洛阳市统一电子政务平台项目实施报告v1.0.5.1.docx

洛阳市统一电子政务平台项目实施报告河南新创元信息网络有限公司文档编号： 编 写 人： 项目经理： 编制日期：二一一年一月目录第一章 项目概况41项目规模42建设目标43项目总进度安排6第二章 网络的设计规划61系统安全设计71.1信息网络安全保障体系建设目标71.2设计原则与依据71.2.1设计原则71.2.2设计依据81.3系统安全保障防护框架91.4安全域划分与策略101.4.1什么是安全域101.4.2安全域具体划分与详细描述111.4.3具体安全策略131.5内、外网数据交互的设计151.6物理安全151.7网络安全161.7.1结构安全161.7.2访问控制171.7.3安全审计171.7.4边界完整性检查181.7.5入侵防范191.7.6恶意代码防范191.7.7网络设备防护201.8主机安全201.8.1身份鉴别201.8.2访问控制211.8.3安全审计221.8.4剩余信息保护221.8.5入侵防范231.8.6资源控制231.9应用安全241.9.1身份鉴别241.9.2访问控制241.9.3安全审计261.9.4剩余信息保护271.9.5通信完整性271.9.6通信保密性271.9.7抗抵赖271.9.8软件容错281.9.9资源控制281.10数据安全及备份恢复281.10.1数据完整性281.10.2数据保密性291.10.3备份和恢复29第三章 项目实施301实施范围302项目内容333项目实施计划334项目实施工期安排345网络安全设备的实施346惠普刀片服务器与光存储的实施367其他部分388未实施部分389服务器规划3810项目实施人员3911项目实施后的现状39第四章 项目总结41第一章 项目概况1项目规模洛阳市电子政务平台依托电子政务内网，整合电子政务外网资源，初步建成一个覆盖市县两级政府122家单位的统一规划、统一管理、统一应用的全市统一电子政务平台。以互联互通、资源共享为核心，以办公自动化为基础，以网络应用为出发点，以保障信息安全为基本原则，以提高行政效能、服务社会为宗旨，结合先进的TD技术，为洛阳市电子政务发展打造一套坚实有效的政务信息化网络体系。洛阳市统一电子政务平台，包含十部分内容：统一认证平台，统一的政务信息化办公平台，统一的公文流转系统，全市共享的会议管理系统、政民互动系统、政务邮箱系统，移动办公系统，内网安全管理系统、互联网行为审计、漏洞扫描系统。2建设目标本项目以洛阳市党政机关电子政务实际应用作为出发点，结合党政机关特点，以实现高效政府、移动政务、服务行政、服务社会为宗旨，量身打造一套安全、高效、实用的电子政务办公系统，并通过多种网络安全手段为洛阳市党政机关提供一套可靠统一的解决方案。 提供统一的认证，保证接入安全；提供主动防御，做好网络安全；提供网络分析，做好网络管理；提供终端监控管理平台，做好日常终端监控；提供漏洞扫描手段，做好网络安全防护；提供网络审计，保证有据可查等。在应用级别主要包括以下几个方面：1建设全市统一的政务信息化办公平台依托洛阳市现有政务网络，结合移动信息技术，在各县（市、区）政府及市直各部门之间建设高质量、高效率、智能化的统一政府办公平台。整合政府原有的公文交换系统、信息报送系统、领导批示件系统、应急指挥系统等系统，为领导决策和机关干部日常办公管理提供信息服务。提高办公效率，节约办公经费，实现政府办公科学化，无纸化。2建设全市统一的公文流转系统建立统一公文流转系统，优化传统公文流转模式，实现公文流转短信提醒和手机处理公文的功能。在公文流转的每一环节均有短信提醒，同时还可以通过手机批阅、处理公文。该功能可提高公文流转效率、方便政府工作人员随时随地处理公文。3建设全市共享的会议管理系统建设全市共享的移动会议管理系统，通过该系统改变传统会议通知依靠电话或文件通知的方式，通过手机短信方便、快捷的通知到与会人员，针对未接收短信的人员，进行二次通知。同时，该系统还可改变传统会议纸质签到方式，提高会议（尤其是全市性大型会议）签到效率，自动统计到场人员和缺席人员情况。在有效提升办公效率的同时，会议管理系统还可针对参加牡丹花会、河洛文化节等重要会展的来宾发送会议通知、旅游指南、温馨提醒等信息，全面提升洛阳形象。4建设政民互动系统依托市政府门户网站连线政府栏目，建设洛阳市政民互动系统。通过该系统市民可以以手机短信的形式向指定部门发送意见、建议等，并将这些意见分类汇总，传送至政府相关职能部门，同时各级职能部门针对市民提出的问题，本着件件有落实、事事有回信的处理原则，实现市民与政府之间短信互动，提高市民满意度，提升政府服务形象。5建设统一的政务邮箱系统对现有政务邮箱系统进行升级和改造。更换邮件系统并升级至5000用户，添置反垃圾邮件网关。配合洛阳市电子政务建设，方便各单位之间的工作交流，提高行政效能。统一政府邮箱的使用标准和规范化，更好地为各级政府上网以及网上应用领域提供服务。6无线手机办公WAP网站建设电子政务平台，实现手机同政务办公系统对接，随时随地通过手机查阅、处理公文、邮件等，领导干部可以通过手机批阅文件、处理邮件等。3项目总进度安排根据项目建设的总体要求，本工程网络建设计划2010年11月1日开工，2011年1月30号完工，工期为90日天。第二章 网络设计规划1.系统安全设计1.1 信息网络安全保障体系建设目标以洛阳市统一电子政务平台的实际情况和现实问题为基础，遵照国家信息安全相关的法律法规和标准规范，参照国际的安全标准和最佳实践，依据信息安全等级保护基本要求和洛阳市统一电子政务平台要达到的安全目标，设计出等级化、符合系统特点、融管理和技术为一体的整体安全保障体系，指导信息系统的安全保护建设工作。1.2 设计原则与依据1.2.1 设计原则我们将遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则，进行信息网络安全体系的整体设计，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：(1) 等级保护标准性原则构建洛阳市统一电子政务平台这样庞大的系统，必须坚持遵循相关的标准。本方案从设计到产品选型都参考国家等级保护二级和三级相关标准。(2) 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。(3) 综合性、整体性、易操作性原则安全模块和设备的引入，应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。(4) 设备的先进性与成熟性与无缝接入原则安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。(5) 保护原有投资的原则在进行洛阳市统一电子政务平台信息安全体系建设时，应充分考虑原有投资，要充分利用洛阳市电子政务系统已有的建设基础、安全设备、防护设施，统一规划电子政务平台的整体安全体系和灾难恢复系统。(6) 综合治理的原则洛阳市统一电子政务平台是社会大环境下一个系统工程，信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。1.2.2 设计依据 本设计方案参考了以下文件、标准与规范： 洛阳市统一电子政务平台可行性研究报告（中国通信建设集团设计院有限公司编制） 中华人民共和国计算机信息系统安全保护条例 （1994年，国务院147号令） 中共中央办公厅 国务院办公厅关于我国电子政务建设的指导意见（中办发200217号） 中共中央办公厅 国务院办公厅国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号） 国务院办公厅关于印发的通知（国办发200928号） 发改委、公安部、国家保密局会签文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号） 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室信息安全等级保护管理办法（公通字200743号） 河南省电子政务建设领导小组办公室关于河南省电子政务建设总体规划（豫办20048号） 洛阳市委办公室市政府办公室关于在全市党政机关强化移动信息化应用的通知（洛办2009111号） 计算机信息系统安全保护等级划分准则（GB17859-1999） 信息系统安全等级保护基本要求（GB/T22239-2008）1.3 系统安全保障防护框架图：3-3-1针对洛阳市统一电子政务平台的安全保障防护框架如上图所示。在整体安全策略的指导下，不仅要重点考虑安全技术体系的设计，也要同时兼顾进行安全组织体系和安全运行体系的设计。1.4 安全域划分与策略1.4.1 什么是安全域所谓安全域，就是具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：n 网络区域n 主机和系统n 人和组织n 物理环境n 策略和流程n 业务和使命n 因此，如果按照广义安全域来理解，不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施；不同的安全子域之间和不同的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。安全域划分以及基于安全域的整体安全工作，在洛阳市统一电子政务平台中具有很大的意义和实际作用：(1) 安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以指导系统的安全规划、设计、入网和验收工作；(2) 可以更好的利用系统安全措施，发挥安全设备的利用率；(3) 基于网络和系统进行安全检查和评估是基础，可以在运行维护阶段降低系统风险，提供检查审核依据；(4) 安全域可以更好的控制网络安全风险，降低系统风险；(5) 安全域的分割是出现问题时的预防，能够防止有害行为的渗透；(6) 安全域边界是灾难发生时的抑制点，能够防止影响的扩散。1.4.2 安全域具体划分与详细描述根据洛阳市统一电子政务平台的功能特性、安全价值以及面临威胁的相似性，洛阳市统一电子政务平台保护对象可分为电子政务内网安全域、电子政务外网安全域和互联网域。在电子政务内网区中，可细分为内网交换子域、内网应用服务器子域、内网安全管理子域、内网本地终端子域、内网远程终端子域；在电子政务外网安全域中，可细分为外网本地终端子域、外网应用服务器子域、外网安全管理子域、外网交换子域。互联网域可分为INTERNET公众用户和移动手机用户。图：3-4-11. 内网交换子域主要指洛阳市统一电子政务平台中政务内网的核心交换机和楼层交换机区域。2. 内网服务器子域主要指为洛阳市统一电子政务平台中政务内网提供业务应用的服务器区域。3. 内网安全管理子域主要指为洛阳市统一电子政务平台政务内网提供网络管理和安全管理的区域。4. 内网本地终端子域主要指部署在洛阳市政府大楼内，能够接入洛阳市统一电子政务平台政务内网中的终端设备的区域。5. 内网远程终端子域主要指洛阳市统一电子政务平台政务内网中，9县、6区、2个开发区以及不在市政府大楼里办公的各委办局能够接入政务内网的终端设备区域。其中还可以继续细分为9县、6区、2个开发区的远程终端，以及不在市政府大楼里办公的各委办局的远程终端两个细分子域。6. 外网服务器子域主要指在洛阳市统一电子政务平台政务外网中，提供业务应用的服务器区域。7. 外网安全管理子域主要指洛阳市统一电子政务平台政务外网中，提供网络管理和安全管理的区域。8. 外网核心交换子域主要指洛阳市统一电子政务平台政务外网中，核心交换机和楼层交换机区域。9. 外网本地终端子域主要指洛阳市统一电子政务平台政务外网中，在市政府大楼内的终端设备区域。10. 互联网域主要指通过INTERNET和移动网络访问洛阳市统一电子政务平台政务外网资源的用户。以下是各个安全域中包含的设备情况表：安全域名称安全子域名称其中包含的设备电子政务内网安全域内网交换子域核心交换机和楼层交换机内网服务器子域内网应用服务器和数据库服务器，例如“OA服务器、内网数据库、公文流转服务器、邮件服务器等”内网安全管理子域安全设备及网络管理设备内网本地终端子域内网市政府大楼内的PC机终端内网远程终端子域下级县、区相关机构以及不在市政府大楼内的下属各委办局能够接入办公内网的PC机终端电子政务外网安全域外网服务器子域政务外网的应用服务器、数据库服务器设备，例如：“外网WEB服务器、邮件服务器等”外网交换子域政务外网的核心交换机和楼层交换机外网本地终端子域市政府大楼内能够接入政务外网的PC机终端设备外网安全管理子域外网中的安全管理服务器、网络管理服务器等设备。互联网安全域通过INTERNET和移动网络访问洛阳市统一电子政务平台政务外网资源的PC终端或手机终端表：3-11.4.3 具体安全策略按照层层防护的思想，信息系统由具有相同或不同等级的子系统构成，各子系统均需要实现安全域内部安全、安全域边界安全及安全域互联安全。边界保护的目的是对边界内的局域计算环境和独立用户/用户群的计算机环境进行保护，防止非法的用户连接和数据传输。安全域内部安全是指局域计算环境自身安全和网络连接设备自身安全。安全域互联安全是指在不同等级的系统之间互联时，应采取的保护原则和保护策略。 安全域内部访问策略(1) 通过网络访问控制手段实现网络、系统和应用的访问的严格控制(2) 通过身份认证系统实现数据、文件或其他资源的访问的严格控制(3) 通过边界完整性检查手段实现检测非法接入设备(4) 检测网络边界完整性(5) 切断非法连接 不同安全域互访策略不同安全等级的安全域之间可以根据业务需要进行互联。互联问题的本质就是互联系统间的边界安全问题。不同安全等级互联，要根据系统业务和安全需求，制定相应的多级安全策略，主要包括访问控制策略和数据交换策略等，采取相应的边界保护、访问控制等安全措施，防止高等级系统的安全受低等级系统的影响。不同安全等级的安全域互联主要有以下几种情况：(1) 位于同一业务单位域内共享网络平台的系统互联(2) 位于同一业务单位域内不同安全等级网络平台的系统互联(3) 位于不同业务单位域内的系统互联需要说明的是：相同安全等级的系统互联，也应根据系统业务和安全需求，制定相应的系统互联安全策略，采取相应的安全保护措施。不同安全等级的非涉密系统之间的数据交换应满足以下安全策略要求：(1) 不同安全等级系统的非敏感数据，可在高等级和低等级之间相互传输，可以根据需要，制定具体的数据交换安全策略(2) 低等级系统的敏感数据可以向高等级系统传输，但应根据需要，制定具体的数据交换安全策略(3) 高等级系统的敏感数据不能向低等级系统传输不同安全等级安全域间的数据交换安全策略示意图如下：图：3-4-21.5 内、外网数据交互的设计洛阳市统一电子政务平台内、外网数据的交互是采用单向隔离网闸的方法来实现。单向网闸是网络边界防护单向数据导入解决方案的核心，尤其是对于内外网两个不同等级的安全域间的隔离与防护，起到无法替代的作用，它能在保证信号绝对单向的情况下，实现可靠的数据单向传输。其绝对单向性传输特征，决定了其适用于如下两种应用场景：其一数据导入，保证内网信息不在导入过程中泄漏到外网；其二是信息单向发布，保证内网在向外网单向推移数据时，外网无法入侵内部敏感网络。1.6 物理安全建设符合国家电子政务网相关安全保密要求的网络基础设施，机房和办公场所物理位置要远离人为和自然灾害多发的地方，例如：加油站、储气站、蓄水池、机场、低洼地带、高犯罪率地区等容易遭受人为或不可控因素破坏的地方。机房和办公场所应具备防震、防风、防雨等能力；机房不应建在建筑物的高层和地下室，以及用水设备的下层或隔壁，提高机房防潮能力；机房地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、水灾、易遭受雷击的地区。洛阳市统一电子政务平台主机房拟建在市政府大楼1层，周围100米内无加油站、储气站、蓄水池、机场、低洼地带，周围环境安全可控，机房所选位置优越。1.7 网络安全1.7.1 结构安全统一电子政务平台系统是洛阳市电子政务的核心应用系统，要确保应用系统能够提供不间断服务，必须设计构建安全、可靠的网络系统平台和硬件设施，同时保护系统核心敏感数据不被未授权者非法访问或获取。由于电子政务网覆盖委局办机关范围较为广泛，市政办公大楼分布有40余个机关委局办，另外有70余个单位分布在所辖九县六区和两个开发区。在IP地址分配方面，建议按行政单位或行政级别来进行IP地址段和Vlan划分，将同一行政单位接入的所有终端划于同一个IP地址段，或将同一行政级别的终端划为同一个IP地址段，IP地址段可以使用国际保留IP地址段中的任意地址，如：/8，/12，/16等，IP网段划分与分配，尽可能将拥有相同级别访问权限的终端分配在同一个IP地址段，有利于网络管理和权限分配。不同网段之间的互联互通，可以由核心交换机或路由器的访问控制列表来制定，重要的网段（如：核心业务服务器网段）与接入终端必须配置有效的安全访问制规则，不允许全部开放。除了针对不同的网段制定访问控制规则之外，还需根据不同网段业务的级别，制定QOS规则，确保重要的业务系统在任何时候都能够拥有足够的带宽。相关技术措施：核心交换机、路由器、防火墙/一体化安全网关、入侵防御系统、核心应用服务器等均采用冗余结构。1.7.2 访问控制访问控制是网络系统安全防范和保护的主要策略之一，它的主要任务是保证系统资源不被非法使用，是系统安全、保护网络资源的重要手段。而安全访问控制的前提是必须合理的建立安全域，根据不同的安全访问控制需求建立不同的安全域。如网络拓扑图所示，安全域的边界隔离与网络层的访问控制可以由路由器、网络交换机、安全网关（防火墙或一体化安全网关）、隔离网闸等网关型设备完成。从全局来看，由隔离网闸将洛阳市统一电子政务平台分为政务内网和政务外网两大安全域。再进行细分，电子政务内网、外网分别由安全网关（防火墙或一体化安全网关）设备细分安全服务域（如：内、外网的服务器域）、终端接入域（如：内、外网办公终端接入区域）等多个安全子域。必须明确制定不同安全域之间的访问权限，指定可访问的IP资源、可访问的时间段、可使用的带宽或会话数量，可访问服务，如：HTTP、FTP、POP3、SMTP等。安全域之间的访问控制要精确到源IP地址、目的IP地址、授权时间段、授权访问的服务或端口等。相关技术措施：安全网关（防火墙、一体化安全网关）、隔离网闸、入侵防御系统等。1.7.3 安全审计审计系统能够真实地记录用户的操作或系统/设备在运行过程中触发自身日志功能而产生的事件数据；并且，当发现不符合规定的越权操作时，能及时告警或同时阻断；通过系统提供的审计记录能迅速地查找出违规者的真实身份。网络审计系统是通过网络旁路侦听的方式对网络数据流进行采集、分析和识别，并对应用层协议进行完整还原，根据制定的安全审计策略进行审计响应。网络旁路监听技术的优势是：不影响用户的网络结构；不影响用户的网络性能；不影响用户的应用业务。网络审计系统具体的功能包括：支持网络管理行为审计如针对FTP、TELNET、HTTP、NETBIOS、SMTP、POP3协议的审计，以及其他一些网络行为的审计；并能根据用户或服务进行网络流量统计分析，便于管理员及时发现网络异常流量；审计系统应能够对系统用户和权限变化、管理员和系统用户的操作以及其它可定义的行业进行审计记录，记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。审计系统所记录的所有日志信息，均应储存在自身存储系统中，以备能够根据日志记录进行数据分析或生成审计报表。审计记录不得轻易删除或修改，审计系统自身必须具备用户权限控制机制。相关技术措施：网络安全审计系统。1.7.4 边界完整性检查洛阳市电子政务网络边界完整性检查包括两个层面：一是应用网络设备的访问控制对非法外来接入进行检查和阻断；二是通过终端安全管理系统对非法外联行为进行监督和控制。综合运行防火墙技术、交换机或路由器的ACL和802.1x协议、隔离网闸等安全访问控制手段，对接入网络的用户进行严格的身份检查，拒绝一切未授权私自非法接入电子政务网（包括政务内网和政务外网）的用户终端，并能够根据网络设备产生的日志事件，准确定位到非法接入的时间、地点信息，如：非法接入所位于的交换机接口、IP地址段等。桌面终端安全管理技术能够有效地防止电子政务内网用户私自非法接入政务内网以外的其它网络。利用终端安全管理系统为每个用户分配在线策略和离线安全策略，详细分配用户的访问权限和授权访问资源，禁止多网卡和非法路由、红外接口、蓝牙、1394接口、USB接口等可能产生外联行为连接方式，并对非法外联时产生的非法路由信息进行详细的记录，要能够记录非法外联用户、时间等，以备审查。相关技术措施：安全网关（防火墙、一体化安全网关）、桌面终端安全管理系统等。1.7.5 入侵防范基于网络的开放性与自由性，网上有各种各样的人，他们的意图也是形形色色的。网络入侵检测和防御技术则是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。网络入侵检测技术还可以与防火墙等其它安全产品紧密结合，最大程度地为网络系统提供安全保障。网络入侵检测和防御技术是对网络入侵行为的检测和控制。它通过监视计算机网络数据报文，并对这些报文进行协议分析和模式匹配，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，包括：攻击发起源、目的、攻击途径、时间、攻击事件安全等级和事件描述等信息，为网络或系统的恢复和追查攻击的来源提供基本数据。同时，目前最新的网络入侵检测系统还引入全面流量监测发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有对应的关联关系，给出入侵威胁和资产脆弱性之间的关联风险分析结果，从而有效地管理安全事件并进行及时处理和响应。相关技术措施：网络入侵检测系统、网络入侵防御系统、一体化安全网关等。1.7.6 恶意代码防范网络边界恶意代码的防范主要是采用边界防病毒网关过滤技术，主要有入侵防御、防病毒网关、一体化安全网关技术等，通过防病毒网关对数据进行深层次的安全代码检查，将可疑恶意代码进行隔离、查杀和过滤。根据国家相关安全技术要求，病毒网关应具备查杀当时流行的病毒和木马的能力，其病毒库应能够在线或离线及时更新，更新周期不应超过一周，遇紧急情况或国际、国内重大病毒事件时，能够及时更新。相关技术措施：防病毒网关、一体化安全网关。1.7.7 网络设备防护各种网络设备、安全设备、服务器系统、交换机、路由器、网络安全审计等都必须具备管理员身份鉴别机制，可以采用帐号、静态口令、动态口令、KEY、数字证书等方式或两种以上组合方式进行身份鉴别，密码配置必须满足“复杂”要求，长度不少于8位字符，且不能为全数字或单词等，必须由两种或两种以上字符类型（大小写字母、数字、特殊字符等）构成，同时应配置最大登陆失败次数，通常为3-5次，超过最大登陆次数后，即将登陆源IP进行锁定禁止再次尝试登陆，以防口令暴力猜解。设备应根据物理安全要求，固定安装于机柜并粘贴相应标识。电子政务网核心交换机、路由器、安全网关、隔离网闸等网络设备应限制远程登陆管理IP地址范围或禁止远程管理，必要时只允许少数或管理域的IP主机方可以管理权限通过网络登陆设备配置和维护操作，通过网络远程配置管理必须采用加密方式（如：SSH或HTTPS）建立连接，以防连接会话被窃听或篡改。所有操作必须有审计员帐号监督审计，审计管理员可随时查看系统管理员对网络设备所做的操作，帐号登陆后若长时间未有操作，应能够自动退出系统或结束当前管理会话连接，严格杜绝超级管理员权限帐号或永久在线帐号存在。相关技术措施：所选用网络设备必须具备上述安全防护机制。1.8 主机安全统一电子政务平台系统属于电子政务核心应用系统，有效地保护其主机系统的安全是确保“统一电子政务平台”系统稳定运行的前提和基础，一旦主机系统被非法入侵，应用系统及数据遭受破坏是毋庸置疑的。“主机安全”包括应用服务器、数据库服务器的安全防护和用户终端的安全防护两个层面。1.8.1 身份鉴别主机系统必须具备有效的身份鉴别机制，无论对于应用服务器、数据库服务器还是用户终端来说，除了传统的“用户名+口令”方式外，需要采用USB Key+数字证书的方式，作为开机登陆的增强身份鉴别的技术手段。对于远程移动手机终端的用户，身份鉴别采取移动公司提供的“动态密码”的方式登录政务外网。无论是对于服务器还是用户终端的鉴别口令，必须满足“复杂”要求，长度不少于8位字符，且不能为全数字或字母，必须由两种或两种以上字符类型（大小写字母、数字、特殊字符等）构成，同时应配置最大登陆失败次数，通常为3-5次，超过最大登陆次数后，即将登陆源IP进行锁定禁止再次尝试登陆，以防口令暴力猜解；鉴别口令对于服务器来讲，要求每三个月必须更换一次；对于用户终端来讲，要求必须每六个月更换一次。对于业务服务器的登录口令强度及更换周期要求，在安全管理制度中明确规定并定期由上级领导检查；对于用户终端的登录口令强度及更换周期要求，借助内网终端管理系统强制下发策略执行。对于服务器主机系统的日常管理维护，一般要求本地维护，多台主机可配备KVM切换器共享输入输入设备，方便多主机维护管理。限制远程登陆管理使用范围或禁止远程管理，必要时只允许少数或管理域的IP主机方可以管理权限通过网络登陆设备配置和维护操作，通过网络远程配置管理需采用加密方式建立连接，以防连接会话被窃听或篡改。帐号登陆后若长时间未有操作，应能够自动退出系统、结束当前管理会话或自动锁定屏幕，严格杜绝用户登陆后永久在线的现象发生。相关技术措施：使用身份认证系统生成电子证书并结合USB Key电子钥匙作为身份鉴别的基础，同时配置终端安全管理系统对弱口令和其它控制项进行监督，并且利用漏洞扫描系统对弱口令进行检查。1.8.2 访问控制电子政务系统服务器主机在正式接入网络投入使用之前，需由专业安全管理员进行主机系统安全加固操作，启用主机系统集成的的软件防火墙规则、启用本地安全策略、配置IPTABLES规则；创建或编辑管理员组策略，为每个系统分配特定的权限，权限分配原则需遵循最小化原则；数据库系统或应用系统帐号与主机系统帐号权限应分开管理，为系统重要文件等资源严格配置读、写权限。系统安全管理员应定期对主机系统闲置帐号、废弃帐号、过期帐号进行清理，禁用guest帐号，禁用系统共享，定期检查系统帐号权限是否与原分配一致，避免帐号非法权限提升。相关技术措施：利用漏洞扫描系统发现主机系统脆弱性并进行加固，结合终端安全管理系统监视系统关键注册表项。1.8.3 安全审计综合运用信息安全管理系统（SOC）对所有的主机、数据库日志进行综合审计，同时采用终端安全管理系统，实时监视主机系统用户所做的操作，如：文件读写、数据库连接、运行特定的系统进程或系统命令等操作，并上报至日志审计系统统一集中存储、汇总、关联分析，及时发现主机系统威胁行为。审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果描述等。主机日志审计系统应具备自我保护能力，确保审计服务不被外界或人为因素中断，审计数据应能够长期保存且不能被修改或删除，能够生成各种分类报表以备审查。相关技术措施：终端安全管理系统。1.8.4 剩余信息保护主机剩余信息保护主要是指重要数据存储设备在报废后，其原先曾经存储的数据，不可被非授权还原，从而避免数据被非法获得。需要在安全管理制度中规定，重要数据存储介质（硬盘、磁带库）在报废后，应将重要存储介质拆除，并移交给国家保密专业部门预以销毁；或使用专业的数据销毁设备，对存储介质进行多次信息消除，确保重要数据不被还原。相关技术措施：介质物理销毁。1.8.5 入侵防范对于基于WINDOWS系统的服务器主机和PC终端主机的入侵防范，可配备基于主机的入侵防范系统软件（一般主机防病毒产品均带有入侵防范模块），实时监视对主机系统的访问行为，发现可疑行为，立即启用预先设定的安全防护措施。也可以通过终端安全管理系统联合安全网关设备对威胁发起源进行阻断，中断威胁行为；通过终端安全管理系统为主机系统配置相应的安全访问策略，入侵防范系统应能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。对于非WINDOWS平台的主机，一般采取人工的风险评估与安全加固的方式防范入侵。同时，主机操作系统安装配置要求遵循模块最小化原则，不安装与应用无关的功能模块或操作系统组件，停止与应用无关的系统服务，及时更新操作系统安全补丁；开启操作系统还原功能，以便在系统文件遭到损坏时能够及时恢复。 相关技术措施：终端安全管理系统、主机入侵防范系统、人工评估加固、补丁管理系统。1.8.6 资源控制通过配置主机系统安全策略，结合终端安全管理系统，限制主机系统用户登陆方式、登陆IP地址等；配置超时锁屏规则，确保终端在长时间无人值守时屏幕不被非法窥视或冒名操作。利用终端安全管理系统同时结合主机操作系统的自身功能，为每个系统用户分配即定的系统资源，如网络带宽等；实时监视系统主要硬件资源，配置CPU、内存、磁盘、网络利用率真阀值，当利用率超过阀值时，立即产生系统报警事件通知管理员; 配置主机系统安全补丁检查、防病毒软件库更新检查、系统弱口令检查等安全基线规则，实时监测并及时提醒管理员对系统加固。相关技术措施：部署终端安全管理系统，利用主机操作系统的自身功能进行资源控制。1.9 应用安全1.9.1 身份鉴别 统一电子政务平台系统中的各应用子系统必须自身具备有效的身份认证与鉴别功能，确保只有合法授权的用户方可登陆应用系统。目前各个系统主要采用“用户名+口令”的方式进行身份鉴别，计划在“统一安全认证系统”建成后，增加采用“USB KEY+数字证书”的身份鉴别方式，以形成两种组合方式进行身份鉴别。对于用户登录统一电子政务平台应用系统的密码配置必须满足“复杂”要求，长度不少于8位字符，且不能为全数字或字母，必须由两种或两种以上字符类型（大小写字母、数字、特殊字符等）构成。同时应配置最大登陆失败次数，通常为3-5次，超过最大登陆次数后，即将登陆源IP进行锁定禁止再次尝试登陆，以防口令暴力猜解。帐号登陆后若长时间未有操作，应能够自动退出系统、结束当前管理会话，确保在长时间离开时不被非法冒名操作。配置系统用户首次登陆时必须修改自己的登陆密码，配置密码失效周期，要求用户每三个月必须修改一次登录密码。相关技术措施：采用统一安全认证系统，并且在应用系统开发时应强调相关身份鉴别控制功能。1.9.2 访问控制统一电子政务平台在系统上线正式使用之前，应由系统管理员、安全管理员为每个系统用户依权限最小化分配原则进行权限分配、资源分配，制定系统登陆策略、身份鉴别方式以及各用户之间信息通讯规则。访问控制粒度主体必须控制到单一用户，客体必须控制到信息类别。配置系统新建立的帐号，在权限明确分配之前无任何系统资源访问权限，杜绝使用默认权限访问应用系统资源。“统一电子政务平台”系统应具备资源安全级别标识功能，安全级别标识通常分为：公开、依批准公开、工作秘密等级别，系统管理员应制定严格的安全控制策略，确保每个系统用户只能访问其授权安全级别的资源。“统一电子政务平台”系统管理员应具备三权分立机制，即由用户管理员、审计员、系统管理员角色构成，用户管理员角色只能创建系统用户并分配权限，系统中任何一个用户登陆系统的所有操作过程，都应该在审计员监督检查范围之内，无超级管理员帐号存在。相关技术措施：采用统一安全认证系统，在用户初始创建时明确其类别、属性与权限；并且在应用系统开发时必须采用“强制访问控制”模型。强制访问控制机制的设计如下图所示：图：4-4-1系统在初始配置过程中，安全管理中心需要对系统中的确定主体及其所控制的客体实施身份管理、标记管理、授权管理和策略管理。身份管理确定系统中所有合法用户的身份、工作密钥、证书等与安全相关的内容。标记管理根据业务系统的需要，结合客体资源的重要程度，确定系统中所有客体资源的安全级别及范畴，生成全局客体安全标记列表；同时根据用户在业务系统中的权限和角色确定主体的安全级别及范畴，生成全局主体安全标记列表。授权管理根据业务系统需求和安全状况，授予用户访问客体资源的权限，生成强制访问控制策略和级别调整策略列表。策略管理则根据业务系统的需求，生成与执行主体相关的策略，包括强制访问控制策略和级别调整策略。除此之外，安全审计员需要通过安全管理中心制定系统审计策略，实施系统的审计管理。系统在初始执行时，首先要求用户标识自己的身份，经过系统身份认证确认为授权主体后，系统将下载全局主/客体安全标记列表及与该主体对应的访问控制列表，并对其进行初始化。当执行程序主体发出访问系统中客体资源的请求后，系统安全机制将截获该请求，并从中取出访问控制相关的主体、客体、操作三要素信息，然后查询全局主/客体安全标记列表，得到主/客体的安全标记信息，并依据强制访问控制策略对该请求实施策略符合性检查。如果该请求符合系统强制访问控制策略，则系统将允许该主体执行资源访问。否则，系统将进行级别调整审核，即依据级别调整策略，判断发出该请求的主体是否有权访问该客体。如果上述检查通过，系统同样允许该主体执行资源访问，否则，该请求将被系统拒绝执行。系统强制访问控制机制在执行安全策略过程中，需要根据安全审计员制定的审计策略，对用户的请求及安全决策结果进行审计，并且将生成的审计记录发送到审计服务器存储，供安全审计员管理。1.9.3 安全审计“统一电子政务平台”系统应具备日志审计功能。能够将系统所有操作过程详细记录，并由日志审计员方可进行查看。审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等，并能够进行统计、查询和生成相应报表。相关技术措施：结合“强制访问控制”模型，在应用系统开发时一并实现。1.9.4 剩余信息保护应用系统剩余信息保护主要是指“统一电子政务平台”系统必须保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。相关技术措施：在应用系统开发时实现。1.9.5 通信完整性统一电子政务平台系统应采用加密方式进行访问，不得以明文在互联网上传输数据，以防数据在网络传输过程当中被非法篡改。相关技术措施：采用B/S架构的应用系统，使用SSL加密和HTTPS方式进行浏览访问；采用C/S架构的应用系统推荐使用国标加密标准进行数据加密传输。1.9.6 通信保密性“统一电子政务平台”系统应采用加密方式进行访问，不得以明文方式在互联网上传输数据，以防数据在网络传输过程当中被非法窃听。数据加密要在用户身份鉴别阶段完成，包括在网上传输的用户身份认证信息均需以密文方式在网络传输。相关技术措施：采用B/S架构的应用系统，使用SSL加密和HTTPS方式进行浏览访问；采用C/S架构的应用系统推荐使用国标加密标准进行数据加密传输。1.9.7 抗抵赖“统一电子政务平台”系统应具备操作抗抵赖机制，在用户发送或上传数据过程中，系统应有详细的记录，如：发送人、发送时间、发送数据文件名称、接收数据人等信息；当用户接收数据或文件时，应有详细的数据读取记录，如：接收人、接收时间、首次读取时间、发送人等信息，以备日志审计员审查。相关技术措施：在应用系统开发时实现。1.9.8 软件容错“统一电子政务平台”系统应具备用户输入数据长度、字符的合规性验证功能，例如：用户登陆框，应限定用户登陆名长度不超过16个字符，密码输入框字符长度不应超过32个字符，并且要对特殊字符（如：英文状态下的单引号、双引号）和数据库关键字进行过滤；系统应该能够对当前的工作状态进行记录，确保系统异常崩溃后能够及时恢复到当关状态。相关技术措施：在应用系统开发时实现。1.9.9 资源控制 “统一电子政务平台”系统应具备会话超时自动退出机制，能够对整个系统所承受的最大并发连接数分时段进行限制，同时可以对来访用户最大发起并发连接数进行管理。当系统资源接近临界值（如：达到临界值的80-90%）时，系统应能够产生报警以提醒系统管理员，并进行日志记录。同时，当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；应能够对单个帐户的多重并发会话进行限制；应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。相关技术措施：在应用系统开发时实现。1.10 数据安全及备份恢复1.10.1 数据完整性数据完整性是数据安全的基本要点之一，指在传输、存储信息或数据的过程中，确保信息或数据不被未授权者篡改或在篡改后能够迅速被发现。要求数据在传输或存储过程中使用数字签名或散列函数对密文进行保护。数字签名保护数据传输过程完整性的实现方法为：数据的发送方在发送数据的同时利用单向的不可逆加密算法Hash函数或者其它信息文摘算法计算出所传输数据的消息文摘，并把该消息文摘作为数字签名随数据一同发送。接收方在收到数据的同时也收到该数据的数字签名，接收方使用相同的算法计算出接收到的数据的数字签名，并把该数字签名和接收到的数字签名进行比较，若二者相同，则说明数据在传输过程中未被修改，数据完整性得到了保证。相关技术措施：该项技术的实现难度较为复杂，一般采用加密与数字签名的技术来实现，但对于系统资源的占用程度较高，暂时不宜采用，拟使用安全审计、入侵检测等其他安全防御手段进行弥补。1.10.2 数据保密性数据保密性是指数据在存储或传输过程中不应被非授权者获得，是数据安全的基本要点之一。要求数据在存储或传输过程中采用高强度加密算法（3DES,AES等）对数据进行加密，结合数据系统的身份鉴别机制，综合防范数据失窃。相关技术措施：使用SSL VPN的方式，用户数据的远程传输加密；进行文件自身的加密，提升整个系统的数据保密性。1.10.3 备份和恢复数据备份是数据在受损后恢复最快的数据安全措施，要求将系统重要数据利用光盘库、磁带机、磁带库或其它存储设备，复制数据的副本，并且将备份介质异地存放；数据备份方式可以选择海量备份、增量备份或差分备份，在首次对系统数据进行备份时，必须选择海量备份方式，要求每天对数据进行一次增量备份，每周对数据进行一次差分备份。重要数据传输网络和数据系统包括硬件部分，要采用冗余结构，确保数据的高可用性。相关技术措施：使用存储区域网（SAN）模式进行存储备份。基于成本考虑，暂时不考虑采用异地数据备份方式。1.11 管理安全1.11.1 安全管理组织建设实施安全建设应管理先行。应在市政府内部建立网络安全建设领导委员会，该委员会应由一个主管领导，网络管理员，安全操作员等人员组成。主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合。领导整个部门不断提高系统的安全等级。网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术实施策略。安全操作员负责安全系统的具体实施。1.11.2 安全管理规范以下为管理措施和规章制度的建议，在应用系统的安全建设中，应实行较为严格的安全管理规范： 总则l 安全保密管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。l 安全保密管理将不同层次（网络、操作系统、数据库管理系统、应用系统）上进行。l 安全保密管理由专门的信息安全管理部门来负责。安全保密管理规范包括：(1) 机房出入管理(2) 人员管理(3) 涉密资产管理(4) 系统维护管理(5) 数据备份管理(6) 数据恢复管理(7) 安全审计管理(8) 用户模型管理以下将进行详细描述。 机房出入管理1) 必须对出入机房的人员进行身份鉴别（如佩带机房出入证或安装自动识别系统 ）。2) 必须登记出入机房的情况，机房出入记录包括：身份标识（如名称或卡号）