因此,互联网接入带宽设计容量为1个GE。万州区政府部门互联网接入将利用其与政务外网的接入电路,不建租用电信商的电路接入互联网。2网络边界平安保护子系统万州区政务外网将为政府部门互联网接入创立1个横向VPN,并通过1台千兆防火墙实现与互联网的强逻辑隔离,以确保网络边界的平安保护。3网络攻击防范子系统万州区政府部门互联网平安接入网络攻击防范子系统由网络IDS系统、网络反病毒系统组成。其中,网络IDS系统将实现综合性网络攻击检
35、测,网络防病毒系统将通过网关防毒有效阻挡网络病毒的入侵。4身份认证和访问控制管理子系统万州区政务部门互联网平安接入统一认证和访问控制管理系统将采用标准Radius认证协议,可以对用户接入的平安策略进展检查,并且根据检查的结果,实施相应的访问控制。可以基于多种因素进展授权,如用户的相关属性,登陆地址,平安状况、登录时间等。支持全面的细粒度的访问控制机制,实现应用层的访问控制,如控制用户可以访问的URL,文件,读写权限等。支持基于正则表达式的规则匹配。5网络平安行为和内容审计子系统万州区互联网平安接入网络平安行为和内容审计子系统将首先对政务外网的核心路由器有关互联网或其他流量业务流量进展镜像,再有
36、关互联网的业务流量进展深层分析,从而实现对网络平安行为和内容的审计,并统一认证和访问控制管理子系统联动,以实现有关平安事件与用户的关联。6综合平安管理子系统万州区互联网平安接入综合平安管理系统将提供资产风险管理、平安系统配置管理,以及平安事件集中监控、平安事件集中告警、平安应急响应、平安事件统计分析等网络平安综合管理功能。7存储藏份系统万州区互联网平安接入存储藏份系统主要实现对有关系统运行日志文件、网络平安系统的处理结果等数据的集中备份。4. 系统预算不含网络租用费序号货物名称技 术 参 数单价数量总价1内网入侵检测系统IPS2U,1个100M管理口,8个1000M SFP接口模块插槽,提供1
37、个监听口,最多可扩展为8路监听270,0001270,0002内网病毒防护系统1系统中心,10效劳器端,300客户端94,000194,0003外网边界防火墙2U机架式构造;最大配置为12个接口,包括6个SFP接口、4个10/100/1000BASE-T接口和2个10/100BASE-T接口可作为1个HA口和管理口;支持双电源缺省配置为1个;整机吞吐量4Gbps;最大并发连接数220万185,0001185,0004身份认证系统300用户,包括CA认证效劳器端、CA认证客户端、密钥或卡等100,0001100,0005内容审计系统文件保护及访问审计、文件网络输出审计、注册表审计、文件内容检查、
38、工作目录管理审计、网络共享审计、上网访问行为审计、审计、打印审计、系统日志审计、键盘行为审计、桌面窗口审计120,0001120,0006网络管理系统桌面密码权限管理;终端统一防火墙;终端杀毒软件管理;终端平安等级管理;IE平安设置;恶意软件免疫注册表监控/保护;终端连线/离线策略管理150,0001150,0007漏洞扫描1U,一个100M/1000M自适应以太网电口,一个管理口,并发30IP扫描,512个IP授权。250,0001250,0008平安管理系统对主机、网络设备、平安设备的运行状态进展集中监控,并提供性能分析与故障管理。对Firewall、VPN、IDS 等平安设备的平安策略的
39、制定、维护、分发。对工作站、效劳器等终端类资产进展监控与平安策略管理。对网络中的平安事件进展关联分析,识别业务系统所受到的平安威胁,并对这些威胁进展处置。在资产管理、弱点管理、威胁管理的根底上,评估企业IT根底设施风险,提出风险控制策略,筛选风险控制的实施方案。300,0001300,0009核心路由器核心路由器主机;路由交换处理板*2;系列主机软件;交流电源模块*2;单路业务处理板;6端口千兆以太网光接口卡-(SFP,LC);光模块-SFP-GE-单模模块-(1310nm,10km,LC)*4300,0001300,00010核心交换机插箱组件;控制板;交流电源模块;24端口千兆以太网电接口
40、线路板(89S2);系统软件;交流电源线110,0001110,00011互联网接入交换机24*10/100/1000M+4*SFP GE bo+4个扩展插槽包含机箱、背板、风扇、电源和控制模块;其中4个固定千兆SFP端口和千兆RJ45端口复用,交流供电。16,000232,00012平安管理效劳器标配两个Intel 四核*eon E7420处理器,8GB内存,2*146GB 10K SAS 2.5 MS W2021 server中文企业版90,0002180,00012WEB GATE平安门户网关100M85,000185,00013效劳器核心平安加固与管理系统AL-TOS-Windows25,000125,00014机柜42U3,00026,00015机房环境改造网络布线、供电、接地等20,000120,000设备总价2,227,000配套及安装工程费3.0%66,810工程建立其他费6.5%144,755集成费8.0%178,160网络租用费1,000,000预备费3.0%66,810工程总价3,683,535. z.