《國家電子政務外網網絡與信息安全管理暫行辦法》第九條、第十條，明確了國家政務外網與互聯網實行邏輯隔離。按照業務安全需求，中央政務外網劃分為互聯網接入區、公用網絡區和專用網絡區等功能區域。地方政務外網均應按照業務應用需求，規劃不同的功能區域，在各區域之間實現邏輯隔離和安全有效控制。

現狀分析

就當前現狀分析，電子政務外網存在公用網絡區與互聯網接入區交叉互聯產生的雙網互聯違規外聯問題，由此可能導致惡意軟件、網絡釣魚、拒絕服務攻擊等方式反向入侵系統，使得敏感信息被竊取或網絡安全被破壞。缺乏對違規外聯事件有效的監督和管理手段。

解決方案

1.方案思路

根據上述政策要求、安全現狀分析，推薦采用畫方違規外聯監測系統，非客戶端、網絡層解決政務外網公用網絡區對于互聯網區和互聯網的違規外聯行為，基于監測、告警、處置及審計管理流程，如下圖所示。

2.功能設計

01.違規外聯監測

基于主動探測、被動網絡流量及協議的深度解析，無需部署客戶端，即可完成違規外聯行為監控，包括一機兩網、雙網互聯、代理外聯、私拉互聯網出口等違規外聯行為。可根據網絡流量中分析并學習到的域名信息，選擇違規外聯監測點，可自主進行監測點控制，提升監測范圍或可控度。

02.違規外聯告警

如發現網絡邊界完整性遭到破壞，會第一時間通過郵件方式通知用戶安全管理人員，防止造成重大安全事件。

03.違規外聯處置
       當發現違規外聯行為時，提供IP級阻斷、端口級阻斷、鏈路層阻斷多級阻斷手段，針對違規外聯終端進行有效處置。

04.外聯取證審計
       對于違規外聯終端，提供資產畫像取證能力，將違規外聯終端的資產屬性信息進行深度畫像，多維度刻畫隱藏屬性，鎖定終端用戶的重要信息，如手機號、賬號、郵箱等信息，協助安全人員進行溯源取證。

3.部署介紹

如圖所示，在內部被監測網絡中，基于最優探測效果考慮，推薦在每個節點分別部署一套違規外聯監測系統。支持單套部署跨三層掃描、支持1+N的硬探針二層掃描、支持1+N的軟探針二層掃描等部署模式，可根據用戶環境靈活選用最優部署模式。在探測對端（公網或另外一張局域網）部署違規外聯取證平臺，用于違規外聯日志記錄及抗抵賴。

4.應用效果

方案優勢

通過非客戶端模式下的違規外聯監測，可以為各大數據局政務外網加強網絡邊界的完整性，并提供更全面的網絡邊界外聯監測手段。此類非客戶端模式的外聯監測技術手段創新性增強了對違規外聯行為的廣泛監測和檢測能力，擴大安全監測范圍。以無侵入式的方式運行，不需要在終端設備上安裝額外的客戶端軟件，更強的環境適應能力。從而有助于提高網絡的整體安全水平，并保護敏感信息和系統免受違規外聯的威脅。