不少政府部门存在互联网接入口数量多、管理制度不健全、防护措施不到位和涉密信息违规处理等问题，网络安全隐患十分突出。应积极推进互联网安全接入工作，缩减互联网接入口，加强互联网安全接入技术防护，强化互联网安全接入口管理，提高政府部门网络安全保障能力和水平。

根据互联网安全接入防护特点，按照国家信息安全相关标准规范，对整合归并后的互联网安全接入口防护措施进行完善优化。实施统一安全防护策略，强化身份认证、访问控制、入侵防范、安全审计、流量监测、恶意代码防护等技术手段，采取链路冗余、路由备份、负载均衡等方式完善灾难备份与恢复措施，提高防病毒、防攻击、防篡改、防瘫痪和防窃密能力，确保网络与信息系统安全可靠运行。

1、提供身份认证

构建支持多种认证模式、可扩展的统一认证平台，提供动态令牌、短信口令等高强度身份鉴别功能，并且具备进一步拓展能力。统一认证平台能够提供统一用户管理能力，可为多个信息系统提供统一身份认证服务。

2、建立访问控制

部署访问控制系统，通过授权管理，实现对网络与信息资源使用者权限的控制，达到对资源安全、合法访问的目的。对网络设备（包括路由器、交换机、防火墙等）进行访问控制加固，实现互联网和部门外网之间的访问控制，能在会话非活跃时间或会话结束后终止网络连接，能根据用户名为数据流提供明确的允许/拒绝访问，能实时查看用户的详细信息，限制互联网各类应用最大流量数及网络连接数，能对主流应用协议进行识别，并可根据应用类型、应用内容进行细粒度控制，按最小安全访问原则设置网络设备的访问制度权限。

3、加强安全接入口流量监测

部署流量监测系统，监控部门网络总流量、子网流量、每个IP流量，能够通过IP地址、网络服务、应用类型、时间和协议类型等单个或多个参数，实时监测和分析政府部门网络流量，发现流量异常事件，如：流量激增、聚降、波动、拒绝服务攻击，以及被与恶意服务器有可疑连接等。 部署互联网控制网关，通过对互联网访问数据的识别、管理和分析，提供网关级的数据过滤和检查，保证网络访问的合理分配，降低泄密风险，解决互联网访问缺乏合规准入、网页过滤、应用控制、信息保密检查与留存审计等安全控制问题。

4、部署入侵防范设备

部署入侵防御系统，提供扫描攻击检测、缓冲区逸出攻击检测、后门木马攻击检测、拒绝服务攻击检测、针对IDS躲避攻击事件检测等功能，实现对互联网攻击行为的检测和阻断。部署入侵检测系统，对门户网站、邮件系统等核心应用系统提供入侵防范能力。

5、恶意代码防护

通过建设防病毒网关、终端防病毒系统、服务器防病毒系统，搭建统一的防病毒策略管理系统，从而建立全面恶意代码防护体系。其中：部署防病毒策略管理系统，从而为全网恶意代码防护设备提供统一的策略管理和病毒包升级服务；在互联网边界部署防病毒网关，对进出局域网的主要网络协议数据进行病毒扫描，把病毒拦截在局域网外部；在用户终端部署终端防病毒系统，对终端面临的木马、病毒、蠕虫等恶意代码进行查杀；部署服务器防病毒系统，对服务器端面临的木马、病毒、蠕虫等恶意代码进行查杀。

6、定期进行漏洞扫描

部署漏洞扫描系统，定期对政府部门网络内部的上网终端、信息系统等进行扫描，及时发现安全漏洞并通知修复。

7、开展安全审计

部署安全审计系统，对网络连接、系统日志、系统流量、资源访问等进行记录和监控，建立有效的信息安全事件实时追踪机制。