多网隔离安全接入技术白皮书.pdfVIP

1.项目概述

2015年6月11日至12日,国家电子政务在福州市组织召开了

2015年度政务工作会议,共同商议如何有效《关于促

进电子政务协调发展的指导意见》（国办发［2014］66号）文件，会议提到“积

极推动各地区业务专网应用迁移和网络对接。各地区对现有业务专

网应用进行合理分类，分别向国家电子政务内网或迁移；同步

整合业务专网和向下延伸的业务应用；各地区现有业务专网要理清边

界，逐步实现与统一国家电子政务网络的网络对接和业务融合，推动数据交换和

共享安全。”

2015年，福建、福建省先后了《福建省电子政务建

设和应用》、《关于整合省直部门数据及的实施方案》的通

知、《福建省关于2015年数字福建工作要点》等文件，

积极推动各地区业务专网应用迁移和网络对接，要求设区市、县（市、区）

电子政务管理部门负责本行政区域网络接入工程,县（市、区）应用单

位统一接入使用市级数据和物联网政务应用平台,应用单位现有专网应当整

合到全省电子政务网络体系。伴随“两整合”工作的开展、XX市云计算平台的

建成，越来越多的市直单位业务系统并入XX市政务云计算平台，在业务系统迁

移到福州市政务云计算，各委办局机关单位局域网也需要接入政务，

才能保障各个委办局机关业务的正常和业务的协同处理。

为了防范业务终端接入3个不同安全区域网络时，所可能带来的网络串联隐患

和安全问题，依据《福建省电子政务接入安全技术规范》制订本方案，规范

和统一XX单位及其下属各区县单位的接入安全防护措施。

备注：本文以XX单位接入为例，各个市直及区县级接入单位可以参考下文

进行方案设计和产品选型。

2.现状问题和需求分析

2.1.现状问题

XX单位的弱电线路，部署到桌面时多为“一口双线”（即一个口，两条

网线），一条网线用于政务内网业务终端接入政务内网，一条网线用于业务终端

接入网络区、公用网络区和互联网区。

而根据前文所述，XX的业务终端（本方案不涉及接入政务内网的业务终端），

需要网络区、公用网络区和互联网区三个不同安全级别的网络。要实现

这个目标，以下几大问题：

“三机三网，改造不易”：虽然可以针对接入不同业务区域各建立一套网络，

但是改造和重新部署多套网络线路和主机，需要改造现有弱电线路，安装多套终

端主机，不仅难度高，投入大，而且带来管理和工作量剧增，为正常办公带

来不利影响。

图2-1“三机三网”示意图

“一机多网，边界失控”：综上所述，实际的办公环境中，业务终端只能

使用一条网线接入到政务的不同区域。然而，在三个区域网络之间切换

时，没有有效的安全措施，存在网络边界失控问题，导致三个区域网络串联，带来

安全隐患。

图2-2“一机多网”示意图

2.2.需求分析

根据“2.1现状分析”和《福建省电子政务接入安全技术规范》的内容，需

要在不增加桌面业务终端、网络线路的情况下，使用1套业务终端和1条

网络线路，政务的不同业务区域网络时，不会出现“三网串联”情况，三个

区域网络之间保持安全。

具体要求如下：

1)应采用控制设备实现和各个网络边界的安全，采用数据加

密技术保障接入网络时通信安全；

2)节省建设和人力成本、降低实施部署复杂度，在不加装还原卡、