电子政府外网的顶层设计及实施建议课件.pptx

1、电子政务外网的顶层设计及实施建议目录目录 国家相关文件的要求 国家电子政务外网的顶层设计 相关建议国家相关文件要求 统筹发展电子政务。建立国家电子政务统筹协调机制，完善电子政务顶层设计和整体规划。统筹共建电子政务公共基础设施，加快推进国家电子政务内网建设和应用，支持党的执政能力现代化工程实施，推进国家电子政务内网综合支撑能力提升工程。完善政务外网，支撑社会管理和公共服务应用。-“”国发201673号）国务院关于印发 十三五 国家信息化规划的通知（推进整合，加快部门内部信息系统整合共享。推动分散隔离的政务信息系统加快进行整合。整合后按要求分别接入国家电子政务内网或国家电子政务外网的数据共享交换平

2、台。-国办发201739号）国务院办公厅关于印发政务信息系统整合共享实施方案的通知（国家政务服务平台依托国家电子政务外网建设，主要实现各地区各部门政务服务汇聚、跨地区跨部门数据交换、跨地区统一认证、共性基础服务支撑。-国办函2016108号）“+”国务院办公厅关于印发 互联网 政务服务 技术体系建设指南的通知（电子政务的顶层设计 顶层设计 Top-level design 自顶向下规划Top-down planning 自顶向下设计 Top down design 自底向上设计Bottom-up design 顶层-自上而下的战略目标的制定（510年）设计-自下而上的计划预算、方案的落实（每年

3、预算）所谓战略：就是从全局考虑谋划实现整体目标的规划。电子政务外网顶层设计 定位：各级政务部门的非涉密业务专网，与互联网逻辑隔离 战略目标：专线连接国家、省、地、县的各级政务部门及相关事业单位 国家电子政务的关键基础设施 承载社会管理、公共服务、业务协同、应急处置等政务业务 实现数字政府的各项业务目标和政务目标 引领国家信息化的深度发展，实现数字经济发展、振兴中华民族的伟大复兴彼得德鲁克(Peter F.Drucker，1909.11.192005.11.11)现代管理学之父，其著作影响了数代追求创新以及最佳管理实践的学者和企业家们，各类商业管理课程也都深受彼得德鲁克思想的影响。问 题 关口的

4、定位是什么？内容包含哪些？网络安全的关口前移，移到哪？我们应该怎么做？从哪里做起？全方位的网络安全保护要求 边界安全 与互联网的连接（ISP)、与移动运营商的VPDN连接、各局域网出口与政务外网的连接及其他专线的边界 基于行为、攻击攻击、特征匹配、DNS监控、NAT及域名监控 安全防护 各类安全防护设备的日志、安全策略及基于行为实时监测、网络流量的监测、网络行为审计 终端安全 对各类PC终端的管理：操作系统、各类物联网前端、病毒补丁管理、DNS管理及访问控制 应用安全 应用系统原代码管理、网络信任体系（身份认证、授权管理和责任认定）及系统补丁管理 数据安全 数据从产生、传输、使用、共享、存储、

5、销毁，数据加密、数据库审计，作为资产进行管理 网络内容及舆情的安全国家电子政务外网政务部门非专线接入移动办公 上报数据Internet统一互联网出入口3GPSTNVPDN互 数联 据网 中心心 数 护 安出口安全防护政务外网中央骨干网.据中全防WAF防篡改IDS/IPS.对.公众开放的互联网业务纵向VPN业务防火墙 IDS/IPS 抗DDOS安政务外网接入路由器VPN网关集群等设备门户网站群互联网应区用系统后台管理互联网接入业务托管中心全接入平台跨网安全接入业务数据安全.3G消息推送业务认证 授权 网关管理服务器 系统 系统交换系统省骨干路由器城域核心环网公用网络区数据中心共享VPN业务城域网

6、.DNS等公共网络 门户网站群服务设施 应用数据中心数据交换共享平台汇聚交换机地市政务外网接入路由器.城域接入 专线接入区管理中心.路由器地（市）政务外网网管中心安管中心RA系统委办厅局局域网部分企事业单位广域网骨干网公用网络区内部业务区终端接入区网管与安管区核心交换机本地ISP互联网出入口安全防护OA/业务应用等系统和服务器VLAN1VLAN2VLAN3互联网DMZ区DMZ区跨部门业务协同等应用服务器DMZ区专用业务服务器互联网应用服务器，如门户网站等互联网接入VPN公用业务VPN专用业务VPN局域网典型拓扑图接入路由器中央城域网省级城域网地市级城域网县级城域网统一互联网出口中央政务部门安全

7、防护统一互联网出口安全防护统一互联网出口安全防护广域骨干政务外政务部门政务部门政务部门统一互联网出口安全防护网 网政务外网与业务专网的关系终端接入区网管与安管区AP接入区OA/业务应用等系统和服务器内部业务区核心交换机本地 ISP 互联网出入口安全防护单位局域网VLAN1互联网DMZ区VLAN2跨部门业务协同等应用服务器信息化建设2018年第11期，P20:“协同发展国家政务外网和业务专网”互联网应用服务器，如门户网站等互联网接入VPN公用业务VPN接入路由器互联网出入口安全防护公务员门户共享交换平台政务云平台本地ISP门户网站群互联网+政务服务政务数据开放广 政域 务网 外网城域网及数据中心

8、政务云与政务外网、互联网的关系及要求相关电子政务业务的分解 电子政务可分解为政务内部业务和开放业务 内部业务可分为部门内部自身业务和跨部门共享与交换业务，如公务员门户或政务信息共享网站（）开放业务部署在互联网上，又可分为信息公开类，如网站()、政务数据开放网站（）及政务服务类（如网上预约、业务办理、项目申报等）定义和概念 信息公开 通过新闻、媒体、广播、电视、电台、互联网等各种能够获取的各类信息，属于政府主动发布的信息 政务数据开放 经过数据加工、整合，能够被机器识别的可机读的数据，如CSV、XMIL格式 企业或用户申请才能得到 部署在政府专门的网站，如 数据共享与交换 在网络可达的前提下实现

9、，政务内部使用、跨部门、跨省使用，满足各部门的数据共享与交换、业务协同、应急处置等需求。“互联网+政务服务”本质 通过互联网为企事业单位、公民提供更好、更方便的服务，以人为本，通过信息化手段，建立和谐社会和服务型政府 政务数据共享与交换，实现跨部门、跨地方的业务协同、社会管理和公众服务 开放政务数据，释放企业活力、提高企业创新能力，引领社会和国民经济的发展 充分利用现有资源，实现资源整合、业务融合、开放共享、提高服务水平和用户体验国务院关于加快推进全国一体化在线政务服务平台建设的指导意见（国发201827号）加快建设全国一体化在线政务服务平台，推进各地区各部门政务服务平台规范化、标准化、集约化

10、建设和互联互通，形成全国政务服务“一张网”。政务服务流程不断优化，全过程留痕、全流程监管，政务服务数据资源有效汇聚、充分共享，大数据服务能力显著增强。政务服务线上线下融合互通，跨地区、跨部门、跨层级协同办理，全城通办、就近能办、异地可办，服务效能大幅提升，全面实现全国“一网通办”，为持续推进“放管服”改革、推动政府治理现代化提供强有力支撑。全国一体化在线政务服务平台由国家政务服务平台、国务院有关部门政务服务平台（业务办理系统）和各地区政务服务平台组成。国家政务服务平台总体技术架构自 然 人/法 人自 然 人/法 人政 务 人 员政 务 外 网专线 专线互 联 网互 联 网电信联通移动100M教

11、育联通 电信1.5G500M1G网 络 接 入 域网 络 接 入 域核 心 交 换 域网 络 接 入 域核 心 交 换 域MS P100M核 心 交 换 域安全交换域应 用 系 数 据 存 安 全 管 运 维 管统 域 储 域 理 域 理 域应 用 系 数 据 存 安 全 管 运 维 管统 域 储 域 理 域 理 域应 用 系 数 据 存 安 全 管 运 维 管统 域储 域理 域理 域容 灾 区公 有 云互 联 网 区公 共 区私 有 云国家政务服务平台总体框架自 然 人/法 人/其 他社 会 组 织政 务 服作 务人 平员 台 工用 户管 理 人 员国 家 网 上 政 务 服 务 界 面中

12、国 政 府 网、国 务 院 客国 家 网 上 政 务 服 务 工 作 门 户户 端 衔 接 与 改 造服务政 务服 务大 厅服 务导 航智 能问 答办 事查 询智 能搜 索服 务评 价用 户运 维监 控数 据公 示便 民查 询服 务应 用接 入与 上下 架子 系数 据中 心便 民通 知公 告工 作材 料下 载互 动交 流知 识分 享用 户中 心用 户意 见处 理和 留言 办理 子系 统便 民查 询服 务数 据分 析子 系可 视查 询动 态门化服 务管 理与 统计 分析 子系 统国 家 网 上 政 务 服 务 界 面 移 动 应 用安全和运维保障体系户服 务 界 面 A PP工 作 门 户 A

13、PP制度和标准体系服 务 界 面移 动 版微 信 公众 号统运 维 监 控 数服 务导 航智 能搜 索位 置服 务用 户中 心A PP中 心数 据 可 视 化用 户 中 心消 息 中 心统据 公 示政 务 服 务 事 项 管 理 系 统电 子 监 督 管 理 系 统服 务 评 估 系 统用 户 体 验 监 测 系 统业 务应 用 层全 国 目 国 务 院 部 地 方 目 录 办 件录 清 单 门 实 施 清 清 单 及 实 信 息单 动 态 管 施 清 单 汇 汇 聚聚 管 理 管 理数 据推 送管 理个 性数 据统 计监 督规 则业 务监 控预 警纠 错督 查督 办数 据统 计数 据采 集指

14、 标管 理数 据管 理数 据分 析发 布管 理用 户访 问用 户画 像服 务使 用优 化支 撑化 推动 态 管理送理公 共支 撑 层统 一 身 份 认 证统 一 电 子 印 章电 子 证 照 共 享数据资源数 据 共 享 服 务应 用 支 撑 服 务数 据 支 撑 服 务数 据 交 换 服 务数 据 交 换 对 接决 策 分 析 服 务可 视 化 服 务业 务 分 析 服 务公 众 服 务 分 析大数共资据享服大 数 据 分 析 支专 题 构 建 支 撑分析撑 服 务服 务源层信务息系中心投 资 项目 信 息库用 户 身份 信 息库用 户 体验 监 测库资事 项 信息 库办 件 信息 库证 照

15、 目录 库监 督 信息 库服 务 评估 库咨 询 投诉 库法 律 法规 库统扩 展 库大 数 据 分 析 引源数 据 资 源 整 合擎库基 础设 施 层国 家 电 子 政 务 外 网国 家 统 一 数 据 共 享 交 换 平 台互 联 网国 家 政 务 信 息资 源 目 录数 据 交 换 传 输网 络C A互 联 网 出 口公 有 云系 统源空 间 地公 共 资 源 交 易平 台事 项 信息办 件 信息证 照 信息 库信 用 信息 库投 资 项 目 在 线审 批国 家 企 业 信 用信 息 公 示 系 统单 点 登 录信 息 共 享资 源 汇 聚人 口 库法 人 库理 信 息库各 地 区/各

16、部 门 政 务 服 务 平 台试 点 部 门 信 息 系 统 对 接 改 造国 家 基 础 信 息 库国 家 重 点 信 息 系 统相 关 外 部 信 息 系 统国家政务服务平台功能模型设计安 全 保 障系 统国 家 网 上 政 务 服 务 界 面国 家 网 上 政 务 服 务 界 面国 家 网 上 政 务 服 务 工 作 门 户国 家 网 上 政 务 服 务 工 作 门 户国 家 网 上 政 务 服 务 移 动 端国 家 网 上 政 务 服 务 移 动 端政 务 服 务中 国 政 府 网 查 询 服 务 接 入 与 管 理 系 统中 国 政 府 网 查 询 服 务 接 入 与 管 理 系 统

17、统 一门 户部 门大 厅地 方大 厅通 知公 告服 务注 册个 人 工作 台一 体 化 移便 民 服 务 应 用 便 民 服 务 管 理安 全 防服务APP动 应 用 支撑 平 台接 入 与 上 下 架子 系 统与 统 计 分 析 子系 统护 补 充权 责清 单办 事指 南公 共服 务工 作动 态互 动交 流数 据 可视 化门工 作 门 户APP增 强户网 上 政 务服 务 界 面移 动 版用 户 意 见 处 理和 留 言 办 理便 民 服 务 数 据分 析 子 系 统问 办查 评智 能检 索用 户中 心材 料下 载知 识分 享用 户 行 为数 据 展 示微 信 公 众 号关 键 业务 防 护

18、加 固政 务 服 务 事 项 管 理 系 统国 务 院 部 门 实施 清 单 管 理电 子 监 督 管 理 系 统用 户 行 为 分 析 系 统个地 方 实 施信 息 汇服 务 过用 户用 户清 单数 据接 口服 务监动 态 安性清 单 管 理目 录 清聚 监 控程 监 控访 问画 像督业务应全 持 续化日志国 家 目录 清 单全 国 实施 清 单电 子 监督 管 理运 行 考核 评 估服 务使 用优 化支 撑监 测推单 管 理送用层运 维 保 障系 统网 上 服 务 能 力 评 估 系 统数 据 管 理 指 标 管 理 数 据 分 析运 维 监 控数 据 采 集发 布 管 理运 维 监 控业

19、 务 应用 监 控资 源 管电 子 证 照 共 享电 子 证 照 共 享统 一 电 子 印 章统 一 电 子 印 章理查 询验 证服 务文 件服 务证 照 信息 服 务共 享 服务 管 理印 章发 布印 章印 模管 理印 章印 章查 询信 任支 撑印 章服 务监 控中 心制 作印 章审 计签 章性 能 管应用理调 度中 心节 点管 理印 章备 案签 章管 理签 章日 志发 放测 试测 试支集 中 告警 管 理撑层统 一 身 份 认 证统 一 身 份 认 证信 任 传 递国 家 认 证 服 务认 证 服 务 监 管实 名 验 证 服 务智 能 化运 维 管理资 源 共 享 服 务 中 心资 源

20、共 享 服 务 中 心政 务 服 务 大 数 据 分 析 系 统政 务 服 务 大 数 据 分 析 系 统报 表 分数据数 据 支数 据 交换 服 务信 息 资源 规 划数 据 标决 策 支可 视 化专 题构 建运 行统 计分 析数 据 挖资 源析 管 理数 据交 换支 撑持 服 务服 务掘管 理资撑 系 统源层系 统 管应 用 支撑 系 统数 据 共享 服 务业 务 分析 服 务应 用 支撑 服 务空 间分 析自 定 义建 模资 源整 合理准 管 理维 护一体化在线政务服务：一体化指国家、省、地、县各级政务部门的业务协同和联动。其关键技术是跨部门跨省的数据共享与交换 在线指法人和自然人在互联

21、网上可以24小时提交相关材料。其关键技术是互联网+可信身份认证信息共享基本原理部门共享国家政务共享平台信息共享平台信息交换平台基础信息主题信息政务信息申请提交信息前置系统业务系统前置系统业务系统前置系统业务系统前置系统业务系统公安提交人口信息工商提交法人信息水利共享法人信息水利申请环保信息环保受理申请信息环保提交申请信息水利获取申请信息前置数据前置数据前置数据前置数据业务数据业务数据业务数据业务数据工 工 商 商公 公 安 安水利水利环保环保网络安全事件报告的分级分类规范类别级分类级分类0授权的渗透测试、漏洞扫描、安全检查等授权训练、演习、调查成功入侵木马入侵、病毒入侵、后门入侵、漏洞入侵、猜

22、口令成功、网络攻击等12345SQL不成功的入侵行为企图拒绝服务攻击违规行为猜口令、注入尝试等放大攻击等短包、流量、DNS非法外联、安全策略不正确、误操作等人为事件非授权漏洞扫描、常用服务探测等嗅探踩点跨境数据传输、软件后门（尚未受控）、系统漏洞、不当使用、信息破坏、设备设施故障、灾害性事件等67可识别的异常其他未知异常0day、通过行为分析的各类异常情况网络安全事件的分类和分布统计来源：美国国会政府问责办公室（GAO），2015-8-20美国“爱因斯坦-3”（E3A）的应用定位络边界安全erimeter Security（P）或际安全E3A串联在专互联与公共互联之间与可信互联连接（TIC）融

23、为体网络边际及安全的定义 网络边际(Network Perimeter)，明确明确界定网络安全的概念和定义，形成一致的认知框架，是做好一切网络安全工作的基础。为局部或专用网络与公共网络之间的结合部。-美国网络深度防御(Defense in Depth)网际安全（Cybersecurity）：是网络空间的一种属性，是抵抗有意和无意威胁，并对这些威胁作出响应和进行恢复的一种能力。-ISO/IEC 27032:2012,“Information Technology Security Techniques Guidelines for Cybersecurity”规范规则：DNS应用及服务的基本流程

24、和过程所有访问互联网均需要通过DNS，而DNS由递归DNS和权威DNS组，成。而权威DNS由根、顶级及权威服务器组成。“20%”DNS根服务器（a.root）请求：响应：42.236.72.753“80%”迭代过程24根解析器DNS递归服务器DNS顶级服务器（cn）（终端缓存）（或本地缓存）面 向终端用 户对用户透明1被动响应DNS权威服务器（）浏览器5所以DNS元数据是互联网本源。“80/20规则”80%的DNS应用交互是在终端用户与DNS递归服务器之间；20%的DNS应用交互是在递归与迭代之间。IP网络（公共互联网）用户终端图例：（然后）网络接入请求/响应的流程顺序26终端用户设置DNS应

25、用的基本方式在所有的用户和主机终端都必须配置DNS服务器配置的方式包括：1.系统管理员配置；2.系统自动获取；3.用户随意设置；4.恶意软件劫持；5.流氓软件绑架；6.App软件篡改。l大多数终端用户默认（对用户透明）“系统自动获取”模式，这也给恶意、流氓、APP留下机会；设置应用谷歌的DNS递归服务器l“用户自行设置”模式造成滥用和误用，成为潜在的安全风险和隐患。十种已知主要的DNS入侵模式和攻击方式来源：网络世界（Network World）28具备主动免疫网络安全的主要特征 主动发现 动态防护 实时监控 问责1.部署或更新监控设备 跟踪溯源 反制2.动搜索安全缺陷6.通报进度威慑 防护所有系统在每72时内做次安全扫描弹性检测5.先解决严重问题3.收集问题业务连续 主动检测 动态可控 恢复4.分类分析问题 自动发现 预警对首席信息安全官（CISO）的建议 网络安全的形势越来越复杂，国家的要求也越来越高，各单位对信息化安全的重要性和紧迫性认识也在提高，对安全公司CISO的建议：网络安全更多的是一种责任，需要高度自觉的责任感和使命感 少跟风、少炒作，脚踏实地地研究产品和服务 从网络安全对抗的本质来考虑产品和服务，为用户创造安全价值 从全面的安全观来整体为用户制定网络安全战略 认真学习美国等先进国家在网络安全上的做法、服务和产品智慧源于对术语的定义-苏格拉底