a) 关键设备的业务处理能力应具有一定的节设备和链路冗余等保护措施,网络的组织 和分布应满足各类业务稳定性、可靠性和安全性的要求;
b) 广域网的链路带宽应满足承载业务和数据传输的需要,其带宽至少为历史峰值的 1.5 倍;
c) IP 层的网络设备时钟应与上级设备时钟同步;
d) 主用与备用的核心网络设备应放置在不同物理位置的机房;
e) 应采用物理路由分离的两条骨干链路来提供“1+1”的网络保护方式,两条链路在 技术和性能等方面应保持一致;
f) 地(市)级及以上网络设备应支持 MPLS VPN 的业务,并保证国家相关业务部门到 省、地(市)、县业务的连通;
g) 应根据需要采用有效的 QoS 和流量管理策略,保证管理和控制信息具有较高的优先 级;
h) 应保证国家、省、地(市)广域网的高速畅通,不允许串接相关安全防护设备。 7.1.1.2.网络保护与恢复
a) 国家、省、地(市)的广域网主要设备、模块及链路应采用主备方式;
b) 应能根据各级政务部门业务应用的需要采用链路倒换、聚合等安全保护措施,相关 技术指标应达到网络和业务的需要;
c) 链路的倒换、聚合应不影响各级政务部门重要信息系统和业务的正常使用; d) 广域网络设备原则上应与城域网的核心节点互联。
7.1.1.3.访问控制
a) 应在广域网与城域网或用户局域网之间的网络边界部署相关访问控制设备,启用访 问控制功能; b) 根据政务外网的网络承载力,应对网络中的广播、组播进行必要的控制;
c) 在广域网内,专用网络区与公用网络区应采用 MPLS VPN 技术隔离,不同的专用网络 区及公共网络区域之间路由不可达,数据不能直接访问;
d) 应具备限制网络最大流量数及网络连接数的能力;
e) 根据国家有关互联网出口属地化原则,政务外网中央和省级广域网不得承载互联网 的流量。
7.1.1.4.安全审计
a) 安全审计日志记录要求保存至少半年以上;
b) 应能够根据记录数据进行分析,并生成审计报表,相关信息应报送安全管理系统。
7.1.2. 城域网
7.1.2.1.结构安全
a) 城域网的核心设备应具有一定的设备冗余,核心设备之间的骨干应至少保证不同路 由主备链路或环进行保护,其链路带宽应满足业务的需要; b) 城域网的骨干路由带宽应满足业务的需要;
c) 应根据实际需要及接入单位的分布合理设置汇接节点; d) 城域网络设备的时钟应能与广域网络设备的时钟同步;
e) 国家、省级城域网的核心原则上应采用网状或环状网络结构;
f) 汇接节点与核心节点原则上应至少保有两条不同物理路径的连接,防止设备或链路
故障影响业务系统的正常使用;
g) 应根据需要采用有效的 QoS 和流量管理策略,保证重要信息系统和数据具有较高的 优先级; h) 自建用于政务外网的传输系统(含管理软件、SDH 设备、MSTP 多业务传输平台等), 可与 IP 承载网同步定级,其安全等级应与城域网安全等级一致。
7.1.2.2.访问控制
a) 应在城域网与用户局域网连接边界及安全等级不同的网络边界配置相应的访问控制 功能;
b) 城域网内根据接入业务的需要划分其他区域(或服务层)时,应按业务和安全的要 求,制定相应访问控制策略,保证数据和信息系统的安全;
c) 应在广域网与城域网或用户接入网之间的网络边界部署相关访问控制设备,启用访 问控制功能,对接入用户的边界访问控制,根据条件其访问控制设备也可放在汇聚 层;
d) 城域网应支持 MPLS VPN 技术,按接入业务的需要和数据交换与共享的要求区分不 同的网络区域;
e) 城域网中的专用网络区、公用网络区和互联网接入区等其他网络区域应采用 VPN 隔 离措施,不同区域的系统和数据不能直接访问;
f) 公用网络区与互联网接入区等区域之间需要进行数据交换时,应采用防火墙、路由 控制、网闸、数字证书等相关安全措施,并对交换数据进行病毒扫描和审计。
7.1.3. 用户局域网
a) 用户局域网内的安全防护和安全责任由用户单位自行负责;
b) 用户单位的信息系统已按国家要求进行了安全等级保护二级或三级备案时,在接入 政务外网时需提供信息系统安全等级保护备案证明;
c) 局域网内的终端如既能访问政务外网的业务、又能访问互联网,各政务部门可根据 自身业务的重要性,采取技术措施,逐步达到控制该终端访问互联网,其现有的技 术手段如下,但不仅限于此: i. 通过接入互联网侧的防火墙的访问控制策略对该终端访问互联网加以必要的限 制;
ii. 通过对终端硬盘分区,加密保存业务数据或相关工作文档,通过安全软件,当进 行工作文档编写、数据处理时,自动断开该终端的互联网连接;
iii. 通过插入 USBKey 时自动断开该终端的互联网连接,只能访问指定的政务外网服务 器和应用系统; iv. 可采用虚拟终端等的技术,保证同一台终端不能同时访问政务外网业务和互联网 业务。
7.2.业务区域网络
7.2.1. 公用网络区
7.2.1.1.结构安全
a) 公用业务服务器应采用统一规划的 IP 地址,保证跨部门、跨地区业务的交换与共享; b) 应根据所部署系统的重要性和所涉及信息的重要程度等因素,划分不同的子网或网 段,并按照方便管理和控制的原则为各子网、网段分配地址段;
c) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵时候 优先保护重要业务的畅通;
d) 公用网络区的主要网络设备应具备设备冗余、链路冗余等保护措施,应满足各类业 务带宽、稳定性、可靠性和安全性的要求。
7.2.1.2.访问控制
a) 通过互联网或其他公众通信网络对公用网络区的信息系统进行远程访问时,须采用 VPN 网关、信道加密,以及数字证书、IP 地址绑定、审计等安全措施;
b) 应通过身份认证、授权管理系统等对公用网络区的信息系统进行保护;
c) 公用网络区与互联网接入区采用 MPLS VPN 进行逻辑隔离,二个区域的数据和系统 不能直接访问; d) 当公用网络区的主机/服务器需要从互联网接入区获取数据时,应采用安全隔离设 备、防火墙、路由策略、身份认证、设备认证、审计等安全措施。
7.2.2. 互联网接入区
7.2.2.1.结构安全
a) 应选用二个及以上电信运营商或互联网业务提供商(ISP)作为访问互联网的出口; b) 在采用主备方式或负载均衡等方式时,不同链路的安全策略应该保持一致;
7.2.2.2.访问控制
a) 如需对互联网接入区的信息系统或服务器进行远程维护和管理,应采用身份认证、 信道加密、指定终端等安全措施;
b) 应能有效防止以下攻击行为:病毒攻击、端口扫描、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP 碎片攻击、SOQ 注入、跨站攻击和网络蠕虫攻击等;
c) 应具备流量分析控制、异常告警等功能,能区分各类 HTTP、FTP、TELNET、SMTP、 POP3、P2P 等网络协议并进行过滤;
d) 应具备监测检测恶意代码并实时告警的功能,在有条件的情况下,应能与防火墙、 入侵检测等安全防护设备联动,有效阻止敏感信息的泄漏;
e) 通过互联网等公众通信网接入政务外网的各类移动业务,应尽量与政务部门访问互 联网的出口业务分开,做好相应的访问控制。
7.2.3. 专用网络区
7.2.3.1.结构安全
a) 各级政务部门根据业务需求在政务外网上构建专用网络承载其业务时,应采用 MPLS VPN 或其他 VPN 技术,实现与其他政务部门的业务逻辑隔离;
b) 为保证 VPN 的服务质量,应具备对 VPN 的网络性能等相关数据进行分析的能力,对 重点接入单位和重要信息系统应采用双链路上联政务外网,保证其可靠性;
c) 专用网络区内业务数据流向及安全措施等要求由相应部门自行确定;
d) 应保证广域网络技术的一致性,保证端到端业务的畅通、安全、可靠。 7.2.3.2.访问控制 a) 在接入边界处设置网关或防火墙等边界访问控制设备,防止非法用户业务流的进 入;
b) 应具有网络流量控制能力,防止由于资源挤占而影响其他重要信息系统和网管信息 的正常传送; c) 通过互联网或其他公众通信网络接入 VPN 时,应采用政务外网数字证书、加密传输、 安全网关等安全技术措施,保证数据和信息系统的安全;
d) 专用网络区内的信息系统的安全等级,相关的访问控制、入侵防护、数据安全等由 相应部门自行确定。 7.3. 管理区域网络
7.3.1. 网络管理区
a) 政务外网的 IP 承载网的相关网络设备与网管系统应作为一个整体按信息系统安全 等级保护的要求实施保护;
b) 根据网络结构、管理分界,原则上采用国家、省二级或国家、省、地(市)三级分 域分级的管理方式,根据实际需要设置分级权限,实现对网络的灵活管理;
c) 应绘制与当前运行情况相符的网络拓扑结构图、有相应的网络配置表,包含设备 IP 地址等主要信息,并及时更新、妥善保管并做好备份,且不得对外公开; d) 应保证网管系统数据安全、可靠;
e) 网络管理系统应具有资产管理、图形展现、实时告警并具有声、光、电等功能,告 警信息能通过各种技术手段及时通知相关人员;
f) 网络管理用的终端应专用,有专人负责,并不得访问互联网; g) 应确保网管系统与设备间、网管系统之间的管理信息通信通畅;
h) 网管网络应与电子政务业务网络逻辑隔离,确保网管数据的安全; i) 应具备异构网络管理系统的互联功能,实现相关管理数据的共享;
j) 对重要主机/服务器的运行状况(如 CPU 利用率、内存使用情况等)进行监测; k) 网络管理系统应对同一管理员采用两种或两种以上组合的鉴别技术进行身份鉴别。
7.3.2. 安全管理区
a) 安全管理系统(或平台)可与安全防护设备、网关、审计系统等,作为一个信息系 统的整体,按信息系统安全等级保护的要求实施保护;
b) 安全管理系统应能对管辖内的安全防护设备的日志、故障、病毒攻击、安全运行状 态进行监测; c) 安全管理用的终端应专用,有专人负责,并不得访问互联网;
d) 应按日、周、月、季、年或按管理部门的要求出具安全运行报告,并对相关病毒攻 击、信息安全事件
提出建议;
e) 对网络及管辖区域内安全风险提出预警、对安全运行情况及态势进行分析等;
f) 应具备异构安全管理系统的互联功能,实现相关管理数据的共享、分析,为全网的 安全事件应急响应、安全事件预警提供技术支撑。
7.3.3. 电子认证区 对于此区域的安全防护和要求,请参考国家法律法规和密码管理主管部门关于密码管理 的相关规定及国家对信息系统的安全等级保护相关标准进行保护。