【正文】 （3）縣級(jí)網(wǎng)絡(luò)局域網(wǎng)域縣級(jí)網(wǎng)絡(luò)局域網(wǎng)域指大化瑤族自治縣政務(wù)外網(wǎng)網(wǎng)絡(luò)管理中心區(qū)域，可以進(jìn)一。（1）網(wǎng)絡(luò)骨干域網(wǎng)絡(luò)骨干域指大化縣城域網(wǎng)核心層。（8）與系統(tǒng)發(fā)展相適應(yīng)的原則：安全域的劃分應(yīng)考慮到業(yè)務(wù)未來(lái)發(fā)展需要，在保持系統(tǒng)安全域模型相對(duì)穩(wěn)定的前提下，能夠順利地進(jìn)行調(diào)整、擴(kuò)展和提升。（6）立體協(xié)防原則：安全域的主要對(duì)象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別、訪問(wèn)控制、檢測(cè)審計(jì)、鏈路冗余、內(nèi)容檢測(cè)等各種安全功能實(shí)現(xiàn)協(xié)防。（5）最小授權(quán)原則：安全子域間的防護(hù)需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制定防護(hù)策略。（4）等級(jí)保護(hù)原則：安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。（3）簡(jiǎn)潔規(guī)范原則：安全域劃分的簡(jiǎn)潔把握三個(gè)方面：一個(gè)安全域功能和邊界通信的簡(jiǎn)潔，二是安全域之間關(guān)系（相連互通或隔離）的簡(jiǎn)潔，三是系統(tǒng)安全域整體結(jié)構(gòu)的簡(jiǎn)潔。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。促進(jìn)大化縣電子政務(wù)外網(wǎng)建設(shè)工作，滿足全區(qū)關(guān)于加強(qiáng)廣西電子政務(wù)外網(wǎng)管理推進(jìn)政務(wù)服務(wù)政務(wù)公開政府信息公開向基層延伸工作的要求。 建立健全信息化管理體制建立分工明確、責(zé)任清晰、內(nèi)容完善的信息化管理體制，強(qiáng)化信息化建設(shè)工作的統(tǒng)一管理和宏觀把控，進(jìn)行大化縣電子政務(wù)信息化頂層設(shè)計(jì)。隨著系統(tǒng)運(yùn)行，業(yè)務(wù)系統(tǒng)業(yè)務(wù)數(shù)據(jù)逐步增加，為保障系統(tǒng)數(shù)據(jù)的安全，構(gòu)建統(tǒng)一的用戶CA認(rèn)證體系，并給系統(tǒng)用戶發(fā)統(tǒng)一的數(shù)字認(rèn)證證書，用戶需使用數(shù)字證書的方式實(shí)現(xiàn)高強(qiáng)度的身份鑒別，且利用key存儲(chǔ)用戶的私鑰以及數(shù)字證書，保證用戶認(rèn)證的安全性。在利用互聯(lián)網(wǎng)、政務(wù)外網(wǎng)或局域網(wǎng)時(shí)，使用數(shù)字證書實(shí)現(xiàn)身份識(shí)別和電子信息加密。大化縣政務(wù)外網(wǎng)覆蓋范圍為縣、鄉(xiāng)鎮(zhèn)一級(jí)，證書發(fā)放量較大，實(shí)行由區(qū)級(jí)統(tǒng)一簽發(fā)證書，在河池市LRA進(jìn)行證書申請(qǐng)與注冊(cè)。由外網(wǎng)信任源點(diǎn)作為根結(jié)點(diǎn)向廣西RA注冊(cè)中心統(tǒng)一簽發(fā)數(shù)字證書，廣西RA注冊(cè)中心作為本地的根結(jié)點(diǎn)向本區(qū)域內(nèi)分中心統(tǒng)一簽發(fā)證書。證書服務(wù)采用集中受理、屬地服務(wù)的模式，迅速、經(jīng)濟(jì)的為政務(wù)部門提供證書服務(wù)。 信任體系建設(shè)本項(xiàng)目利用已建成的國(guó)家政務(wù)外網(wǎng)CA——廣西RA中心（下文簡(jiǎn)稱為廣西電子政務(wù)外網(wǎng)RA）的數(shù)字證書建設(shè)信任體系。大化瑤族自治縣電子政務(wù)外網(wǎng)的建設(shè)，外網(wǎng)線路傳輸達(dá)到國(guó)家建設(shè)安全標(biāo)準(zhǔn)。特定的數(shù)據(jù)（例如經(jīng)費(fèi)批準(zhǔn)計(jì)劃，經(jīng)費(fèi)使用記錄等）只允許經(jīng)過(guò)特別授權(quán)的用戶進(jìn)行訪問(wèn)，其他系統(tǒng)的數(shù)據(jù)根據(jù)角色不同設(shè)置授權(quán)。程序安全建設(shè)在應(yīng)用軟件開發(fā)的各個(gè)階段,包括需求分析、設(shè)計(jì)、開發(fā)、維護(hù)及最后的文檔編寫等應(yīng)遵循國(guó)標(biāo)《信息技術(shù) 軟件安全保障規(guī)范》（GB/T 309982014）的要求。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的建設(shè)能滿足大化縣電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)二級(jí)要求。 網(wǎng)絡(luò)安全防護(hù)建設(shè)本期項(xiàng)目建設(shè)大化瑤族自治縣電子政務(wù)外網(wǎng)，為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性，在公用網(wǎng)絡(luò)區(qū)及互聯(lián)網(wǎng)接入?yún)^(qū)均部署防火墻、入侵防御、入侵檢測(cè)等安全設(shè)備。物理安全主要涉及環(huán)境安全（防火、防水、防雷擊等）、設(shè)備和介質(zhì)的防盜防破壞等方面。 設(shè)計(jì)依據(jù)本方案在設(shè)計(jì)時(shí)遵循了以下國(guó)家有關(guān)安全法規(guī)和文件的要求：1.《關(guān)于印發(fā)信息安全等級(jí)保護(hù)管理辦法的通知》（公通字[2007]43號(hào)）；（GB17859）；（20070620 報(bào)批稿）；（ISO15408/GB18336）；、國(guó)家保密局、密碼管理局和國(guó)信辦聯(lián)合發(fā)布《信息安全等級(jí)保護(hù)辦法》（公通字[2006]第7號(hào)）；6.《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南》；7.《GA/T 390 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》；8.《GB/T 18336 信息技術(shù)安全性評(píng)估準(zhǔn)則》； （GB/T 250582010） （基礎(chǔ)類標(biāo)準(zhǔn)） ； （GB/T 222402008） （應(yīng)用類定級(jí)標(biāo)準(zhǔn)） ； （GB/T 222392008） （應(yīng)用類建設(shè)標(biāo)準(zhǔn)） ；；；；。技術(shù)與產(chǎn)品選型時(shí)以技術(shù)成熟為優(yōu)先考慮的原則。3. 靈活方便，技術(shù)成熟信息安全系統(tǒng)必須好用，并易于操作。信息安全系統(tǒng)在基本不影響系統(tǒng)功能和效率的前提下，須做到穩(wěn)定、可靠地不間斷運(yùn)行。新建、改建、擴(kuò)建網(wǎng)絡(luò)平臺(tái)及相應(yīng)的業(yè)務(wù)系統(tǒng)，應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施，保證信息安全與信息化建設(shè)相適應(yīng)。 設(shè)計(jì)原則和依據(jù) 設(shè)計(jì)原則信息安全系統(tǒng)建設(shè)應(yīng)遵循統(tǒng)籌規(guī)劃，同步建設(shè)，安全可靠，經(jīng)濟(jì)實(shí)用，靈活方便，技術(shù)成熟，統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一規(guī)范的原則進(jìn)行。（5）管理層脆弱性安全的本質(zhì)是管理，七分管理三分技術(shù)。（4）應(yīng)用層脆弱性網(wǎng)站是對(duì)外宣傳、開展業(yè)務(wù)的重要基地。4）網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)設(shè)備,其自身安全性也會(huì)直接關(guān)系到信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。存儲(chǔ)數(shù)據(jù)對(duì)于該應(yīng)急系統(tǒng)來(lái)說(shuō)極為重要，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果。（2）網(wǎng)絡(luò)層脆弱性1）數(shù)據(jù)傳輸由于現(xiàn)在很多網(wǎng)絡(luò)協(xié)議基于明文傳輸，客觀上存在被竊聽和篡改的可能，任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。從系統(tǒng)和應(yīng)用出發(fā)，網(wǎng)絡(luò)的自身脆弱性可以劃分如下幾個(gè)方面。2）網(wǎng)絡(luò)資源濫用導(dǎo)致新風(fēng)險(xiǎn)因?yàn)楦鞣NIM即時(shí)通訊軟件、網(wǎng)絡(luò)在線游戲、P2P下載軟件、在線視頻導(dǎo)致網(wǎng)絡(luò)資源濫用，網(wǎng)絡(luò)性能下降，數(shù)據(jù)傳輸擁塞，嚴(yán)重影響正常工作，形成新的威脅。一旦遭受了病毒和蠕蟲的侵襲，不僅會(huì)造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，同時(shí)也會(huì)對(duì)核心數(shù)據(jù)造成嚴(yán)重威脅，導(dǎo)致業(yè)務(wù)應(yīng)用中斷。2）拒絕服務(wù)攻擊網(wǎng)站作為一個(gè)重要的信息發(fā)布、查詢及對(duì)社會(huì)工作服務(wù)載體，很容易受到惡意的大流量拒絕服務(wù)攻擊，造成網(wǎng)站癱瘓，無(wú)法提供服務(wù)。政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。 風(fēng)險(xiǎn)分析信息系統(tǒng)的安全是圍繞信息系統(tǒng)的組成及其所實(shí)現(xiàn)的功能，對(duì)信息系統(tǒng)的運(yùn)行及其所存儲(chǔ)、傳輸和處理的信息進(jìn)行安全保護(hù)所采取的措施。本期綜合布線系統(tǒng)信息點(diǎn)配置如下表所示：匯集地點(diǎn)單位名稱信息點(diǎn)總數(shù)三位地插座兩位地插座黨政辦公大樓（共十六層）商務(wù)局10　10農(nóng)機(jī)局15114人大辦15114政協(xié)辦18117統(tǒng)計(jì)局25223林業(yè)局50545機(jī)要局4　4工信局27225發(fā)改局23221法制局10　10編委辦12　12執(zhí)法局10　10安監(jiān)局19118殘聯(lián)10　10政府辦20119水產(chǎn)畜牧局27225農(nóng)業(yè)局50545糧食局12　12紀(jì)委20119保密局4　4科技局16115宣傳部（含文聯(lián)、社科聯(lián)、文明辦）45441政法委10　10科協(xié)6　6統(tǒng)戰(zhàn)部(含僑務(wù)辦、臺(tái)辦)9　9組織部15114民宗局5　5工業(yè)集中區(qū)10　10水果局7　7團(tuán)縣委8　8外事辦5　5民語(yǔ)局4　4縣志辦4　4糖業(yè)局5　5黨史辦4　4供銷社10　10審計(jì)局18117農(nóng)經(jīng)局14　14移民局32329縣委辦25223合計(jì)633　　 安全系統(tǒng)設(shè)計(jì)信息安全是政務(wù)信息化建設(shè)不可缺的支撐平臺(tái)，沒(méi)有信息安全的堅(jiān)實(shí)保障，電子政務(wù)就無(wú)法推進(jìn)與前行。其中36個(gè)三位地插式插座，全銅制材質(zhì)，防水，內(nèi)置3個(gè)RJ45模塊。機(jī)房建設(shè)：本次工程利用大化縣黨政辦公大樓電子政務(wù)外網(wǎng)管理中心機(jī)房作為核心機(jī)房，主機(jī)房用于部署城域網(wǎng)核心設(shè)備，公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)的安全設(shè)備，以及部分大樓綜合布線系統(tǒng)的網(wǎng)絡(luò)設(shè)備。它由主機(jī)房?jī)?nèi)的主配線架至各配線間內(nèi)配線架之間的樓內(nèi)光纜組成。配線間建設(shè)：本次工程根據(jù)大樓實(shí)際使用情況，在各樓層設(shè)置1個(gè)配線間，每個(gè)配線間設(shè)置1架綜合柜架，根據(jù)信息點(diǎn)需求及實(shí)際使用情況配置樓層交換機(jī)、24口配線架和光纖配線模塊。水平布線子系統(tǒng)建設(shè)：水平布線子系統(tǒng)由從各配線間到對(duì)應(yīng)的用戶工作區(qū)的線纜組成。用戶工作區(qū)建設(shè)：主要指信息點(diǎn)及其他接入點(diǎn)的建設(shè)。根據(jù)各個(gè)樓層對(duì)不同信號(hào)的接入需求，本次工程大樓綜合布線系統(tǒng)采用超五類非屏蔽布線產(chǎn)品，綜合布線系統(tǒng)設(shè)置信息點(diǎn)633個(gè)，新增政府辦公大樓匯聚交換機(jī)1臺(tái)，48電口樓層接入交換機(jī)17臺(tái)。電子政務(wù)外網(wǎng)中，僅允許提供域名區(qū)域“.”解析的服務(wù)器接受其他下級(jí)服務(wù)器的查詢遞歸請(qǐng)求，例如，管理“.”區(qū)域的服務(wù)器，可以將自己不知道的域名解析請(qǐng)求直接交付“.”服務(wù)器進(jìn)行解析，而不需要執(zhí)行“輪詢”過(guò)程。域名服務(wù)器的正向解析工作方式主要分為“輪詢方式”和“遞歸方式”。對(duì)于私有地址，不設(shè)置逆向域名解析。這些服務(wù)器在進(jìn)行規(guī)劃和提供服務(wù)時(shí)，必須遵循以下規(guī)范。（二）命名原則：〔主機(jī)頭/應(yīng)用〕.〔縣區(qū)簡(jiǎn)稱+單位簡(jiǎn)稱〕.其中，〔主機(jī)頭/應(yīng)用〕指、ftp、vod等；〔縣區(qū)名簡(jiǎn)稱〕大化縣簡(jiǎn)稱dhx；單位簡(jiǎn)稱規(guī)則，單位中文簡(jiǎn)稱首字母，或單位中文簡(jiǎn)稱首字全拼+后面字首字母，或單位中文簡(jiǎn)稱全拼,也可采用英文簡(jiǎn)稱。其中方式1和方式3需要在自治區(qū)外網(wǎng)管理中心備案之后再向國(guó)家外網(wǎng)管理中心注冊(cè)。如農(nóng)業(yè)局。如農(nóng)業(yè)局。具體到某個(gè)單位，共有3種域名注冊(cè)方式。DHCP是便于統(tǒng)一規(guī)劃和管理網(wǎng)絡(luò)中的IP地址，有利于大化縣電子政務(wù)外網(wǎng)中的客戶機(jī)IP地址進(jìn)行有效管理，不需一個(gè)個(gè)手動(dòng)指定IP地址。所有的IP網(wǎng)絡(luò)設(shè)定參數(shù)都由DHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求；而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的IP配置參數(shù)。DHCP是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要的用途是自動(dòng)將IP地址傳到請(qǐng)求地址的客戶計(jì)算機(jī)，從而減少人工分配和跟蹤分配客戶機(jī)的IP地址所需的工作量。負(fù)責(zé)部門各類業(yè)務(wù)在對(duì)應(yīng)VPN的接入和本地業(yè)務(wù)和廣域骨干網(wǎng)絡(luò)的對(duì)接。在電子政務(wù)二三四級(jí)網(wǎng)絡(luò)中，為了實(shí)現(xiàn)業(yè)務(wù)的隔離和安全，采用BGP/MPLS IP VPN進(jìn)行安全隔離，根據(jù)業(yè)務(wù)類型和范圍將VPN分為兩類：縱向隔離VPN、橫向互通VPN。由于整網(wǎng)都劃分為一個(gè)AS，跨域的EBGP由自治區(qū)統(tǒng)一承擔(dān)，因此，縣級(jí)節(jié)點(diǎn)不作EBGP路由策略設(shè)計(jì)。對(duì)于用戶路由，將連接用戶業(yè)務(wù)網(wǎng)段的直連路由或靜態(tài)全部引入到IBGP中；來(lái)自不同VPN的用戶私有IPv4地址，通過(guò)單位接入網(wǎng)關(guān)啟用NAT多實(shí)例功能，轉(zhuǎn)換為公有IPv4地址后，由IBGP發(fā)布到全網(wǎng)。電子政務(wù)外網(wǎng)的IGP協(xié)議采用OSPF，其核心層、接入層節(jié)點(diǎn)劃分在非0區(qū)域內(nèi)。 用戶路由設(shè)計(jì)電子政務(wù)外網(wǎng)用戶路由分成兩部分：一部分是全局路由，另一部分是VPNIPv4路由。，避免非法路由器或偽造的路由信息加入到網(wǎng)絡(luò)中，使全網(wǎng)路由出錯(cuò)，導(dǎo)致網(wǎng)絡(luò)癱瘓，采用OSPF路由認(rèn)證，認(rèn)證方式可以是明文或者M(jìn)D5。OSPF不引入直連和靜態(tài)路由，避免存在OSPF type5的外部LSA出現(xiàn)，管理接口地址采用network發(fā)布。為避免路由環(huán)路，不通過(guò)OSPF 發(fā)布缺省路由。OSPF可以在同一路由自治域中，將網(wǎng)絡(luò)分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器共享區(qū)域內(nèi)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息，區(qū)域間的路由信息通過(guò)區(qū)域邊緣路由器進(jìn)行傳遞。由于承載網(wǎng)設(shè)計(jì)在一個(gè)自治域系統(tǒng)AS內(nèi)，所以承載網(wǎng)路由設(shè)計(jì)演變?yōu)樽灾斡蛳到y(tǒng)內(nèi)部網(wǎng)關(guān)協(xié)議的設(shè)計(jì)。，依據(jù)訪問(wèn)區(qū)域的不同，將來(lái)自不同業(yè)務(wù)的私有IPv4地址，轉(zhuǎn)換為公用網(wǎng)絡(luò)區(qū)的國(guó)家公有59段IPv4地址，或者部門VPN自行規(guī)劃的私有IPv4地址。，利用自治區(qū)政務(wù)外網(wǎng)的RR和BRR，交換AS內(nèi)部的BGP全局路由，簡(jiǎn)化BGP peer連接數(shù)量，提高網(wǎng)絡(luò)路由的穩(wěn)定性。，包括互聯(lián)地址路由、Loopback地址路由、網(wǎng)管中心地址路由等；用戶路由由BGP或MPBGP承載，包括用戶業(yè)務(wù)地址路由、服務(wù)器地址路由等，以避免用戶網(wǎng)絡(luò)的業(yè)務(wù)路由震蕩影響影響承載網(wǎng)路由。IGP在城域網(wǎng)中主要承載網(wǎng)絡(luò)設(shè)備間的互聯(lián)路由，本項(xiàng)目IGP協(xié)議采用OSPF協(xié)議。IGP 即內(nèi)部網(wǎng)關(guān)協(xié)議，在同一個(gè)自治系統(tǒng)內(nèi)交換路由信息，其主要目的是發(fā)現(xiàn)和計(jì)算自治域內(nèi)的路由信息。大化縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)平臺(tái)需要選擇的路由協(xié)議包括域間路由協(xié)議（EGP）和域內(nèi)路由協(xié)議(IGP)。、靈活，以提高路由器的處理效率。根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)，綜合考慮管理和技術(shù)兩個(gè)方面的因素，選擇適合的路由協(xié)議。政務(wù)外網(wǎng)數(shù)據(jù)流在經(jīng)過(guò)互聯(lián)網(wǎng)出口時(shí)，在互聯(lián)網(wǎng)出口的防火墻進(jìn)行NAT轉(zhuǎn)換，將自治區(qū)外管中心分配的私有地址轉(zhuǎn)換為當(dāng)?shù)剡\(yùn)營(yíng)商分配的公網(wǎng)地址。本單位如果需要向其他單位提供服務(wù)，則在單位接入設(shè)備上配置靜態(tài)NAT映射，實(shí)現(xiàn)共享服務(wù)器地址對(duì)外映射?？h、鄉(xiāng)單位局域網(wǎng)地址由自治區(qū)統(tǒng)一規(guī)劃，避免沖突；如果單位內(nèi)部局域網(wǎng)地址與自治區(qū)規(guī)劃不一致，甚至沖突時(shí)，需要在PE上發(fā)布服務(wù)器明細(xì)路由，同時(shí)在局域網(wǎng)中避開上級(jí)服務(wù)器的IP地址。 IP地址轉(zhuǎn)換在互聯(lián)網(wǎng)公網(wǎng)IP、國(guó)家公共IP、用戶局域網(wǎng)地址共存的情況下，應(yīng)分別按照要求進(jìn)行IP地址轉(zhuǎn)換，確保網(wǎng)絡(luò)互聯(lián)互通。序號(hào)委辦單位名稱內(nèi)網(wǎng)IP接入接口接入路由器IP對(duì)端接口IP1商務(wù)局Ge 0/02農(nóng)機(jī)局Ge 0/03人大辦Ge 0/04政協(xié)辦Ge 0/05統(tǒng)計(jì)局Ge 0/06林業(yè)局Ge 0/07機(jī)要局Ge 0/08工信局Ge 0/09發(fā)改局Ge 0/010法制局Ge 0/011編委辦Ge 0/012執(zhí)法局Ge 0/013安監(jiān)局Ge 0/014殘聯(lián)Ge 0/015政府辦Ge 0/016水產(chǎn)畜牧局