《国家电子政务外网网络与信息安全管理暂行办法》第九条、第十条，明确了国家政务外网与互联网实行逻辑隔离。按照业务安全需求，中央政务外网划分为互联网接入区、公用网络区和专用网络区等功能区域。地方政务外网均应按照业务应用需求，规划不同的功能区域，在各区域之间实现逻辑隔离和安全有效控制。

现状分析

就当前现状分析，电子政务外网存在公用网络区与互联网接入区交叉互联产生的双网互联违规外联问题，由此可能导致恶意软件、网络钓鱼、拒绝服务攻击等方式反向入侵系统，使得敏感信息被窃取或网络安全被破坏。缺乏对违规外联事件有效的监督和管理手段。

解决方案

1.方案思路

根据上述政策要求、安全现状分析，推荐采用画方违规外联监测系统，非客户端、网络层解决政务外网公用网络区对于互联网区和互联网的违规外联行为，基于监测、告警、处置及审计管理流程，如下图所示。

2.功能设计

01.违规外联监测

基于主动探测、被动网络流量及协议的深度解析，无需部署客户端，即可完成违规外联行为监控，包括一机两网、双网互联、代理外联、私拉互联网出口等违规外联行为。可根据网络流量中分析并学习到的域名信息，选择违规外联监测点，可自主进行监测点控制，提升监测范围或可控度。

02.违规外联告警

如发现网络边界完整性遭到破坏，会第一时间通过邮件方式通知用户安全管理人员，防止造成重大安全事件。

03.违规外联处置
       当发现违规外联行为时，提供IP级阻断、端口级阻断、链路层阻断多级阻断手段，针对违规外联终端进行有效处置。

04.外联取证审计
       对于违规外联终端，提供资产画像取证能力，将违规外联终端的资产属性信息进行深度画像，多维度刻画隐藏属性，锁定终端用户的重要信息，如手机号、账号、邮箱等信息，协助安全人员进行溯源取证。

3.部署介绍

如图所示，在内部被监测网络中，基于最优探测效果考虑，推荐在每个节点分别部署一套违规外联监测系统。支持单套部署跨三层扫描、支持1+N的硬探针二层扫描、支持1+N的软探针二层扫描等部署模式，可根据用户环境灵活选用最优部署模式。在探测对端（公网或另外一张局域网）部署违规外联取证平台，用于违规外联日志记录及抗抵赖。

4.应用效果

方案优势

通过非客户端模式下的违规外联监测，可以为各大数据局政务外网加强网络边界的完整性，并提供更全面的网络边界外联监测手段。此类非客户端模式的外联监测技术手段创新性增强了对违规外联行为的广泛监测和检测能力，扩大安全监测范围。以无侵入式的方式运行，不需要在终端设备上安装额外的客户端软件，更强的环境适应能力。从而有助于提高网络的整体安全水平，并保护敏感信息和系统免受违规外联的威胁。