建设政务内网工作汇报（共6篇）

政务内网升级改造情况

汇 报

电子政务内网是全区党政机关的业务办公网络，上接市政府，下联各镇、街道，横连区直党政机关、区直各部门单位，主要承担着公文传输和协同办公任务。区委、区政府高度政务内网建设工作，按照市政府办公室《关于实施电子政务内网升级改造的通知》（东政办发明电〔2012〕13号）要求，结合我区实际，制定了我区政务内网升级改造方案，实施了升级改造工程。

一、基本情况

一是对网络机房进行升级改造。本着实用、美观和节约的原则，主要从环境建设、监控系统、制冷系统、强电防雷系统、综合布线、设备更新六大方面着手进行。更换了精密空调、风机、机房环境监控系统和灭火系统，新增了虚拟服务器、虚拟化软件、内网核心交换机和存储设备，安装了全钢防静电地板，添置了14套服务器机柜，将原来零散的各类设备统一集中到标准机柜中。经过改造，整个机房十分整洁美观。升级后的机房消除了安全隐患，各项性能指标实现了实事监控，出现问题即可采用声光及短信进行报警，能够及时保障机房安全。机房环境达到了恒温、低灰尘和实时监控，为服务器、网络设备的正常稳定运行提供了有力保障。二是建立了区级政务内网核心。通过实施政务内网升级改造工程，利用先进的网络技术，在确保安全稳定的前提下，整合利用我区现有网络资源，通过购置必要的网络、存储及安全设备，扩充网络带宽，形成以电子政务中心机房为核心，纵向通过1000M光纤上连市政府，横向通过100M光纤接镇、街道和区直各部门单位的网络体系，做到全网可控可管，政务内网与政务外网、互联网完全物理隔离，确保数据安全。实现了市、区、乡三级高速互联，打造顺畅、稳定、安全、高效的电子政务专用网络平台。目前整个组网工作已经完成，接入内网单位104个，政务内网已与6月3日正式启用。

三是加强网络安全体系建设。将网络划分不同的网段，制定相应的安全控制措施。在内网出口部署了防火墙，对区政务内网与市政务内网之间链路进行物理防护。在区内网数据中心与核心交换机之间部署防火墙，确保内网数据安全。通过统一的网络管理系统对全区政务内网交换机进行全面管理和行为监控，当出现故障时能够及时准确定位到具体设备。目前该项工作已经完成。

二、存在问题及下一步打算

一是基础薄弱，一次性投入高。因前期政务内网设备落后，不能在新的政务内网中使用，建设期需区财政投入较多资金购置服务器、交换机、防火墙等硬件设施，各单位也要购买电脑终端、打印机等设备，还要每年租赁通信公司线路，需要投入较多的资金。二是点多面广，组网工作难度大。我区各单位相对不集中，有70多个单位分散在全区不同的位置，需要沟通通讯公司、各个单位落实好网络设备、线路安置位置、资金等各类问题，需要协调沟通问题较多，电子政务中心人员较少，工作量大。三是各单位对内网建设认识不够，建设过程中推进困难较多。由于内网建设需要各单位投入一定资金，同时使用起来没有城域网中运行方便，存在部分单位不愿意接入的问题。四是后期维护工作量大。区电子政务中心人员较少，既要维护城域网又要维护政务内网，工作上有些力不从心。

下一步我们将针对内网运行中存在各类问题抓紧整改，不断提高内网运行的稳定性。

第2篇：电子政务内网建设解决方案

电子政务内网建设解决方案

对于电子政务内网，政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网；安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑；电子政务专网应用既是安全保障平台的保护对象，又是电子政务内网实施电子政务的主体，它主要内部共享信息、内部受控信息等，这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上；电子政务管理制度体系是电子政务长期有效运行的保证。

电子政务内网系统构成1）政务内网网络平台:电子政务内网建设，是依托电子政务专网、专线、VPN构造的电子政务内网网络。

2）电子政务内网应用:在安全支撑平台的作用下，基于安全电子政务内网网络平台，可以打造安全电子政务办公平台、安全政务信息共享平台。

3）安全支撑平台:安全支撑平台由安全系统组成，是电子政务内网信息系统运行的安全保障。

电子政务内网系统拓扑图

三级政务内网建议拓扑图

电子政务内网按照等保标准要求，进行安全域的划分。根据不同的划分原则，大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域，在实际的网络设计中，可以根据相关标准，按照实际需要进一步细分，如上图所示。

划分安全域的目标是针对不同的安全域采用不同的安全防护策略，既保证信息的安全访问，又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度，并且从方便实施的角度，将整个电子政务业务系统分为不同的安全子域区，便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护，即分域防控。安全支撑平台的系统结构

电子政务安全支撑平台是电子政务系统运行的安全保障，由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备，通过分级安全服务和分域安全管理，实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复，从而保证整个电子政务信息系统安全，最终形成安全开放统

一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图：

电子政务安全支撑平台系统结构

安全支撑平台的系统配置

1、核心交换机双归属：两台核心交换机通过VRRP协议连接，互为冗余，保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

2、认证及地址管理系统－DCBI：DCBI可以完成基于主机的统一身份认证和全局地址管理功能。

1）基于主机的统一身份认证。终端系统通过安装802.1X认证客户端，在连接到内网之前，首先需要通过DCBI的身份认证，方能打开交换机端口，使用网络资源。

2）全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性

3、全局安全管理系统－DCSM。DCSM是政务内网所有端系统的管理与控制中心，兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。

1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。

2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。

3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。

4)日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。

其中：安全管理系统代理，可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：

1）提供802.1x、portal等多种认证方式，可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。

2）主机桌面安全防护，检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器，执行端点准入的判断与控制。

3）安全策略实施，接收认证服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。

4）实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。

5）实时监控终端用户的行为，实现用户上网行为可审计。

4、边界防火墙－DCFW

能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

对于广域网接入用户，能够对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。

5、统一威胁管理－UTM

UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN（IPSEC、PPTP、L2TP）网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持)，十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统，采用硬件独立总线架构并采用病毒检测专用模块，在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。

6、入侵检测系统－DCNIDS

入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用，对网络入侵事件实施主动防御。

通过在电子政务网络平台上部署入侵检测系统，可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能，能够防止恶意入侵事件的发生。

7、漏洞扫描系统

漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具，使用户了解网络的安全配置和运行的应用服务，及时发现安全漏洞，并客观评估网络风险等级。

漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞，并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案，帮助用户实现网络系统统一的安全策略，确保网络系统安全有效地运行。

8、流量整形设备－DCFS

1)控制各种应用的带宽，保证关键应用，抑制不希望有的应用：可针不同的源IP（组）和时间段，在所分配的带宽管道内，对其应用实现不同的流量带宽限制、或者是禁止使用。

2)统计、监控和分析，了解网络上各种应用所占的带宽比例，为网络的用途和规划提供科学依据：可通过设备对网络上的流量数据进行监控和分析，量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少，从而得知用户的网络最主要的用途是什么，等等。

9、其它网络设备

其它网络设备，可以参照国标对应的《设备安全技术要求》进行选型。

第3篇：电子政务内网安全

电子政务内网网络安全设计方案

方案部署说明：

一、在网络出口处部署1台路由器，通过专线与国办网络连接。

二、在路由器的后端，部署1台密码机，对出入政务内网的所有数据进行加解密处理。