安全支撐平臺的系統配置
        1、核心交換機雙歸屬：兩臺核心交換機通過VRRP協議連接，互為冗余，保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要。

        2、認證及地址管理系統－DCBI：DCBI可以完成基于主機的統一身份認證和全局地址管理功能。
        1）基于主機的統一身份認證。終端系統通過安裝802.1X認證客戶端，在連接到內網之前，首先需要通過DCBI的身份認證，方能打開交換機端口，使用網絡資源。
        2）全局地址管理。
        ·根據政務網地址規模靈活劃分地址
        ·固定用戶地址下發與永久綁定
        ·漫游用戶地址下發與臨時綁定、自動回收
        ·接入交換機端口安全策略自動綁定。
        ·客戶端地址獲取方式無關性

        3、全局安全管理系統－DCSM。DCSM是政務內網所有端系統的管理與控制中心，兼具用戶管理、安全認證、安全狀態評估、安全聯動控制以及安全事件審計等功能。
　　1)安全認證。安全認證系統定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態認證、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。
　　2)用戶管理。不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略。
　　3) 安全聯動控制。安全策略服務器負責評估安全客戶端上報的安全狀態，控制安全聯動設備對用戶的隔離與開放，下發用戶終端的修復方式與安全策略。通過安全策略服務器的控制，安全客戶端、安全聯動設備與防病毒服務器才可以協同工作，配合完成端到端的安全準入控制。
　　4)日志審計。安全策略服務器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監控網絡的整個網絡的安全狀態 提供依據。

        其中：安全管理系統代理，可以對用戶終端進行身份認證、安全狀態評估以及安全策略實施的主體，其主要功能包括：

　　1）提供802.1x、portal等多種認證方式，可以與交換機、路由器配合實現接入層、匯聚層以及VPN的端點準入控制。
　　2）主機桌面安全防護，檢查用戶終端的安全狀態，包括操作系統版本、系統補丁等信息；同時提供與防病毒客戶端聯動的接口，實現與第三方防病毒客戶端的聯動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到認證服務器，執行端點準入的判斷與控制。
        3）安全策略實施，接收認證服務器下發的安全策略并強制用戶終端執行，包括設置安全策略（是否監控郵件、注冊表）、系統修復通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區。
　　4）實時監控系統安全狀態，包括是否更改安全設置、是否發現新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。
　　5）實時監控終端用戶的行為，實現用戶上網行為可審計。

        4、邊界防火墻－DCFW
　　能夠對網絡區域進行分割，對不同區域之間的流量進行控制，通過對數據包的源地址、目的地址、源端口、目的端口、網絡協議等參數進行檢查，把可能的安全風險控制在相對獨立的區域內，避免安全風險的大規模擴散。
　　對于廣域網接入用戶，能夠對他們的網絡應用行為進行管理，包括進行身份認證、對訪問資源的限制、對網絡訪問行為進行控制等。

        5、 統一威脅管理－UTM
　　UTM集合了防火墻、防病毒網關、IPS/IDS入侵防御、防垃圾郵件網關、VPN（IPSEC、PPTP、L2TP）網關、流量整形網關、Anti-Dos網關、用戶身份認證網關、審計網關、BT控制網關+IM控制網關+應用提升網關(網游 VOIP 流媒體支持) ，十二大功能為一體。采用專門設計的硬件平臺和專用的安全操作系統，采用硬件獨立總線架構并采用病毒檢測專用模塊，在提升產品功能的同時保證了產品在各種環境下的高性能。完成等保標準中要求的防病毒、惡意代碼過濾等邊界防護功能。

        6、 入侵檢測系統－DCNIDS
　　入侵檢測系統能夠及時識別并阻止外部入侵者或內部用戶對網絡系統的非授權使用、誤用和亂用，對網絡入侵事件實施主動防御。
　　通過在電子政務網絡平臺上部署入侵檢測系統，可提供對常見入侵事件、黑客程序、網絡病毒的在線實時檢測和告警功能，能夠防止惡意入侵事件的發生。

        7、 漏洞掃描系統
　　漏洞掃描系統提供網絡系統進行風險預測、風險量化、風險趨勢分析等風險管理的有效工具，使用戶了解網絡的安全配置和運行的應用服務，及時發現安全漏洞，并客觀評估網絡風險等級。
　　漏洞掃描系統能夠發現所維護的服務器的各個端口的分配、提供的服務、服務軟件版本和系統存在的安全漏洞，并為用戶提供網絡系統弱點/漏洞/隱患情況報告和解決方案，幫助用戶實現網絡系統統一的安全策略，確保網絡系統安全有效地運行。

        8、 流量整形設備－DCFS
　　1)控制各種應用的帶寬，保證關鍵應用，抑制不希望有的應用：可針不同的源IP（組）和時間段，在所分配的帶寬管道內，對其應用實現不同的流量帶寬限制、或者是禁止使用。
　　2)統計、監控和分析，了解網絡上各種應用所占的帶寬比例，為網絡的用途和計劃提供科學依據：可通過設備對網絡上的流量數據進行監控和分析，量化地了解當前網絡中各種應用流量所占的比例、以及各應用的流量各是多少，從而得知用戶的網絡最主要的用途是什么，等。