冗余  划分 VLAN ，业务系统网段合理划分、根据安全级别划分区域及配置策略 主要网络设备、安全设 备冗余设计 通信传输  客户端到服务器、服务器到服务器之间要使用 SSL 等通信 下一代防火墙 可信验证  网络设备具有可信模块，对启动的引导程序、系统程序进行完整性等检测  基础设施层的通信网络包括网络架构设计、通信传输、网络设备的可信验证等； 基础设施层 - 通信网络 基本要求 边界防护  边界处部署受控安全设备实现防护；  控制非法联入内网；  控制非法联入外网； 网闸、下一代防火墙 访问控制  边界访问控制策略（网闸、防火墙、路由器和交换机等提供访问控制 功能的设备）；  对应用识别，并对应用的内容进行过滤 网闸、下一代防火墙 入侵防范  检测内外部网络入侵行为、防止或限制；  新型网络攻击的检测和分析 IPS/IDS 、 静电消除器、防静电手环 NA √ √ √ 机房空调 / 精密空调 NA √ √ √ 稳压器 +UPS NA √ √ √ 屏蔽柜、屏蔽机房 NA √ √ √ 网闸 NA √ √ √ 下一代防火墙 NA √ √ √ IPS/IDS 2 √ √ √ APT 防御 1 √ √ 日志审计系统 1 √ √ √ 数据库审计 1 √ √ √ 堡垒机 1 √ √ √ 集中身份管理 1

冗余  划分 VLAN ，业务系统网段合理划分、根据安全级别划分区域及配置策略 主要网络设备、安全设 备冗余设计 通信传输  客户端到服务器、服务器到服务器之间要使用 SSL 等通信 下一代防火墙 可信验证  网络设备具有可信模块，对启动的引导程序、系统程序进行完整性等检测  基础设施层的通信网络包括网络架构设计、通信传输、网络设备的可信验证等； 基础设施层 - 通信网络 基本要求 边界防护  边界处部署受控安全设备实现防护；  控制非法联入内网；  控制非法联入外网； 网闸、下一代防火墙 访问控制  边界访问控制策略（网闸、防火墙、路由器和交换机等提供访问控制 功能的设备）；  对应用识别，并对应用的内容进行过滤 网闸、下一代防火墙 入侵防范  检测内外部网络入侵行为、防止或限制；  新型网络攻击的检测和分析 IPS/IDS 、 静电消除器、防静电手环 NA √ √ √ 机房空调 / 精密空调 NA √ √ √ 稳压器 +UPS NA √ √ √ 屏蔽柜、屏蔽机房 NA √ √ √ 网闸 NA √ √ √ 下一代防火墙 NA √ √ √ IPS/IDS 2 √ √ √ APT 防御 1 √ √ 日志审计系统 1 √ √ √ 数据库审计 1 √ √ √ 堡垒机 1 √ √ √ 集中身份管理 1

简政放权，加强事中事后监管，为云计算创造更大市场空间，带动云计算产业 快速发展。 《中华人民共和国国民经济和社会发展第十二个五年规划纲要》中明确指 出，大力推进国家电子政务建设，加强云计算服务平台建设，构建下一代信息 基础设施。《国务院关于大力推进信息化发展和切实保障信息安全的若干意 见》明确要求“电子政务快速发展，到‘十二五’末，国家电子政务网络基本建成 信息共享和业务协同框架基本建立”，提出“提升电子政务服务能力。围绕提升 会转型的核心力量之一。 国家发改委发布的《关于加强和完善国家电子政务工程建设管理的意见》 中特别指出要"推进新技术在电子政务项目中的应用。 鼓励在电子政务项目中采用物联网、云计算、大数据、下一代互联网、绿 色节能、模拟仿真等新技术，推动新技术在电子政务项目建设中的广泛应用"， “发挥国家电子政务网络支撑作用。项目建设部门必须充分利用国家电子政务网 络开展电子政务项目建设。项目建设部门应根据业务需求，将涉及国家秘密的 级用户、 各委办局基础设施的应用需求，为全县政务信息化发展提供有力的信息化支撑 保障。  基础架构平台化 在整合政府部门现有软硬件资源基础上建设电子政务标准公共机房基础服 务平台。采用下一代先进的云计算关键技术与解决方案，强化公共服务。实现 电子政务系统的物理集中与应用管理的分散。实现应用系统按照需求，向“电子 政务云平台”动态申请计算与存储能力。充分发挥平台集群计算、集群存储、按

租户网络安全主要是指平台内各租户之间的安全隔离，租户虚拟私有网络 与平台网络边界处的访问控制、流量监测与防御、恶意代码防护。通过防护措 施保障平台上租户虚拟私有网络安全。 边界安全防护通过在云平台出口处部署下一代防火墙、IPS、AV、防 DDos 等实现。对于云平台内部不同安全子区和云用户之间的边界防护，采取物理及 虚拟防火墙实现。 第 659 页 9.4.4.2 边界入侵防御 1、安全风险 随 清除，并维护恶 意代码防护机制的升级和更新”。 （8.1.3.4 a） 3、控制措施 下一代防火墙一般均具有专业的 AV 模块，能在网络重要节点处（如互联网入 口）进行病毒的检测和清除，但考虑到部分单位已有的防火墙性能不高，也可 以采用专业的防病毒网关，在网络边界处进行病毒的检测和阻断。 下一代防火墙通过启用一体化安全防护策略，将反病毒、漏洞防护、防间谍软 第 662 页 件、恶意 件、恶意 URL 防护等功能集成到一条策略，并基于优越的架构设计保障高性能 的安全能力。 通过在互联网边界启用下一代防火墙的漏洞防护、防间谍软件、反病毒、URL 过滤等功能，基于本地安全引擎，能高效拦截常见漏洞入侵、间谍软件、病毒、 木马、钓鱼网站、恶意 URL 访问等网络威胁。 同时，防火墙通过云端协同可以极大提升特征库数量级，补充本地识别库，并 提升防火墙对高级威胁的识别能力，提高防火墙拦截的精确度和高效性。

租户网络安全主要是指平台内各租户之间的安全隔离，租户虚拟私有网络 与平台网络边界处的访问控制、流量监测与防御、恶意代码防护。通过防护措 施保障平台上租户虚拟私有网络安全。 边界安全防护通过在云平台出口处部署下一代防火墙、IPS、AV、防 DDos 等实现。对于云平台内部不同安全子区和云用户之间的边界防护，采取物理及 虚拟防火墙实现。 第 659 页 9.4.4.2 边界入侵防御 1、安全风险 随 清除，并维护恶 意代码防护机制的升级和更新”。 （8.1.3.4 a） 3、控制措施 下一代防火墙一般均具有专业的 AV 模块，能在网络重要节点处（如互联网入 口）进行病毒的检测和清除，但考虑到部分单位已有的防火墙性能不高，也可 以采用专业的防病毒网关，在网络边界处进行病毒的检测和阻断。 下一代防火墙通过启用一体化安全防护策略，将反病毒、漏洞防护、防间谍软 第 662 页 件、恶意 件、恶意 URL 防护等功能集成到一条策略，并基于优越的架构设计保障高性能 的安全能力。 通过在互联网边界启用下一代防火墙的漏洞防护、防间谍软件、反病毒、URL 过滤等功能，基于本地安全引擎，能高效拦截常见漏洞入侵、间谍软件、病毒、 木马、钓鱼网站、恶意 URL 访问等网络威胁。 同时，防火墙通过云端协同可以极大提升特征库数量级，补充本地识别库，并 提升防火墙对高级威胁的识别能力，提高防火墙拦截的精确度和高效性。

网络设备的部署需遵循分层架构设计，核心层采用高性能设 备，汇聚层和接入层根据实际需求选择适当设备。同时，需部署先 进的网络监控和管理工具，实时监控网络状态，及时发现并解决潜 在问题。为确保数据安全性，建议在网络边界部署下一代防火墙 （NGFW）和入侵检测系统（IDS），并结合零信任安全架构，对 网络流量进行细粒度控制。 以下为网络设备与带宽规划的具体配置建议： | 设备类型 | 配置参数 | 数量 万兆交换机，支持冗余电源 | 2 | 互为备份，确保 高可用性 | | 汇聚交换机 | 千兆/万兆交换机，支持 VLAN | 10 | 根据用户分 组需求配置 | | 防火墙 | 下一代防火墙（NGFW ） | 2 | 部署于网络边界，支持 深度检测 | | 负载均衡设备 | 支持会话保持和健康检查 | 2 | 用于流量分发和 资源优化 | |