黑龍江省電子政務網網絡安全解決方案

黑龍江省電子政務網絡是省政府實施的新一代政務通信平臺，高速、可靠、數字化和多業務共享是這個通信網的特點。該平臺的建成，大大加強省與各地市的信息溝通能力，能夠使省領導做到“信息全、情況明、指揮靈”。

隨著Internet及網絡技術在政務信息化應用中的日趨重要，計算機網絡的安全問題也日益突出。由于Internet/Intranet的自身運行機制是一種開放型的協議機制，網絡結點之間的通訊是按照固定的機制，通過交換協議數據單方完成的。以保證信息流按“包”或“幀”的形式無差錯的傳輸。只要所傳的信息格式符合協議所規定的協議數據單元格式，這些信息“包”或“幀”就可在網上自由通行。至于這些協議數據單元是否來自源發方，其內容是否真實顯然無法保障。這是在早期制定協議時，只考慮信息的無差錯傳輸所帶來的固有的安全漏洞。目前關于計算機網絡的安全問題解決不利造成企業巨大經濟損失的報道屢見不鮮，因此設計網絡時，要充分地考慮信息的安全性。

安全防御技術方法

目前通常采用的防火墻及安全偵防技術，一般可以分為三大類:

第一類:是安全性類，包括訪問控制、授權論證、加密、內容安全等;

第二類:是管理和記賬，包括安全策略管理、路由器安全管理、記賬、監控等;

第三類:是連接控制，主要為企業消息發布的服務器提供可靠的連接服務，包括負載均衡、高可靠性等。

訪問控制。這是限制未授權用戶訪問本網絡和信息資源的措施。評價訪問控制的一個重要因素是要看其能否適用于現行的所有服務和應用。第一代包過濾技術，無法實施對應用級協議處理，也無法處理UDP、RPC或動態的協議。第二代應用代理網關防火墻技術，為實現訪問控制需要占用大量的CPU資源，對Internet上不斷出現的新應用(如:多媒體應用)，無法快速支持。

授權認證。由于一般企業網絡資源不僅提供給本地用戶使用，同時更要面向各種遠程用戶、移動用戶、電信用戶的訪問，為了保護自身網絡和信息的安全，需要對訪問連接的用戶采取有效的權限控制和訪問者的身份識別。經過認證，能保證一個用戶發起的通信連接在允許之前，就其真實性進行確認。同時對在整個企業范圍內發生的認證過程進行全程的監控、跟蹤和記錄。

內容安全。內容安全是把數據監測功能擴展到高層服務協議，保護用戶的網絡、信息資源免遭宏病毒、惡意Java、ActiveX小應用程序及不需要內容的Web文件的入侵和騷擾，同時又能提供向Internet的較好訪問。

計算機病毒掃描。病毒檢查對網絡安全是至關重要的，同時對如何實施病毒檢查策略也不容忽視，要取得理想的效果，應在訪問網絡的每一個點上實施病毒檢查，而不應該交給每個用戶自己去實施。允許系統管理員采用集中方式管理整個企業的安全策略。

URL掃描。URL掃描允許網絡管理員設定對某些Web頁面的訪問權，從而有效的節省網絡帶寬，增加網絡層的另一級別的控制機制。該機制可以實現內部員工之間對不同信息的不同訪問權限的安全策略。URL掃描支持以下三種方式設定:統配符設定、按文件名設定、按第三方URL數據庫設定。

加密(VPN)技術。企業、合作伙伴、分公司、移動用戶之間的長距離通信已成為商業聯系的關鍵。傳統方法中的點對點的連接方式既缺乏靈活性，成本又高，無法大規模的使用。隨著公共網絡的發展，如Internet，作為一種靈活、價格低廉的網間互聯工具，已越來越成為企業采用的方法。但如何在公共網絡上實現企業信息的安全傳輸是一個關鍵問題。

我們通常把一個利用了部分公共網絡資源組成的私用網絡稱為虛擬專用網(VPN)。VPN技術在低費用、靈活性方面明顯要比傳統的定制專用網占優勢，VPN技術的引進，使全球范圍內的企業連接提供了高度靈活、安全、可靠、廉價的方法。采用VPN技術，每個專用網只要接入本地的Internet供應商即可。

網絡地址翻譯。IP翻譯可以滿足以下兩種需求:

——隱藏企業內部IP地址和網絡結構;

——把內部的非法IP地址翻譯成合法的IP地址。

Internet技術是基于IP協議的，為了通過IP協議進行通信，每個參與通信的設備必須具有一個唯一的IP地址。這在不與Internet相連的內部物理網絡上是較易做到的。但是，一旦企業要接入Internet，則IP地址必須是全球唯一的，同時由于IP地址空間有限，現在要申請整段的IP地址已很困難，為了有效地利用有限的IP地址空間，IANA為Internet預留了三段地址空間，允許企業內部使用。企業在建設Internet時應采用IANA為私用網預留的IP地址空間，如果內部網絡的非法IP地址與外部合法IP主機進行通信時，就通過NAT進行地址轉換。

負載均衡。負載均衡特性能使提供相同服務的多個服務器之間實現負載分擔。所有的HTTP服務器都可以為HTTP客戶機提供相同的服務，另外不要求所有的服務器都在防火墻之后。同樣，其中的FTP服務器也可以對所有的FTP客戶機提供相同的服務。

日志、報警、記賬能力。對用戶在網絡中的活動情況應進行記錄，如對用戶入網和退網時間、傳送的字節數、傳送的包數量等進行記錄。同時應提供實時的報警功能，報警方式可以是通知系統管理員、發送E-mail、發送SNMP給其他網絡系統或激活用戶定義的報警方式，如發送手機短信等。

黑龍江省電子政務網絡的安全策略

總的來說，黑龍江省電子政務網的網絡安全應考慮包括以下幾方面內容:

——應用層安全

——網絡層安全

——鏈路層安全

——物理層安全

建立健全完善的機房管理制度。如，出入中心機房的人員制度;嚴禁非法或盜版應用軟件和游戲軟件的使用等;通過完善的管理機制，將來自內部的有意或無益的進攻的可能降到最低。

在物理層和數據鏈路層的防范策略。主要是采用冗余的物理設備，包括“冗余處理模塊、冗余電源、冗余風扇、冗余插槽、冗余端口、冗余通訊鏈路、冗余供電線路”等手段，從網絡的底層來保護核心網絡的安全，減少單點故障。

在網絡層安全措施。與Internet的接入采用加裝硬件防火墻措施，如CISCO的PIX硬件防火墻，設置“內網、外網、非軍事區”，對進入內網和非軍事區的數據包進行嚴格過濾。另外，通過NAT地址轉換、有限功能設定等，防止來自Internet黑客及病毒的侵害。在路由器中配置防火墻軟件，可以實現對數據包的傳輸過濾。此外，在網絡層繼續采用訪問控制列表，在VLAN與VLAN之間建立防范措施，對各類應用系統，無關人員無權訪問和登陸。

在應用層的安全措施。對于核心應用，應對前端的Client用戶的權限進行嚴格定義，從應用層的角度劃分“超級用戶、管理級用戶、維護級用戶、開發級用戶、錄入級用戶”，每級用戶的登陸權限和數據修改權限將嚴格定義，杜絕惡意用戶的非法操作。

安裝網絡安全偵測產品和病毒掃描軟件。隨著網絡技術的飛速發展和廣泛應用，黑客技術的公開和有組織化，以及網絡的開放性使得網絡受到攻擊的威脅越來越大。網絡入侵往往是由于自身固有的漏洞引起的，同時加密、認證等方法都無法有效解決來自內部和外部的非法入侵，并且沒有有效的監控手段。目前用戶常采用的防范舉措是網絡漏洞掃描和入侵檢測，做到防患于未然，來加強網絡安全防護的能力。

網絡安全設備ICG的部署及其特性

互聯網控制網關ICG(Internet Control Gateway的英文縮寫)產品支持三種網絡部署模式:透明網橋模式、網關模式和鏡像模式，分別適用于不同的網絡拓撲結構。黑龍江省電子政務網選擇透明網橋模式進行部署。把ICG部署在政務網到互聯網的總出口防火墻之間，對來自互聯網的數據包進行安全檢查。黑龍江省電子政務網的網絡拓撲結構如圖1。

用戶可以指定靈活、有效的管理控制策略，針對網頁訪問過濾、網絡應用控制、帶寬流量管理、內容審計;全球最大的中文網頁數據庫;國內最大的網絡應用協議數據庫;強大的查詢統計與分析報告;靈活的部署方式;有效解決因接入互聯網而可能引發的各種問題，優化對互聯網資源的應用。

人性化設計，簡單易用。整體功能邏輯簡潔清晰，充分貼合用戶思維習慣;界面風格美觀大方，從整體布局到細小按鈕都經過精心設計;樹形用戶組織結構、應用協議結構展示，一目了然;向導式配置，輕松完成網絡配置;在線幫助系統提供智能定位，精確解答操作疑問。

精細靈活的策略管理。精確控制IM軟件的子應用，支持對每種子應用進行獨立的控制，如聊天、文件傳輸、語音視頻、遠程控制、游戲等;根據用戶、時間、應用、控制方式等多重條件設置策略，控制任意用戶任意時間的網絡訪問行為;支持網站黑/白名單、免監控用戶列表，充分考慮策略管理的靈活性;帶寬管理細化至針對每個用戶、每種具體應用進行設置，根據業務重要性分配優先級、防止個別人員獨占帶寬，又能統計復用，充分利用空閑帶寬;支持對任意用戶任意時間的任意應用日志的查詢統計。

國內最大的網絡應用協議數據庫。超過150種流行應用協議分析特征庫;先進的深度內容檢測(DCI)技術，基于特征值和行為模式識別各種應用;專業的協議分析團隊，確保應用協議庫的持續更新和有效管控。

強大的查詢統計與分析報告。對任意用戶在任意時段的上網行為進行詳細地查詢，內容涵蓋網頁訪問、郵件收發、IM聊天、P2P下載、論壇發貼、流量信息、在線娛樂等;內置超過50種報告模板，為管理員和企業決策人員提供完整的用戶上網分析;獨有的遞進式(drill-down)統計分析，幫助管理員從宏觀到微觀、從全局到局部、層層遞進、深入分析，全面了解用戶上網行為與網絡資源的使用效率;所有分析報告都可以以表格、餅圖、柱圖或線圖等方式清晰直觀地展示。

靈活的部署方式。支持網橋模式、網關模式、旁路模式;網橋透明接入既有網絡環境，不影響原有網絡配置;串接方式接入，過濾所有報文，實現完整過濾、審計;旁路模式確保網絡無單點故障，不對網絡性能產生任何影響。

穩定可靠的軟硬件平臺。全系列硬件設備支持斷點物理跳接，避免電源失效導致的網絡中斷;獨有的一鍵式旁路切換設計，主動調整網絡負載;靈活的軟件死鎖與高負載跳轉功能，根據預設閥值自動分流高負載流量;系統軟件熱備，當主控制系統發生異常后，備份系統可保持系統繼續運轉。

獨立的日志中心與集中控管平臺。海量存儲，保持日志數據完整性;離線查詢，降低ICG運算負載，提升查詢效率;集中監控分布部署設備運行狀態;制定統一策略，集中管控;收集用戶日志，統攬全局，綜合分析。

總之，安全策略必須在網絡建設中予以考慮和設計，并針對用戶的具體網絡結構采用適合的安全產品和安全策略，只有這樣才能達到安全的防范作用。解決網絡安全問題從不會一勞永逸，尤其應從管理的高度認識網絡安全。同時，網絡安全與網絡運行效率、防范級別與防范投資都是相輔相成的。網絡的安全應在運行的過程中不斷發現薄弱環節，及時更新防范措施，在系統的運行中不斷完善、不斷鞏固系統的安全策略。

(作者單位:黑龍江省政務信息化管理服務中心)